Marita kavelashvili ugnr Xk1129g unsplash

Personvernerklæring

Behandling av personopplysninger i Baker Tilly Grimsrud & Co.

Denne personvernerklæringen forklarer hvordan Baker Tilly Grimsrud & Co. samler inn og bruker personopplysninger. Formålet er å gi deg generell informasjon om vår behandling av personopplysninger.

Her får du mer informasjon om hvilke personopplysninger vi vanligvis samler inn, hva vi bruker opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har hvis vi har personopplysninger om deg.

Henvendelser om vår behandling av personopplysninger kan rettes til:

Baker Tilly Grimsrud & Co. Sigurd Syrs gate 4 0273 Oslo, post@bakertilly.no 

Henvendelsen vil bli fulgt opp av vårt personvernombud. Du kan også rette henvendelsen din til din kontaktperson hos oss.

Datoen for den siste endringen i vår personvernerklæring er oktober 2018.

Oversikt over personvernerklæringen

  • Lovgivning og bransjestandarder
  • Når samler vi inn personopplysninger?
  • Behandlingsansvarlig og databehandler
  • Dine rettigheter
    • Tilgang
    • Sletting og korrigering
    • Klager
  • Personopplysninger som vi samler inn og hva vi bruker dem til
    • Oppdrag i henhold til revisorloven
    • Oppdrag i henhold til regnskapsførerloven
    • Oppdrag som ikke er lovregulert
    • Plikter i henhold til hvitvaskingsloven
    • Kundekontakt og markedsføring
    • Bruk av nettstedet vårt www.bakertilly.no
    • Ansatte og arbeidssøkere
  • Informasjonssikkerhet, konfidensialitet og lagring
  • Overføring av personopplysninger
    • Lagring i EØS
    • Overføring av personopplysninger som følge av lov
    • Vår bruk av databehandlere

Lovgivning og bransjestandarder

Baker Tilly Grimsrud & Co. har offentlig godkjenning fra Finanstilsynet i henhold til revisorloven og regnskapsførerloven. Finanstilsynet fører tilsyn med at vi driver vår virksomhet i samsvar med den lovgivningen vi er underlagt. Nedenfor kan du lese mer om hvilke krav lovgivningen stiller til vår innsamling, lagring og sikring av informasjon, i tillegg til kravene i personvernregelverket.

Det er utarbeidet en bransjestandard for behandling av personopplysninger i revisjonsbransjen. Det er også utarbeidet etiske retningslinjer for behandling av personopplysninger i regnskapsbransjen. Vi følger disse bransjestandardene i vår virksomhet.

Når samler vi inn personopplysninger?

Vi samler inn personopplysninger i forbindelse med

  • gjennomføring av våre oppdrag, herunder revisjonstjenester (revisjon av årsregnskap, forenklet revisorkontroll av regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte kontrollhandlinger), regnskapsføring og ulike rådgivningsoppdrag 
  • kundekontroll og rapportering av mistanker i henhold til hvitvaskingsloven
  • kundekontakt og markedsføring 
  • bruk av nettstedet vårt www.bakertilly.no 
  • sysselsetting og ansatte

Behandlingsansvarlig og databehandler

Vi er behandlingsansvarlig i henhold til personvernreglene når vi behandler personopplysninger i forbindelse med revisjonstjenester, utarbeidelse av årsregnskap og selvangivelse for egne revisjonsklienter og attestasjonstjenester. Vi er normalt behandlingsansvarlig for due diligence-oppdrag, granskningsoppdrag og internrevisjonsoppdrag. Som behandlingsansvarlig er vi ansvarlige for å overholde kravene i personvernregelverket som gjelder for vår behandling av dine personopplysninger, herunder å sørge for at dine rettigheter ivaretas.

I noen tilfeller er vi imidlertid databehandler for kunden vår. Det betyr at vi behandler personopplysningene dine på vegne av vår oppdragsgiver (databehandler). Dette gjelder regnskapsføreroppdrag og rådgivningsoppdrag mv. der det er vår oppdragsgiver (behandlingsansvarlig) som bestemmer hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (behandlingsansvarlig). Vi behandler dine personopplysninger i henhold til databehandleravtalen.

Dine rettigheter

Du kan utøve dine rettigheter ved å kontakte vårt personvernombud. Send en e-post til ad@bakertilly.no. Du skal få svar uten ugrunnet opphold, og senest innen 30 dager. Nedenfor gir vi informasjon om hvordan vi ivaretar de rettighetene som er mest relevante for vår virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider;

  • Tilgang

Alle som ber om det, har rett til å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Denne personvernerklæringen inneholder slik informasjon.

Hvis du ber oss om tilgang til informasjon som vi kan ha om deg, vil vi foreta rimelige undersøkelser for å finne ut om vi har slik informasjon. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne forespørsler (personvernforordningen artikkel 12.5).

Når du ber om innsyn, vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i så fall informere deg om hvilke personopplysninger som er behandlet. Vi er underlagt en lovbestemt taushetsplikt som innebærer at du ikke kan få innsyn i opplysninger vi behandler om deg som også gjelder for andre. Dette vil for eksempel være tilfelle for opplysninger som gjelder en konflikt mellom deg og arbeidsgiveren din. Da må du gå direkte til arbeidsgiveren og be om å få se opplysningene.

Det kan være nødvendig å vurdere personers kompetanse og integritet for å kunne utføre oppdragene våre. Vår taushetsplikt er til hinder for at vi gir innsyn i slike vurderinger. Revisors vurdering må også være uavhengig av muligheten for innsyn, jf. også personopplysningsloven § 16 første ledd bokstav e.

  • Sletting og korrigering

Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp oppdraget på en forsvarlig måte og som vi ikke har en lovpålagt plikt til å oppbevare. Vi kan også ha en berettiget interesse i å oppbevare opplysninger utover dette dersom det er nødvendig for å forsvare oss mot erstatningskrav eller beskyldninger (personvernforordningen artikkel 6.1.f).

Hvis vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du, innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning, kreve at personopplysningene rettes.

  • Klager

Ta først kontakt med vårt personvernombud hvis du mener at vi ikke overholder personvernbestemmelsene.

Du kan også klage på vår behandling av personopplysninger til Datatilsynet.

Personopplysninger som vi samler inn og hva vi bruker dem til

  • Oppdrag i henhold til revisorloven

Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi i henhold til revisorloven og standarder for god revisjonsskikk pålagt å innhente forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsattestasjoner). Denne oppdragsdokumentasjonen inneholder i hovedsak selskapsrelatert informasjon. Den vil imidlertid også inneholde enkelte personopplysninger, som f.eks:

  • navn og stillingstittel etc. på personer vi har innhentet opplysninger fra i forbindelse med oppdraget 
  • informasjon om lønns- og arbeidsvilkår for ansatte i selskapet vi reviderer
  • vurderinger av kompetansen og integriteten til personer som er ansvarlige for regnskapet eller andre forhold som vi må bekrefte

Den vil også kunne inneholde informasjon om enkeltpersoners strafferegister og lovbrudd

  • Oppdrag i henhold til regnskapsførerloven

Vi utfører også regnskapsføreroppdrag. Vi er da underlagt regnskapsførerloven. I henhold til regnskapsførerloven skal vi utføre oppdraget i samsvar med de lover og regler som kundens regnskap skal oppfylle (bokførings-, regnskaps- og skattelovgivning m.m.), og følge god regnskapsføringsskikk. Regnskapsmaterialet vi behandler på vegne av våre kunder inneholder personopplysninger, for eksempel opplysninger om lønns- og arbeidsvilkår.

  • Oppdrag som ikke er lovregulert

Vi utfører også oppdrag som ikke er regulert på denne måten i revisorloven eller regnskapsførerloven. Det omfatter bekreftelser/attester til andre enn offentlige myndigheter, avtalte kontrollhandlinger, granskninger og ulike rådgivningsoppdrag. I den grad det er nødvendig å innhente personopplysninger for å utføre disse oppdragene, skal vi vurdere om kunden har et berettiget behov for revisors uttalelse. I motsatt fall vil vi ikke påta oss oppdraget. På tilsvarende måte som for revisjonsoppdrag (se ovenfor) vil det være tale om personopplysninger som fremkommer i dokumentasjon som er nødvendig som grunnlag for våre uttalelser, rapporter mv.

  • Plikter i henhold til hvitvaskingsloven

Gjennom hvitvaskingsloven er vi pålagt å gjennomføre kundekontroll av alle våre kunder. I den forbindelse må vi bekrefte identiteten til den som opptrer på vegne av kunden (i revisjonsoppdrag er det daglig leder) og reelle rettighetshavere som i siste instans kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av identifikasjonsdokumenter som brukes for å bekrefte identiteten.

Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal inneholde alt vi kjenner til om forholdet som har gitt opphav til mistanken, også om de involverte personene. Slike meldinger er unntatt offentlighet for de involverte.

  • Kundekontakt og markedsføring

I vår kontakt med eksisterende, tidligere og potensielle kunder registrerer vi kontaktinformasjon om kontaktpersoner som navn, e-postadresse, telefonnummer og stillingstittel. Vi har en berettiget interesse i å opprettholde kundekontakt og markedsføre våre tjenester (personvernforordningen artikkel 6.1.f).

  • Bruk av nettstedet vårt www.bakertilly.no

Vi kan bruke informasjonskapsler som gjør det mulig for nettstedet vårt å gjenkjenne datamaskinen eller mobiltelefonen din. Vi kan bruke informasjonskapsler for å f.eks. huske innloggingsinformasjonen din og samle inn besøksstatistikk på nettsidene våre.

  • Ansatte og arbeidssøkere

Personopplysninger om ansatte som vi behandler omfatter personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende og utdanning/stillingsnivå. Grunnlaget er oppfyllelse av arbeidsavtalen (personvernforordningen artikkel 6.1.b) samt oppfyllelse av vår plikt til å rapportere opplysninger om ansatte til offentlige myndigheter som NAV og Skatteetaten (personvernforordningen artikkel 6.1.c, evt. artikkel 9.2.b, jf. personopplysningsloven § 6). Personopplysningene oppbevares så lenge den ansatte er ansatt hos oss, og slettes halvannet år etter at den ansatte har sluttet.

Personopplysninger om ansatte som inngår i oppbevaringspliktig regnskapsmateriale, oppbevares i henhold til kravene i bokføringsforskriften.

Dersom du søker jobb hos oss, har vi behov for å behandle opplysninger om deg for å vurdere søknaden din. Grunnlaget er tiltak på søkerens forespørsel før en eventuell arbeidsavtale inngås (personvernforordningen artikkel 6.1.b). Personopplysninger om søkere som ikke blir ansatt, oppbevares i inntil ett år.

Informasjonssikkerhet, konfidensialitet og lagring

Vi har rutiner for å sikre konfidensialiteten og integriteten til våre kunders data.

Sikkerhetsmekanismene omfatter rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved hjelp av kryptering (dette gjelder såkalte særlige kategorier av personopplysninger, personnummer og personopplysninger om straffbare forhold og lovovertredelser).

Utvidet informasjon om informasjonssikkerhet er tilgjengelig for våre kunder på forespørsel.

Vi er underlagt taushetsplikt etter revisorloven om alt vi får kjennskap til i vår virksomhet, både i forbindelse med lovpålagte oppdrag og andre oppdrag. Det gjelder visse unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av loven.

I henhold til revisorloven og forskrift til revisorloven skal vi oppbevare vår dokumentasjon på en ordnet og betryggende måte, sikret mot ødeleggelse, tap og endring, i minst ti år. I henhold til hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som brukes til kundekontroll eller undersøkelse av mistenkelige transaksjoner i henhold til hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonen er avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av oppbevaringsperioden. Vi kan ha en berettiget interesse i å oppbevare dokumentasjon som inneholder personopplysninger lenger for å kunne følge opp oppdraget på en forsvarlig måte eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).

I den grad vi lagrer personopplysninger om oppdrag som ikke omfattes av revisorloven, gjør vi det fordi det er nødvendig for å kunne følge opp oppdraget på en forsvarlig måte. Personopplysningene slettes normalt fem år etter at oppdraget er avsluttet.

Overføring av personopplysninger

  • Lagring i EØS

Vi lagrer våre kundedata, inkludert alle personopplysninger, i Norge eller andre EØS-land. Det samme gjelder opplysninger om ansatte og jobbsøkere. Vi bruker kun databehandlere som lagrer opplysningene i Norge eller andre EØS-land.

For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land som er godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernregler vedtatt av EU-kommisjonen, bindende forretningsregler for et konsern eller en gruppe av selskaper eller til noen som er bundet av Privacy Shield (U.S.).

  • Overføring av personopplysninger som følge av lov

    • Finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn;
    • Revisorer eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til dokumentasjonen vår;
    • Rapportering av mistenkelige transaksjoner til Økokrim, se punkt 5.4
    • Politiet kan i visse tilfeller få tilgang til dokumentasjonen vår;
    • Hvis det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger;
    • Vi kan være forpliktet til å utlevere informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
    • Hvis vi blir innkalt som vitne i en rettssak, har vi en generell plikt til å vitne
    • Revisorer, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.

       

  • Vår bruk av databehandlere

Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Dette omfatter behandling av personopplysninger som beskrevet i punkt 5 ovenfor. Vi har databehandleravtaler med alle tjenesteleverandører som behandler personopplysninger på våre vegne.