Redegørelse for dataetik i ledelsesberetningen

Virksomheder i regnskabsklasse C stor og D skal fra og med regnskabsår, der begynder 1. januar 2021 eller senere, redegøre for deres politik for dataetik i ledelsesberetningen.

I modsætning til årsregnskaberne for 2020, hvor der trådte en række ændringer i kraft, er der for årsregnskaberne for 2021 kun ganske få ændringer. En af ændringerne er indførelsen af en redegørelse for dataetik jf. ÅRL § 99 d, som har til formål at skabe fokus på og øge gennemsigtigheden om virksomhedernes arbejde med dataetik.

Begrebet dataetik

Dataetik handler i bund og grund om en god praksis, når man indsamler, bruger og deler data. Det vedrører de etiske overvejelser, som en virksomhed må gøre sig i forbindelse med den øgede mængde data og anvendelse af nye teknologier, så behandlingen af data sker under hensyntagen til borgernes grundlæggende rettigheder, retssikkerhed og de grundlæggende samfundsmæssige værdier. Begrebet dataetik omfatter anvendelsen af alle former for data i virksomheden og er ikke begrænset til personfølsomme oplysninger (GDPR), ligesom dataetik handler om mere end at overholde den lovgivning, der gælder for databeskyttelse.

Følg eller forklar-princip

Kravet om redegørelse for dataetik er, ligesom redegørelse for samfundsansvar, bygget op om et såkaldt følg eller forklar-princip, og de omfattede virksomheder skal redegøre for én af følgende:

1. Virksomhedens politik for dataetik, eller
2. Baggrunden for, at virksomheden ikke har en politik for dataetik.

1) Virksomhedens politik for dataetik

De virksomheder, der har en politik for dataetik, og som skal redegøre herfor, skal beskrive indholdet af politikker for dataetik, hvilket skal forstås som virksomhedens interne retningslinjer og målsætninger, der beskriver, hvordan virksomheden arbejder med dataetik.

Loven indeholder ingen specifikke krav til denne redegørelse, da den skal tilpasses virksomhedens forhold, men redegørelsen kan bl.a. beskrive følgende:

• Hvilke data virksomheden anvender, og hvordan de tilvejebringes.
• Hvordan tredjeparter håndterer de data, som de behandler for virksomheden.
• Hvordan og til hvilke formål, virksomheden anvender nye teknologier og de dataetiske overvejelser i denne forbindelse.
• Hvordan virksomhedens medarbejdere trænes, testes og evalueres i dataetik.
• Hvordan beslutninger om dataanvendelse og ny teknologi er forankret i organisationen, herunder hvordan der foretages evaluering af virksomhedens indsatser og politikker for dataetik.

Redegørelsen skal som udgangspunkt placeres som en del af virksomhedens ledelsesberetning. Virksomheden kan i stedet vælge at placere redegørelsen på virksomhedens hjemmeside efter samme regler, som gælder for redegørelse for samfundsansvar.

2) Baggrunden for, at virksomheden ikke har en politik for dataetik

De virksomheder, der ikke ønsker at have en politik for dataetik, eller som endnu ikke har udarbejdet en sådan, skal oplyse om baggrunden herfor i ledelsesberetningen. Det er i den forbindelse ikke tilstrækkeligt, at virksomheden blot anfører, at den ikke har en politik for dataetik grundet virksomhedens størrelse eller branche. Virksomheden skal derimod mere konkret oplyse om baggrunden for, at den har valgt ikke at have en politik for dataetik.

Selvom de omfattede virksomheder selv kan beslutte, om de ønsker at have en politik for dataetik, skal de dog alligevel forholde sig til dataetik, da de aktivt skal tage stilling til valget eller fravalget af en politik og samtidig konkret skal begrunde et eventuelt fravalg.