PERSONVERNERKLÆRING

Behandling
av personopplysninger i

AS Revision

Denne
personvernerklæringen forteller hvordan AS Revision samler inn og bruker
personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling
av personopplysninger.

Her får du nærmere informasjon
om hvilke personopplysninger vi typisk samler inn, hva vi bruker opplysningene
til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter
du har dersom vi har personopplysninger om deg.

Henvendelse om vår
behandling av personopplysninger kan rettes til:

AS Revision

Rakkestadveien
1, 1814 Askim

post@revision.no



Henvendelsen vil
bli fulgt opp av vår personvernansvarlig. Du kan også rette din henvendelse til
din kontaktperson hos oss.

Dato for siste
endring i vår personvernerklæring er 29. januar 2019.



Oversikt
over personvernerklæringen

1 Lovgivning og bransjenormer 2

2 Når
samler vi inn personopplysninger?. 2

3 Behandlingsansvarlig og databehandler 2

4 Dine rettigheter 3

4.1 Innsyn. 3

4.2 Sletting
og retting. 3

4.3 Klage. 3

5 Personopplysninger som vi samler inn og hva vi bruker
dem til 3

5.1 Oppdrag
etter revisorloven. 3

5.2 Oppdrag
som ikke er lovregulert 4

5.3 Plikter
etter hvitvaskingsloven. 4

5.4 Kundekontakt
og markedsføring. 4

5.5 Bruk
av våre nettsider [www.revision.no] 4

5.6 Medarbeidere
og jobbsøkere. 5

6 Informasjonssikkerhet, taushetsplikt og oppbevaring. 5

7 Overføring av personopplysninger 6

7.1 Oppbevaring
i EØS. 6

7.2 Overføring
av personopplysninger som følge av lov. 6

7.3 Vår
bruk av databehandlere. 6



1
Lovgivning og bransjenormer

AS Revision har offentlig godkjenning
fra Finanstilsynet etter revisorloven. Finanstilsynet fører tilsyn med at vi
driver virksomheten vår i samsvar med lovgivningen vi er underlagt. Nedenfor
kan du lese mer om de kravene lovgivningen stiller til vår innsamling, oppbevaring
og sikring av opplysninger, i tillegg til kraven i personvernreglene.

Det er utarbeidet en bransjenorm for behandling av
personopplysninger i revisjonsbransjen. Vi
følger denne bransjenormen i vår virksomhet.

2
Når samler vi inn
personopplysninger?

Vi samler inn
personopplysninger i forbindelse med

·
utførelse av våre oppdrag, inkludert
revisjonstjenester (revisjon av årsregnskap, forenklet revisorkontroll av
regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte
kontrollhandlinger) og ulike rådgivningsoppdrag

·
kundekontroll og rapportering av mistanke etter
hvitvaskingsloven

·
kundekontakt og markedsføring

·
bruk av våre nettsider www.revision.no

·
ansettelser og ansatte

3
Behandlingsansvarlig og databehandler

Vi er behandlingsansvarlig
etter personvernreglene når vi behandler personopplysninger i forbindelse med revisjonstjenester,
utarbeidelse av årsregnskap og skattemelding for egne revisjonsklienter og
attestasjonstjenester. Vi er normalt behandlingsansvarlig på due
diligence-oppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som
behandlingsansvarlig er vi ansvarlig for å etterleve kravene i
personvernreglene som gjelder ved vår behandling av dine personopplysninger,
herunder at du får ivaretatt dine rettigheter.

I enkelte tilfeller
er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine
personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette
gjelder for rådgivningsoppdrag mv. hvor det er vår oppdragsgiver
(behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse
tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den
behandlingsansvarlige.) Vi behandler dine personopplysninger i samsvar med
databehandleravtalen.



4 Dine rettigheter

Du kan utøve dine
rettigheter ved å kontakte vår personvernansvarlig. Send en e-post til post@revision.no.
Du skal få svar uten ugrunnet opphold, og senest innen 30 dager.

Nedenfor informerer
vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår
virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider.

4.1 Innsyn

Enhver som ber om
det har krav på å få vite hva slags behandling av personopplysninger vi
foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er
gitt i denne personvernerklæringen.

Hvis du ber oss om
innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser
for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart
grunnløse eller overdrevne anmodninger (personvernforordningen artikkel 12.5).

Når du ber om
innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte
taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet.
Vi er underlagt lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i
opplysninger vi behandler om deg som også gjelder andre. Det vil for eksempel
være tilfelle for opplysninger som gjelder en konflikt mellom deg og din
arbeidsgiver. Da må du gå direkte til arbeidsgiveren og be om å få innsyn i opplysningene.

Det kan være
nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag.
Vår taushetsplikt forhindrer oss å gi innsyn i slike vurderinger. Revisors
vurdering skal også være uavhengig av muligheten til innsyn, jf. også personopplysningsloven
§ 16 første ledd bokstav e.

4.2 Sletting
og retting

Du har rett til å
få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge
opp oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare.
Vi kan også ha en berettiget interesse i å beholde opplysninger utover dette hvis
det er nødvendige for å forsvare oss mot erstatningskrav eller anklager
(personvernforordningen artikkel 6.1.f).

Dersom vi behandler
personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor
de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve
å få rettet personopplysningene.

4.3 Klage

Ta først kontakt
med vår personvernansvarlig hvis du mener vi ikke overholder personvernreglene.

Du kan også klage
over vår behandling av personopplysninger til Datatilsynet.

5
Personopplysninger som vi samler inn og hva vi
bruker dem til

5.1 Oppdrag
etter revisorloven

Når vi utfører
revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter,
er vi pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe
oss forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og
andre uttalelser vi avgir (revisjonsbevis). Denne oppdragsdokumentasjonen
inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også
inneholde enkelte personopplysninger, slik som:

·
navn og stillingsbetegnelse mv. på personer som
vi har innhentet opplysninger fra i forbindelse med oppdraget

·
opplysninger om lønns- og arbeidsforhold til
ansatte hos selskapet vi reviderer

·
vurderinger av kompetansen og integriteten til
personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte

Det vil også kunne
inkludere opplysninger om enkeltpersoners straffbare forhold og
lovovertredelser

5.2 Oppdrag
som ikke er lovregulert

Vi utfører også
oppdrag som ikke er regulert på denne måten i revisorloven. Det inkluderer
bekreftelser/attestasjoner overfor andre enn offentlige myndigheter, avtalte kontrollhandlinger,
granskinger og ulike rådgivningsoppdrag. I den grad det er nødvendig å samle
inn personopplysninger for å utføre disse oppdragene, skal vi vurdere om kunden
har et berettiget behov for revisors uttalelse. I motsatt fall vil vi ikke påta
oss oppdraget. På tilsvarende måte som for revisjonsoppdrag (se ovenfor), vil
det være snakk om personopplysninger som fremgår av dokumentasjon som er
nødvendig som grunnlag for våre uttalelser, rapporter o.l.

5.3 Plikter
etter hvitvaskingsloven

Gjennom
hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I
den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden
(på revisjonsoppdrag er det daglig leder) og reelle rettighetshavere som i
siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om
disse personene, inkludert kopi av legitimasjonsdokumenter som er benyttet for
å bekrefte identiteten.

Gjennom
hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering
til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med
alt vi er kjent med om forholdet som har medført mistanke, inkludert om involverte
personer. Slike meldinger er unntatt innsyn for de involverte.

5.4 Kundekontakt
og markedsføring

I vår kontakt med
eksisterende, tidligere og potensielle kunder, registrer vi kontaktopplysninger
om kontaktpersoner slik som navn, e-postadresse, telefonnummer og
stillingsbenevnelse. Vi har en berettiget interesse i å holde kundekontakt og markedsføre
våre tjenester (personvernforordningen artikkel 6.1.f).

5.5 Bruk
av våre nettsider www.revision.no

Vi bruker
informasjonskapsler (cookies) som gjør at vårt nettsted kan kjenne igjen din
datamaskin eller mobiltelefon. Vi bruker cookies for å f.eks. huske din
påloggingsinformasjon og samle inn besøksstatistikk på våre nettsider. For å
samle informasjon vedrørende trafikk på våre nettsider og hvilke sider brukeren
besøker, bruker vi analyseverktøyet Google Analytics.



5.6 Medarbeidere
og jobbsøkere

Personopplysninger
om ansatte som vi behandler, er blant annet personalia, lønnsopplysninger,
evalueringer, opplysninger om pårørende og utdannelse/stillingsnivå. Grunnlaget
er oppfyllelse av arbeidsavtalen (personvernforordningen artikkel 6.1.b) samt å
oppfylle vår plikt til å rapportere opplysninger om ansatte til offentlige
myndigheter som NAV og Skatteetaten (personvernforordningen artikkel 6.1.c, ev.
artikkel 9.2.b, jf. personopplysningsloven § 6). Personopplysninger blir
oppbevart så lenge medarbeideren er ansatt hos oss, og slettes ett og et halvt år
etter at medarbeideren har sluttet. Personopplysninger om ansatte som inngår i
oppbevaringspliktig regnskapsmateriale, oppbevares i samsvar med kravene i
bokføringsregelverket.

Dersom du søker
jobb hos oss, trenger vi å behandle opplysninger om deg for å vurdere din
søknad. Grunnlaget er tiltak på søkerens anmodning før en ev. arbeidsavtale
blir inngått (personvernforordningen artikkel 6.1.b). Personopplysninger om
søkere som ikke blir ansatt, oppbevares i inntil ett år.

6
Informasjonssikkerhet,
taushetsplikt og oppbevaring

Vi har rutiner for
å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene
inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre
IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres
elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved
hjelp av kryptering (dette gjelder såkalte særlige kategorier
personopplysninger, fødselsnummer og personopplysninger om straffbare forhold
og lovovertredelser).

Utvidet informasjon
om informasjonssikkerhet er tilgjengelig for våre kunder på forespørsel.

Vi er underlagt
taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet,
både i forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder
enkelte unntak fra taushetsplikten, se nedenfor om overføring av
personopplysninger som følge av lov.

Etter revisorloven og
forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet
og betryggende måte sikret mot ødeleggelse, tap og endring, i minst ti år. Etter
hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet
til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter
hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonen er
avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av
oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen
som inneholder personopplysninger lenger for å følge opp oppdraget forsvarlig
eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel
6.1.f).

I den grad vi
oppbevarer personopplysninger på oppdrag som ikke er omfattet av revisorloven,
gjør vi det fordi det er nødvendig for å følge opp oppdraget forsvarlig. Personopplysningene
slettes normalt fem år etter at oppdraget er avsluttet.







7
Overføring av personopplysninger

7.1 Oppbevaring
i EØS

Vi oppbevarer våre
kundedata, inkludert alle personopplysninger, i Norge eller andre EØS-land. Det
samme gjelder opplysninger om medarbeidere og jobbsøkere. Vi benytter kun databehandlere
som oppbevarer opplysningene i Norge eller andre EØS-land.

For kunder som er
en del av en internasjonal virksomhet, kan det være nødvendig å overføre
personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land
eller et land godkjent av EU-kommisjonen, skjer overføringen basert på standard
personvernbestemmelser vedtatt av EU-kommisjonen, bindende virksomhetsregler
for et konsern eller gruppe av foretak eller til noen som er bundet av Privacy Shield
(USA).

7.2 Overføring
av personopplysninger som følge av lov

·
Finanstilsynet har tilgang til vår dokumentasjon
i forbindelse med tilsyn

·
Revisorer som utfører kvalitetskontroll hos oss,
har tilgang til vår dokumentasjon

·
Rapportering av mistenkelige transaksjoner til
Økokrim, se punkt 5.4

·
Politiet kan i visse tilfeller gis tilgang til
dokumentasjonen vår

·
Dersom det gjennomføres bokettersyn hos en kunde,
kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan
inneholde personopplysninger

·
Vi kan ha plikt til å gi informasjon som kan
inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i
forbindelse med gjeldsforhandling eller konkurs

·
Hvis vi blir innkalt som vitne i en rettsak, har
vi alminnelig vitneplikt

Revisorer og de
myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.

7.3 Vår
bruk av databehandlere

Vi bruker
tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for
oss. Det inkluderer behandling av personopplysninger slik det er beskrevet i
punkt 5 ovenfor. Vi har databehandleravtaler med alle tjenesteleverandører som

behandler personopplysninger på vegne av oss.