KORT OVERSIKT OVER PERSONVERNREGLENE · •Riktighet – Personopplysninger skal være korrekte og...

© Den norske Revisorforening

KURSDOKUMENTASJON

2D BRANSJENORM FOR REVISORS

BEHANDLING AV PERSONOPPLYSNINGER

Fagsjef rammebetingelser Espen Knudsen og rådgiver Erik Avlesen-Østli,

Revisorforeningen

KORT OVERSIKT OVER

PERSONVERNREGLENE

| Side 22D Bransjenorm for revisors behandling av personopplysninger

• Den nye personopplysningsloven trådte i kraft 20. juli 2018

• Personvernforordningen (GDPR) gjelder som lov i Norge fra samme tidspunkt – inkorporasjon (§ 1)

– GDPR åpner for nasjonale regler som spesifiserer, utfyller eller gjør unntak fra reglene i GDPR

– Personopplysningsloven gjør visse nasjonale tilpasninger til GDPR - §§ 2 til 31

– Bestemmelsene i GDPR må leses i sammenheng med reglene i loven og eventuell annen spesiallovgivning

• I bransjenormen omtales disse reglene samlet som «personvernreglene»

• Anvendelse av bransjenormen forutsetter kjennskap til de sentrale elementene i personvernreglene

Ny personopplysningslov og GDPR


• Alle som behandler personopplysninger, må opptre i samsvar med

personvernprinsippene:

– Lovlighet, rettferdighet og gjennomsiktighet

• Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig

måte med hensyn til den registrerte

– Formålsbegrensning

• Personopplysninger skal samles inn for spesifikke og berettigede formål og

ikke viderebehandles på en måte som er uforenlig med disse formålene

– Dataminimering

• Personopplysninger skal være adekvate, relevante og begrenset til det som

er nødvendig for formålene de behandles for

Personvernprinsippene 1/2


• Riktighet– Personopplysninger skal være korrekte og om nødvendig oppdaterte

• Lagringsbegrensning– Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i

lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for

• Integritet og fortrolighet– Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for

personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak

• Ansvarlighet– Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at disse prinsippene

overholdes

Personvernprinsippene 2/2


• Få innholdsmessige endringer som har betydning for revisjonsforetak– Flere krav er gjort mer spesifikke/detaljerte kan ha mye å si i praksis

– Styrking av den registrertes rettigheter

– Nye krav til samtykke

– Krav til innebygd personvern og personvern som standardinnstilling

– Krav til vurdering av personvernkonsekvenser

– Strengere krav til avvikshåndtering

• Utvidede sanksjoner– Datatilsynet kan ilegge høye bøter – høyeste av 20 MEUR og 4 % av global omsetning

• Reglene oppfordrer til utvikling av bransjenormer– Økt trygghet mot sanksjoner mv. for dem som følger dem

Nyheter med GDPR og ny

personopplysningslov


• Personopplysning (og den registrerte)

• Behandling

• Behandlingsgrunnlag

• Behandlingsansvarlig

• Databehandler

Noen sentrale begreper


• Enhver opplysning om en identifisert eller identifiserbar fysisk

person (den registrerte)

– Fysisk person, opplysning og kobling mellom personen og

opplysningen

– Personvernreglene gjelder når revisor behandler

personopplysninger

– Når revisor behandler bedriftsrelaterte opplysninger, gjelder de

ikke

– Faktaopplysninger og vurderinger

• Mange eksempler nedenfor

«Personopplysning»


• Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke (digitalt/elektronisk)– F.eks. innsamling, registrering, organisering, strukturering, lagring,

tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring

– I praksis «alt»

• Personvernreglene gjelder ikke for manuell behandling av personopplysninger som ikke inngår eller skal inngå i et register

• Som behandling regnes ikke situasjoner der revisor ser informasjon som inneholder personopplysninger (eksempelvis et vedtak), forutsatt at personopplysningene ikke registreres i oppdragsdokumentasjonen

«Behandling»


• Revisor skal attestere MVA-kompensasjon for en

virksomhet som leverer sosiale tjenester som

kommunen er pålagt å utføre ved lov. Revisor ser det

aktuelle vedtaket på skjerm og dokumenterer følgende i

sine arbeidspapirer: «Påsett at det foreligger vedtak som

gir aktuell person rett til sosial bolig for 2017 – referanse

627/2017». Gjelder personvernreglene for dette?

Spørsmål


• Nei. Navn på vedkommende person fremkommer av vedtaket. Revisor har imidlertid ikke notert

navn eller tatt kopi av vedtaket, men har notert referansen til vedtaket. Det foreligger derfor

opplysninger i revisors arbeidspapirer som sammen med annen informasjon (selve vedtaket) vil

være tilstrekkelig til å kunne identifisere personen.

• I utgangspunktet er dette en personopplysning, jf. GDPR artikkel 4 nr. 1, men av fortalepunkt 26

fremkommer følgende:

• «Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som

det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk

for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med

rimelighet kan tenkes å bli tatt i bruk for å identifisere den fysiske personen, bør det tas hensyn til

alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta

identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet,

samt den teknologiske utvikling».

• Det skal ikke være mulig for uvedkommende å få tilgang til vedtaket annet enn fra vedkommende

person selv.

Svar


• Krav til rettslig grunnlag for behandling av

personopplysninger

• Grunnleggende vilkår for når behandling av

personopplysninger kan finne sted

• Ellers forbudt å behandle personopplysninger

«Behandlingsgrunnlag»


• Den som bestemmer formålet med behandlingen av

personopplysninger og hvilke hjelpemidler som skal

benyttes – dvs. hvorfor og hvordan

– Det er revisjonsforetaket, representert ved øverste

administrative leder, som eventuelt er

behandlingsansvarlig

• Har ansvaret for at den registrerte får ivaretatt sine

rettigheter

• Kan instruere databehandleren - databehandleravtalen

«Behandlingsansvarlig»


• En som behandler personopplysninger på vegne av den

behandlingsansvarlige

• Må inngås databehandleravtale

• Databehandleren har også ansvar

– Etterleve databehandleravtalen

– Skal gi tilstrekkelige garantier for at det vil gjennomføres egnede

tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller

kravene i GDPR og som sikrer personvern

– Personopplysningssikkerhet: Risikovurdering og gjennomføring av tiltak

– Behandlingsprotokoll

«Databehandler»


BRANSJENORMEN –

INNLEDNING


• Revisorforeningen har utarbeidet et utkast til «Bransjenorm for

behandling av personopplysninger i revisjonsbransjen»

• Reglene i personvernforordningen (GDPR) er ikke fastsatt med

tanke på revisors oppdrag, men gjelder likevel (tilnærmet...) fullt ut

• GDPR oppfordrer til at bransjeorganisasjoner utarbeider

«atferdsnormer som skal bidra til riktig anvendelse av denne

forordning»

Bransjenorm for revisjonsbransjen


Hva er en bransjenorm?• En bransjenorm skal gi konkrete regler og retningslinjer for hvordan

virksomhetene i en spesifikk bransje skal innrette seg for å etterleve

GDPR

• Bransjenormen gjelder overholdelse av personvernreglene. Det er

ikke en revisjonsstandard


Behov for å sortere ut forholdet til

personvernreglene• Nye personvernregler

– Personvernforordningen (GDPR) og ny personopplysningslov

• Behov for bevissthet og et kollektivt løft i bransjen

• Få ensartet anvendelse i bransjen

– Behandlingsgrunnlag

– Behandlingsansvarlig eller databehandler

– Den registrertes rettigheter (innsyn og sletting)

• Potensielt høye bøtesatser


Fordeler med bransjenorm• Bransjenormen

– tar hensyn til de særlige forholdene i revisjonsbransjen

– gjør det lettere for revisorer å etterleve personvernreglene

– gir økt trygghet for hva som må gjøres

– kan brukes for å påvise at GDPR-forpliktelsene overholdes (GDPR art 24 nr. 3)

• En veileder vil ikke gi samme trygghet for at løsningene anerkjennes av myndighetene

• Det skal fastsettes en bransjenorm/atferdsnorm for regnskapsførerbransjen https://www.regnskapnorge.no/contentassets/77caa14682cd44a992f527df514d61d3/atferdsnorm-for-behandling-av-

personopplysninger-i-regnskapsbransjen.pdf


• Utkastet til bransjenorm ble oversendt Datatilsynet for

godkjenning i juli

– Det kan ta noe tid før bransjenormen blir godkjent

• Før Datatilsynet har gitt sin godkjenning, har utkastet til

bransjenorm status som veiledning

Godkjenning av Datatilsynet


https://www.regnskapnorge.no/contentassets/77caa14682cd44a992f527df514d61d3/atferdsnorm-for-behandling-av-personopplysninger-i-regnskapsbransjen.pdf

Håndheving

• Datatilsynet har hovedansvaret for å håndheve

personvernreglene

– Bare Datatilsynet kan ilegge sanksjoner etter GDPR

• GDPR vil ikke være sentralt for Finanstilsynet

– FT har gitt uttrykk for at informasjonssikkerhet generelt vil

få økt oppmerksomhet i deres tilsyn

• Oppfølging DnRs kvalitetskontroll


Samordning med revisorloven og

ISQC 1• Det har betydning etter GDPR at revisjon og

attestasjonstjenester mv. i de fleste tilfeller er lovregulert

• Revisorlovens regler om taushetsplikten og oppbevaring fordrer informasjonssikkerhet som også dekker personopplysningssikkerhet

• Etter bransjenormen skal tiltak for å overholde GDPR ivaretas som en del av kvalitetsstyringen etter ISQC 1– Revisorloven § 5b-1 og ISQC 1 krever et kvalitetskontrollsystem

som gir rimelig sikkerhet for at lovmessige og regulatoriske krav etterleves – dette inkluderer personvernreglene


BRANSJENORMEN – HVA

DEKKER DEN?


• Bransjenormen omhandler for det første tjenester som

er omfattet av IAASB-rammeverket og ISQC 1

– Revisjon av årsregnskap

– Forenklet revisorkontroll av regnskaper

– Andre attestasjonsoppdrag

– Avtalte kontrollhandlinger

Virkeområde - revisors tjenester


• Bransjenormen omhandler også andre tjenester som

ofte leveres sammen med revisjon

– Årsoppgjør teknisk utarbeidelse av årsregnskap og

skattemelding

– Aksjonærregisteroppgave

Virkeområde - andre tjenester til

revisjonsklienter


• Bransjenormen omhandler til slutt enkelte andre

tjenester som leveres av revisjonsforetak

– Regnskapsføring

– Due diligence (selskapsgjennomgang)

– Granskningsoppdrag

– Internrevisjon

Tjenester til andre enn revisjonsklienter


• Dekker kun forhold som er særegne for

revisjonsbransjen

• Bransjenormen dekker derfor ikke administrasjon/drift av

foretaket

– Behandlingen av personopplysninger ved administrasjon/drift

skiller seg ikke fra andre virksomheter

• Kunde- og leverandøropplysninger

• Ansatte/personaladministrasjon

• Markedsføring, nyhetsbrev, nettside (cookies, webanalyse) osv.

Omhandler ikke


PERSONOPPLYSNINGER

SOM BEHANDLES I ET

REVISJONSFORETAK


• Det er et skille mellom personopplysninger og

bedriftsopplysninger

– Personvernreglene gjelder personopplysninger, ikke

opplysninger om juridiske personer (bedriftsopplysninger)

• Er skillet viktig for revisor?

– Har betydning for den registrertes rettigheter

Personopplysninger og

bedriftsopplysninger


Typiske personopplysninger i et

revisjonsforetak 1/10


• Oversikt over revisjonsklientens nøkkelpersoner

– Kontaktopplysninger som navn, telefonnummer, e-postadresse, stilling

• Oversikt over nærstående parter – fysiske personer

– Navn, relasjon til klienten, transaksjoner med den nærstående (ISA 550)

• Referat fra oppstartsmøte / planleggingsmøte med klienten

– Navn på deltakere

– Ikke personoppl.: deltakernes vurderinger/opplysninger om bransjen og forhold i

bedriften




• Opplysninger om (mistanke om) misligheter begått av konkrete personer (ISA 240.18). – Ikke personoppl.: vurderinger om risikoen for misligheter og interne kontrolltiltak (ISA 240.17)

– Ikke personoppl.: mistanke/kjennskap om misligheter som ikke gjelder bestemte personer (ISA 240.18)

• Dokumentering av revisors vurdering av integriteten til personer i ledelsen (ISA 300.A6)

• Referat fra møte med styret uten at administrasjonen er til stede (revl. § 2-3)

– Navn på deltakerne

– Vurderinger av integriteten og kompetansen til daglig leder

– Opplysninger om (mistanke om) misligheter fra daglig leder

– Ikke daglig leders vurdering av regnskapsposter etc.

• Kopi av revisjonsklientens styremøtereferater

– Navn på deltakerne

– Ev. opplysninger om personalsak e.l. konkret person




• Dokumentering av informasjon innhentet ved intervju av ansatte i forbindelse

med kartlegging av selskapets rutiner og intern kontroll (ISA 315)

– Navn og stilling hos revisjonsklienten

– Ikke personoppl.: den ansattes vurderinger / opplysninger om forhold i bedriften

• Revisor utformer test av kontroller (ISA 315.13)

– Registrering av navn, stilling på sentrale personer

– Dokumentering av revisors vurdering av den ansattes kompetanse

• Revisor intervjuer ansatt hos revisjonsklient i forbindelse med at revisjonsbevis innhentes utarbeider et revisjonsnotat – Den ansattes navn og stilling

– Ikke personoppl.: den ansattes vurderinger, f.eks. grunnlaget for nedskrivningsvurdering




• Revisor arkiverer e-post fra økonomisjef som dokumenterer

vedkommendes vurdering av ukurans i varelageret per 31.12.

– Navn, e-postadresse og telefonnummer til økonomisjefen og ev. andre

enkeltpersoner i e-posten

– Ikke personoppl.: økonomisjefens vurderinger av ukurans

• Kopi av lønnsslipp, ansettelsesavtale mv. i forbindelse med revisjon av lønn

og lønnsrelaterte opplysninger

– Navn, stilling, lønn, medlemskap i fagforening, ferie, pensjonsforhold etc.

• Kopi av daglig leders lønnsslipp i forbindelse med kontroll av lovpliktige

noteopplysninger

– Navn, stilling, lønn, bonus, pensjonsforhold, ferie etc.




• Kopi av dokumentasjon utarbeidet av ansatt hos revisjonsklient som revisor

benytter som revisjonsbevis, f.eks. en balanseavstemming

– Den ansattes navn og signatur på dokumentasjonen

– Ikke personoppl.: det innholdet som gjelder klienten, f.eks. selve

balanseavstemmingen

• Skriftlig redegjørelse fra ledelsen som revisor benytter som revisjonsbevis,

f.eks. redegjørelse om usikkerhet om fortsatt drift og nedskrivningsvurderinger

– Navn på personer i ledelsen mv. som fremgår av redegjørelsen

– Ikke personoppl.: selve redegjørelsen de forholdene som beskrives, og vurderinger

av usikkerheten




• Kopi av avtale som vedrører revisjonsklienten, signert av daglig leder og

styrets leder, f.eks. en husleieavtale

– Navn og signaturer til daglig leder og styrets leder og tilsvarende for dem som

har signert for motparten

– Ikke personoppl.: avtalevilkår mv.

• Revisor tar kopi av en faktura (inngående eller utgående)

– Navn, adresse, telefonnummer, e-postadresse mv. på fysisk person som

fremgår av fakturaen

– Hvis fakturaen gjelder transaksjon med fysisk person hva vedkommende har

solgt/kjøpt




• Revisor innhenter bankbrev (bankengasjementsbrev)

– Navn på personene som disponerer selskapets bankkonti

• Revisor mottar svar på kunde- eller leverandørforespørsel

– Avsenders navn, e-postadresse mv.

• Kopi av aktuarberegningen økonomisjef har innhentet i forbindelse med

regnskapsføring av selskapets pensjonsforpliktelser

– Aktuarens navn, e-post, telefonnummer mv.




• Bruk av en eksperts arbeid (engasjert av ledelsen eller revisor)

– Navn mv. på eksperten

– Revisors vurdering av ekspertens kompetanse, kapabilitet og objektivitet (ISA

500.8 / ISA 620.9)

• Revisor dokumenterer en identifisert mislighet

– Opplysninger om navn, stilling mv. på involverte personer

– Opplysninger om misligheten som kan knyttes til enkeltpersoner




• Revisor dokumenter et identifisert lovbrudd, f.eks. at styret ikke har

etterlevd handleplikten i aksjeloven § 3-5

– Navn på enkeltpersoner i styret mv.

– Opplysninger om lovbruddet som er knyttet til enkeltpersoner

• Revisor arkiverer kopi av bokettersynsrapport

– Navn på kontrolløren

– Opplysninger i rapporten som kan knyttes til enkeltpersoner

• Skriftlig uttalelse fra ledelsen i samsvar med ISA 580

– Navn og signatur til daglig leder og økonomisjef




• Referat fra avslutningsmøte

– Navn på personene som deltok i møtet

– Ikke personoppl.: personenes tilbakemeldinger på revisors funn i forbindelse

med revisjonen

• Kundekontroll og registrering av kundeopplysninger etter hvitvaskingsloven

– Daglig leder (den som opptrer på vegne av kunden): Navn mv., e-signatur /

legitimasjonsdokument

– Reelle rettighetshavere: Navn, fødselsnummer, adresse, opplysninger om ID-

kontroll

– Oppbevaring av dokumenter benyttet i forbindelse med kundekontrollen

FORHOLDET MELLOM

REVISORLOVGIVNINGEN OG

PERSONVERNREGLENE


• Revisorlovgivningen

– Regulerer revisors plikter ved revisjon av årsregnskap og

utførelse av de fleste attestasjonsoppdrag og avtalte

kontrollhandlinger

• Personvernreglene

– Regler for vern av fysiske personer i forbindelse med behandling

av personopplysninger

• ISQC 1 (og revl. § 5b-1) gjelder også for

revisjonsforetakenes overholdelse av personvernreglene

Overordnet om forholdet mellom

revisorlovgivningen og personvernreglene


• Revisors etterlevelse av personvernreglene får «god

hjelp» i revisorloven

• Bestemmelsene i revisorloven om taushetsplikt og

betryggende oppbevaring av oppdragsdokumentasjon

sikrer etterlevelse av kravene til

personopplysningssikkerhet i personvernreglene

Revisorloven og

personopplysningssikkerhet 1/2


• Sikring av oppdragsdokumentasjonen i samsvar med revl.

§ 5-5 og revf. § 5-1 skal ivareta tre formål

– Tilgjengelighet − sikre tilgjengelighet for autoriserte personer

ved behov

– Integritet − sikre nøyaktighet og fullstendighet, sikkerhet mot

uautorisert endring og sporbarhet av endringer

– Konfidensialitet − sikre at kun autoriserte brukere har tilgang

• Det samme gjelder for sikring av personopplysninger

Revisorloven og

personopplysningssikkerhet 2/2


• Revisor skal ikke innhente og oppbevare personopplysninger

i større utstrekning enn det som er nødvendig for at revisor

skal kunne avgi sin uttalelse

– Ved utarbeidelse og oppbevaring av oppdragsdokumentasjon

– Personopplysningene skal være adekvate, relevante og

begrenset til det som er nødvendig for formålet de behandles for

• Datatilsynet ser alvorligere på sikkerhetsbrudd dersom det

behandles mer personopplysninger enn nødvendig

Revisorloven og prinsippet om

dataminimering


• Revisorlovens bestemmelser om taushetsplikt og

betryggende oppbevaring av oppdragsdokumentasjon

har betydning for den registrertes rettigheter

• Kommer tilbake til dette

Revisorloven og den registrertes

rettigheter


NÅR REVISOR ER

BEHANDLINGSANSVARLIG

OG DATABEHANDLER


• Behandlingsansvarlig

– Revisor avgjør hvilke opplysninger som er nødvendig å

behandle for å levere tjenesten

– Oppdrag hvor revisor skal avgi en uttalelse eller rapport på

grunnlag av kontrollhandlinger/undersøkelser

– Rammene/mandatet er gitt av oppdragsgiver, men revisor avgjør

hvilke kontrollhandlinger som må utføres og hvilken informasjon

som må innhentes som grunnlag for sin uttalelse eller rapport

Kriterier for å skille mellom

behandlingsansvarlig og databehandler


• Databehandler

– Oppdragsgiver (behandlingsansvarlig) avgjør hvilke

opplysninger som skal behandles

– Oppdrag hvor revisor tilfører kompetanse eller kapasitet

for å forbedre, effektivisere, avlaste hos oppdragsgiveren

– Eventuell behandling av personopplysninger skjer på

vegne av oppdragsgiveren

Kriterier for å skille mellom

behandlingsansvarlig og databehandler


• Revisor er behandlingsansvarlig ved– Revisjon av årsregnskap – både pliktig og frivillig revisjon

– Forenklet revisorkontroll av regnskaper

– Andre attestasjonsoppdrag

– Avtalte kontrollhandlinger

– Årsoppgjørsoppdrag og aksjonærregisteroppgave for egne revisjonsklienter

• Ved utførelse av andre tjenester for egne revisjonsklienter er revisor behandlingsansvarlig hvis personopplysningene som innhentes, har betydning både for revisjonen og den andre tjenesten

Behandlingsansvarlig ved utførelse av

«revisors oppdrag»


• Andre oppdrag hvor revisor normalt er behandlingsansvarlig– Due diligence (selskapsgjennomgang)

– Granskningsoppdrag

– Internrevisjonsoppdrag

• Oppdrag hvor revisor er databehandler– Regnskapsføreroppdrag egen bransjenorm for regnskapsførerbransjen

– De fleste andre rådgivnings-/konsulentoppdrag som inkluderer behandling av personopplysninger

• Forbehold om behov for konkret vurdering

– Dette er ikke standardiserte oppdrag sjekk kriteriene

Behandlingsansvarlig og

databehandler – andre typer oppdrag


• Revisor foretar teknisk utarbeidelse av årsregnskap og

skattemelding for en ikke-revisjonsklient. Er revisor

behandlingsansvarlig eller databehandler?

Spørsmål


• Databehandler

• Eventuelle personopplysninger behandles på vegne av

oppdragsgiver

Svar


REVISORS GRUNNLAG FOR

BEHANDLING AV

PERSONOPPLYSNINGER


• Behandling av personopplysninger krever et lovlig behandlingsgrunnlag

• GDPR art 6 nr.1 bokstav c – nødvendig for å oppfylle en rettslig forpliktelse

– Må følge av en lov, forskrift, vedtak

• Revisorloven

– Det viktigste behandlingsgrunnlaget for de tjenestene revisorer utfører

• Alle revisjonsoppdrag, både for revisjonspliktige og frivillig revisjon

• Rådgivning og andre tjenester for revisjonsklienter

• Attestasjonsoppdrag og avtalte kontrollhandlinger hvor revisor bekrefter

opplysninger overfor offentlige myndigheter

• Revisorbekreftelser etter selskapslovgivningen

• Forenklet revisorkontroll etter aksjeloven §§ 7-7 til 7-9

Behandlingsgrunnlag 1/5


• Hvitvaskingsloven

– Behandlingsgrunnlag for opplysninger som behandles i forbindelse med

utførelse av kundekontroll og opplysninger som registreres om reelle

rettighetshavere

– GDPR artikkel 6 nr. 1 bokstav c



• Interesseavveining etter GDPR art 6 nr.1 bokstav f– Oppdrag som ikke dekkes av revisorloven

– Hvis revisor vurderer at klienten mangler et berettiget behov for revisors uttalelse, skal revisor ikke påta seg oppdraget

• Berettiget behov f.eks. at klientens bankforbindelse ber om en uttalelse i forbindelse med et lån

• Databehandleravtale– Oppdrag hvor revisor er databehandler databehandleravtale

– Det er en forutsetning at oppdragsgiver (den behandlingsansvarlige) har lovlig behandlingsgrunnlag

• Samtykke fra den registrerte er oftest ikke aktuelt for revisors tjenester

• Avtale er sjelden aktuelt krever at avtalen inngås med «den registrerte»



Type oppdrag, opplysning mv. Beh.grunnlag

Revisjon og forenklet revisorkontroll av regnskaper, samt andre attestasjonsoppdrag og avtalte kontrollhandlinger, som reguleres av revisorloven

Revisorloven

Attestasjonsoppdrag og avtalte kontrollhandlinger som ikke reguleres av revisorloven

Interesse-avveining

Utførelse av kundekontroll og opplysninger om reelle rettighetshavere, samt rapportering til Økokrim

Hvitvaskings-loven

Særlige kategorier personopplysninger (sensitive personopplysninger) på oppdrag som reguleres av revisorloven

Revisorloven

Opplysninger om straffbare forhold og lovovertredelser på oppdrag som reguleres av revisorloven

Revisorloven



Type oppdrag, opplysning mv. Beh.grunnlag

Årsoppgjørsoppdrag for egne revisjonsklienter Revisorloven og forskrift til revisorloven

Aksjonærregisteroppgave for egne revisjonsklienter Interesseavveining

Regnskapsføreroppdrag Databehandleravtalen

Due diligence, granskningsoppdrag og internrevisjon Interesseavveining



• Et revisjonsforetak inngår en avtale med et selskap om

gjennomføring av et granskningsoppdrag. Utgjør avtalen

et gyldig behandlingsgrunnlag?

Spørsmål


• Nei. Avtalen må inngås med den registrerte for at det

skal være et gyldig grunnlag for behandling av

personopplysninger om vedkommende.

Svar


SIKRING AV PERSONVERNET

– KRAV I BRANSJENORMEN


• GDPR krever at det skal gjennomføres tiltak (tekniske og organisatoriske) for å sikre og påvise at revisjonsforetakets behandling av personopplysninger utføres i samsvar med personvernreglene, jf. GDPR artikkel 24.

• Behandling av personopplysninger i samsvar med personvernreglene skal ivaretas som en del av kvalitetsstyringen etter revisorloven § 5b-1 og ISQC 1– Kravene i bransjenormen er lagt inn under overskriftene i ISQC1

• ISQC 1.11: Etablere og vedlikeholde et kvalitetskontrollsystem som gir rimelig sikkerhet for at revisjonsforetaket og personalet etterlever relevante lovmessige og regulatoriske krav

• Inkludert personvernreglene

Del av kvalitetsstyringen etter ISQC 1


• Kravene i bransjenormen er samlet i et eget kapittel

• Bransjenormen skal bidra til riktig anvendelse av GDPR

gjennom å konkretisere hva revisor må gjøre

– Bransjenormen inneholder ikke krav utover

personvernreglene

– Ett unntak: Krav om at revisjonsforetaket skal ha en

personvernansvarlig

Konkretisering av personvernreglene –

ikke tilleggskrav


• Daglig leder eller innehaver skal etablere retningslinjer og rutiner for å sikre at personopplysninger behandles i samsvar med bransjenormen– Styret har det overordnede ansvaret for at det skjer

• Revisjonsforetaket skal ha en personvernansvarlig– Den personvernansvarlige skal ha gjennomført opplæring innen

personvernreglene og oppdatere kompetansen ved behov

– Daglig leder eller innehaver i revisjonsforetaket er personvernansvarlig hvis ikke noen andre er utpekt

– Dersom revisjonsforetaket frivillig har utpekt et personvernombud etter GDPR, gjelder ikke kravet om å utpeke en personvernansvarlig

Lederansvar (ISQC 1.18–19)


• Plikter et revisjonsforetak å utpeke et

personvernombud?

Spørsmål


• Nei. Et revisjonsforetak pålegges ikke en plikt etter

GDPR til å utpeke et personvernombud, men

bransjenormen krever at revisjonsforetaket skal ha en

personvernansvarlig.

Svar


• Før revisors oppdrag aksepteres, må det foreligge et gyldig behandlingsgrunnlag

– Er revisors oppdrag regulert av revisorloven, er det denne loven som utgjør behandlingsgrunnlaget, og det er ikke behov for nærmere vurdering av behandlingsgrunnlaget

– Tilsvarende for kundekontroll etter hvitvaskingsloven

– En interesseavveining er behandlingsgrunnlag når revisors oppdrag ikke er regulert av revisorloven

• En vurderingssak – som oftest enkel

• Kan være behov for å dokumentere vurderingen

Aksept og fortsettelse av klientforhold (ISQC 1 1.26–28)


• Revisor skal ha en forståelig personvernerklæring som

beskriver revisors behandling av personopplysninger i

forbindelse med revisors oppdrag

• Kan også omfatte øvrige deler av virksomheten. Ev. ha

to separate

Personvernerklæring


• Personvernerklæringen skal beskrive de typer personopplysninger som vil

eller kan bli innhentet i forbindelse med revisors oppdrag og formålet med

innhentingen

• Det rettslige grunnlaget for behandlingen

• Hvordan opplysningene samles inn og beskyttes

• Hvilke rettigheter de registrerte har

• Opplysninger om foretaket og hvor henvendelser om personvern kan rettes

– kontaktinformasjon til personvernansvarlig i revisjonsforetaket

• Personvernerklæringen skal gjøres kjent for klienten

Innholdet i en personvernerklæring


• Se eksempel på personvernerklæring for et

revisjonsforetak

• Eksempelet dekker både tjenestene og

drift/administrasjon av foretaket

Eksempel på personvernerklæring


• Oppdragsansvarlige revisorer skal være kjent med– Sin plikt til å sørge for at personopplysninger behandles i

samsvar med bransjenormen

– Revisjonsforetakets retningslinjer og rutiner for behandling av personopplysninger

• Medarbeidere på oppdrag skal være kjent med – Kravene i denne bransjenormen

– Revisjonsforetakets retningslinjer og rutiner for behandling av personopplysninger

• Daglig leder eller personvernansvarlig har ansvaret for å sørge for dette

Menneskelige ressurser (ISQC 1.29–31)


• Det skal ikke innhentes og oppbevares personopplysninger i større utstrekning enn det som er nødvendig for å utføre revisors oppdrag (se ovenfor om dataminimering).

• Revisjonsforetaket skal kartlegge systemene som benyttes for å behandle personopplysninger i forbindelse med utførelsen av revisors oppdrag (ISQC 1.46 og GDPR artikkel 30). Dette vil typisk være det elektroniske revisjonsverktøyet revisjonsforetaket benytter, mellomlagring på lokal eller ekstern server og mellomlagring på e-postserver.

• Personopplysninger skal behandles i samsvar med revisjonsforetakets retningslinjer og rutiner for å sikre konfidensialitet, trygg oppbevaring, integritet, tilgjengelighet og gjenfinnbarhet av oppdragsdokumentasjon. (ISQC 1.46).

Gjennomføring av oppdrag (ISQC 1.32–47)


• Egnede tekniske og organisatoriske tiltak for å oppnå informasjonssikkerhet som både ivaretar taushetsplikten etter revisorloven og personopplysningssikkerhet etter personvernreglene

• Eksempler på slike tiltak kan være

– Tiltak som bidrar til at sending og mottak av taushetsbelagt informasjon skjer på en forsvarlig måte

• Kryptering og lignende tiltak skal anvendes når det må anses som alminnelig praksis i bransjen

– Ekstern tilkobling til arbeidsplassen skjer gjennom kryptert VPN-tunnel eller lignende sikkerhetstiltak

– Mobilt utstyr med jobb-epost har automatisk tastelås etter kort tid

– Det skal brukes tilgangskontroller for å sikre at tilgang til personopplysninger og annen taushetsbelagt informasjon begrenses til det som er nødvendig for forsvarlig og effektiv gjennomføring av revisors oppdrag

– Rutiner som sikrer at mellomlagrede personopplysninger blir slettet fra mellomlageret innen rimelig tid

• Personopplysningene skal flyttes til revisjonsverktøyet når det er nødvendig å oppbevare dem

Informasjons- og

personopplysningssikkerhet


• Etter utløpet av oppbevaringstiden i revisorloven må

revisor ha et annet behandlingsgrunnlag for fortsatt å

kunne oppbevare oppdragsdokumentasjon som

inneholder personopplysninger

• Tilsvarende ved utløpet av oppbevaringstiden i

hvitvaskingsloven

Oppbevaring


• Hvis noen ber om innsyn i egne personopplysninger,

skal revisor gjøre rimelige undersøkelser for å finne ut

om revisjonsforetaket har personopplysninger om den

registrerte, og i tilfellet informere om

personopplysningene som er behandlet

– Taushetsplikten kan begrense adgangen til å gi innsyn –

kommer tilbake til dette

Innsyn


• Risikovurdering– Revisjonsforetaket skal vurdere risikoen for uautorisert tilgang til

personopplysninger, på samme måte som for annen informasjon som revisor har taushetsplikt om

• Hvis revisjonsforetaket benytter en databehandler til å behandle oppdragsdokumentasjon, skal det inngås en databehandleravtale– Gjennom avtalen skal databehandleren gi tilstrekkelige garantier for at

de vil gjennomføre egnede tiltak som sikrer at personopplysnings- og informasjonssikkerhet ivaretas i samsvar med revisors taushetsplikt og kravene i personvernreglene og bransjenormen

• Personvernansvarlig skal se til at denne bransjenormen følges opp i revisjonsforetaket

Overvåking (ISQC 1.48–56)


• Revisjonsforetaket har etablert en sikker portal for deling

av informasjon med sine revisjonsklienter. Ved gammel

vane mottar revisor informasjon, herunder

personopplysninger, fra en revisjonsklient på vanlig

(usikret) e-post. Hva bør revisor gjøre i en slik situasjon?

Spørsmål


• Lagre informasjonen på et sikkert sted, helst i

revisjonsverktøyet og slette e-posten så snart som

mulig.

– Revisjonsforetaket bør ha rutiner for dette.

Svar


• Revisor har bistått en privatperson med utarbeidelse av

skattemelding. Kan revisor oversende utkast til

skattemelding til vedkommende per e-post?

Spørsmål


• Ja, men ikke ukryptert

– Fødselsnummer skal ikke være tilgjengelig for andre enn

mottakeren

• Sendes fødselsnummer ukryptert

– Ikke tilfredsstillende informasjonssikkerhet

• Se mer informasjon her:

https://www.datatilsynet.no/rettigheter-og-

plikter/personopplysninger/fodselsnummer/

Svar


IVARETAKELSE AV DEN

REGISTRERTES RETTIGHETER


• Informasjonsrett

– Ikke krav når opplysningene ikke innhentes direkte fra den

registrerte

• Upraktisk og det vil ikke stå i forhold til behovet for

personvern, om revisor skulle informere den enkelte

registrerte direkte, jf. GDPR artikkel 14 nr. 5 bokstav b og c.

– Personvernerklæringen (omtalt ovenfor)

Informasjonsrett


• Revisors taushetsplikt går foran innsynsrett for den registrerte etter GDPR. Eksempelvis ikke innsyn i:– Sak om oppsigelse av ansatte

– Ledelsens undersøkelse av mulig mislighet begått av ansatt

• Hvis opplysningene bare gjelder vedkommende person, er imidlertid ikke taushetsplikten til hinder for å gi innsyn – Jf. revl. § 6-1 om samtykke fra «den opplysningene gjelder»

– Ofte gjelder opplysningene ikke utelukkende vedkommende person

• Opplysninger om ansatte mv. vil etter forholdene også «gjelde» revisjonsklienten– Da er samtykke fra klienten ved styret nødvendig for å gi innsyn

– Vurderinger mv. som ikke er kjent for eller ment å bli delt med den ansatte

– Revisor må nekte innsyn og henvise vedkommende til klienten

• Innsynsanmodninger kan avvises dersom de er åpenbart grunnløse eller overdrevne – revisjonsforetaket har bevisbyrden

Innsynsrett


• I forbindelse med test av kontroller har revisor foretatt en

vurdering av regnskapssjefens kompetanse og integritet.

Regnskapssjefen henvender seg til personvernansvarlig

i revisjonsselskapet og ber om innsyn. Skal

regnskapssjefen få innsyn i revisors vurdering?

Spørsmål


• Nei. Revisors taushetsplikt går foran, jf. også

personopplysningsloven § 16 annet ledd bokstav e.

– «Utelukkende finnes i tekst som er utarbeidet for intern

saksforberedelse, og som heller ikke er utlevert til andre,

så langt det er nødvendig å nekte innsyn for å sikre

forsvarlige interne avgjørelsesprosesser»

Svar


• Den registrerte har rett til å få slettet personopplysninger som ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for. – Oppbevaringskrav i revisorloven (10 år) og hvitvaskingsloven (5

+ 1 år)• Ulike oppbevaringskrav kan skape praktiske utfordringer

– Må ha annet behandlingsgrunnlag for fortsatt oppbevaring etter utgangen av oppbevaringsperioden

• Revisjonsforetaket skal uansett slette unødvendige personopplysninger av eget tiltak etter bestemmelsene om dataminimering

Rett til sletting


KARTLEGGING AV

BEHANDLINGSAKTIVITETER


• Alle forventes å ha god oversikt over

– Hvilke personopplysninger som behandles i virksomheten

– Formålet med behandlingen

– På hvilken måte de behandles hvilke systemer som benyttes mv.

– Databehandlere

– Overføring til tredjeland

• Det blir vurdert strengt hvis personopplysninger blir behandlet i strid med reglene, og du ikke har hatt oversikt over dette

Viktig å ha god oversikt


• Behandlingsansvarlig skal føre protokoll over behandlingsaktiviteter

(GDPR art 30)

– De forholdene som er nevnt foran

– Tiltak for å sikre personopplysninger (GDPR art 24 og 32)

• Kravet gjelder også databehandler

• Dette er det første Datatilsynet spør om ved tilsyn

• Se eksempel på behandlingsprotokoll

– Mange kolonner, men skal dekke alle krav

Behandlingsprotokoll


KORT OVERSIKT OVER PERSONVERNREGLENE · •Riktighet – Personopplysninger skal være korrekte og...

Documents

Transcript of KORT OVERSIKT OVER PERSONVERNREGLENE · •Riktighet – Personopplysninger skal være korrekte og...