Personvernerklæring

Personvern er viktig for Revisjon Skagerrak som revisjonsselskap og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet. Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson.

Denne personvernerklæringen skal gi utfyllende opplysninger om hvilke personopplysninger som samles inn, hvordan opplysningene samles inn, behandles og beskyttes, hvor lenge de lagres og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos oss.

Hvem er behandlingsansvarlig?

Daglig leder, Einar Johansen, er behandlingsansvarlig for alle personopplysninger i selskapet.
Kontaktinformasjon:
Revisjon Skagerrak AS, Storgata 11, 4950 Risør
Epost: einar@revisjon-skagerrak.no
Telefon: 40 43 25 01

Vår behandling av personopplysninger for ulike kategorier av registrerte


Ansatte
Formålet med å behandle personopplysninger for ansatte er for ivaretakelse av løpende ansettelsesforhold og arbeidsavtale.

Grunnlaget for behandlingen av personopplysninger om ansatte er i første rekke å ivareta rettslige forpliktelser knyttet til ansettelsesforholdet.

Noe av behandlingen er basert på interesseavveining. Vi har behov for å dokumentere at vi har oppfylt forpliktelser etter lov og avtale også etter at de er oppfylt. Vi har også behov for dokumentasjon for personaladministrasjon og vi har behov for oversikt over den enkeltes kompetanse på arbeidsrelaterte oppgaver. Dette er berettigede interesser.

Personopplysningene vi behandler gjelder forhold det er nødvendig for en arbeidsgiver å behandle knyttet til et ansettelsesforhold og det er i hovedsak opplysninger innhentet direkte fra de ansatte.

Tidligere ansatte
Formålet med å behandle personopplysninger for tidligere ansatte er å kunne sikre bedriftens interesser knyttet til et avsluttet arbeidsforhold.

Behandlingen av de fleste av personopplysningene om tidligere ansatte er basert på interesseavveining.
Grunnlaget for behandlingen av personopplysninger om tidligere ansatte er knyttet til behov for å kunne dokumentere personalforhold også etter at arbeidsforholdet er avsluttet, for eksempel ved en tvist med en tidligere ansatt. Det kan da være behov for dokumentasjon av at vi som arbeidsgiver har oppfylt våre forpliktelser etter lovgivning eller arbeidsavtale. Dette er en berettiget interesse.

Behandlingen går ut på å lagre opplysningene i inntil tolv måneder.

Opplysninger om at den ansatte har vært ansatt, varighet av arbeidsforholdet og arbeidsoppgaver lagrer vi lenger. Det samme gjelder lovpålagte krav til oppbevaring av opplysninger etter blant annet regnskapsloven. Disse opplysningene vil ikke bli utlevert til andre uten at den tidligere ansatte ber om det, for eksempel i forbindelse med vurdering av ansettelse hos ny arbeidsgiver.

Jobbsøkere
Formålet med å behandle personopplysninger for jobbsøkere er å vurdere de søknader som jobbsøkere sender oss.
Behandlingen av personopplysninger om jobbsøkere er basert på å gjennomføre tiltak på jobbsøkers anmodning før en eventuell avtaleinngåelse. Det kan også være basert på interesseavveining. Vi har behov for å bruke personopplysninger for å vurdere jobbsøkers erfaring og kvalifikasjoner. Dette er nødvendig før en eventuell avtaleinngåelse og det er også en berettiget interesse.

Vi ber de som vil søke jobb hos oss om å sende oss minst opplysninger om navn, utdanning, arbeidserfaring, referansepersoner mv (CV). Jobbsøkere vil ofte i tillegg gi andre personopplysninger de regner som relevante for vurderingen av søknaden, for eksempel om kontaktinformasjon, familieforhold og interesser. I intervjuer stiller vi spørsmål for å avgjøre om jobbsøkeren passer til stillingen. I noen tilfeller kan vi bruke tester eller spørsmålskjemaer for dette formålet. Hvis det blir aktuelt å ansette jobbsøkeren vil vi kunne be om ytterligere informasjon samt om dokumentasjon for opplysninger vi allerede har fått. Det er frivillig å gi oss slike opplysninger.

Vi bruker ikke opplysningene til noe annet enn å vurdere søknaden og vi gir ikke opplysningene videre til noen andre.
Vi sletter normalt opplysningene for jobbsøkere så snart det er klart at de ikke er aktuelle for ansettelse, men vi kan beholde opplysninger fra jobbsøkere i inntil seks måneder, i tilfelle jobbsøkere skulle mene at deres rettigheter ikke er oppfylt.
I noen tilfeller kan det være både i bedriftens og en jobbsøkers interesse at vi lagrer søknader fra aktuelle jobbsøkere som ikke fikk jobben, i tilfelle det blir økt fremtidig behov for ansatte. I slike tilfeller innhenter vi samtykke fra jobbsøker for behandlingen og sørger for at samtykke dokumenteres i samsvar med registrertes rettigheter. Slike opplysninger lagres på lik linje med andre personalopplysninger i beskyttet personalarkiv og bare så lenge samtykket er gjeldende.

Kontaktpersoner hos bedriftskunder
Formålet med å behandle personopplysninger for kontaktpersoner hos bedriftskunder er å holde kontakt med våre kunder for å følge opp blant annet tilbud, bestillinger og leveranser.

Behandlingen av personopplysninger om kontaktpersoner hos bedriftskunder er basert på interesseavveining. Kontakten med bedriftskunder blir effektiv bare ved å kontakte enkeltpersoner direkte.

I tillegg til navn behandler vi alminnelige kontaktopplysninger, som telefonnummer, epost-adresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Opplysningene innhentes i hovedsak fra kontaktpersonens arbeidsgiver eller direkte fra kontaktpersonen.

Omfanget av opplysningene er begrenset. Behandlingen av opplysningene er knyttet til kundens næringsvirksomhet og ikke til kontaktpersonens privatliv. Dette er en berettiget interesse der vi vurderer at den registrertes interesse er tilstrekkelig hensyntatt.

Når det er påkrevet med samtykke etter markedsføringsloven, vil kontaktpersonen dessuten ha gitt samtykke før vi sender epost med markedsføring. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen.

Kontaktpersoner hos leverandører
Formålet med å behandle personopplysninger for kontaktpersoner hos leverandører er å holde kontakt med våre leverandører for å følge opp blant annet tilbud, bestillinger og leveranser.
Behandlingen av personopplysninger om kontaktpersoner hos leverandør er basert på interesseavveining. Kontakten med leverandører blir effektiv bare ved å kontakte enkeltpersoner direkte.
I tillegg til navn behandler vi alminnelige kontaktopplysninger, som telefonnummer, epost-adresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Opplysningene innhentes i hovedsak fra kontaktpersonens arbeidsgiver eller direkte fra kontaktpersonen.

Omfanget av opplysningene er begrenset. Behandlingen av opplysningene er knyttet til leverandørens næringsvirksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen. Dette er en berettiget interesse der vi vurderer at den registrertes interesse er tilstrekkelig hensyntatt.

Andre kontaktpersoner
Formålet med å behandle personopplysninger for andre kontaktpersoner er å ha kontakt med offentlige myndigheter, for eksempel NAV og tilsynsmyndigheter i forbindelse med offentligrettslige forhold der vi kan ha forpliktelser og rettigheter.

Behandling av personopplysninger hos andre kontaktpersoner er basert på interesseavveining. I en del tilfeller blir kommunikasjonen effektiv bare hvis vi kan kontakte enkeltpersoner direkte.

I tillegg til navn behandler vi alminnelige kontaktopplysninger, som telefonnummer, epost-adresse og arbeidsgiver, som alle er knyttet først og fremst til kontaktpersonens arbeidsforhold. Opplysningene innhentes i hovedsak fra kontaktpersonens arbeidsgiver eller direkte fra kontaktpersonen.

Omfanget av opplysningene er begrenset. Behandlingen av opplysningene er knyttet til kontaktpersonens arbeidsgivers virksomhet og ikke til kontaktpersonens privatliv. Vår behandling av personopplysningene er klart påregnelig for kontaktpersonen. Dette er en berettiget interesse der vi vurderer at den registrertes interesse er tilstrekkelig hensyntatt.

Brukere av våre nettsider
Ved bruk av skjema «Kontakt oss» på revisjon-skagerrak.no, må du oppgi navn og epost-adresse. Opplysningene lagres i nettsidens database som administreres av vår webansvarlig, og vil ikke bli videreformidlet til andre utenfor Revisjon Skagerrak. Informasjonen slettes fortløpende fra databasen.

Vi anvender Idium AS som leverandør av våre nettsider revisjon-skagerrak.no. Vi logger ikke selv informasjon for våre besøkende, men det logges informasjon ved hjelp av blant annet Google Analytics. Informasjonen som logges er ikke knyttet opp mot den besøkende og kan ikke spores tilbake til deg som enkeltperson. Informasjonen samles inn for bedre å kunne forstå hvordan brukere benytter nettstedet, slik at sidene kan tilpasses til brukerne. Idiums personvernerklæring om bruk av personopplysninger er tilgjengelig på våre nettsider.

Bransjenorm for revisorer
Vi forholder oss til bransjenorm som er utarbeidet av Den norske revisorforening i vår behandling av personopplysninger. Dette gjelder som behandlingsansvarlig i forbindelse med utførelse av revisors oppdrag - revisjon og forenklet revisorkontroll av regnskapet samt andre attestasjonsoppdrag og avtalte kontrollhandlinger. Vi forholder oss også til bransjenormen i vår behandling av personopplysninger ved utførelse av andre tjenester der vi etter forholdene vil kunne være behandlingsansvarlig eller databehandler.

Oppdrag etter revisorloven
Formålet med å behandle personopplysninger er for å utføre kontrollhandlinger og for å kunne avgi uavhengige bekreftelser knyttet til revisjon og attestasjonsoppdrag.

Revisorloven er behandlingsgrunnlag for behandling av personopplysninger i forbindelse med revisors oppdrag som reguleres av revisorloven. Revisorloven gjelder for alle revisjonsoppdrag, både for revisjonspliktige og frivillig revisjon. Revisorloven gjelder også for attestasjonsoppdrag og avtalte kontrollhandlinger hvor revisor bekrefter opplysninger overfor offentlige myndigheter eller utfører forenklet revisorkontroll etter aksjeloven. Dette inkluderer revisorbekreftelser etter selskapslovgivningen.

For andre attestasjonsoppdrag og avtalte kontrollhandlinger er behandlingsgrunnlaget berettiget interesse etter en interesseavveining.

Revisor har rett til å behandle særlige kategorier personopplysninger på revisors oppdrag som reguleres av revisorloven. Behandlingen skal etter bestemmelsen sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser. Vi utviser særlig forsiktighet ved behandling av særlige kategorier personopplysninger.

Vi innhenter og dokumenterer i enkelte tilfeller informasjon om straffbare forhold eller lovovertredelser som kan knyttes til bestemte personer og som ikke er alminnelig kjent. Vi har rett til å behandle slike personopplysninger på revisors oppdrag som reguleres av revisorloven. Vi behandler slike personopplysninger med samme forsiktighet som særlige kategorier personopplysninger.

Etter revisorloven skal oppdragsdokumentasjon oppbevares i minst ti år. Vi sletter oppdragsdokumentasjon etter utløpet av oppbevaringstiden. Vi kan gjøre unntak dersom vi i spesielle situasjoner har et annet behandlingsgrunnlag for fortsatt å oppbevare oppdragsdokumentasjon som inneholder personopplysninger.

Oppdrag etter hvitvaskingsloven
Formålet med å behandle personopplysninger er for å kunne oppfylle de kravene som er pålagt revisor som rapporteringspliktig i hvitvaskingsloven.

Hvitvaskingsloven er revisors behandlingsgrunnlag for opplysninger som behandles i forbindelse med utførelse av kundekontroll og opplysninger som registreres om reelle rettighetshavere.

Etter hvitvaskingsloven skal revisor som rapporteringspliktig oppbevare kopier av dokumenter benyttet i forbindelse med kundekontroll samt registrerte opplysninger som nevnt i hvitvaskingsloven, i fem år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført. Opplysningene skal slettes innen ett år etter at oppbevaringsplikten opphører.

Oppdrag som ikke er regulert etter revisorloven
Formålet med å behandle personopplysninger er for å utføre kontrollhandlinger og for å kunne avgi uavhengige bekreftelser knyttet til attestasjonsoppdrag.

For revisors oppdrag som ikke er regulert av revisorloven eller revisors plikter etter hvitvaskingsloven, er revisors behandlingsgrunnlag berettiget interesse etter en interesseavveining. Hvis vi i disse tilfellene vurderer at klienten mangler et berettiget behov for revisors uttalelse, skal vi ikke påta oss oppdraget. Et berettiget behov kan for eksempel være at klientens bankforbindelse ber om en uttalelse i forbindelse med et lån.

Når oppdraget ikke er regulert av revisorloven, kan personopplysninger kreves slettet når personopplysningene ikke lenger er nødvendige for å følge opp oppdraget forsvarlig. Vi sletter opplysningene innen et år etter at oppdraget er avsluttet.

Hvis opplysningene skulle være nødvendige for å forsvare oss mot erstatningskrav eller anklager, vil vi kunne beholde opplysningene lenger basert på berettiget interesse etter en interesseavveining.

Regnskapstjenester
Revisjon Skagerrak har også noen oppdrag med regnskapsføring for kunder som ikke revideres av oss. Personopplysninger som behandles i den forbindelse er eksempelvis navn, fødselsnummer og lønns- og trekkopplysninger. Opplysningene innhentes fra kunden og i noen tilfeller tredjepart som for eksempel Altinn.

Revisjon Skagerrak vil som regnskapsfører være databehandler og vi inngår databehandleravtale med kunden som behandlingsansvarlig. Databehandleravtalen vil sette rammene for vår behandling av personopplysninger. De konkrete sikkerhetstiltakene og slettefristen for behandlingen fremgår av hver enkelt databehandleravtale.
I tilfeller der vi gjør egne analyser til annet formål enn regnskapstjenester vil personopplysninger anonymiseres eller utelates fullstendig. Slike tilfeller vil alltid avtales direkte med vår regnskapskunde.

Utleveres opplysningene til tredjeparter?
Det utleveres ikke opplysninger til tredjeparter utover det som følger av lovkrav til offentlige myndigheter.

Hvilke rettigheter har den registrerte og hvilket lands lovverk gjelder?
Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens regler. Vi har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler.

De som er registrert i en av våre systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger vi ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager.

Vi skal følge den til enhver tid gjeldende norske lov på området.

Spesielt om innsyn i revisjonsoppdrag
Dersom innsyn gjelder oppdrag etter revisorloven så kan den registrerte samtykke til at revisors taushetsplikt ikke skal gjelde for egne personopplysninger. Dette sikter til den eller de som har en beskyttelsesverdig interesse i at vi som revisor ikke bringer opplysningene videre. Det gjelder i første rekke den som har gitt opplysningene til oss som revisor i tillit til at opplysningene vil bli behandlet fortrolig, men kan også omfatte den eller de som det er gitt informasjon om i det materialet vi besitter som revisor.

Revisors taushetsplikt hindrer ikke at den registrerte får innsyn i egne personopplysninger som vedkommende selv har gitt til oss. I de fleste tilfeller mottar vi imidlertid personopplysninger fra våre klienter eller andre kilder enn den registrerte selv. I disse tilfellene kan vi ikke gi den registrerte innsyn i personopplysningene og heller ikke opplyse om vi behandler personopplysninger om vedkommende.

Hvis noen ber om innsyn, opplyser vi om de typer personopplysninger som kan bli innhentet i forbindelse med revisors oppdrag og formålet med innhentingen slik det fremgår av denne personvernerklæringen.

Hvis forespørselen gjelder innsyn i egne personopplysninger som den registrerte selv har gitt til revisor, vil vi gjøre rimelige undersøkelser for å finne ut om vi har behandlet personopplysninger om den registrerte og i tilfelle informere om personopplysningene som er behandlet.

Hvis forespørselen gjelder innsyn i personopplysninger som vi har mottatt i fortrolighet fra noen andre enn den registrerte selv, vil vi informere skriftlig om at opplysningene er undergitt lovbestemt taushetsplikt etter revisorloven. Vi vil vise til unntaket fra innsynsretten for taushetsbelagte opplysninger i personopplysningsloven.

Vi vil i tråd med taushetsplikten unnlate å gi innsyn i vurderinger av personers kompetanse og integritet som bygger på opplysninger innhentet i fortrolighet fra andre enn den registrerte selv. Også ellers kan vi unnlate å gi innsyn i slike vurderinger. Vi vil i tilfelle opplyse skriftlig at det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre revisors oppdrag og at innsyn ikke gis fordi vår vurdering skal være uavhengig av muligheten til innsyn. Vi viser her til unntaket for å sikre forsvarlige interne avgjørelsesprosesser i personopplysningsloven.

Vi vil nekte å etterkomme åpenbart grunnløse eller overdrevne anmodninger. Vi bærer bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven. Anmodningen vil være åpenbart grunnløs hvis det ikke er noen reell mulighet for at vi har personopplysninger om vedkommende. Anmodningen vil være overdreven hvis informasjon må anses tilstrekkelig ivaretatt i denne personvernerklæringen sett i forhold til byrdene med å undersøke om vi har personopplysninger og den registrertes interesse i å få innsyn hos oss.

Hvordan sikres opplysningene?
Vi er opptatt av informasjonssikkerhet, og har implementert rutiner for å sikre konfidensialitet og integritet i våre kunders data. Vi har sikringsmekanismer som innebærer både organisatoriske og tekniske tiltak slik som rolle- og tilgangstyring og krav til innebygget personvern i våre IT-systemer.

I Revisjon Skagerrak har daglig leder en særlig oppgave å påse sikkerheten og ansatte gis opplæring i bruk av virksomhetens IT-system.

Uvedkommende hindres tilgang til personopplysningene og utstyr disse er lagret på. Virksomhetens nettverk er beskyttet mot inntrengning med brannmur og ved sikring av trådløst nettverk. Ekstra tiltak er iverksatt for spesielt beskyttelsesverdige opplysninger som for eksempel sykemeldinger, opplysninger rundt tilrettelegging av arbeidsplassen, vurderinger av ansatte og vurderinger knyttet til revisjonsoppdrag.

Materiale som inneholder sensitive personopplysninger eller personnummer og overføres til eller fra Revisjon Skagerrak sikres mot innsyn ved hjelp av kryptering eller annen trygg overføring.

Endringer i personvernerklæringen
Det kan forekomme endringer i vår personvernerklæring. Dato for siste endring er 02.10.2018.