Behandling av personopplysninger i oppdrag

Revisjonstjenester

Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi pålagt gjennom revisorloven og de internasjonale revisjonsstandardene (ISA-ene) å innhente forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis).

Denne dokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger, men den kan også inneholde personopplysninger. Den vil for eksempel kunne inneholde: 

  • navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget 
  • opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
  • vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte

Vi kan også behandle særlige kategorier av personopplysninger, herunder opplysninger om fagforeningsmedlemskap og helseopplysninger, samt opplysninger om enkeltpersoners straffbare forhold og lovovertredelser. Opplysningene innhentes i hovedsak fra våre kunder, men vi kan også innhente informasjon fra eksterne kilder som for eksempel Skatteetaten og Altinn. 

Som hovedregel er BDO behandlingsansvarlig når vi behandler personopplysninger i forbindelse med utførelse av revisjon eller forenklet revisorkontroll av regnskaper, andre attestasjonsoppdrag og avtalte kontrollhandlinger, samt ved utarbeidelse av årsregnskap og skattemelding for egne revisjonsklienter. Det rettslige grunnlaget for behandlingen er:

  • GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og revisorloven
  • GDPR artikkel 9 nr. 2 bokstav g (viktig allmenn interesse) og revisorloven

BDO er underlagt oppbevaringsplikter i revisorloven, i tillegg til at BDO har et behov for å oppbevare dokumentasjonen for å kunne imøtegå eventuelle erstatningskrav eller andre anklager. BDO vil derfor som hovedregel oppbevare dokumentasjon fra revisjonsoppdrag i ti år. BDO vil som hovedregel slette dokumentasjon innen ett år etter at den fastsatte oppbevaringsperioden er utløpt. 

 

Regnskaps- og lønnstjenester

Når BDO sørger for hele eller deler av regnskapsføringen eller kjører lønn for våre kunder, kan BDO behandle personopplysninger om kundens ansatte eller andre som fremgår av kundens regnskap. Vi kan for eksempel behandle personopplysninger som navn, fødselsnummer og lønns- og trekkopplysninger. 

Opplysningene innhentes hovedsakelig fra våre kunder, men vi kan også innhente informasjon fra eksterne kilder som for eksempel skattekontorer og Altinn. 

BDO er som hovedregel databehandler ved utførelse av regnskaps- eller lønnstjenester. Vi vil derfor inngå en databehandleravtale med kunden som setter rammene for BDOs behandling av personopplysninger, herunder hvilke sikkerhetstiltak og slettefrister som skal gjelde. BDO vil imidlertid oppbevare dokumentasjon som vi er pliktig til å oppbevare for å dokumentere vårt regnskapsføreroppdrag etter at oppdraget er utført. Denne dokumentasjonen oppbevares som hovedregel i ti år. BDO vil som hovedregel slette dokumentasjon innen ett år etter at den fastsatte oppbevaringsperioden er utløpt. 

 

Advokattjenester

BDO Advokater yter juridisk rådgivning både for virksomheter og for privatklienter, herunder bl.a. innenfor skatterett, merverdiavgift, selskapsrett, avtalerett, arbeidsrett, eiendom, samt arv- og familierett. I tillegg bistår BDO Advokater med granskningsoppdrag.

I forbindelse med slike oppdrag, vil vi som regel behandle personopplysninger om de privatpersoner kundeforholdet gjelder, eller for eksempel ansatte, styremedlemmer og aksjonærer i den virksomheten vi har kundeforholdet med, eller slike personer i eventuelt en motparts virksomhet, samt andre personer som berøres av saken. 

Personopplysningene vi mottar i sakens anledning kan blant annet være navn, fødselsdato, personnummer, kontaktopplysninger, økonomiske opplysninger, helseopplysninger, samt opplysninger om arbeidsforhold, familieforhold, fagforeningsmedlemskap og straffbare forhold. Slike opplysninger kan fremkomme i dokumenter og korrespondanse (som brev, e-poster, prosesskriv, notater, avtaler og referater) som vi utarbeider eller mottar i forbindelse med oppdraget.

Personopplysningene som vi behandler ved utførelsen av våre oppdrag mottar vi fra våre kunder, eller fra offentlige tilgjengelig registre/databaser. 

Som hovedregel er BDO behandlingsansvarlig når vi utfører advokattjenester. De rettslige grunnlagene vi benytter for behandlingen er:

  • GDPR artikkel 6 nr. 1 bokstav b (avtale med privatklienter) eller bokstav f (vår berettigede interesse i å utføre oppdraget for kunden)
  • GDPR artikkel 9 nr. 2 bokstav a (samtykke fra privatklienter) eller bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav)

Dokumentasjon fra advokatoppdrag vil som hovedregel oppbevares i ti år. BDO vil som hovedregel slette dokumentasjon innen ett år etter at den fastsatte oppbevaringsperioden er utløpt. 

 

Rådgivningstjenester og andre tjenester

BDO leverer flere rådgivningstjenester og andre tjenester til kunder, for eksempel knyttet til internrevisjon, transaksjonsrådgivning, virksomhetsstyring, lederutvikling, varsling, utleie, systemimplementering, webutvikling, bakgrunnsundersøkelser og granskning.  

Ved utførelse av slike oppdrag kan BDO behandle personopplysninger om for eksempel ansatte hos våre kunder. Personopplysningene vi behandler kan typisk være navn, kontaktinformasjon, opplysninger knyttet til den ansattes arbeidsforhold og intervjureferater. I enkelte oppdrag kan vi også få tilgang til informasjon om økonomiske forhold og helseopplysninger. BDO kan få tilsendt personopplysninger av våre kunder som vi ikke nødvendigvis trenger for å utføre oppdraget vårt. I slike tilfeller vil vi tilstrebe å slette personopplysningene så fort som mulig. 

Hvorvidt BDO er behandlingsansvarlig eller databehandler når vi utfører slike tjenester, avhenger av oppdraget vi skal utføre. Når BDO er behandlingsansvarlig bruker vi som hovedregel følgende rettslige grunnlag: 

  • GDPR artikkel 6 nr. 1. bokstav f (vår berettigede interesse i å utføre oppdraget for kunden) 
  • GDPR artikkel 9 nr. 2 bokstav a (samtykke) eller bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav)

I tilfeller hvor BDO opptrer som databehandler, vil behandlingen reguleres av databehandleravtaler med våre kunder. Databehandleravtalen setter rammene for BDOs behandling av personopplysninger, herunder hvilke sikkerhetstiltak og slettefrister som skal gjelde. I databehandleroppdrag kan BDO oppbevare personopplysninger også etter at oppdraget med kunden er avsluttet dersom det er nødvendig for at vi skal kunne imøtegå eventuelle erstatningskrav eller andre anklager i ettertid.

 

Bruk av data til andre interne formål

I tillegg til å behandle kundedata for å utføre tjenestene som beskrevet ovenfor, kan BDO behandle kundedataene for andre interne formål, med mindre kunden har reservert seg mot slik bruk, for eksempel statistikk eller kunnskapsforvaltning. Dersom kundedataene inneholder personopplysninger, vil vi alltid vurdere lovligheten av å viderebehandle personopplysningene for slike andre formål.