GDPR - Revisors undersøgelsespligt og rapportering af GDPR
Oversat titel
GDPR
Forfatter
Trudslev, Anna Louise
Semester
4. semester
Uddannelse
Udgivelsesår
2020
Resumé
Specialet undersøger revisors undersøgelsespligt og rapportering i relation til GDPR i en dansk kontekst. Udgangspunktet er, at GDPR siden 2018 har fået stor opmærksomhed, mens revisors konkrete rolle fortsat er uklar. Med en retsdogmatisk tilgang suppleret af et retspolitisk perspektiv (med udgangspunkt i legal positivisme) analyseres GDPR og den danske databeskyttelseslov i samspil med revisorloven, erklæringsbekendtgørelsen og internationale standarder for revision. Afhandlingen bygger på love, retslige kilder samt juridisk og økonomisk litteratur og fokuserer på danske forhold. Analysen viser, at revisors undersøgelsespligt afhænger af, om et GDPR-forhold kan påvirke årsrapporten direkte eller indirekte. En direkte påvirkning vurderes som usandsynlig, mens en indirekte påvirkning er mulig; i sådanne tilfælde bør revisor stille opklarende spørgsmål til ledelsen og gennemgå relevant korrespondance. For så vidt angår rapportering bør revisor oplyse om overtrædelser af reglerne eller hvor ledelsen kan risikere sanktioner som en direkte følge af handlinger; i den tidlige fase af GDPR vurderes ledelsessanktioner dog som mindre sandsynlige, medmindre der foreligger grov uagtsomhed eller forsæt. Specialet drøfter endvidere, om undersøgelsespligten er aktiv eller passiv, implikationer ved eventuelle going concern-risici og perspektiverer til allerede givne sanktioner. Konklusionen er, at GDPR hidtil kun har haft begrænset indflydelse på revisors undersøgelses- og rapporteringspligt, og at der er behov for mere forskning.
The thesis examines auditors’ duties to investigate and report in relation to GDPR within a Danish context. While GDPR has attracted significant attention since 2018, the auditor’s specific role remains insufficiently defined. Using a legal-dogmatic approach complemented by a legal policy perspective (grounded in legal positivism), the study analyzes GDPR and the Danish Data Protection Act alongside the Danish Auditors Act, the Danish assurance regulation, and international standards on auditing. The work is based on legal sources and both legal and financial literature, with primary focus on Danish law. The analysis finds that an auditor’s duty to investigate depends on whether a GDPR issue can affect the financial statements directly or indirectly. A direct impact is considered unlikely, whereas an indirect impact is possible; in such cases, the auditor should question management and review relevant correspondence. Regarding reporting, the auditor should disclose regulatory violations or situations where management could face sanctions as a direct consequence of their actions; at this early stage of GDPR, such sanctions are deemed unlikely unless negligence or intent is present. The thesis further discusses whether the duty to investigate is active or passive, potential going concern implications, and current sanction practice. It concludes that GDPR has so far had a limited effect on auditors’ investigation and reporting duties, and that further research is needed.
[Dette resumé er genereret med hjælp fra AI direkte fra projektet (PDF)]