Upload
others
View
31
Download
0
Embed Size (px)
Citation preview
© Den norske Revisorforening
KURSDOKUMENTASJON
2D BRANSJENORM FOR REVISORS
BEHANDLING AV PERSONOPPLYSNINGER
Fagsjef rammebetingelser Espen Knudsen og rådgiver Erik Avlesen-Østli,
Revisorforeningen
KORT OVERSIKT OVER
PERSONVERNREGLENE
| Side 22D Bransjenorm for revisors behandling av personopplysninger
• Den nye personopplysningsloven trådte i kraft 20. juli 2018
• Personvernforordningen (GDPR) gjelder som lov i Norge fra samme tidspunkt – inkorporasjon (§ 1)
– GDPR åpner for nasjonale regler som spesifiserer, utfyller eller gjør unntak fra reglene i GDPR
– Personopplysningsloven gjør visse nasjonale tilpasninger til GDPR - §§ 2 til 31
– Bestemmelsene i GDPR må leses i sammenheng med reglene i loven og eventuell annen spesiallovgivning
• I bransjenormen omtales disse reglene samlet som «personvernreglene»
• Anvendelse av bransjenormen forutsetter kjennskap til de sentrale elementene i personvernreglene
Ny personopplysningslov og GDPR
| Side 32D Bransjenorm for revisors behandling av personopplysninger
• Alle som behandler personopplysninger, må opptre i samsvar med
personvernprinsippene:
– Lovlighet, rettferdighet og gjennomsiktighet
• Personopplysninger skal behandles på en lovlig, rettferdig og gjennomsiktig
måte med hensyn til den registrerte
– Formålsbegrensning
• Personopplysninger skal samles inn for spesifikke og berettigede formål og
ikke viderebehandles på en måte som er uforenlig med disse formålene
– Dataminimering
• Personopplysninger skal være adekvate, relevante og begrenset til det som
er nødvendig for formålene de behandles for
Personvernprinsippene 1/2
| Side 42D Bransjenorm for revisors behandling av personopplysninger
• Riktighet– Personopplysninger skal være korrekte og om nødvendig oppdaterte
• Lagringsbegrensning– Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i
lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for
• Integritet og fortrolighet– Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet for
personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av egnede tekniske eller organisatoriske tiltak
• Ansvarlighet– Den behandlingsansvarlige er ansvarlig for og skal kunne påvise at disse prinsippene
overholdes
Personvernprinsippene 2/2
| Side 52D Bransjenorm for revisors behandling av personopplysninger
• Få innholdsmessige endringer som har betydning for revisjonsforetak– Flere krav er gjort mer spesifikke/detaljerte kan ha mye å si i praksis
– Styrking av den registrertes rettigheter
– Nye krav til samtykke
– Krav til innebygd personvern og personvern som standardinnstilling
– Krav til vurdering av personvernkonsekvenser
– Strengere krav til avvikshåndtering
• Utvidede sanksjoner– Datatilsynet kan ilegge høye bøter – høyeste av 20 MEUR og 4 % av global omsetning
• Reglene oppfordrer til utvikling av bransjenormer– Økt trygghet mot sanksjoner mv. for dem som følger dem
Nyheter med GDPR og ny
personopplysningslov
| Side 62D Bransjenorm for revisors behandling av personopplysninger
• Personopplysning (og den registrerte)
• Behandling
• Behandlingsgrunnlag
• Behandlingsansvarlig
• Databehandler
Noen sentrale begreper
| Side 72D Bransjenorm for revisors behandling av personopplysninger
• Enhver opplysning om en identifisert eller identifiserbar fysisk
person (den registrerte)
– Fysisk person, opplysning og kobling mellom personen og
opplysningen
– Personvernreglene gjelder når revisor behandler
personopplysninger
– Når revisor behandler bedriftsrelaterte opplysninger, gjelder de
ikke
– Faktaopplysninger og vurderinger
• Mange eksempler nedenfor
«Personopplysning»
| Side 82D Bransjenorm for revisors behandling av personopplysninger
• Enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke (digitalt/elektronisk)– F.eks. innsamling, registrering, organisering, strukturering, lagring,
tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring
– I praksis «alt»
• Personvernreglene gjelder ikke for manuell behandling av personopplysninger som ikke inngår eller skal inngå i et register
• Som behandling regnes ikke situasjoner der revisor ser informasjon som inneholder personopplysninger (eksempelvis et vedtak), forutsatt at personopplysningene ikke registreres i oppdragsdokumentasjonen
«Behandling»
| Side 92D Bransjenorm for revisors behandling av personopplysninger
• Revisor skal attestere MVA-kompensasjon for en
virksomhet som leverer sosiale tjenester som
kommunen er pålagt å utføre ved lov. Revisor ser det
aktuelle vedtaket på skjerm og dokumenterer følgende i
sine arbeidspapirer: «Påsett at det foreligger vedtak som
gir aktuell person rett til sosial bolig for 2017 – referanse
627/2017». Gjelder personvernreglene for dette?
Spørsmål
| Side 102D Bransjenorm for revisors behandling av personopplysninger
• Nei. Navn på vedkommende person fremkommer av vedtaket. Revisor har imidlertid ikke notert
navn eller tatt kopi av vedtaket, men har notert referansen til vedtaket. Det foreligger derfor
opplysninger i revisors arbeidspapirer som sammen med annen informasjon (selve vedtaket) vil
være tilstrekkelig til å kunne identifisere personen.
• I utgangspunktet er dette en personopplysning, jf. GDPR artikkel 4 nr. 1, men av fortalepunkt 26
fremkommer følgende:
• «Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som
det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk
for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking. For å fastslå om midler med
rimelighet kan tenkes å bli tatt i bruk for å identifisere den fysiske personen, bør det tas hensyn til
alle objektive faktorer, f.eks. kostnadene for og tiden som er nødvendig for å foreta
identifikasjonen, idet det tas hensyn til teknologien som er tilgjengelig på behandlingstidspunktet,
samt den teknologiske utvikling».
• Det skal ikke være mulig for uvedkommende å få tilgang til vedtaket annet enn fra vedkommende
person selv.
Svar
| Side 112D Bransjenorm for revisors behandling av personopplysninger
• Krav til rettslig grunnlag for behandling av
personopplysninger
• Grunnleggende vilkår for når behandling av
personopplysninger kan finne sted
• Ellers forbudt å behandle personopplysninger
«Behandlingsgrunnlag»
| Side 122D Bransjenorm for revisors behandling av personopplysninger
• Den som bestemmer formålet med behandlingen av
personopplysninger og hvilke hjelpemidler som skal
benyttes – dvs. hvorfor og hvordan
– Det er revisjonsforetaket, representert ved øverste
administrative leder, som eventuelt er
behandlingsansvarlig
• Har ansvaret for at den registrerte får ivaretatt sine
rettigheter
• Kan instruere databehandleren - databehandleravtalen
«Behandlingsansvarlig»
| Side 132D Bransjenorm for revisors behandling av personopplysninger
• En som behandler personopplysninger på vegne av den
behandlingsansvarlige
• Må inngås databehandleravtale
• Databehandleren har også ansvar
– Etterleve databehandleravtalen
– Skal gi tilstrekkelige garantier for at det vil gjennomføres egnede
tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller
kravene i GDPR og som sikrer personvern
– Personopplysningssikkerhet: Risikovurdering og gjennomføring av tiltak
– Behandlingsprotokoll
«Databehandler»
| Side 142D Bransjenorm for revisors behandling av personopplysninger
BRANSJENORMEN –
INNLEDNING
| Side 152D Bransjenorm for revisors behandling av personopplysninger
• Revisorforeningen har utarbeidet et utkast til «Bransjenorm for
behandling av personopplysninger i revisjonsbransjen»
• Reglene i personvernforordningen (GDPR) er ikke fastsatt med
tanke på revisors oppdrag, men gjelder likevel (tilnærmet...) fullt ut
• GDPR oppfordrer til at bransjeorganisasjoner utarbeider
«atferdsnormer som skal bidra til riktig anvendelse av denne
forordning»
Bransjenorm for revisjonsbransjen
| Side 162D Bransjenorm for revisors behandling av personopplysninger
Hva er en bransjenorm?• En bransjenorm skal gi konkrete regler og retningslinjer for hvordan
virksomhetene i en spesifikk bransje skal innrette seg for å etterleve
GDPR
• Bransjenormen gjelder overholdelse av personvernreglene. Det er
ikke en revisjonsstandard
| Side 172D Bransjenorm for revisors behandling av personopplysninger
Behov for å sortere ut forholdet til
personvernreglene• Nye personvernregler
– Personvernforordningen (GDPR) og ny personopplysningslov
• Behov for bevissthet og et kollektivt løft i bransjen
• Få ensartet anvendelse i bransjen
– Behandlingsgrunnlag
– Behandlingsansvarlig eller databehandler
– Den registrertes rettigheter (innsyn og sletting)
• Potensielt høye bøtesatser
| Side 182D Bransjenorm for revisors behandling av personopplysninger
Fordeler med bransjenorm• Bransjenormen
– tar hensyn til de særlige forholdene i revisjonsbransjen
– gjør det lettere for revisorer å etterleve personvernreglene
– gir økt trygghet for hva som må gjøres
– kan brukes for å påvise at GDPR-forpliktelsene overholdes (GDPR art 24 nr. 3)
• En veileder vil ikke gi samme trygghet for at løsningene anerkjennes av myndighetene
• Det skal fastsettes en bransjenorm/atferdsnorm for regnskapsførerbransjen https://www.regnskapnorge.no/contentassets/77caa14682cd44a992f527df514d61d3/atferdsnorm-for-behandling-av-
personopplysninger-i-regnskapsbransjen.pdf
| Side 192D Bransjenorm for revisors behandling av personopplysninger
• Utkastet til bransjenorm ble oversendt Datatilsynet for
godkjenning i juli
– Det kan ta noe tid før bransjenormen blir godkjent
• Før Datatilsynet har gitt sin godkjenning, har utkastet til
bransjenorm status som veiledning
Godkjenning av Datatilsynet
| Side 202D Bransjenorm for revisors behandling av personopplysninger
Håndheving
• Datatilsynet har hovedansvaret for å håndheve
personvernreglene
– Bare Datatilsynet kan ilegge sanksjoner etter GDPR
• GDPR vil ikke være sentralt for Finanstilsynet
– FT har gitt uttrykk for at informasjonssikkerhet generelt vil
få økt oppmerksomhet i deres tilsyn
• Oppfølging DnRs kvalitetskontroll
| Side 212D Bransjenorm for revisors behandling av personopplysninger
Samordning med revisorloven og
ISQC 1• Det har betydning etter GDPR at revisjon og
attestasjonstjenester mv. i de fleste tilfeller er lovregulert
• Revisorlovens regler om taushetsplikten og oppbevaring fordrer informasjonssikkerhet som også dekker personopplysningssikkerhet
• Etter bransjenormen skal tiltak for å overholde GDPR ivaretas som en del av kvalitetsstyringen etter ISQC 1– Revisorloven § 5b-1 og ISQC 1 krever et kvalitetskontrollsystem
som gir rimelig sikkerhet for at lovmessige og regulatoriske krav etterleves – dette inkluderer personvernreglene
| Side 222D Bransjenorm for revisors behandling av personopplysninger
BRANSJENORMEN – HVA
DEKKER DEN?
| Side 232D Bransjenorm for revisors behandling av personopplysninger
• Bransjenormen omhandler for det første tjenester som
er omfattet av IAASB-rammeverket og ISQC 1
– Revisjon av årsregnskap
– Forenklet revisorkontroll av regnskaper
– Andre attestasjonsoppdrag
– Avtalte kontrollhandlinger
Virkeområde - revisors tjenester
| Side 242D Bransjenorm for revisors behandling av personopplysninger
• Bransjenormen omhandler også andre tjenester som
ofte leveres sammen med revisjon
– Årsoppgjør teknisk utarbeidelse av årsregnskap og
skattemelding
– Aksjonærregisteroppgave
Virkeområde - andre tjenester til
revisjonsklienter
| Side 252D Bransjenorm for revisors behandling av personopplysninger
• Bransjenormen omhandler til slutt enkelte andre
tjenester som leveres av revisjonsforetak
– Regnskapsføring
– Due diligence (selskapsgjennomgang)
– Granskningsoppdrag
– Internrevisjon
Tjenester til andre enn revisjonsklienter
| Side 262D Bransjenorm for revisors behandling av personopplysninger
• Dekker kun forhold som er særegne for
revisjonsbransjen
• Bransjenormen dekker derfor ikke administrasjon/drift av
foretaket
– Behandlingen av personopplysninger ved administrasjon/drift
skiller seg ikke fra andre virksomheter
• Kunde- og leverandøropplysninger
• Ansatte/personaladministrasjon
• Markedsføring, nyhetsbrev, nettside (cookies, webanalyse) osv.
Omhandler ikke
| Side 272D Bransjenorm for revisors behandling av personopplysninger
PERSONOPPLYSNINGER
SOM BEHANDLES I ET
REVISJONSFORETAK
| Side 282D Bransjenorm for revisors behandling av personopplysninger
• Det er et skille mellom personopplysninger og
bedriftsopplysninger
– Personvernreglene gjelder personopplysninger, ikke
opplysninger om juridiske personer (bedriftsopplysninger)
• Er skillet viktig for revisor?
– Har betydning for den registrertes rettigheter
Personopplysninger og
bedriftsopplysninger
| Side 292D Bransjenorm for revisors behandling av personopplysninger
Typiske personopplysninger i et
revisjonsforetak 1/10
| Side 302D Bransjenorm for revisors behandling av personopplysninger
• Oversikt over revisjonsklientens nøkkelpersoner
– Kontaktopplysninger som navn, telefonnummer, e-postadresse, stilling
• Oversikt over nærstående parter – fysiske personer
– Navn, relasjon til klienten, transaksjoner med den nærstående (ISA 550)
• Referat fra oppstartsmøte / planleggingsmøte med klienten
– Navn på deltakere
– Ikke personoppl.: deltakernes vurderinger/opplysninger om bransjen og forhold i
bedriften
Typiske personopplysninger i et
revisjonsforetak 2/10
| Side 312D Bransjenorm for revisors behandling av personopplysninger
• Opplysninger om (mistanke om) misligheter begått av konkrete personer (ISA 240.18). – Ikke personoppl.: vurderinger om risikoen for misligheter og interne kontrolltiltak (ISA 240.17)
– Ikke personoppl.: mistanke/kjennskap om misligheter som ikke gjelder bestemte personer (ISA 240.18)
• Dokumentering av revisors vurdering av integriteten til personer i ledelsen (ISA 300.A6)
• Referat fra møte med styret uten at administrasjonen er til stede (revl. § 2-3)
– Navn på deltakerne
– Vurderinger av integriteten og kompetansen til daglig leder
– Opplysninger om (mistanke om) misligheter fra daglig leder
– Ikke daglig leders vurdering av regnskapsposter etc.
• Kopi av revisjonsklientens styremøtereferater
– Navn på deltakerne
– Ev. opplysninger om personalsak e.l. konkret person
Typiske personopplysninger i et
revisjonsforetak 3/10
| Side 322D Bransjenorm for revisors behandling av personopplysninger
• Dokumentering av informasjon innhentet ved intervju av ansatte i forbindelse
med kartlegging av selskapets rutiner og intern kontroll (ISA 315)
– Navn og stilling hos revisjonsklienten
– Ikke personoppl.: den ansattes vurderinger / opplysninger om forhold i bedriften
• Revisor utformer test av kontroller (ISA 315.13)
– Registrering av navn, stilling på sentrale personer
– Dokumentering av revisors vurdering av den ansattes kompetanse
• Revisor intervjuer ansatt hos revisjonsklient i forbindelse med at revisjonsbevis innhentes utarbeider et revisjonsnotat – Den ansattes navn og stilling
– Ikke personoppl.: den ansattes vurderinger, f.eks. grunnlaget for nedskrivningsvurdering
Typiske personopplysninger i et
revisjonsforetak 4/10
| Side 332D Bransjenorm for revisors behandling av personopplysninger
• Revisor arkiverer e-post fra økonomisjef som dokumenterer
vedkommendes vurdering av ukurans i varelageret per 31.12.
– Navn, e-postadresse og telefonnummer til økonomisjefen og ev. andre
enkeltpersoner i e-posten
– Ikke personoppl.: økonomisjefens vurderinger av ukurans
• Kopi av lønnsslipp, ansettelsesavtale mv. i forbindelse med revisjon av lønn
og lønnsrelaterte opplysninger
– Navn, stilling, lønn, medlemskap i fagforening, ferie, pensjonsforhold etc.
• Kopi av daglig leders lønnsslipp i forbindelse med kontroll av lovpliktige
noteopplysninger
– Navn, stilling, lønn, bonus, pensjonsforhold, ferie etc.
Typiske personopplysninger i et
revisjonsforetak 5/10
| Side 342D Bransjenorm for revisors behandling av personopplysninger
• Kopi av dokumentasjon utarbeidet av ansatt hos revisjonsklient som revisor
benytter som revisjonsbevis, f.eks. en balanseavstemming
– Den ansattes navn og signatur på dokumentasjonen
– Ikke personoppl.: det innholdet som gjelder klienten, f.eks. selve
balanseavstemmingen
• Skriftlig redegjørelse fra ledelsen som revisor benytter som revisjonsbevis,
f.eks. redegjørelse om usikkerhet om fortsatt drift og nedskrivningsvurderinger
– Navn på personer i ledelsen mv. som fremgår av redegjørelsen
– Ikke personoppl.: selve redegjørelsen de forholdene som beskrives, og vurderinger
av usikkerheten
Typiske personopplysninger i et
revisjonsforetak 6/10
| Side 352D Bransjenorm for revisors behandling av personopplysninger
• Kopi av avtale som vedrører revisjonsklienten, signert av daglig leder og
styrets leder, f.eks. en husleieavtale
– Navn og signaturer til daglig leder og styrets leder og tilsvarende for dem som
har signert for motparten
– Ikke personoppl.: avtalevilkår mv.
• Revisor tar kopi av en faktura (inngående eller utgående)
– Navn, adresse, telefonnummer, e-postadresse mv. på fysisk person som
fremgår av fakturaen
– Hvis fakturaen gjelder transaksjon med fysisk person hva vedkommende har
solgt/kjøpt
Typiske personopplysninger i et
revisjonsforetak 7/10
| Side 362D Bransjenorm for revisors behandling av personopplysninger
• Revisor innhenter bankbrev (bankengasjementsbrev)
– Navn på personene som disponerer selskapets bankkonti
• Revisor mottar svar på kunde- eller leverandørforespørsel
– Avsenders navn, e-postadresse mv.
• Kopi av aktuarberegningen økonomisjef har innhentet i forbindelse med
regnskapsføring av selskapets pensjonsforpliktelser
– Aktuarens navn, e-post, telefonnummer mv.
Typiske personopplysninger i et
revisjonsforetak 8/10
| Side 372D Bransjenorm for revisors behandling av personopplysninger
• Bruk av en eksperts arbeid (engasjert av ledelsen eller revisor)
– Navn mv. på eksperten
– Revisors vurdering av ekspertens kompetanse, kapabilitet og objektivitet (ISA
500.8 / ISA 620.9)
• Revisor dokumenterer en identifisert mislighet
– Opplysninger om navn, stilling mv. på involverte personer
– Opplysninger om misligheten som kan knyttes til enkeltpersoner
Typiske personopplysninger i et
revisjonsforetak 9/10
| Side 382D Bransjenorm for revisors behandling av personopplysninger
• Revisor dokumenter et identifisert lovbrudd, f.eks. at styret ikke har
etterlevd handleplikten i aksjeloven § 3-5
– Navn på enkeltpersoner i styret mv.
– Opplysninger om lovbruddet som er knyttet til enkeltpersoner
• Revisor arkiverer kopi av bokettersynsrapport
– Navn på kontrolløren
– Opplysninger i rapporten som kan knyttes til enkeltpersoner
• Skriftlig uttalelse fra ledelsen i samsvar med ISA 580
– Navn og signatur til daglig leder og økonomisjef
Typiske personopplysninger i et
revisjonsforetak 10/10
| Side 392D Bransjenorm for revisors behandling av personopplysninger
• Referat fra avslutningsmøte
– Navn på personene som deltok i møtet
– Ikke personoppl.: personenes tilbakemeldinger på revisors funn i forbindelse
med revisjonen
• Kundekontroll og registrering av kundeopplysninger etter hvitvaskingsloven
– Daglig leder (den som opptrer på vegne av kunden): Navn mv., e-signatur /
legitimasjonsdokument
– Reelle rettighetshavere: Navn, fødselsnummer, adresse, opplysninger om ID-
kontroll
– Oppbevaring av dokumenter benyttet i forbindelse med kundekontrollen
FORHOLDET MELLOM
REVISORLOVGIVNINGEN OG
PERSONVERNREGLENE
| Side 402D Bransjenorm for revisors behandling av personopplysninger
• Revisorlovgivningen
– Regulerer revisors plikter ved revisjon av årsregnskap og
utførelse av de fleste attestasjonsoppdrag og avtalte
kontrollhandlinger
• Personvernreglene
– Regler for vern av fysiske personer i forbindelse med behandling
av personopplysninger
• ISQC 1 (og revl. § 5b-1) gjelder også for
revisjonsforetakenes overholdelse av personvernreglene
Overordnet om forholdet mellom
revisorlovgivningen og personvernreglene
| Side 412D Bransjenorm for revisors behandling av personopplysninger
• Revisors etterlevelse av personvernreglene får «god
hjelp» i revisorloven
• Bestemmelsene i revisorloven om taushetsplikt og
betryggende oppbevaring av oppdragsdokumentasjon
sikrer etterlevelse av kravene til
personopplysningssikkerhet i personvernreglene
Revisorloven og
personopplysningssikkerhet 1/2
| Side 422D Bransjenorm for revisors behandling av personopplysninger
• Sikring av oppdragsdokumentasjonen i samsvar med revl.
§ 5-5 og revf. § 5-1 skal ivareta tre formål
– Tilgjengelighet − sikre tilgjengelighet for autoriserte personer
ved behov
– Integritet − sikre nøyaktighet og fullstendighet, sikkerhet mot
uautorisert endring og sporbarhet av endringer
– Konfidensialitet − sikre at kun autoriserte brukere har tilgang
• Det samme gjelder for sikring av personopplysninger
Revisorloven og
personopplysningssikkerhet 2/2
| Side 432D Bransjenorm for revisors behandling av personopplysninger
• Revisor skal ikke innhente og oppbevare personopplysninger
i større utstrekning enn det som er nødvendig for at revisor
skal kunne avgi sin uttalelse
– Ved utarbeidelse og oppbevaring av oppdragsdokumentasjon
– Personopplysningene skal være adekvate, relevante og
begrenset til det som er nødvendig for formålet de behandles for
• Datatilsynet ser alvorligere på sikkerhetsbrudd dersom det
behandles mer personopplysninger enn nødvendig
Revisorloven og prinsippet om
dataminimering
| Side 442D Bransjenorm for revisors behandling av personopplysninger
• Revisorlovens bestemmelser om taushetsplikt og
betryggende oppbevaring av oppdragsdokumentasjon
har betydning for den registrertes rettigheter
• Kommer tilbake til dette
Revisorloven og den registrertes
rettigheter
| Side 452D Bransjenorm for revisors behandling av personopplysninger
NÅR REVISOR ER
BEHANDLINGSANSVARLIG
OG DATABEHANDLER
| Side 462D Bransjenorm for revisors behandling av personopplysninger
• Behandlingsansvarlig
– Revisor avgjør hvilke opplysninger som er nødvendig å
behandle for å levere tjenesten
– Oppdrag hvor revisor skal avgi en uttalelse eller rapport på
grunnlag av kontrollhandlinger/undersøkelser
– Rammene/mandatet er gitt av oppdragsgiver, men revisor avgjør
hvilke kontrollhandlinger som må utføres og hvilken informasjon
som må innhentes som grunnlag for sin uttalelse eller rapport
Kriterier for å skille mellom
behandlingsansvarlig og databehandler
| Side 472D Bransjenorm for revisors behandling av personopplysninger
• Databehandler
– Oppdragsgiver (behandlingsansvarlig) avgjør hvilke
opplysninger som skal behandles
– Oppdrag hvor revisor tilfører kompetanse eller kapasitet
for å forbedre, effektivisere, avlaste hos oppdragsgiveren
– Eventuell behandling av personopplysninger skjer på
vegne av oppdragsgiveren
Kriterier for å skille mellom
behandlingsansvarlig og databehandler
| Side 482D Bransjenorm for revisors behandling av personopplysninger
• Revisor er behandlingsansvarlig ved– Revisjon av årsregnskap – både pliktig og frivillig revisjon
– Forenklet revisorkontroll av regnskaper
– Andre attestasjonsoppdrag
– Avtalte kontrollhandlinger
– Årsoppgjørsoppdrag og aksjonærregisteroppgave for egne revisjonsklienter
• Ved utførelse av andre tjenester for egne revisjonsklienter er revisor behandlingsansvarlig hvis personopplysningene som innhentes, har betydning både for revisjonen og den andre tjenesten
Behandlingsansvarlig ved utførelse av
«revisors oppdrag»
| Side 492D Bransjenorm for revisors behandling av personopplysninger
• Andre oppdrag hvor revisor normalt er behandlingsansvarlig– Due diligence (selskapsgjennomgang)
– Granskningsoppdrag
– Internrevisjonsoppdrag
• Oppdrag hvor revisor er databehandler– Regnskapsføreroppdrag egen bransjenorm for regnskapsførerbransjen
– De fleste andre rådgivnings-/konsulentoppdrag som inkluderer behandling av personopplysninger
• Forbehold om behov for konkret vurdering
– Dette er ikke standardiserte oppdrag sjekk kriteriene
Behandlingsansvarlig og
databehandler – andre typer oppdrag
| Side 502D Bransjenorm for revisors behandling av personopplysninger
• Revisor foretar teknisk utarbeidelse av årsregnskap og
skattemelding for en ikke-revisjonsklient. Er revisor
behandlingsansvarlig eller databehandler?
Spørsmål
| Side 512D Bransjenorm for revisors behandling av personopplysninger
• Databehandler
• Eventuelle personopplysninger behandles på vegne av
oppdragsgiver
Svar
| Side 522D Bransjenorm for revisors behandling av personopplysninger
REVISORS GRUNNLAG FOR
BEHANDLING AV
PERSONOPPLYSNINGER
| Side 532D Bransjenorm for revisors behandling av personopplysninger
• Behandling av personopplysninger krever et lovlig behandlingsgrunnlag
• GDPR art 6 nr.1 bokstav c – nødvendig for å oppfylle en rettslig forpliktelse
– Må følge av en lov, forskrift, vedtak
• Revisorloven
– Det viktigste behandlingsgrunnlaget for de tjenestene revisorer utfører
• Alle revisjonsoppdrag, både for revisjonspliktige og frivillig revisjon
• Rådgivning og andre tjenester for revisjonsklienter
• Attestasjonsoppdrag og avtalte kontrollhandlinger hvor revisor bekrefter
opplysninger overfor offentlige myndigheter
• Revisorbekreftelser etter selskapslovgivningen
• Forenklet revisorkontroll etter aksjeloven §§ 7-7 til 7-9
Behandlingsgrunnlag 1/5
| Side 542D Bransjenorm for revisors behandling av personopplysninger
• Hvitvaskingsloven
– Behandlingsgrunnlag for opplysninger som behandles i forbindelse med
utførelse av kundekontroll og opplysninger som registreres om reelle
rettighetshavere
– GDPR artikkel 6 nr. 1 bokstav c
Behandlingsgrunnlag 2/5
| Side 552D Bransjenorm for revisors behandling av personopplysninger
• Interesseavveining etter GDPR art 6 nr.1 bokstav f– Oppdrag som ikke dekkes av revisorloven
– Hvis revisor vurderer at klienten mangler et berettiget behov for revisors uttalelse, skal revisor ikke påta seg oppdraget
• Berettiget behov f.eks. at klientens bankforbindelse ber om en uttalelse i forbindelse med et lån
• Databehandleravtale– Oppdrag hvor revisor er databehandler databehandleravtale
– Det er en forutsetning at oppdragsgiver (den behandlingsansvarlige) har lovlig behandlingsgrunnlag
• Samtykke fra den registrerte er oftest ikke aktuelt for revisors tjenester
• Avtale er sjelden aktuelt krever at avtalen inngås med «den registrerte»
Behandlingsgrunnlag 3/5
| Side 562D Bransjenorm for revisors behandling av personopplysninger
Type oppdrag, opplysning mv. Beh.grunnlag
Revisjon og forenklet revisorkontroll av regnskaper, samt andre attestasjonsoppdrag og avtalte kontrollhandlinger, som reguleres av revisorloven
Revisorloven
Attestasjonsoppdrag og avtalte kontrollhandlinger som ikke reguleres av revisorloven
Interesse-avveining
Utførelse av kundekontroll og opplysninger om reelle rettighetshavere, samt rapportering til Økokrim
Hvitvaskings-loven
Særlige kategorier personopplysninger (sensitive personopplysninger) på oppdrag som reguleres av revisorloven
Revisorloven
Opplysninger om straffbare forhold og lovovertredelser på oppdrag som reguleres av revisorloven
Revisorloven
Behandlingsgrunnlag 4/5
| Side 572D Bransjenorm for revisors behandling av personopplysninger
Type oppdrag, opplysning mv. Beh.grunnlag
Årsoppgjørsoppdrag for egne revisjonsklienter Revisorloven og forskrift til revisorloven
Aksjonærregisteroppgave for egne revisjonsklienter Interesseavveining
Regnskapsføreroppdrag Databehandleravtalen
Due diligence, granskningsoppdrag og internrevisjon Interesseavveining
Behandlingsgrunnlag 5/5
| Side 582D Bransjenorm for revisors behandling av personopplysninger
• Et revisjonsforetak inngår en avtale med et selskap om
gjennomføring av et granskningsoppdrag. Utgjør avtalen
et gyldig behandlingsgrunnlag?
Spørsmål
| Side 592D Bransjenorm for revisors behandling av personopplysninger
• Nei. Avtalen må inngås med den registrerte for at det
skal være et gyldig grunnlag for behandling av
personopplysninger om vedkommende.
Svar
| Side 602D Bransjenorm for revisors behandling av personopplysninger
SIKRING AV PERSONVERNET
– KRAV I BRANSJENORMEN
| Side 612D Bransjenorm for revisors behandling av personopplysninger
• GDPR krever at det skal gjennomføres tiltak (tekniske og organisatoriske) for å sikre og påvise at revisjonsforetakets behandling av personopplysninger utføres i samsvar med personvernreglene, jf. GDPR artikkel 24.
• Behandling av personopplysninger i samsvar med personvernreglene skal ivaretas som en del av kvalitetsstyringen etter revisorloven § 5b-1 og ISQC 1– Kravene i bransjenormen er lagt inn under overskriftene i ISQC1
• ISQC 1.11: Etablere og vedlikeholde et kvalitetskontrollsystem som gir rimelig sikkerhet for at revisjonsforetaket og personalet etterlever relevante lovmessige og regulatoriske krav
• Inkludert personvernreglene
Del av kvalitetsstyringen etter ISQC 1
| Side 622D Bransjenorm for revisors behandling av personopplysninger
• Kravene i bransjenormen er samlet i et eget kapittel
• Bransjenormen skal bidra til riktig anvendelse av GDPR
gjennom å konkretisere hva revisor må gjøre
– Bransjenormen inneholder ikke krav utover
personvernreglene
– Ett unntak: Krav om at revisjonsforetaket skal ha en
personvernansvarlig
Konkretisering av personvernreglene –
ikke tilleggskrav
| Side 632D Bransjenorm for revisors behandling av personopplysninger
• Daglig leder eller innehaver skal etablere retningslinjer og rutiner for å sikre at personopplysninger behandles i samsvar med bransjenormen– Styret har det overordnede ansvaret for at det skjer
• Revisjonsforetaket skal ha en personvernansvarlig– Den personvernansvarlige skal ha gjennomført opplæring innen
personvernreglene og oppdatere kompetansen ved behov
– Daglig leder eller innehaver i revisjonsforetaket er personvernansvarlig hvis ikke noen andre er utpekt
– Dersom revisjonsforetaket frivillig har utpekt et personvernombud etter GDPR, gjelder ikke kravet om å utpeke en personvernansvarlig
Lederansvar (ISQC 1.18–19)
| Side 642D Bransjenorm for revisors behandling av personopplysninger
• Plikter et revisjonsforetak å utpeke et
personvernombud?
Spørsmål
| Side 652D Bransjenorm for revisors behandling av personopplysninger
• Nei. Et revisjonsforetak pålegges ikke en plikt etter
GDPR til å utpeke et personvernombud, men
bransjenormen krever at revisjonsforetaket skal ha en
personvernansvarlig.
Svar
| Side 662D Bransjenorm for revisors behandling av personopplysninger
• Før revisors oppdrag aksepteres, må det foreligge et gyldig behandlingsgrunnlag
– Er revisors oppdrag regulert av revisorloven, er det denne loven som utgjør behandlingsgrunnlaget, og det er ikke behov for nærmere vurdering av behandlingsgrunnlaget
– Tilsvarende for kundekontroll etter hvitvaskingsloven
– En interesseavveining er behandlingsgrunnlag når revisors oppdrag ikke er regulert av revisorloven
• En vurderingssak – som oftest enkel
• Kan være behov for å dokumentere vurderingen
Aksept og fortsettelse av klientforhold (ISQC 1 1.26–28)
| Side 672D Bransjenorm for revisors behandling av personopplysninger
• Revisor skal ha en forståelig personvernerklæring som
beskriver revisors behandling av personopplysninger i
forbindelse med revisors oppdrag
• Kan også omfatte øvrige deler av virksomheten. Ev. ha
to separate
Personvernerklæring
| Side 682D Bransjenorm for revisors behandling av personopplysninger
• Personvernerklæringen skal beskrive de typer personopplysninger som vil
eller kan bli innhentet i forbindelse med revisors oppdrag og formålet med
innhentingen
• Det rettslige grunnlaget for behandlingen
• Hvordan opplysningene samles inn og beskyttes
• Hvilke rettigheter de registrerte har
• Opplysninger om foretaket og hvor henvendelser om personvern kan rettes
– kontaktinformasjon til personvernansvarlig i revisjonsforetaket
• Personvernerklæringen skal gjøres kjent for klienten
Innholdet i en personvernerklæring
| Side 692D Bransjenorm for revisors behandling av personopplysninger
• Se eksempel på personvernerklæring for et
revisjonsforetak
• Eksempelet dekker både tjenestene og
drift/administrasjon av foretaket
Eksempel på personvernerklæring
| Side 702D Bransjenorm for revisors behandling av personopplysninger
• Oppdragsansvarlige revisorer skal være kjent med– Sin plikt til å sørge for at personopplysninger behandles i
samsvar med bransjenormen
– Revisjonsforetakets retningslinjer og rutiner for behandling av personopplysninger
• Medarbeidere på oppdrag skal være kjent med – Kravene i denne bransjenormen
– Revisjonsforetakets retningslinjer og rutiner for behandling av personopplysninger
• Daglig leder eller personvernansvarlig har ansvaret for å sørge for dette
Menneskelige ressurser (ISQC 1.29–31)
| Side 712D Bransjenorm for revisors behandling av personopplysninger
• Det skal ikke innhentes og oppbevares personopplysninger i større utstrekning enn det som er nødvendig for å utføre revisors oppdrag (se ovenfor om dataminimering).
• Revisjonsforetaket skal kartlegge systemene som benyttes for å behandle personopplysninger i forbindelse med utførelsen av revisors oppdrag (ISQC 1.46 og GDPR artikkel 30). Dette vil typisk være det elektroniske revisjonsverktøyet revisjonsforetaket benytter, mellomlagring på lokal eller ekstern server og mellomlagring på e-postserver.
• Personopplysninger skal behandles i samsvar med revisjonsforetakets retningslinjer og rutiner for å sikre konfidensialitet, trygg oppbevaring, integritet, tilgjengelighet og gjenfinnbarhet av oppdragsdokumentasjon. (ISQC 1.46).
Gjennomføring av oppdrag (ISQC 1.32–47)
| Side 722D Bransjenorm for revisors behandling av personopplysninger
• Egnede tekniske og organisatoriske tiltak for å oppnå informasjonssikkerhet som både ivaretar taushetsplikten etter revisorloven og personopplysningssikkerhet etter personvernreglene
• Eksempler på slike tiltak kan være
– Tiltak som bidrar til at sending og mottak av taushetsbelagt informasjon skjer på en forsvarlig måte
• Kryptering og lignende tiltak skal anvendes når det må anses som alminnelig praksis i bransjen
– Ekstern tilkobling til arbeidsplassen skjer gjennom kryptert VPN-tunnel eller lignende sikkerhetstiltak
– Mobilt utstyr med jobb-epost har automatisk tastelås etter kort tid
– Det skal brukes tilgangskontroller for å sikre at tilgang til personopplysninger og annen taushetsbelagt informasjon begrenses til det som er nødvendig for forsvarlig og effektiv gjennomføring av revisors oppdrag
– Rutiner som sikrer at mellomlagrede personopplysninger blir slettet fra mellomlageret innen rimelig tid
• Personopplysningene skal flyttes til revisjonsverktøyet når det er nødvendig å oppbevare dem
Informasjons- og
personopplysningssikkerhet
| Side 732D Bransjenorm for revisors behandling av personopplysninger
• Etter utløpet av oppbevaringstiden i revisorloven må
revisor ha et annet behandlingsgrunnlag for fortsatt å
kunne oppbevare oppdragsdokumentasjon som
inneholder personopplysninger
• Tilsvarende ved utløpet av oppbevaringstiden i
hvitvaskingsloven
Oppbevaring
| Side 742D Bransjenorm for revisors behandling av personopplysninger
• Hvis noen ber om innsyn i egne personopplysninger,
skal revisor gjøre rimelige undersøkelser for å finne ut
om revisjonsforetaket har personopplysninger om den
registrerte, og i tilfellet informere om
personopplysningene som er behandlet
– Taushetsplikten kan begrense adgangen til å gi innsyn –
kommer tilbake til dette
Innsyn
| Side 752D Bransjenorm for revisors behandling av personopplysninger
• Risikovurdering– Revisjonsforetaket skal vurdere risikoen for uautorisert tilgang til
personopplysninger, på samme måte som for annen informasjon som revisor har taushetsplikt om
• Hvis revisjonsforetaket benytter en databehandler til å behandle oppdragsdokumentasjon, skal det inngås en databehandleravtale– Gjennom avtalen skal databehandleren gi tilstrekkelige garantier for at
de vil gjennomføre egnede tiltak som sikrer at personopplysnings- og informasjonssikkerhet ivaretas i samsvar med revisors taushetsplikt og kravene i personvernreglene og bransjenormen
• Personvernansvarlig skal se til at denne bransjenormen følges opp i revisjonsforetaket
Overvåking (ISQC 1.48–56)
| Side 762D Bransjenorm for revisors behandling av personopplysninger
• Revisjonsforetaket har etablert en sikker portal for deling
av informasjon med sine revisjonsklienter. Ved gammel
vane mottar revisor informasjon, herunder
personopplysninger, fra en revisjonsklient på vanlig
(usikret) e-post. Hva bør revisor gjøre i en slik situasjon?
Spørsmål
| Side 772D Bransjenorm for revisors behandling av personopplysninger
• Lagre informasjonen på et sikkert sted, helst i
revisjonsverktøyet og slette e-posten så snart som
mulig.
– Revisjonsforetaket bør ha rutiner for dette.
Svar
| Side 782D Bransjenorm for revisors behandling av personopplysninger
• Revisor har bistått en privatperson med utarbeidelse av
skattemelding. Kan revisor oversende utkast til
skattemelding til vedkommende per e-post?
Spørsmål
| Side 792D Bransjenorm for revisors behandling av personopplysninger
• Ja, men ikke ukryptert
– Fødselsnummer skal ikke være tilgjengelig for andre enn
mottakeren
• Sendes fødselsnummer ukryptert
– Ikke tilfredsstillende informasjonssikkerhet
• Se mer informasjon her:
https://www.datatilsynet.no/rettigheter-og-
plikter/personopplysninger/fodselsnummer/
Svar
| Side 802D Bransjenorm for revisors behandling av personopplysninger
IVARETAKELSE AV DEN
REGISTRERTES RETTIGHETER
| Side 812D Bransjenorm for revisors behandling av personopplysninger
• Informasjonsrett
– Ikke krav når opplysningene ikke innhentes direkte fra den
registrerte
• Upraktisk og det vil ikke stå i forhold til behovet for
personvern, om revisor skulle informere den enkelte
registrerte direkte, jf. GDPR artikkel 14 nr. 5 bokstav b og c.
– Personvernerklæringen (omtalt ovenfor)
Informasjonsrett
| Side 822D Bransjenorm for revisors behandling av personopplysninger
• Revisors taushetsplikt går foran innsynsrett for den registrerte etter GDPR. Eksempelvis ikke innsyn i:– Sak om oppsigelse av ansatte
– Ledelsens undersøkelse av mulig mislighet begått av ansatt
• Hvis opplysningene bare gjelder vedkommende person, er imidlertid ikke taushetsplikten til hinder for å gi innsyn – Jf. revl. § 6-1 om samtykke fra «den opplysningene gjelder»
– Ofte gjelder opplysningene ikke utelukkende vedkommende person
• Opplysninger om ansatte mv. vil etter forholdene også «gjelde» revisjonsklienten– Da er samtykke fra klienten ved styret nødvendig for å gi innsyn
– Vurderinger mv. som ikke er kjent for eller ment å bli delt med den ansatte
– Revisor må nekte innsyn og henvise vedkommende til klienten
• Innsynsanmodninger kan avvises dersom de er åpenbart grunnløse eller overdrevne – revisjonsforetaket har bevisbyrden
Innsynsrett
| Side 832D Bransjenorm for revisors behandling av personopplysninger
• I forbindelse med test av kontroller har revisor foretatt en
vurdering av regnskapssjefens kompetanse og integritet.
Regnskapssjefen henvender seg til personvernansvarlig
i revisjonsselskapet og ber om innsyn. Skal
regnskapssjefen få innsyn i revisors vurdering?
Spørsmål
| Side 842D Bransjenorm for revisors behandling av personopplysninger
• Nei. Revisors taushetsplikt går foran, jf. også
personopplysningsloven § 16 annet ledd bokstav e.
– «Utelukkende finnes i tekst som er utarbeidet for intern
saksforberedelse, og som heller ikke er utlevert til andre,
så langt det er nødvendig å nekte innsyn for å sikre
forsvarlige interne avgjørelsesprosesser»
Svar
| Side 852D Bransjenorm for revisors behandling av personopplysninger
• Den registrerte har rett til å få slettet personopplysninger som ikke lenger er nødvendige for formålet som de ble samlet inn eller behandlet for. – Oppbevaringskrav i revisorloven (10 år) og hvitvaskingsloven (5
+ 1 år)• Ulike oppbevaringskrav kan skape praktiske utfordringer
– Må ha annet behandlingsgrunnlag for fortsatt oppbevaring etter utgangen av oppbevaringsperioden
• Revisjonsforetaket skal uansett slette unødvendige personopplysninger av eget tiltak etter bestemmelsene om dataminimering
Rett til sletting
| Side 862D Bransjenorm for revisors behandling av personopplysninger
KARTLEGGING AV
BEHANDLINGSAKTIVITETER
| Side 872D Bransjenorm for revisors behandling av personopplysninger
• Alle forventes å ha god oversikt over
– Hvilke personopplysninger som behandles i virksomheten
– Formålet med behandlingen
– På hvilken måte de behandles hvilke systemer som benyttes mv.
– Databehandlere
– Overføring til tredjeland
• Det blir vurdert strengt hvis personopplysninger blir behandlet i strid med reglene, og du ikke har hatt oversikt over dette
Viktig å ha god oversikt
| Side 882D Bransjenorm for revisors behandling av personopplysninger
• Behandlingsansvarlig skal føre protokoll over behandlingsaktiviteter
(GDPR art 30)
– De forholdene som er nevnt foran
– Tiltak for å sikre personopplysninger (GDPR art 24 og 32)
• Kravet gjelder også databehandler
• Dette er det første Datatilsynet spør om ved tilsyn
• Se eksempel på behandlingsprotokoll
– Mange kolonner, men skal dekke alle krav
Behandlingsprotokoll
| Side 892D Bransjenorm for revisors behandling av personopplysninger