Login


         

Søg

Banner karnov

Banner fakta top

Banner focus



Persondata

Revisor skal overholde ændrede regler om persondata fra 25.5.2018. Jeg giver et overskueligt overblik over, hvad du skal lave.

 

Hvad for noget lov?

25.5.2018 træder Persondataforordningen fra EU i kraft i Danmark. Denne er vedtaget.

Derudover verserer der p.t. et lovforslag om danske supplerende forhold, kaldet ”lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger”, som forventes vedtaget 3. maj 2018.

Denne artikel tager udgangspunkt i Persondataforordningen, og tager ikke højde for endnu ikke vedtaget lovgivning.

Der er en persondatalov i forvejen (fra 2010), som faktisk indeholder en del af de samme krav. Men meget få overholder de nuværende regler, og der har været meget lidt fokus på dem, ligesom myndighederne (Datatilsynet) heller ikke har udført en bred kontrol.

Persondatapolitik

Alle virksomheder som behandler persondata, skal have en politik for, hvordan de behandler disse persondata.

Behandling er fx indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse, formidling, samkøring, begrænsning eller sletning. Dvs. når revisor modtager og noterer/registrerer oplysning om en person, fx et ledelsesmedlem eller en indehaver, er det persondatabehandling. Og det kræver en persondatapolitik.

Persondatapolitikken skal fx omfatte sikringspolitik, fx slettepolitik, hvordan man sikrer den registreredes rettigheder (ret til indsigt, ret til sletning, ret til dataportabilitet osv.), hvordan man orienterer Datatilsynet ved brud på sikkerheden, begrundelse for fravalg af en databeskyttelsesrådgiver mv.

Fortegnelse

Alle revisorvirksomheder skal have en fortegnelse over de databehandlinger der sker i virksomheden. Denne kaldes en databehandlingsfortegnelse. Der findes mange leverandører af systemer som tilbyder dette, og den kan også laves i regneark eller tekstbehandling eller andet. Fortegnelse skal indeholde navn på og kontaktoplysninger for den dataansvarlige, formålene med behandlingen, beskrivelse af hvilke registrerede personer der er tale om, og hvilke personoplysninger der er tale om, hvem personoplysningerne bliver videregivet til, angivelse af overførselssted hvis data videregives udenfor EU, de forventede tidsfrister for sletning af de forskellige oplysninger og en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

Mange systemer tager udgangspunkt i virksomhedens processer, fx beskrives proces for personaleadministration, proces for potentielle ansatte, proces for kunder der får revision, udvidet gennemgang, assistance, anden regnskabsmæssig assistance, proces for bogholderi, proces for løn, proces for rådgivning, proces for whistleblowerordning (der er en ordning for henholdsvis Revisorloven og Hvidvaskloven), proces for økonomisk kriminalitet osv.

Og andre tager udgangspunkt i virksomhedens systemer, fx Outlook, Caseware, Magnus Revision, IT Revisor, Hjemmesiden, Serveren, Gmail, Dropbox, og de andre systemer som anvendes. Denne tilgang kan være noget lettere end procestilgangen, men man risikerer at overse processer, som man i dag ikke har noget system til.

Der er dog ingen formkrav til fortegnelsen. Du må selv vælge hvad den skal tage udgangspunkt i, og du må selv vælge om du bruger en leverandør til beskrivelserne, eller om du laver det selv, og i givet fald kan den laves på papir, regneark, tekstbehandling, eller hvad du finder relevant.

Databehandleraftale

Databehandleraftale med kunden

Hvis revisor behandler persondata på kundens vegne, skal der tegnes en databehandleraftale.

Databehandleraftalen skal være godkendt af begge parter, enten ved fysisk underskrift, digital signatur, bekræftelse via email eller anden udtrykkelig dokumentation for godkendelse fra begge sider. Det er kundens ansvar (som dataansvarlig), at sikre at der indgås en databehandlingsaftale.

Hvis revisor som databehandler skal anvende en underleverandør (underdatabehandler), skal der være en forudgående specifik eller generel skriftligt godkendelse fra kunden (som er den dataansvarlige). Hvis fx revisor fx er databehandler i relation til lønbehandling, og revisor sender disse data videre til Visma / Multidata, skal kunden således godkende Visma (som beskrives i databehandleraftalen). Man kan ikke uden videre skifte leverandør, for en ændring af underdatabehandlere, skal godkendes af kunden.

Vi skriver en separat artikel om revisor i rollen som databehandler. Det er nemlig ikke nemt at afgøre, om revisor er databehandler i relation til sine kunder eller ej.

Databehandleraftale med revisors leverandører

Hvis Revisor bruger databehandlere (fx en virksomhed der håndterer whistleblowerordningen for revisor), skal der tilsvarende være en databehandleraftale mellem revisor og databehandler. Det er revisors ansvar (som dataansvarlig), at sikre at der indgås en databehandlingsaftale.

Risikovurdering og konsekvensanalyse

Der skal være en vurdering af risikoen ifm. persondata. Der skal vurderes risiko for ”personers rettigheder og frihedsrettigheder”. Altså risikoen for at data lækkes / alvorligheden af udslippet. Fx er det værre at helbredsoplysninger kommer til offentlighedens kendskab, end et ledelsesmedlems adresse, som alligevel fremgår af CVR.

Hvis der sandsynligvis er høj risiko, skal revisor lave en analyse af konsekvenserne. Konsekvensanalysen skal mindst omfatte: a) beskrivelse af behandlingsaktiviteterne og formålene med behandlingen, b) en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene c) en vurdering af risiciene for de registreredes rettigheder og frihedsrettigheder og d) de foranstaltninger, der påtænkes for at imødegå risiciene.

Samtykke

Medmindre data indsamles med en lov mv. som grundlag, skal der indhentes samtykker, hvor den registrerede (fx en kunde eller medarbejder), giver lov til at data indsamles og behandles. Det gælder fx samtykke til nyhedsbreve fra kunder og potentielle kunder.

Det gælder også samtykke fra medarbejdere til at bruge medarbejderbillede på hjemmesiden eller virksomhedens LinkedInprofil, samtykke til at indsamle oplysninger om straffeforhold ved ansættelse, osv.

Oplysning

Der skal ske oplysning til kunder om, hvordan man opbevarer deres data, og de skal også oplyses om deres rettigheder.

Der skal også ske oplysning til medarbejdere om indsamling og behandling af data, fx sporing via GPS i virksomhedens biler, emailsystemer ved fratrædelse, medarbejderens rettigheder mv.

Tilsvarende gælder nyhedsbrevbrugere og andre som man indsamler persondata om.

Privatlivspolitik/cookiepolitik

Hvis din virksomhed har en hjemmeside der anvender cookies, eller som på anden måde behandler persondata via hjemmesiden (fx kunden skal indtaste sine personoplysninger), skal der være en privatlivspolitik/cookiepolitik/hjemmesidepolitik som redegør for behandlingen, den registreredes rettigheder osv. Denne kan typisk ligge på hjemmesiden, og tjene som oplysning til brugeren, som dermed modtager information om indsamling af data.

Afslutning

Der er ingen formkrav. Dog er der krav til indholdet af fx opfyldelse af oplysningspligten, samtykkeerklæringer, databehandlingsaftaler mv.

I Faglig Afdeling a/s har vi lavet et sæt værktøjer tilpasset en mindre revisionsvirksomhed. Det omfatter 1 stort dokument (20 sider) om persondata, der indeholder persondatapolitik, hvordan man sikrer data, procedure om databehandlingsfortegnelse, slettepolitik, forholdet til kunder, medarbejdere og leverandører, procedure for databehandleraftaler, brud på sikkerheden, håndtering af registreredes rettigheder, risikovurdering, procedurer for samtykker og oplysningspligt, hjemmesidepolitik og begrundelse for fravalg af databeskyttelsesrådgiver. Og dertil kommer dokumenter om den faktiske databehandlingsfortegnelse og standarder for databehandleraftaler, samt et notat om revisor i databehandlerrollen. Endelig er der en tjekliste som er med til at sikre, at alle dokumenter er/bliver lavet.

Vi har (trods det lidt omfattende materiale) forsøgt at fokusere på det simple og enkle, og til en lav pris på 500 kr. + moms i kvartalet. Værktøjerne bliver løbende opdateret. Du kan se mere om værktøjerne her. Tilmeld et abonnement online på hjemmesiden fagligafdeling.dk (under "Log ind" og "Min brugerprofil"), eller ring til mig på 70 10 70 12.

Anvendt litteratur

 

Artiklen er skrevet af:

Bjarne Aalbæk
Faglig Afdeling A/S
Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
Tlf 70 10 70 12
Cvr 32 66 11 73

 

Værktøjer til Persondata

Værktøjer til Hvidvask