Nyt lovkrav om redegørelse for dataetik for de største danske virksomheder

Redegørelsen skal indeholde oplysninger om virksomhedens arbejde med dataetiske spørgsmål og politik for dataetiske spørgsmål. Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse med forklaring af baggrunden herfor.

Loven trådte i kraft den 1. juli 2020 og har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.

Dataetik er blevet et vigtigt emne i takt med den digitale udvikling, som indebærer, at der bliver anvendt og behandlet mere og mere data i virksomhederne. I november 2018 anbefalede en ekspertgruppe om dataetik, at der blev taget forskellige initiativer for at sikre en etisk ansvarlig anvendelse af data. En af anbefalingerne var at indsætte en bestemmelse om redegørelse for dataetik i årsregnskabsloven.

Formålet med kravet

Formålet med det nye krav i årsregnskabsloven er at skabe fokus på og gennemsigtighed om virksomhedernes arbejde med dataetik. Derved kan ansvarlig dataanvendelse blive et konkurrenceparameter for danske virksomheder såvel nationalt som internationalt. Danmark vil med det nye lovkrav blive det første land i verden, der indfører krav om, at de største virksomheder offentligt skal redegøre for deres politikker for dataetik.

Siden 2009 har de største danske virksomheder i medfør af årsregnskabsloven været forpligtet til i deres ledelsesberetning at redegøre for deres arbejde med samfundsansvar, det vil sige, hvordan de integrerer hensyn til bl.a. menneskerettigheder, klima og miljø i deres forretningsstrategi og forretningsaktiviteter.

Privatliv, herunder databeskyttelse, er en fundamental rettighed, som bl.a. fremgår af FN’s menneskerettighedserklæring, og retten til databeskyttelse er anerkendt som en grundlæggende rettighed i EU’s Charter om grundlæggende rettigheder. Dataetik går imidlertid videre end data- og privatlivsbeskyttelse i snæver forstand. Det handler også om, hvordan dataanvendelse, udvikling og brug af kunstig intelligens m.v. påvirker vores samfund. Derfor foreslås det, at redegørelsen for arbejdet med samfundsansvar udvides til at omfatte dataetik.

Hvad skal redegørelsen indeholde?

Det er ikke omfattet af det nye krav, at de omfattede virksomheder skal have en politik for dataetik, men hvis virksomheden har en dataetisk politik, skal der redegøres for denne og ved fravalg af politik, skal årsagerne til fravalg begrundes.

En redegørelse kan blandt andet indeholde følgende:

• en beskrivelse af, hvordan og til hvilke formål virksomheden anvender nye teknologier, herunder kunstig intelligens eller maskinlæring i udviklingen og udbuddet af produkter og tjenester
• hvilke typer af data virksomheden anvender, og hvordan disse data tilvejebringes
• hvorvidt virksomheden anvender data fra eksterne parter såsom sociale medier, køber andre virksomheders data eller køber data fra data brokers
• om underleverandører, der anvendes til dataanalyse, har en dataetisk politik

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til din virksomheds GDPR-dokumentation, herunder blandt andet kortlægning af datastrømme, udarbejdelse af databeskyttelsespolitikker eller i forhold til redegørelsen for dataetik, er du altid velkommen til at kontakte vores persondatateam. Derudover står vores specialister i selskabsret klar til at hjælpe med de selskabsretlige forhold i forbindelse med kravet om redegørelse for dataetik.