Denne personvernerklæringen forteller hvordan Myrdahl og
Sveen samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon
om vår behandling av personopplysninger.
Her får du nærmere informasjon om hvilke personopplysninger
vi typisk samler inn, hva vi bruker opplysningene til og hvordan vi behandler
dem. Du får også informasjon om hvilke rettigheter du har dersom vi har
personopplysninger om deg.
Henvendelsen vil bli fulgt opp av vår personvernansvarlig.
Du kan også rette din henvendelse til din kontaktperson hos oss.
Oversikt over personvernerklæringen
1 Lovgivning
og bransjenormer
2 Når
samler vi inn personopplysninger?
3 Behandlingsansvarlig
og databehandler
4 Dine
rettighete
4.1 Innsyn
4.2 Sletting
og retting
4.3 Klage
5 Personopplysninger
som vi samler inn og hva vi bruker dem til
5.1 Oppdrag
etter revisorloven
5.2 Oppdrag
etter regnskapsførerloven
5.3 Oppdrag
som ikke er lovregulert
5.4 Plikter
etter hvitvaskingsloven
5.5 Kundekontakt
og markedsføring
5.6 Bruk av
våre nettsider www.myrdahl-sveen.no
5.7 Medarbeidere
og jobbsøkere
6 Informasjonssikkerhet,
taushetsplikt og oppbevaring
7 Overføring
av personopplysninger
7.1 Oppbevaring
i EØS
7.2 Overføring
av personopplysninger som følge av lov
7.3 Vår bruk
av databehandlere
1 Lovgivning
og bransjenormer
Myrdahl og Sveen AS har offentlig godkjenning fra
Finanstilsynet etter revisorloven og regnskapsførerloven. Finanstilsynet fører
tilsyn med at vi driver virksomheten vår i samsvar med lovgivningen vi er
underlagt. Nedenfor kan du lese mer om de kravene lovgivningen stiller til vår
innsamling, oppbevaring og sikring av opplysninger, i tillegg til kraven i
personvernreglene.
Det er utarbeidet en bransjenorm for behandling av
personopplysninger i revisjonsbransjen. Det er også utarbeidet en atferdsnorm
for behandling av personopplysninger i regnskapsførerbransjen. Vi følger disse
bransjenormene i vår virksomhet.
2 Når
samler vi inn personopplysninger?
Vi samler inn personopplysninger i forbindelse med
• utførelse
av våre oppdrag, inkludert revisjonstjenester (revisjon av årsregnskap,
forenklet revisorkontroll av regnskaper, andre
attestasjonsoppdrag/revisorbekreftelser og avtalte kontrollhandlinger), regnskapsføring
og ulike rådgivningsoppdrag
• kundekontroll
og rapportering av mistanke etter hvitvaskingsloven
• kundekontakt
og markedsføring
• bruk av
våre nettsider Myrdahl og Sveen.no
• ansettelser
og ansatte
3 Behandlingsansvarlig
og databehandler
Vi er behandlingsansvarlig etter personvernreglene når vi
behandler personopplysninger i forbindelse med revisjonstjenester, utarbeidelse
av årsregnskap og skattemelding for egne revisjonsklienter og
attestasjonstjenester. Vi er normalt behandlingsansvarlig på due
diligence-oppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som
behandlingsansvarlig er vi ansvarlig for å etterleve kravene i
personvernreglene som gjelder ved vår behandling av dine personopplysninger,
herunder at du får ivaretatt dine rettigheter.
I enkelte tilfeller er vi imidlertid databehandler for vår
kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår
oppdragsgiver (behandlingsansvarlig). Dette gjelder for regnskapsføreroppdrag
og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig)
som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi
inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige.)
Vi behandler dine personopplysninger i samsvar med databehandleravtalen.
4 Dine
rettigheter
Du kan utøve dine rettigheter ved å kontakte vår
personvernansvarlig. Send en e-post til post@myrdahl-sveen.no. Du skal få svar
uten ugrunnet opphold, og senest innen 30 dager.
Nedenfor informerer vi om hvordan vi ivaretar de
rettighetene som er mest aktuelle for vår virksomhet. Les mer om dine
rettigheter etter personvernreglene på Datatilsynets nettsider.
4.1 Innsyn
Enhver som ber om det har krav på å få vite hva slags
behandling av personopplysninger vi foretar, samt grunnleggende informasjon om
behandlingen. Slik informasjon er gitt i denne personvernerklæringen.
Hvis du ber oss om innsyn i opplysninger som vi kan ha om
deg, vil vi gjøre rimelige undersøkelser for å finne ut om vi har slike
opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne
anmodninger (personvernforordningen artikkel 12.5).
Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten
hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om
personopplysningene som er behandlet. Vi er underlagt lovbestemt taushetsplikt
som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som også
gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder
en konflikt mellom deg og din arbeidsgiver. Da må du gå direkte til
arbeidsgiveren og be om å få innsyn i opplysningene.
Det kan være nødvendig å vurdere personers kompetanse og
integritet for å utføre våre oppdrag. Vår taushetsplikt forhindrer oss å gi
innsyn i slike vurderinger. Revisors vurdering skal også være uavhengig av
muligheten til innsyn, jf. også personopplysningsloven § 16 første ledd bokstav
e.
4.2 Sletting
og retting
Du har rett til å få slettet opplysninger om deg selv som
ikke lenger er nødvendige for å følge opp oppdraget forsvarlig og som vi ikke
har lovbestemt plikt til å oppbevare. Vi kan også ha en berettiget interesse i
å beholde opplysninger utover dette hvis det er nødvendige for å forsvare oss
mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
Dersom vi behandler personopplysninger om deg som er
uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt
i personvernreglene og annen lovgivning kreve å få rettet personopplysningene.
4.3 Klage
Ta først kontakt med vår personvernansvarlig hvis du mener
vi ikke overholder personvernreglene.
Du kan også klage over vår behandling av personopplysninger
til Datatilsynet.
5 Personopplysninger
som vi samler inn og hva vi bruker dem til
5.1 Oppdrag
etter revisorloven
Når vi utfører revisjonsoppdrag eller bekrefter opplysninger
overfor offentlige myndigheter, er vi pålagt gjennom revisorloven og standarder
for god revisjonsskikk å skaffe oss forsvarlig dokumentasjon for våre
konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis).
Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte
opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger,
slik som:
• navn og
stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i
forbindelse med oppdraget
• opplysninger
om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
• vurderinger
av kompetansen og integriteten til personer som har ansvar for regnskapet eller
andre forhold som vi skal bekrefte
Det vil også kunne inkludere opplysninger om enkeltpersoners
straffbare forhold og lovovertredelser
5.2 Oppdrag
etter regnskapsførerloven
Vi utfører også regnskapsføreroppdrag. Da er vi underlagt
regnskapsførerloven. Etter regnskapsførerloven skal vi utføre oppdraget i
samsvar med de lover og regler som kundens regnskap skal oppfylle (bokførings-,
regnskaps- og skattelovgivningen mv.), og følge god regnskapsføringsskikk. Det
regnskapsmaterialet vi behandler på vegne av våre kunder inkluderer
personopplysninger, slik som opplysninger om lønns- og arbeidsforhold.
5.3 Oppdrag
som ikke er lovregulert
Vi utfører også oppdrag som ikke er regulert på denne måten
i revisorloven eller regnskapsførerloven. Det inkluderer
bekreftelser/attestasjoner overfor andre enn offentlige myndigheter, avtalte
kontrollhandlinger, granskinger og ulike rådgivningsoppdrag. I den grad det er
nødvendig å samle inn personopplysninger for å utføre disse oppdragene, skal vi
vurdere om kunden har et berettiget behov for revisors uttalelse. I motsatt
fall vil vi ikke påta oss oppdraget. På tilsvarende måte som for
revisjonsoppdrag (se ovenfor), vil det være snakk om personopplysninger som
fremgår av dokumentasjon som er nødvendig som grunnlag for våre uttalelser,
rapporter o.l.
5.4 Plikter etter
hvitvaskingsloven
Gjennom hvitvaskingsloven er vi pålagt å utføre
kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte
identiteten til den som handler på vegne av kunden (på revisjonsoppdrag er det
daglig leder) og reelle rettighetshavere som i siste hånd kontrollerer
selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert
kopi av legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.
Gjennom hvitvaskingsloven er vi også pålagt å rapportere
mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til
Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om
forholdet som har medført mistanke, inkludert om involverte personer. Slike
meldinger er unntatt innsyn for de involverte.
5.5 Kundekontakt
og markedsføring
I vår kontakt med eksisterende, tidligere og potensielle
kunder, registrer vi kontaktopplysninger om kontaktpersoner slik som navn,
e-postadresse, telefonnummer og stillingsbenevnelse. Vi har en berettiget
interesse i å holde kundekontakt og markedsføre våre tjenester
(personvernforordningen artikkel 6.1.f).
5.6 Bruk av
våre nettsider www.myrdahl-sveen.no
Vi bruker informasjonskapsler (cookies) som gjør at vårt
nettsted kan kjenne igjen din datamaskin eller mobiltelefon. Vi bruker cookies
for å huske din påloggingsinformasjon og samle inn besøksstatistikk på våre
nettsider.
Medarbeidere og jobbsøkere
Personopplysninger om ansatte som vi behandler, er blant
annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende og
utdannelse/stillingsnivå. Grunnlaget er oppfyllelse av arbeidsavtalen
(personvernforordningen artikkel 6.1.b) samt å oppfylle vår plikt til å
rapportere opplysninger om ansatte til offentlige myndigheter som NAV og
Skatteetaten (personvernforordningen artikkel 6.1.c, ev. artikkel 9.2.b, jf.
personopplysningsloven § 6). Personopplysninger blir oppbevart så lenge
medarbeideren er ansatt hos oss, og slettes ett og et halvt år etter at
medarbeideren har sluttet. Personopplysninger om ansatte som inngår i
oppbevaringspliktig regnskapsmateriale, oppbevares i samsvar med kravene i
bokføringsregelverket.
Dersom du søker jobb hos oss, trenger vi å behandle
opplysninger om deg for å vurdere din søknad. Grunnlaget er tiltak på søkerens
anmodning før en ev. arbeidsavtale blir inngått (personvernforordningen
artikkel 6.1.b). Personopplysninger om søkere som ikke blir ansatt, oppbevares
i inntil ett år.
6 Informasjonssikkerhet,
taushetsplikt og oppbevaring
Vi har rutiner for å sikre konfidensialitet og integritet i
våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og
krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder
sensitive personopplysninger overføres elektronisk til eller fra oss, skal
opplysningene alltid sikres mot innsyn ved hjelp av kryptering (dette gjelder
såkalte særlige kategorier personopplysninger, fødselsnummer og
personopplysninger om straffbare forhold og lovovertredelser).
Utvidet informasjon om informasjonssikkerhet er tilgjengelig
for våre kunder på forespørsel.
Vi er underlagt taushetsplikt etter revisorloven om alt vi
blir kjent med i vår virksomhet, både i forbindelse med lovregulerte oppdrag og
andre oppdrag. Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om
overføring av personopplysninger som følge av lov.
Etter revisorloven og forskrift til revisorloven skal vi
oppbevare dokumentasjonen vår på en ordnet og betryggende måte sikret mot
ødeleggelse, tap og endring, i minst ti år. Etter hvitvaskingsloven skal vi
oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller
undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år
etter at kundeforholdet eller transaksjonen er avsluttet. Vi vil slette
personopplysninger innen ett år etter utløpet av oppbevaringstiden. Vi kan ha
en berettiget interesse i å beholde dokumentasjonen som inneholder
personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare
oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
I den grad vi oppbevarer personopplysninger på oppdrag som
ikke er omfattet av revisorloven, gjør vi det fordi det er nødvendig for å
følge opp oppdraget forsvarlig. Personopplysningene slettes normalt fem år
etter at oppdraget er avsluttet.
7 Overføring
av personopplysninger
7.1 Oppbevaring
i EØS
Vi oppbevarer våre kundedata, inkludert alle
personopplysninger, i Norge eller andre EØS-land. Det samme gjelder
opplysninger om medarbeidere og jobbsøkere. Vi benytter kun databehandlere som
oppbevarer opplysningene i Norge eller andre EØS-land.
For kunder som er en del av en internasjonal virksomhet, kan
det være nødvendig å overføre personopplysninger til et annet land. Hvis
overføringen ikke skjer til et EØS-land eller et land godkjent av EU-kommisjonen,
skjer overføringen basert på standard personvernbestemmelser vedtatt av
EU-kommisjonen, bindende virksomhetsregler for et konsern eller gruppe av
foretak eller til noen som er bundet av Privacy Shield (USA).
7.2 Overføring
av personopplysninger som følge av lov
• Finanstilsynet
har tilgang til vår dokumentasjon i forbindelse med tilsyn
• Revisorer
eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til
vår dokumentasjon
• Rapportering
av mistenkelige transaksjoner til Økokrim, se punkt 5.4
• Politiet
kan i visse tilfeller gis tilgang til dokumentasjonen vår
• Dersom
det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre
informasjon til skattemyndighetene som kan inneholde personopplysninger
• Vi kan ha
plikt til å gi informasjon som kan inneholde personopplysninger til
gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling
eller konkurs
• Hvis vi
blir innkalt som vitne i en rettsak, har vi alminnelig vitneplikt
Revisorer, regnskapsførere og de myndigheter som er nevnt
her, er underlagt lovbestemt taushetsplikt.
7.3 Vår bruk
av databehandlere
Vi bruker tjenesteleverandører til å drifte våre
informasjonssystemer og lagre data for oss. Det inkluderer behandling av
personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har
databehandleravtaler med alle tjenesteleverandører som behandler
personopplysninger på vegne av oss.