PERSONVERNERKLÆRING

 

Behandling av personopplysninger i All Revisjon AS

 
Denne personvernerklæringen forteller hvordan All Revisjon AS samler inn og bruker 
personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av 
personopplysninger.
 
Her får du nærmere informasjon om hvilke personopplysninger vi typisk samler inn, hva vi bruker 
opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har 
dersom vi har personopplysninger om deg.
 
Henvendelse om vår behandling av personopplysninger kan rettes til:
 
All Revisjon AS
Mellomila 93A,
7018 Trondheim
Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere javaskript for å kunne se den. (merkes med «personvern»)
 
Henvendelsen vil bli fulgt opp av vår personvernansvarlig. Du kan også rette din henvendelse til 
din kontaktperson hos oss.
 
Dato for siste endring i vår personvernerklæring er 24.10.2019.
 
1. Lovgivning og bransjenormer
 
All Revisjon AS har offentlig godkjenning fra Finanstilsynet etter revisorloven og 
regnskapsførerloven. Finanstilsynet fører tilsyn med at vi driver virksomheten vår i samsvar med 
lovgivningen vi er underlagt. Nedenfor kan du lese mer om de kravene lovgivningen stiller til vår 
innsamling, oppbevaring og sikring av opplysninger, i tillegg til kravene i personvernreglene.
 
følger disse bransjenormene i vår virksomhet.
 
2 Når samler vi inn personopplysninger?
 
Vi samler inn personopplysninger i forbindelse med
•     utførelse av våre oppdrag, inkludert revisjonstjenester (revisjon av årsregnskap, forenklet 
revisorkontroll av regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte 
kontrollhandlinger), regnskapsføring og ulike rådgivningsoppdrag
•     kundekontroll og rapportering av mistanke etter hvitvaskingsloven
•     kundekontakt og markedsføring
•     ansettelser og ansatte
 
3 Behandlingsansvarlig og databehandler
 
Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger i 
forbindelse med revisjonstjenester, utarbeidelse av årsregnskap og skattemelding for egne 
revisjonsklienter og attestasjonstjenester. Vi er normalt behandlingsansvarlig på due 
diligenceoppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som behandlingsansvarlig er vi 
ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine 
personopplysninger, herunder at du får ivaretatt dine rettigheter.
 
I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine 
personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for 
regnskapsføreroppdrag og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver 
(behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi 
inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige.) Vi behandler dine 
personopplysninger i samsvar med databehandleravtalen.
 
4 Dine rettigheter
 
Du kan utøve dine rettigheter ved å kontakte vår personvernansvarlig. Send en e-post til 
Denne e-postadressen er beskyttet mot programmer som samler e-postadresser. Du må aktivere javaskript for å kunne se den., merket «personvern». Du skal få svar uten ugrunnet opphold, og senest 
innen 30 dager.
 
Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår 
virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider.
 
4.1 Innsyn
 
Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, 
samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne 
personvernerklæringen.
 
Hvis du ber oss om innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser 
for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller 
overdrevne anmodninger (personvernforordningen artikkel 12.5).
 
Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte 
taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet. Vi er underlagt 
lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som 
også gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder en konflikt 
mellom deg og din arbeidsgiver. Da må du gå direkte til arbeidsgiveren og be om å få innsyn i 
opplysningene.
 
Det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag. Vår 
taushetsplikt forhindrer oss å gi innsyn i slike vurderinger. Revisors vurdering skal også være 
uavhengig av muligheten til innsyn, jf. også personopplysningsloven § 16 første ledd bokstav e.
 
4.2 Sletting og retting
 
Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp 
oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan også ha en 
berettiget interesse i å beholde opplysninger utover dette hvis det er nødvendig for å forsvare oss mot 
erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
 
Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor 
de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet 
personopplysningene.
 
4.3 Klage
 
Ta først kontakt med vår personvernansvarlig hvis du mener vi ikke overholder personvernreglene. Du 
kan også klage over vår behandling av personopplysninger til Datatilsynet.
 
5 Personopplysninger som vi samler inn og hva vi bruker dem til
 
5.1 Oppdrag etter revisorloven
 
Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi 
pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe oss forsvarlig 
dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir 
(revisjonsbevis). Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte 
opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger, slik som:
 
•     navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i 
forbindelse med oppdraget
•     opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
•     vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller 
andre forhold som vi skal bekrefte
 
Det vil også kunne inkludere opplysninger om enkeltpersoners straffbare forhold og lovovertredelser
 
5.2 Oppdrag etter regnskapsførerloven
 
Vi utfører også regnskapsføreroppdrag. Da er vi underlagt regnskapsførerloven. Etter 
regnskapsførerloven skal vi utføre oppdraget i samsvar med de lover og regler som kundens regnskap 
skal oppfylle (bokførings-, regnskaps- og skattelovgivningen mv.), og følge god 
regnskapsføringsskikk. Det regnskapsmaterialet vi behandler på vegne av våre kunder inkluderer 
personopplysninger, slik som opplysninger om lønns- og arbeidsforhold.
 
5.3 Oppdrag som ikke er lovregulert
 
Vi utfører også oppdrag som ikke er regulert på denne måten i revisorloven eller 
regnskapsførerloven. Det inkluderer bekreftelser/attestasjoner overfor andre enn offentlige 
myndigheter, avtalte kontrollhandlinger, granskinger og ulike rådgivningsoppdrag. I den grad det er 
nødvendig å samle inn personopplysninger for å utføre disse oppdragene, skal vi vurdere om kunden 
har et berettiget behov for revisors uttalelse. I motsatt fall vil vi ikke påta oss oppdraget. På 
tilsvarende måte som for revisjonsoppdrag (se ovenfor), vil det være snakk om personopplysninger 
som fremgår av dokumentasjon som er nødvendig som grunnlag for våre uttalelser, rapporter o.l.
 
5.4 Plikter etter hvitvaskingsloven
 
Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den 
forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden (på 
revisjonsoppdrag er det daglig leder) og reelle rettighetshavere som i siste hånd kontrollerer 
selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av 
legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.
 
Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og 
terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt 
vi er kjent med om forholdet som har medført mistanke, inkludert om involverte personer. Slike 
meldinger er unntatt innsyn for de involverte.
 
5.5 Kundekontakt og markedsføring
 
I vår kontakt med eksisterende, tidligere og potensielle kunder, registrerer vi kontaktopplysninger 
om kontaktpersoner slik som navn, e-postadresse, telefonnummer og stillingsbenevnelse. Vi har en 
berettiget interesse i å holde kundekontakt og markedsføre våre tjenester (personvernforordningen 
artikkel 6.1.f).
 
 
5.6 Medarbeidere og jobbsøkere
 
Personopplysninger om ansatte som vi behandler, er blant annet personalia, lønnsopplysninger, 
evalueringer, opplysninger om pårørende og utdannelse/stillingsnivå. Grunnlaget er oppfyllelse av 
arbeidsavtalen (personvernforordningen artikkel 6.1.b) samt å oppfylle vår plikt til å rapportere 
opplysninger om ansatte til offentlige myndigheter som NAV og Skatteetaten (personvernforordningen 
artikkel 6.1.c, ev. artikkel 9.2.b, jf. personopplysningsloven § 6).
Personopplysninger blir oppbevart så lenge medarbeideren er ansatt hos oss, og slettes ett og et 
halvt år etter at medarbeideren har sluttet. Personopplysninger om ansatte som inngår i 
oppbevaringspliktig regnskapsmateriale, oppbevares i samsvar med kravene i bokføringsregelverket.
 
Dersom du søker jobb hos oss, trenger vi å behandle opplysninger om deg for å vurdere din søknad. 
Grunnlaget er tiltak på søkerens anmodning før en ev. arbeidsavtale blir inngått 
(personvernforordningen artikkel 6.1.b). Personopplysninger om søkere som ikke blir ansatt, 
oppbevares i inntil ett år.
 
6 Informasjonssikkerhet, taushetsplikt og oppbevaring
 
Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene 
inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når 
materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal 
opplysningene alltid sikres mot innsyn ved hjelp av kryptering (dette gjelder såkalte særlige 
kategorier personopplysninger, fødselsnummer og personopplysninger om straffbare forhold og 
lovovertredelser).
 
Utvidet informasjon om informasjonssikkerhet er tilgjengelig for våre kunder på forespørsel.
 
Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet, både i 
forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder enkelte unntak fra 
taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.
 
Etter revisorloven og forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet 
og betryggende måte sikret mot ødeleggelse, tap og endring, i minst ti år. Etter hvitvaskingsloven 
skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse 
av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller 
transaksjonen er avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av 
oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen som inneholder 
personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare oss mot 
erstatningskrav eller anklager personvernforordningen artikkel 6.1.f).
 
I den grad vi oppbevarer personopplysninger på oppdrag som ikke er omfattet av revisorloven, gjør 
vi det fordi det er nødvendig for å følge opp oppdraget forsvarlig. Personopplysningene slettes 
normalt fem år etter at oppdraget er avsluttet.
 
7 Overføring av personopplysninger
 
7.1 Oppbevaring i EØS
 
Vi oppbevarer våre kundedata, inkludert alle personopplysninger, i Norge eller andre EØS-land. Det 
samme gjelder opplysninger om medarbeidere og jobbsøkere. Vi benytter kun databehandlere som 
oppbevarer opplysningene i Norge eller andre EØS-land.
 
For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre 
personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land 
godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av 
EU-kommisjonen, bindende virksomhetsregler for et konsern eller gruppe av foretak eller til noen 
som er bundet av Privacy Shield (USA).
 
7.2 Overføring av personopplysninger som følge av lov
 
•   Finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn
•     Revisorer eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til vår 
dokumentasjon
•     Rapportering av mistenkelige transaksjoner til Økokrim, se punkt 5.4
•     Politiet kan i visse tilfeller gis tilgang til dokumentasjonen vår
•     Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon 
til skattemyndighetene som kan inneholde personopplysninger
•     Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, 
konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
•     Hvis vi blir innkalt som vitne i en rettsak, har vi alminnelig vitneplikt
 
Revisorer, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt 
taushetsplikt.
 
7.3 Vår bruk av databehandlere
 
Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Det 
inkluderer behandling av personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har 
databehandleravtaler med alle tjenesteleverandører som behandler personopplysninger på vegne av
oss.