10. Revisors taushetsplikt overfor tredjelands tilsynsmyndigheter
EØS-regler som svarer til direktiv 2006/43EF (revisjonsdirektivet) ble gjennomført i norsk rett ved lov 19. juni 2009 nr. 60. Loven bygger på et utkast utarbeidet av Kredittilsynet på oppdrag fra Finansdepartementet. I Kredittilsynets høringsnotat 1. juni 2007 ble det lagt til grunn at revisjonsdirektivet skulle gi en styrking av det internasjonale tilsynssamarbeidet på revisjonsområdet, også med tredjeland. Det ble videre lagt til grunn at det ville bli vedtatt såkalte «adequacy decisions» etter revisjonsdirektivet artikkel 47, og at inngåtte avtaler med tredjelands myndigheter på den måten ville åpne for utveksling av revisors arbeidspapirer og andre dokumenter for tilsynsformål. I samsvar med dette utgangspunktet er det i revisorloven § 6-1 sjette ledd gitt en hjemmel til å gi ytterligere unntak fra taushetsplikten til revisor. På bakgrunn av gjeldende bestemmelse om taushetsplikt ble det imidlertid ikke på tidspunktet for fastsettelse av bestemmelsene om gjennomføring av de aktuelle EØS-regler sett behov for å gi bestemmelser som ytterligere konkretiserer revisorenes taushetsplikt i gitte tilfeller.
Det er etter gjeldende lovgivning ikke gitt bestemmelser som gir norske myndigheter direkte hjemmel til å stoppe tredjestaters revisortilsynsmyndigheter i å gjennomføre inspeksjoner i Norge. Imidlertid vil taushetsplikten etter revisorloven § 6-1 første ledd være til hinder for at norske revisjonsselskaper gir utenlandske tilsynsmyndigheter opplysninger som er omfattet av taushetsplikten med mindre det foreligger særskilt samtykke fra den som opplysningene i hvert enkelt tilfelle gjelder.
Etter at endringsloven, jf. Ot.prp. nr. 78 (2008–2009) som gjennomfører EØS-regler som svarer til revisjonsdirektivet i norsk rett ble vedtatt, har EU-kommisjonen presisert sin forståelse av medlemsstatenes forpliktelser etter revisjonsdirektivets artikkel 47, herunder blant annet kravet om at behandlingen av utleverte opplysninger hos tredjestatens tilsynsmyndigheter må skje i samsvar med forutsetningene etter kapittel IV i direktiv 95/46/EF (gjennomført i Norge ved bestemmelser i personopplysningsloven). Etter EU-kommisjonens oppfatning følger det således av revisjonsdirektivet artikkel 47 en plikt for medlemsstatene til å nekte tredjelands tilsynsmyndigheter å gjennomføre inspeksjoner på sitt territorium inntil EU-kommisjonen eventuelt har foretatt en såkalt «adequacy decision» i henhold til artikkel 47 i revisjonsdirektivet.
Et høringsnotat med forslag til hjemmel til å kunne fastsette innskjerpet taushetsplikt for revisor overfor tredjelands revisortilsynsmyndigheter, utarbeidet av Finansdepartementet på grunnlag av et utkast utarbeidet av Kredittilsynet, ble sendt på høring ved departementets høringsbrev 18. september 2009 med høringsfrist 5. oktober 2009.
Datatilsynet deler EU-kommisjonens oppfatning om at behandlingen av utleverte opplysninger hos tredjelands tilsynsmyndigheter må skje i samsvar med kapittel IV i direktiv 95/46/EF. Datatilsynet er imidlertid noe usikker på om den foreslåtte hjemmelen i revisorloven § 6-1 syvende ledd vil oppfylle det ønskede formålet. Datatilsynet viser til at bestemmelsen kun fastsetter en innskjerpet taushetsplikt, og at det fremstår som noe tungvint og upraktisk at Finansdepartementet, formodentlig etter søknad, gjennom enkeltvedtak skal nekte revisorer eller revisjonsselskaper å utlevere informasjonen, all den tid både personopplysninger og personopplysningslovens system allerede har et regelverk for hvordan personopplysninger kan utleveres tilfredsstillende til tredjeland. Datatilsynet anbefaler at det istedenfor inntas en henvisning til personopplysningsregelverkets bestemmelser om overføring av personopplysninger til utlandet i revisorloven § 6-1 syvende ledd.
Departementet ser det som hensiktsmessig at det åpnes for mulighet til å fastsette innstramninger i revisors taushetsplikt gjennom enkeltvedtak eller forskrift dersom dette skulle anses nødvendig av hensyn til Norges internasjonale forpliktelser, og mener derfor at høringsforslaget bør følges opp. Departementet viser også til at den direktivforståelsen som EU-kommisjonen har tatt til orde for, jf. omtalen i kapittel 10.3 ovenfor, medfører en plikt for medlemsstatene til å nekte tredjelands tilsynsmyndigheter å gjennomføre inspeksjoner på sitt territorium inntil EU-kommisjonen eventuelt har foretatt en såkalt «adequacy decision» i henhold til artikkel 47 i revisjonsdirektivet. Departementet mener at en hjemmel som foreslått er nødvendig for en korrekt gjennomføring av våre EØS-forpliktelser, og foreslår derfor et nytt ledd i revisorloven § 6-1.
Når det gjelder merknadene til Datatilsynet viser departementet til at hjemmelen vil kunne få anvendelse også i tilfeller som ikke omfattes av bestemmelser i personopplysningsloven og direktiv 95/46/EF. Departementet viser særlig til at det fra EU-kommisjonens side er forutsatt at revisorer ikke skal kunne utlevere opplysninger til tredjelands revisortilsynsmyndigheter uten at det foreligger en såkalt «adequacy decision», selv om personopplysningslovens regler isolert sett ikke er til hinder for at opplysningene utleveres. Departementet ser det derfor ikke som hensiktsmessig at det inntas en eksplisitt henvisning til personopplysningsloven i revisorloven § 6-1 syvende ledd. Departementet viser for øvrig til at forholdet til personopplysningsloven eventuelt kan reguleres nærmere gjennom den foreslåtte forskriftshjemmelen dersom dette på et senere tidspunkt skulle anses ønskelig.
Komiteen slutter seg til regjeringens forslag om et nytt ledd i revisorloven § 6-1 slik at vi kan gjennomføre våre EØS-forpliktelser når det gjelder revisors taushetsplikt overfor tredjelands tilsynsmyndigheter.