GDPR

Dokument for vern av personopplysninger i IT REGNSKAP AS

Personvernerklæring - IT REGNSKAP AS 

Erklæringen gjelder IT REGNSKAP AS med tilhørende nettside, www.itregnskap.no IT REGNSKAP AS skal følge det til enhver tid gjeldende personvernregelverket, herunder GDPR og personopplysningsloven

Denne personvernerklæringen gir utfyllende opplysninger om hvilke personopplysninger som samles inn, hvordan opplysningene samles inn og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos oss.

Behandlingsansvarlig

Daglig leder i selskapet er behandlingsansvarlig for selskapets behandling av personopplysninger.

Hvilke behandlinger av personopplysninger foretas av oss?

IT REGNSKAP AS behandler personopplysninger som arbeidsgiver, som leverandør av lønn-, regnskaps- og konsulenttjenester.

For å kunne utføre vårt arbeid er det nødvendig for oss å behandle blant annet navn, e-post, adresse, arbeidsgiver, fødselsdato etc.

Kunde- og leverandøropplysninger

Vi behandler personopplysninger om kunder og leverandører, i tillegg til eventuell tredjeperson som er nødvendig for gjennomføring av kontraktsforpliktelser.

Blant opplysningene som behandles er kontaktinformasjon om kunder og leverandører. Med kontaktinformasjon menes navn på kontaktperson, telefonnummer og e-postadresse.Det rettslige grunnlaget for slik behandling er GDPR Artikkel 6 bokstav b, c og f, samt GDPR Artikkel 9 bokstav a og b. Personopplysningene lagres i en egen database og slettes fem år etter avslutning av kundeforholdet.

Underdatabehandlere

Vi kan komme til å bruke underdatabehandlere. Vi opptrer som databehandlere for svært mange kunder, som følge av tjenesten vi tilbyr. Vi baserer oss derfor på generell tillatelse til bruk av underdatabehandlere, jf. GDPR Artikkel 28. Dette avtales med kunden i vår databehandleravtale.

Ved bruk av underdatabehandlere sørger vi for at de pålegges de samme forpliktelsene med hensyn til vern og bruk av personopplysninger og andre kundedata som IT REGNSKAP AS .

I tabellen nedenfor er en oversikt over underdatabehandlere som benyttes av IT REGNSKAP AS per 01.10.2021.



Behandling av personopplysninger i våre tjenesteområder

Personopplysninger knyttet til utførelse av regnskapstjenester

IT REGNSKAP AS bistår med hele eller deler av regnskapsføringen for kunder. Personopplysninger som behandles i den forbindelse er eksempelvis navn, fødselsnummer og lønns- og trekkopplysninger. Opplysningene innhentes fra kunden og i noen tilfeller tredjepart som for eksempel Altinn. Informasjon som navn, adresse, telefon, e-postadresse benyttes for å holde kontakt med nøkkelpersonene hos våre kunder. IT REGNSKAP AS vil i sine kundeoppdrag være databehandler og inngår følgelig databehandleravtale med kunden som behandlingsansvarlig. Databehandleravtalen vil sette rammene for vår behandling av personopplysninger. De konkrete sikkerhetstiltakene og slettefristene for behandlingen vil fremgå av hver enkelt databehandleravtale.

Behandling av personopplysningene knyttet til jobbsøkere

Ved registrering og/eller abonnering på ledige stillinger hos IT REGNSKAP AS , samt ved innsending av CV, søknad og andre relevante dokumenter i forbindelse med jobbsøknad samles det inn personopplysninger. Personopplysninger som behandles i forbindelse med rekruttering er blant annet personalia og jobb- og utdanningsdetaljer. Personopplysningene innhentes fra jobbsøkerne.. Opplysningene vil ikke bli brukt til andre formål enn det opplysningene er samlet inn til. Personopplysninger om søkere til stillinger blir slettet ett år etter at vedkommende søkte på stilling hos IT REGNSKAP AS , med mindre vedkommende blir ansatt eller samtykker til at opplysningene kan oppbevares lengre.

Behandling av personopplysninger som ledd i personaladministrasjon

IT REGNSKAP AS behandler personopplysninger som ledd i personaladministrasjon. Personopplysningene som behandles i denne forbindelse er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende, og utdannelse/stillingsnivå. Det rettslige grunnlaget for denne behandlingen er oppfyllelse av arbeidsavtalen, jf. Personopplysningsloven § 8 bokstav a og b (GDPR Artikkel 6 bokstav b og c). Personopplysninger tilknyttet personaladministrasjon blir oppbevart så lenge vedkommende er ansatt hos IT REGNSKAP AS , og slettes 1 år etter vedkommende har sluttet.

Behandling av personopplysninger i forbindelse med kundetiltak og undersøkelser

IT REGNSKAP AS er pålagt å gjennomføre kundetiltak i henhold til Hvitvaskingsloven §§ 5, 6 og 15, samt å gjennomføre nærmere undersøkelser dersom det foreligger en mistanke om at en transaksjon kan ha tilknytning til utbytte fra en straffbar handling, jf. Hvitvaskingsloven § 17. Blant opplysningene som vi er pålagt å behandle i denne forbindelse er navn/foretaksnavn, fødselsnummer/organisasjonsnummer, fast adresse, familieforhold (tilknytning til politisk eksponerte personer), og opplysninger knyttet til eventuell mistanke om straffbare forhold. Behandling av personopplysninger knyttet til kundekontroll og en eventuell undersøkelsesplikt kan innebære behandling av sensitive personopplysninger, blant annet knyttet til straffbare forhold. Etter Hvitvaskingsloven § 22 er vi pålagt å oppbevare dokumenter benyttet i forbindelse med kundekontroll i minst fem år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført, med mindre lengre frister følger av annen lov eller forskrift. Dokumenter og opplysninger knyttet til kundekontroll og eventuelle undersøkelser etter Hvitvaskingsloven § 17 oppbevares i egne databaser, beskyttet mot uautorisert tilgang fra uvedkommende og slettes innen ett år etter at oppbevaringsplikten opphører. Under visse omstendigheter er IT REGNSKAP AS også pålagt å utlevere opplysninger til Økokrim, eksempelvis dersom det foreligger mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling.

Utlevering av opplysninger til tredjeparter

IT REGNSKAP AS leverer opplysninger til tredjeparter for følgende:

  • Kunders medlem -og givertjeneste: Personopplysninger utleveres til kunde/kunders sentralledd, og skattemyndighetene. Et typisk eksempel her er personer som har gitt gaver til en organisasjon som gir rett til skattefradrag etter Skatteloven § 6-50.
  • Ansatte, kunders ansatte, og frivillige som har tilgang til IT-systemer og/eller utbetalinger: NAV, skattemyndighetene/revisor, evt. serveringssteder, fagforening og til kunde.

Rettigheter for den registrerte hos IT REGNSKAP AS 

De som er registrert hos oss har rett til å be om innsyn i egne personopplysninger, samt kreve retting og sletting.

Sletting og retting av personopplysninger

Personopplysningene lagres i en egen database og slettes fem år etter avslutning av kundeforholdet, jfr. Bokføringsloven §13.

I noen tilfeller vil vi være pålagt å oppbevare regnskapsmateriale i mer enn fem år etter regnskapsårets slutt jf. Skatteforvaltningsloven §11-3 (1).

Vedrørende våre kunders medlem -og giverlister er loven slik at alle som ligger i databasen skal ha sagt et aktivt ja til å være registrert. Alle som er registrert i systemet skal slettes dersom de har vært inaktive i 3 år eller mer. I forbindelse med utsendelse av nyhetsbrev vil de som ønsker seg slettet fra mottakerlisten melde seg av når de selv ønsker.

Dersom IT REGNSKAP AS behandler personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, kan vedkommende kreve at IT REGNSKAP AS skal rette eller slette de mangelfulle opplysningene. IT REGNSKAP AS skal om mulig sørge for at feilen ikke får betydning, f.eks. ved å varsle mottakere av utleverte opplysninger. IT REGNSKAP AS skal svare på henvendelser om innsyn eller andre rettigheter etter Personopplysningsloven § 18, § 22, § 25, § 26, § 27 og § 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen. IT REGNSKAP AS skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

Informasjonssikkerhet

Vi sikrer personopplysninger ved både fysisk og virtuell adgangs- og tilgangskontroll.

Vi sender ut en databehandleravtale til våre kunder hvor det bekreftes at vi behandler data i samsvar med det nye regelverket.

Personvernombud og kontaktinformasjon

Om du lurer på noe angående behandling av personopplysninger, eller har innspill til oss vedrørende dette temaet, kan du kontakte vår behandlingsansvarlig, Simon Fjeldsaa på simon@itregnskap.no


Utdypende informasjon om Databehandleravtale og personvern

Gjennomføring av oppdraget innebærer at Regnskapsforetaket Behandler Personopplysninger på vegne av Kunden. Regnskapsforetaket opptrer derved som Databehandler for den Behandlingsansvarlige Kunden. Formålet med Regnskapsforetakets Behandling av Personopplysninger er å gjennomføre regnskapsoppdraget i samsvar med Avtalen

Denne databehandleravtalen har til hensikt å regulere Regnskapsforetakets Behandling av Personopplysninger på vegne av Kunden, og derved sikre at Behandlingen skjer i samsvar med personopplysningsloven (LOV-2018-06-15-38), herunder EUs personvernforordning (EU/2016/679), og senere lovgivning som erstatter eller supplere disse ("Personopplysningsregelverket").

Definisjonene i personvernforordningen artikkel 4 gjelder for tilsvarende for begreper brukt i denne databehandleravtalen.

Regnskapsforetaket skal bare Behandle Personopplysninger i tråd med dokumenterte instrukser fra Kunden, herunder i Avtalen og i denne databehandleravtalens siste side i dette dokumentet.

Dersom Regnskapsforetaket mener at en instruks fra Kunden, jf. første avsnitt, er i strid med Personopplysningsregelverket skal Kunden varsles om dette.

Regnskapsforetaket må uten ugrunnet opphold varsle Kunden dersom Regnskapsforetaket ikke vil være i stand til å overholde sine forpliktelser etter denne databehandleravtalen.

I oversikten på siste side i dette dokumentet beskrives de konkrete formålene med Behandlingene, samt de kategorier Personopplysninger og Registrerte som omfattes.

Regnskapsforetaket skal ikke levere ut Personopplysninger til Tredjeparter, med mindre Kunden på forhånd har samtykket skriftlig til slik utlevering, eller det foreligger en lovpålagt plikt for Regnskapsforetaket til å utlevere Personopplysningene. Utlevering til andre Databehandlere skal skje i samsvar med vilkårene i denne databehandleravtalen

Regnskapsforetaket skal treffe alle tiltak som er nødvendige for å etablere et egnet sikkerhetsnivå ved Behandlingen i samsvar med kravene i personvernforordningen artikkel 32. Tiltakene skal dokumenteres.

Regnskapsforetaket skal uten ugrunnet opphold varsle Kunden om ethvert Brudd på personopplysningssikkerheten som har medført en hendelig eller ulovlig tilintetgjørelse, tap, endring, uautorisert utlevering av eller tilgang til Personopplysningene som Behandles i medhold av denne databehandleravtalen. Varselet skal inneholde de opplysninger som kreves etter personvernforordningen artikkel 33 nr. 3.

Regnskapsforetaket skal straks iverksette tiltak for å hindre eller begrense konsekvensene av sikkerhetsbruddet. Regnskapsforetaket skal gi Kunden bistand med å etterleve kravene i personvernforordningen artikkel 32 til 36 om informasjonssikkerhet.

Regnskapsforetaket skal også bistå Kunden med å oppfylle Kundens plikt til å svare på henvendelser fra Registrerte som ønsker å utøve sine rettigheter etter Forordningen. Regnskapsforetaket skal ikke selv besvare slike henvendelser, men uten ugrunnet opphold videresende henvendelsen til Kunden eller henvise den Registrerte til selv å kontakte Kunden direkte.

Regnskapsforetaket skal på forespørsel gi Kunden tilgang til all informasjon og dokumentasjon som er nødvendig for å påvise at Behandlingen skjer i samsvar med denne databehandleravtalen og Kundens instrukser.

Regnskapsforetaket skal inngå en skriftlig avtale med sine Databehandlere, som pålegger Databehandlerne de samme forpliktelsene som Regnskapsforetaket selv har i medhold av denne databehandleravtalen. Regnskapsforetaket er fullt ut ansvarlig overfor Kunden, for den Behandlingen som Databehandleren gjør.

Personopplysninger kan bare overføres til land utenfor EU/EØS-området, dersom Kunden har gitt et forhåndssamtykke til det. Kunden samtykker til overføring ut av EU/EØS-området som skjer i forbindelse med at Personopplysningene overlates til eksisterende Databehandlere, på de vilkår som er angitt i dette dokumentet.

Ved Avtalens opphør plikter Regnskapsforetaket å tilbakelevere, slette eller anonymisere alle Personopplysninger i samsvar med Kundens nærmere instrukser på opphørstidspunktet. Partene skal lojalt enes om den praktiske gjennomføringen av denne plikten som ivaretar begge Parters behov for å oppfylle lovpålagte krav og sikre daglig drift.

Sletteplikten gjelder uansett ikke Personopplysninger som inngår i Regnskapsførerforetakets egen oppdragsdokumentasjon, jf. denne databehandleravtalens

Databehandleravtalen gjelder så lenge Regnskapsforetaket behandler personopplysninger på vegne av Kunden. Databehandleravtalen kan endres ved behov og enighet mellom partene i samsvar med Standardvilkårene. Meddelelser og annen kommunikasjon etter denne databehandleravtalen skal skje i samsvar med Standardvilkårene.

Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Regnskapsforetakets hjemting er verneting.

Bruk av IT Systemer i felleskap - Systemvalg ligger i oppdragsbeskrivelsen.

Dette avsnittet er aktuelt når:

  • Kunden benytter IT-system hvor Regnskapsforetaket er lisenshaver og/eller
  • Regnskapsforetaket benytter IT-system hvor Kunden er lisenshaver

-Der Kunden er lisenshaver skal Regnskapsforetaket sikres de tilganger som er nødvendige for å utføre oppdraget i henhold til oppdragsavtalen. Dette inkluderer administratorrettighet slik at Regnskapsforetaket kan åpne og lukke nødvendige tilganger til egne medarbeidere.

-Der Regnskapsforetaket er lisenshaver skal Kunden sikres tilgang til de deler av IT-systemet som Kunden etter oppdragsavtalen helt eller delvis skal ivareta selv. Regnskapsforetaket er gjennom God regnskapsføringsskikk pålagt å begrense Kundens tilgang til det som følger av oppdragsavtalen.

Den av Partene, enten Kunde eller Regnskapsforetaket, som er lisenshaver etter punkt 2 skal sørge for at benyttet IT-system har:

  • nødvendig funksjonalitet for å oppfylle de krav som lov og forskrifter stiller til registrering, dokumentasjon og rapportering av regnskapsopplysninger mv.
  • spesifisert i avtalen med Systemleverandøren hvor fysiske oppbevaringsmedier befinner seg
  • minst en sikkerhetskopi av oppbevaringspliktig dokumentasjon og regnskapsopplysninger som er adskilt fra originalen. Adskillelsen skal være i tråd med Norsk Bokføringsstandard NBS 1 om sikring av regnskapsmateriale
  • driftsmiljø, gjennom avtaleverket, som bidrar til å sikre tilgjengelighet, integritet og konfidensialitet av dokumentasjon og registrerte opplysninger
  • unike påloggingsidentiteter og loggfunksjonalitet slik at det det er mulig å identifisere hvem som har registrert, endret eller slettet registrerte opplysninger i systemet
  • tilgjengelig driftsmeldinger for Partene fra Systemleverandør om vedlikehold, oppdatering og feil ved IT-systemet

Partene kan ikke holdes ansvarlig for økonomiske tap eller ødeleggelser som følge av feil eller mangler ved Systemleverandørs program- og maskinvare, kommunikasjon, datasikkerhet, manglende vedlikehold av programvare eller andre forhold og IT / underleverandører som denne må svare for.

Dersom oppdraget utføres i et IT-system, hvor Kunden har avtale med lisensgiver/tjenesteleverandør og således er lisenshaver/tjenestemottaker, skal Regnskapsforetaket ha ugjenkallelig fullmakt til å få utlevert i Norge oppbevaringspliktig oppdragsdokumentasjon som er lagret i systemene. Den samme ugjenkallelige fullmakten skal gjelde dersom kunden på et senere tidspunkt blir lisenshaver eller oppdraget termineres.

Fullmakten gjelder i hele oppdragsperioden og i fem år etter oppdragets avslutning.

Dersom Kunden skal slette eller makulere materiale før fem år er gått, skal Kunden overlevere oppdragsdokumentasjon til Regnskapsforetaket på forhånd. Det samme gjelder ved opphør av lisens-/tjenesteavtalen.

Som Regnskapsforetakets oppbevaringspliktige oppdragsdokumentasjon kan regnes blant annet, men ikke begrenset til:

  • Avstemminger av eiendeler, herunder nødvendige spesifikasjoner til disse
  • Avstemminger av gjeld, herunder nødvendige spesifikasjoner til disse
  • Avstemminger av resultatkontoer
  • Årsregnskap med lovbestemte beretninger og Skattemelding for formues- og inntektsskatt herunder sporbarhetsspesifikasjoner til årsregnskap og næringsoppgave
  • Pliktige spesifikasjoner
  • Budsjetter og periodiske regnskapsrapporter
  • Revisors korrespondanse

Selv om denne fullmakten også gjelder etter oppdragets avslutning, er opplysningene som skal kunne kreves utlevert begrenset til å gjelde relevant oppdragsinformasjon for oppdragsperioden mellom Partene.

Kunden er ansvarlig for å betale systemleverandørens eventuelle vederlag for å få slike data utlevert.

Regnskapsførerselskapets databehandler er Nordlo, CND og Taskline


Personopplysninger og behandlingsformål:

Personopplysning -Formål med opplysningen

For- og etternavn -Identifikasjon for korrekt utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg. Identifikasjon for hendelser -relatert til arbeidsforholdet og identifikasjon ved annen pliktig offentlig innrapportering.

Adresse privat -Kommunikasjon.

Adresse arbeidssted -Offentlig og intern rapportering.

Statsborgerskap -A-melding og sikre korrekte ytelser og trekk.

Bostedsland -A-melding og sikre korrekte ytelser og trekk.

Telefonnummer (fast) -Kommunikasjon.

Telefonnummer (mobil) -Kommunikasjon.

E-postadresse -Kommunikasjon.

Fødselsdato / nummer -Identifikasjon for utbetaling av lønn og godtgjørelser herunder reiseregninger og utlegg, arbeidsforhold, annen pliktig offentlig innrapportering.

Kjønn -Statistikkformål for styrets årsberetning, intern rapportering mv.

Ansattnummer / Arbeidsforholds ID -A-melding. Intern identifikasjon og kategorisering for tilordning i avdeligsregnskap mv.

Kontonummer i bank -Sikre korrekt utbetaling av lønn og andre ytelser.

Sivilstatus -Sikre korrekte ytelser og trekk som påvirkes av sivilstatus.

Ektefelle, herunder navn og fødselsnummer Sikre korrekt skattemessig innrapportering av lønnsforhold, formuesforhold mv.

Pårørendeinformasjon -Kommunikasjon med pårørende om særskilte forhold ved akutt sykdom, dødsfall mv.

Stillingsbetegnelse / yrkeskode -A-melding og sikre korrekt utbetaling lønn.

Stillingsnivå, herunder stillingsprosent og timer pr uke.

Dato for siste endring. -A-melding og sikre korrekt utbetaling lønn.

Arbeidstidsordning -A-melding og sikre korrekt utbetaling lønn.

Yrkesopplysninger av betydning for lønns og arbeidsvilkår

-A-melding og sikre korrekt utbetaling lønn.

Utdannelse og praksis, herunder lønnsansiennitet. -A-melding og sikre korrekte ytelser og trekk.

Medlemskap i fagforeninger og andre yrkesrelaterte foreninger.

-Sikre korrekte ytelser og trekk.

Dekket av tariffavtale, herunder lønnstrinn -Sikre korrekte ytelser og trekk.

Lønns- og provisjonsopplysninger, herunder avlønningstype og siste dato for avlønning.

-A-melding og sikre korrekt utbetaling lønn.

Pensjonsopplysninger Sikre korrekt pensjonsinnbetaling og pensjonsytelse.

Skattetrekksopplysninger -Sikre korrekt skattetrekk.

Forsikringsforhold, herunder dekningsomfang og nødvendige helseopplysninger (egenerklæringer mv)

-Sikre korrekt forsikringsdekning etter avtale mellom arbeidsgiver og forsikringsselskap.

Fravær og permisjoner, herunder type og varighet. -Sikre korrekte ytelser og trekk. Offentlig innrapportering av sykepenger, permisjonsgodtgjørelse mv.

-Ansettelses- og sluttdato, herunder start- og sluttdatoer ved fusjon og fisjon. A-meldingen, lønnsberegninger og forsikringsordninger. Følge opp jubileum mv.

Sluttårsak, herunder oppsigelse og dødsfall. Sikre korrekte ytelser og trekk. Statistiske formål.

Firmabil og andre naturalytelser -Sikre korrekt regnskapsrapportering og innberetning av fordel. Forsikringsdekningsformål.

Eierandeler i selskap -Aksjonærregstermeldinger

Rolle i selskap -Sikre korrekte ytelser og trekk. Interne rapporteringsformål. A-melding. Sikre korrekte opplysninger i årsregnskapet.

Vilkår i aksjonæravtaler Sikre korrekt behandling aksjonærer i mellom.

Eiendeler i samboerskap Sikre korrekt innberetning av skattemessige formål.

Gjeld / fordringer overfor arbeidsgiver, herunder vilkår for mellomregningen.

-Sikre korrekt inn- og utbetaling samt avregning av renter og gebyrer.

Informasjon i regnskapsdokumentasjon om ansattes atferdsmønster, herunder kjøp av varer og tjenester og bevegelsesmønster

-Godtgjørelse av utlegg pådratt i næringsvirksomhet eller føring av private utgifter på privatkonto.


Endringer i personvernerklæringen

Det kan forekomme endringer i personvernerklæringen. Dato for sist registrerte endring er 01.10.2021