Data­beskyttelse ved offentlig­gørelse af oplysninger om ledelsens vederlag

Komitéen for god Fondsledelse og Komitéen for god Selskabsledelse har udarbejdet anbefalinger for god ledelse i henholdsvis fonde og selskaber. Men hvordan forholder det sig med kravene til databeskyttelse, når oplysninger om ledelsens vederlag ønskes offentliggjort? Det kan du blive klogere på i denne nyhed.
Komitéen for god Fondsledelse har med hjemmel i erhvervsfondslovens § 60 udarbejdet "Anbefalinger for god Fondsledelse", som gælder for erhvervsdrivende fonde. Tilsvarende har Komitéen for god Selskabsledelse udarbejdet anbefalinger for god selskabsledelse i børsnoterede selskaber, og Dansk Energi har udarbejdet anbefalinger for god selskabsledelse i forbrugerejede forsyningskoncerner. 

Anbefalingerne for god Fondsledelse

Af Anbefalingerne for god Fondsledelse ("Anbefalingerne") fremgår blandt andet, at det er vigtigt med gennemsigtighed og åbenhed om alle væsentlige forhold vedrørende principperne for og størrelsen af bestyrelsens og en eventuel direktions vederlag. Det anbefales, at der i årsrapporten gives oplysning om det samlede vederlag, hvert medlem af bestyrelsen og en eventuel direktion modtager fra den erhvervsdrivende fond og fra andre virksomheder i koncernen. Fondsbestyrelserne skal i forbindelse med aflæggelse af årsrapport forholde sig til Anbefalingerne efter "følg eller forklar"-princippet. 

Det er ikke alle erhvervsdrivende fonde, der har valgt at følge Anbefalingerne om gennemsigtighed og åbenhed i forhold til offentliggørelse af oplysninger om ledelsens vederlag. Det kan der være flere forklaringer på. Der er i den forbindelse rejst spørgsmål om, hvorvidt en offentliggørelse af ledelsens vederlag stemmer overens med reglerne i databeskyttelsesforordningen og de supplerende regler i databeskyttelsesloven (samlet benævnt "databeskyttelsesreglerne"). Efter vores vurdering er der som udgangspunkt hjemmel til offentliggørelsen efter databeskyttelsesreglerne.

Ved offentliggørelse af ledelsens vederlag sker der en behandling af personoplysninger omfattet af databeskyttelsesreglerne. Begrebet "personoplysninger" omfatter alle former for direkte eller indirekte information om en identificeret eller identificerbar fysisk person, herunder f.eks. oplysning om vederlæggelsen af et bestyrelsesmedlem eller en direktør. 

Den første forudsætning for, at offentliggørelsen af oplysninger om ledelsens vederlag er i overensstemmelse med databeskyttelsesreglerne, er, at de generelle principper for behandling af personoplysninger er opfyldt. Det indebærer blandt andet krav om, at personoplysningerne behandles lovligt, rimeligt og på en gennemsigtig måde. Derudover skal personoplysningerne indsamles til tydeligt angivne og legitime formål. Endelig er det et krav, at personoplysningerne er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, de behandles til, dvs. formålet om åbenhed og transparens om ledelsens vederlag.
 

Formålet med Anbefalingerne

Det overordnede formål med Anbefalingerne er at bidrage til, at ledelserne for de erhvervsdrivende fonde varetager den erhvervsdrivende fonds formål og interesser og forvalter fonden i overensstemmelse med god skik ("best practice") for ledelse af erhvervsdrivende fonde. Anbefalingerne er et supplement til lovgivningen og skal medvirke til at sikre grundlaget for god ledelse, gennemsigtighed og åbenhed mv. 

Anbefalingerne afspejler en udvikling i samfundet med øget krav om transparens om ledelsen af de erhvervsdrivende fonde, herunder om ledelsernes vederlag. Det samme gælder f.eks. for børsnoterede virksomheder. 

Disse betragtninger støtter argumentet om, at offentliggørelsen af ledelsens vederlag lever op til de førnævnte generelle principper i databeskyttelsesforordningen.

Oplysninger om ledelsens vederlag udgør personoplysninger

Oplysninger om ledelsens vederlag er såkaldte almindelige personoplysninger. Derfor skal selve hjemlen til behandlingen deraf findes i § 6 i databeskyttelsesloven, der henviser til betingelserne i art. 6, stk. 1, litra a-f, i databeskyttelsesforordningen. 

Offentliggørelsen af vederlaget er ikke nødvendig af hensyn til opfyldelsen af en kontrakt med ledelsesmedlemmerne, og Anbefalingerne er ikke udtryk for en retlig forpligtelse. Derfor vil hjemlen skulle søges enten i kravet om indhentelse af de enkelte ledelsesmedlemmers samtykke til offentliggørelsen af deres vederlag eller i interesseafvejningsreglen.

Samtykke eller interesseafvejningsreglen som hjemmelsgrundlag

Anvendelsen af samtykke som hjemmelsgrundlag er ikke hensigtsmæssigt, fordi det enkelte ledelsesmedlem til enhver tid har ret til at trække sit samtykke tilbage. En sådan tilbagetrækning af et samtykke berører ganske vist ikke lovligheden af den offentliggørelse, f.eks. i en årsrapport, der er baseret på samtykket inden tilbagetrækningen. Det betyder, at en årsrapport, hvor der er indhentet samtykke til behandlingen, ikke vil skulle tilbagekaldes. Grunden til, at det dog ikke er hensigtsmæssigt at benytte samtykke som behandlingshjemmel, er, at det kan give praktiske problemer fremover. Hvis der f.eks. kun er ét bestyrelsesmedlem, der tilbagekalder sit samtykke eller ikke vil give samtykke, vil man indirekte kunne udlede, hvad den pågældendes vederlag udgør ved oplysningen om de øvrige bestyrelsesmedlemmers og bestyrelsens samlede vederlag.

Vi anbefaler derfor, at man i stedet så vidt muligt benytter interesseafvejningsreglen. På grund af Anbefalingerne og den udvikling i samfundet, som de afspejler, er det øgede krav om transparens om vederlagsforhold et udtryk for sådanne legitime interesser, der efter vores vurdering går forud for ledelsesmedlemmernes interesse i hemmeligholdelse. De erhvervsdrivende fondes interesser vejer som udgangspunkt dermed tungere end hensynet til de enkelte ledelsesmedlemmers grundlæggende rettigheder og frihedsrettigheder. Dertil kommer, at den person, der træder ind i ledelsen af en fond, på forhånd ved, at den position, vedkommende indtager, indebærer, at transparens er en vigtig del af fondens virke. Derfor må vedkommende også vide, at det er helt sædvanligt, at oplysninger om vedkommendes vederlag offentliggøres. Dette gælder både for bestyrelses- og direktionsmedlemmer. 

Fonden som dataansvarlig – Privatlivspolitik 

Den erhvervsdrivende fond har som dataansvarlig pligt til at oplyse ledelsesmedlemmerne om den behandling, der sker af deres personoplysninger. Denne oplysningspligt opfyldes sædvanligvis ved udarbejdelsen af en privatlivspolitik, der tager højde for de særlige krav i artikel 13 og 14 i databeskyttelsesforordningen. Heraf følger blandt andet krav om, at hvis interesseafvejningsreglen anvendes som hjemmel for offentliggørelsen af vederlaget, så skal ledelsen oplyses om de specifikke legitime interesser, som forfølges af fonden. 

Vi anbefaler derfor, at bestyrelsen sikrer udarbejdelsen af en privatlivspolitik, hvoraf det fremgår, at den erhvervsdrivende fond anvender interesseafvejningsreglen som hjemmel for at offentliggøre oplysninger om bestyrelsens og direktionens vederlag. I den forbindelse kan der henvises til argumenterne anført i Anbefalingerne og ovenfor. Når der ansættes nye direktionsmedlemmer eller indtræder nye medlemmer i bestyrelsen, skal de informeres om privatlivspolitikken. 

Reglerne for børsnoterede selskaber

I forhold til de børsnoterede selskaber indebærer de anbefalinger, som Komitéen for god Selskabsledelse har udarbejdet, at der på nuværende tidspunkt i hovedtræk gælder det samme som anført ovenfor i forhold til offentliggørelsen af oplysninger om vederlaget til bestyrelsen og direktionen i en erhvervsdrivende fond, med mindre der følger krav om offentliggørelse efter særlige lovregler. 

Med virkning fra den 10. juni 2019 træder der imidlertid nye regler i kraft for børsnoterede selskaber. Herefter vil lovkrav med hensyn til børsnoterede selskabers vederlagspolitik og vederlagsrapport finde anvendelse fra tidspunkter fastlagt i selskabsloven, jf. nedenfor. 

Med de nye regler lovreguleres dele af Komitéen for god Selskabsledelses anbefalinger vedrørende ledelsens vederlag. Ifølge de nye krav i selskabsloven skal børsnoterede selskaber, der anvender kalenderåret som regnskabsår, første gang på den ordinære generalforsamling i 2020 forelægge en vederlagspolitik for aktionærerne, som aktionærerne skal stemme om. På den næstkommende ordinære generalforsamling, dvs. i 2021, skal selskabet fremlægge en vederlagsrapport, som aktionærerne skal foretage en vejledende afstemning om. Med afsæt i vederlagspolitikken skal vederlagsrapporten give et samlet overblik over den aflønning, som de enkelte ledelsesmedlemmer er tildelt eller har til gode for det seneste regnskabsår. 

De nye regler betyder, at fra ovennævnte tidspunkter, hvor de børsnoterede selskaber har pligt til at offentliggøre de enkelte ledelsesmedlemmers vederlag, gælder der ikke længere et persondataretligt krav om samtykke eller om anvendelse af interesseafvejningsreglen for, at man lovligt kan offentliggøre disse oplysninger. I stedet vil hjemlen være art. 6, stk. 1, litra c, hvoraf følger, at behandlingen er lovlig, når den er nødvendig for at overholde en "retlig forpligtelse", der påhviler det børsnoterede selskab som dataansvarlig. 

Desuden fremgår det direkte af de nye regler i selskabsloven, at vederlagsrapporten for de individuelle ledelsesmedlemmer i et børsnoteret selskab ikke må indeholde de følsomme personoplysninger, som er opregnet i artikel 9, stk. 1, i databeskyttelsesforordningen. Dette gælder eksempelvis oplysninger om politisk overbevisning, fagforeningsmæssigt tilhørsforhold eller helbredsoplysninger. Vederlagsrapporten må heller ikke indeholde personoplysninger, som vedrører de individuelle ledelsesmedlemmers familiemæssige situation. I tilfælde af betalinger, der vedrører sådanne forhold, må vederlaget offentliggøres, men det må ikke anføres, hvad det vedrører.

Særlige lovkrav med hensyn til offentliggørelse af ledelsens vederlag følger f.eks. også allerede af § 77 d, stk. 4, i lov om finansielle virksomheder ("FIL"), der lyder:

"Pengeinstitutter, realkreditinstitutter, fondsmæglerselskaber, investeringsforvaltningsselskaber og finansielle holdingvirksomheder skal i årsrapporten offentliggøre det samlede vederlag for hvert enkelt medlem af bestyrelsen og direktionen, som vedkommende som led i dette hverv har optjent fra virksomheden i det pågældende regnskabsår, og som vedkommende i samme regnskabsår har optjent som medlem af bestyrelsen eller direktionen i en virksomhed inden for samme koncern.

For virksomheder omfattet af førnævnte bestemmelse i FIL kræver offentliggørelsen af ledelsens vederlag således heller ikke samtykke eller hjemmel i interesseafvejningsreglen.
 

Opdatering af Anbefalingerne for god Selskabsledelse

På sin hjemmeside har Komitéen for god Selskabsledelse offentliggjort, at Anbefalingerne for god Selskabsledelse vil blive opdateret i lyset af de ovennævnte nye lovregler for børsnoterede selskaber. Komitéen følger fra efteråret 2019 virkningen af lovgivningen og indsamler erfaringer fra generalforsamlingerne, der afholdes i 2020. Tanken er, at de opdaterede anbefalinger skal gælde for regnskabsår, der starter den 1. januar 2021 og derefter. Derfor er planen, at de opdaterede anbefalinger offentliggøres ultimo 2020. De børsnoterede selskaber vil derfor i en overgangsperiode både være omfattet af lovgivningen og skulle forholde sig til Anbefalingerne for god Selskabsledelse vedrørende forhold om vederlagspolitik og vederlagsrapport.
 

Kromann Reumerts rådgivning

Vi rådgiver gerne nærmere om de persondataretlige overvejelser, som offentliggørelsen af ledelsens vederlag giver anledning til. Det drejer sig f.eks. om: 

 

  • vurdering af rækkevidden af de generelle principper for behandling af personoplysninger, herunder navnlig det såkaldte dataminimeringsprincip, hvorefter der gælder krav om kun at offentliggøre de oplysninger, der er nødvendige i forhold til ønsket om at efterleve anbefalingen og lovkrav om offentliggørelse af ledelsens vederlag

  • hvorvidt og i hvilken udstrækning interesseafvejningsreglen kan anvendes, og hvornår det kan være nødvendigt at indhente samtykke

  • udarbejdelsen af den privatlivspolitik, der skal sikre overholdelse af oplysningspligten over for de ledelsesmedlemmer, hvis personoplysninger offentliggøres.