1. Persondatapolitik
1.1. Generelt
Dette dokument skal være tilgængeligt for medarbejdere, kunder, potentielle kunder, leverandører mv. Det skal give dem sikkerhed for, at vi arbejder professionelt med, og løbende sikrer data.
Ledelsen i Revisorgården Slagelse er ansvarlig for dokumentet, og har godkendt dette.
Vi arbejder udelukkende med data, herunder personhenførbare data, for at assistere kunden med enten lovpligtige forhold, eller forhold som kunden har bestilt i forretningsforholdet mellem kunden og Revisorgården Slagelse.
1.2. Sikring af data
Vi skal sikre, at vi har en lovlig hjemmel til at behandle data. Det kan være Samtykke, Opfyldelse af kontrakt, Retlig forpligtelse, Vitale interesser, Opgaver i samfundets interesse eller Interesseafvejning.
1.3. Databehandlingsfortegnelse
Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter.
Denne fortegnelse indeholder:
Navn på og kontaktoplysninger for den dataansvarlige
Formålene med behandlingen (herved sikrer vi lovligt formål)
Beskrivelse af kategorierne af registrerede personer
Beskrivelse af kategorierne af personoplysninger
Beskrivelse af kategorier af modtagere som personoplysningerne videregives til
Angivelse af overførselssted hvis data videregives uden for EU
De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.
1.4. Slettepolitik
Vi opbevarer kun data, når det er lovkrævet eller nødvendigt for at udføre vores hverv. F. eks. er det krævet i erklæringsbekendtgørelsen, at vi opbevarer grundlag for erklæringer i 5 år efter erklæringens afgivelse. I Hvidvaskloven er det krævet, at vi opbevarer identifikationsoplysninger på kunder i 5 år efter kundeforholdets afslutning.
Vi opbevarer dog generelt altid personoplysninger, så længe der måtte være ikke forældede formueretlige krav, hvor personoplysningerne er nødvendige, for at forfølge disse krav.
1.4.1. Eksisterende kunder
Det er nødvendigt, for at vi kan virke som revisionsvirksomhed, at vi opbevarer kundedata (som kan indeholde persondata) i en lang periode. F.eks. er der jævnligt kunder, der beder os være behjælpelige med en indgangsværdi på et aktiv, som er anskaffet mange år tidligere. Eller en kunde beder os finde dokumentation (f. eks. i en mail) for en omstrukturering, der ligger årevis bagud.
Derfor er vores politik, at vi ikke som udgangspunkt sletter data, da der ved en sletning vil forsvinde vigtig og nødvendig viden for vores kunde. Vi opbevarer udelukkende data, for at kunne servicere kunden bedst muligt. Vi anvender ikke data til markedsføringsformål, og vi videresender ikke data til andre.
1.4.2. Tidligere kunder
Hvis kunden ikke er kunde længere, sletter vi data 5 år efter kundeforholdets udløb, dog først når der ikke er ikkeforældede krav mod den pågældende.
1.4.3. Potentielle kunder
Det sker ofte, at potentielle kunder, ikke indgår en kundeaftale straks, men først efter en længere periode. Vi sletter derfor først data vedrørende potentielle kunder efter 12 måneder.
1.5. Opdatering
Vi opdaterer personoplysningerne løbende. I forbindelse med arbejdet for kunden, får vi adgang til opdaterede oplysninger årligt, og disse opdaterer vi i vores systemer.
1.6. Forholdet til kunder
Med alle kunder indgås en kundeaftale. Denne indeholder de kontraktmæssige forhold, som danner hjemmelen til at behandle persondata. For at sikre, at kunden har forstået vigtigheden af dette, beder vi kunden afgive et samtykke, som giver revisorvirksomheden lov til at behandle data.
Kundeaftaler med samtykkeerklæringer opbevares i kundemappen under stamoplysninger.
1.7. Forholdet til medarbejdere
Ved samtale, bliver potentielle medarbejdere bedt om at afgive et samtykke om indsamling af data, som er nødvendig for en evt. ansættelse. Samtykke bliver opbevaret i medarbejders personalemappe.
Ved ansættelse, bliver medarbejdere bedt om at afgive erklæring om at bekræfte forståelse af virksomheds behandling af persondata. Erklæringen bliver opbevaret i medarbejders personalemappe.
1.8. Forholdet til leverandører
Vi overvejer løbende, om vores leverandører fungerer som databehandler. I givet fald indgås en skriftlig aftale om databehandlingen med dem.
Vi opbevarer ikke persondata om vores leverandører.
1.9. Databehandleraftaler
Hvis vi fungerer som databehandler for en kunde, indgår vi en skriftlig aftale med kunden om databehandlingen.
Hvis vi anvender en leverandører, som fungerer som databehandler, sikrer vi at der foreligger en skriftlig aftale med leverandøren om databehandlingen. Eksempler på vores underleverandører, hvor vi undersøger om de fungerer som databehandler: IT Revisor, Wolters Klüwer, Faglig Afdeling A/S, e-signatur og CL Data.
1.9.1. Erklæringer
Vi mener ikke, at vi er databehandler, når vi laver erklæringer med sikkerhed eller erklæringer uden sikkerhed.
1.9.2. Skat og regnskab
Det er vores opfattelse, at vi er selvstændigt dataansvarlige, når vi assisterer med regnskab eller skat, idet revisor ikke kan tage imod en detaljeret instruks, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke delformål og hjælpemidler opgaven skal løses.
1.9.3. Moms og bogholderi
Det er vores opfattelse, at vi er selvstændigt dataansvarlige når vi assisterer med moms og bogholderi, idet revisor ikke kan tage imod en detaljeret instruks herom, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses.
1.9.4. Løn
Det er vores opfattelse, at vi er selvstændigt dataansvarlige når vi laver løn, idet revisor ikke kan tage imod en detaljeret instruks om lønningerne, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses.
1.9.5. Rådgivning
Det er tvivlsomt, om vi er databehandler eller selvstændigt dataansvarlige, når vi udfører rådgivning. Forhold der taler for, at vi er dataansvarlige, er at vi ikke tager imod en detaljeret instruks om rådgivningen, da revisor i vores arbejde er underlagt professionelle forpligtelser og standarder, f. eks. Hvidvaskloven, skattelovgivningen mv. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses, og derfor er vores opfattelse, at vi er selvstændigt dataansvarlige i disse situationer.
1.9.6. Leverandører
Hvis en leverandør fungerer som databehandler, indgår vi en skriftlig aftale med leverandøren om databehandlingen.
Eksempler på indgåede aftaler er It Revisor, Wolters Klüwer og CL Data.
1.10. Brud på sikkerheden
Hvis der sker et brud på sikkerhed, skal vi informere Datatilsynet (og nogle gange også den registrerede), om muligt indenfor 72 timer efter bruddet er konstateret.
Brud på datasikkerheden er, at der sandsynligvis er risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt. Sandsynlighed skal udgøre mere end 50%.
Hvis brud på datasikkerheden opdages, gives straks meddelelse til ledelsen, som om muligt indenfor 72 timer, skal have overblik over bruddet. Ledelsen eller en person af ledelsen udpeget, anmelder som minimum:
Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
De sandsynlige konsekvenser af bruddet på persondatasikkerheden
De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger
Hvis et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal vi ikke alene foretage en anmeldelse til Datatilsynet, men også underrette den registrerede om bruddet. Gør vi ikke dette, har Datatilsynet mulighed for at gå ind i sagen og kræve, at den dataansvarlige foretager underretning af den registrerede. Hvis det er relevant at informere den registrerede, gøres dette via mail, eller via offentlig meddelelse eller tilsvarende.
Vi skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at dokumentationskravet er overholdt. Dokumentet føres fortløbende (som en log).
1.11. Den registreredes rettigheder
1.11.1. Oplysning og indsigt
1.11.1.1. Medarbejdere
Vi informerer en gang årligt, medarbejderen om:
Vores identitet og kontaktoplysninger
Formålene og retsgrundlaget for vores behandling
Hvem der modtager oplysningerne
Hvorvidt oplysningerne vil blive overført til lande uden for EU/EØS
Hvilke typer af oplysninger vi registrerer
At vi indhenter oplysninger om dem fra leverandører, myndigheder, samarbejdspartnere og andre aktører / information om, hvorfra oplysningerne kommer, hvis ikke fra den registrerede
Retten til at anmode om kopi af de data der opbevare
Retten til at anmode om berigtigelse
Retten til at gøre indsigelse mod en behandling
Retten til dataportabilitet
Vi placerer udelukkende teknisk nødvendige cookies på brugerens udstyr
Slettepolitik
Retten til at tilbagekalde samtykke
Retten til at indgive en klage til Datatilsynet
Forekomsten af automatiske afgørelser, herunder profilering eller logikken heri
Retten til at anmode om sletning af personoplysninger
Retten til at anmode om begrænsning af behandling af personoplysninger
1.11.1.2. Kunder
Vi oplyser vores kunder i kundeaftaler om, at vi behandler personoplysninger om dem. Vi informerer dem om:
Vores identitet og kontaktoplysninger
Formålene og retsgrundlaget for vores behandling
Hvem der modtager oplysningerne
Hvorvidt oplysningerne vil blive overført til lande uden for EU/EØS
Hvilke typer af oplysninger vi registrer
At vi indhenter oplysninger om dem fra leverandører, myndigheder, samarbejdspartnere og andre aktører / information om, hvorfra oplysningerne kommer, hvis ikke fra den registrerede
Retten til at anmode om kopi af de data der opbevares
Retten til at anmode om berigtigelse
Retten til at gøre indsigelse mod en behandling
Retten til dataportabilitet
Vi placerer udelukkende teknisk nødvendige cookies på brugerens udstyr
Slettepolitik
Retten til at tilbagekalde samtykke
Retten til at indgive en klage til Datatilsynet
Forekomsten af automatiske afgørelser, herunder profilering eller logikken heri
Retten til at anmode om sletning af personoplysninger
Retten til at anmode om begrænsning af behandling af personoplysninger
1.11.2. Ret til indsigt
En person som vi registrerer data om, har ret til indsigt i, at vi registrerer, og hvilke data vi registrerer om vedkommende. En anmodning om indsigt, skal videreføres til ledelsen, som iværksætter en – uden ugrundet ophold - passende besvarelse til den registrerede. Indsigt omfatter:
Formålet med behandling af data
Kategorier af oplysninger, som behandles
Eventuelle andre modtagere af data
Slettepolitik for den registreredes data
Den registreredes rettigheder (indsigt, berigtigelse, sletning mv.)
Retten til at klage til Datatilsynet
Hvor oplysningerne er indhentet, hvis dette ikke er fra den registrerede
Omfanget af automatiske afgørelser, herunder profilering og logikken bag
1.11.3. Ret til berigtigelse
En person som vi registrerer data om, har ret til indsigt i, at vi berigtiger data, hvis data om vedkommende er forkerte.
En anmodning om berigtigelse kan behandles af den person, som modtager anmodningen.
1.11.4. Ret til sletning
En person som vi registrerer data om, har ret til at få slettet de data, som vi registrerer om personen. En anmodning om sletning, skal videreføres til virksomhedens ledelse, da der skal tages stilling til data, som kan være omfattet af opbevaringspligt efter Bogføringsloven, Hvidvaskloven, Erklæringsbekendtgørelsen osv. Data omfattet af opbevaringspligt, må ikke slettes inden lovgivningsfristen udløber.
En konsekvens af, at en person vil have slettet sine persondata, kan være at vi ikke kan fuldføre kundeforholdet, da lovgivningen ikke overholdes, og vi må i givet fald derfor stoppe kundeforholdet.
1.11.5. Ret til begrænset behandling
En person som vi registrerer data om, har ret til at få begrænset behandlingen af de data, som vi registrerer om personen, begrænset til hvad der er nødvendigt i forhold til formålet med behandlingen. Den registrerede har ret til begrænsning, hvis et af forholdene A-D gør sig gældende:
a) rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte
b) behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses
c) den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares
d) den registrerede har gjort indsigelse mod behandlingen i medfør af persondataforordningens artikel 21, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.
Hvis begrænsningen ophæves, skal vi informere den registrerede inden da.
1.11.6. Ret til dataportabilitet
En person som vi registrerer data om, har ret til at dataportabilitet. Dvs. den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til os, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra os, når behandlingen er baseret på samtykke eller kontrakt, og behandlingen foretages automatisk.
Det er vores opfattelse, at behandlingen ikke foretages automatisk, hvorfor vi ikke mener, at data vi registrerer til brug, er omfattet af retten til dataportabilitet.
1.11.7. Ret til indsigelse
Den registrerede har til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger, baseret på at behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, eller baseret på at behandling er nødvendig for, at vi kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.
Da vores registreringer er baseret på samtykke og kontrakter, mener vi ikke at dataene er omfattet af retten til indsigelse.