FARs regelkommitté har bedömt frågan om en revisor kan åta sig uppdrag som personuppgiftsombud enligt personuppgiftslagen (1998:204). Se uttalande från FARs regelkommitté i Balans nr 11/2000.
FAR anser att det normalt inte föreligger hinder mot att samtidigt vara personuppgiftsombud och vald revisor i ett bolag. FARs slutsats grundar sig på en analys av de olika regelverken. Uttalandet blir därmed gällande rätt som vägledning för FAR-ledamöterna om god revisorssed.
I ett avseende är FARs analys av regelverken uppseendeväckande och kräver ett förtydligande. Enligt personuppgiftslagen är det styrelsen som med skadestånds- och straffansvar svarar för att lagen följs. Personuppgiftsombudet tar enligt lagen över detta ansvar och om styrelsen bryter mot lagen är det ombudet som enligt 38 § är anmälningsskyldig till datainspektionen. Jag kan inte förstå det på annat sätt än att det då är oförenligt för en vald revisor att för samma bolag samtidigt åta sig uppdraget som personuppgiftsombud. Tystnads- och anmälningsplikten kommer i uppenbar konflikt med varandra. Vilken plikt som har ett företräde är ett omöjligt val för revisorn.
Revisorns tystnadsplikt är absolut i den meningen att undantagen för plikten måste vara behöriga, vilket de i lag reglerade upplysnings- och anmälningsplikterna är. Datainspektionen är den tillsynsmyndighet revisorn som personuppgiftsombud är anmälningspliktig till. Datainspektionen är enligt min mening obehörig att motta anmälan från revisorn i hans egenskap av vald revisor. Inte ens bolagsstämman kan ge revisorn legitimitet att bryta tystnadsplikten.
Revisorns integritet och självständighet i sitt uppdrag som vald revisor kommer i uppenbar fara om han även åtar sig uppdraget som personuppgiftsombud. Den valde revisorn bör därför i det enskilda fallet noga pröva och överväga uppdragsrollerna.
Auktor revisor Sven Santesson , Ernst & Young, Helsingborg. Medverkades senast i Balans nr 3/1996.