1. Persondatapolitik

1.1. Generelt

Dette dokument skal være tilgængeligt for medarbejdere, kunder, potentielle kunder, leverandører mv. Det skal give dem sikkerhed for, at vi arbejder professionelt med, og løbende sikrer data.

Ledelsen i Revisorgården Slagelse er ansvarlig for dokumentet, og har godkendt dette.

Vi arbejder udelukkende med data, herunder personhenførbare data, for at assistere kunden med enten lovpligtige forhold, eller forhold som kunden har bestilt i forretningsforholdet mellem kunden og Revisorgården Slagelse.

1.2. Sikring af data

Vi skal sikre, at vi har en lovlig hjemmel til at behandle data. Det kan være Samtykke, Opfyldelse af kontrakt, Retlig forpligtelse, Vitale interesser, Opgaver i samfundets interesse eller Interesseafvejning.

1.3. Databehandlingsfortegnelse

Vi har udarbejdet en særlig fortegnelse over vores databehandlingsaktiviteter.

Denne fortegnelse indeholder:

• Navn på og kontaktoplysninger for den dataansvarlige

• Formålene med behandlingen (herved sikrer vi lovligt formål)

• Beskrivelse af kategorierne af registrerede personer

• Beskrivelse af kategorierne af personoplysninger

• Beskrivelse af kategorier af modtagere som personoplysningerne videregives til

• Angivelse af overførselssted hvis data videregives uden for EU

• De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger

• En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

1.4. Slettepolitik

Vi opbevarer kun data, når det er lovkrævet eller nødvendigt for at udføre vores hverv. F. eks. er det krævet i erklæringsbekendtgørelsen, at vi opbevarer grundlag for erklæringer i 5 år efter erklæringens afgivelse. I Hvidvaskloven er det krævet, at vi opbevarer identifikationsoplysninger på kunder i 5 år efter kundeforholdets afslutning.

Vi opbevarer dog generelt altid personoplysninger, så længe der måtte være ikke forældede formueretlige krav, hvor personoplysningerne er nødvendige, for at forfølge disse krav.

1.4.1. Eksisterende kunder

Det er nødvendigt, for at vi kan virke som revisionsvirksomhed, at vi opbevarer kundedata (som kan indeholde persondata) i en lang periode. F.eks. er der jævnligt kunder, der beder os være behjælpelige med en indgangsværdi på et aktiv, som er anskaffet mange år tidligere. Eller en kunde beder os finde dokumentation (f. eks. i en mail) for en omstrukturering, der ligger årevis bagud.

Derfor er vores politik, at vi ikke som udgangspunkt sletter data, da der ved en sletning vil forsvinde vigtig og nødvendig viden for vores kunde. Vi opbevarer udelukkende data, for at kunne servicere kunden bedst muligt. Vi anvender ikke data til markedsføringsformål, og vi videresender ikke data til andre.

1.4.2. Tidligere kunder

Hvis kunden ikke er kunde længere, sletter vi data 5 år efter kundeforholdets udløb, dog først når der ikke er ikkeforældede krav mod den pågældende.

1.4.3. Potentielle kunder

Det sker ofte, at potentielle kunder, ikke indgår en kundeaftale straks, men først efter en længere periode. Vi sletter derfor først data vedrørende potentielle kunder efter 12 måneder.

1.5. Opdatering

Vi opdaterer personoplysningerne løbende. I forbindelse med arbejdet for kunden, får vi adgang til opdaterede oplysninger årligt, og disse opdaterer vi i vores systemer.

1.6. Forholdet til kunder

Med alle kunder indgås en kundeaftale. Denne indeholder de kontraktmæssige forhold, som danner hjemmelen til at behandle persondata. For at sikre, at kunden har forstået vigtigheden af dette, beder vi kunden afgive et samtykke, som giver revisorvirksomheden lov til at behandle data.

Kundeaftaler med samtykkeerklæringer opbevares i kundemappen under stamoplysninger.

1.7. Forholdet til medarbejdere

Ved samtale, bliver potentielle medarbejdere bedt om at afgive et samtykke om indsamling af data, som er nødvendig for en evt. ansættelse. Samtykke bliver opbevaret i medarbejders personalemappe.

Ved ansættelse, bliver medarbejdere bedt om at afgive erklæring om at bekræfte forståelse af virksomheds behandling af persondata. Erklæringen bliver opbevaret i medarbejders personalemappe.

1.8. Forholdet til leverandører

Vi overvejer løbende, om vores leverandører fungerer som databehandler. I givet fald indgås en skriftlig aftale om databehandlingen med dem.

Vi opbevarer ikke persondata om vores leverandører.

1.9. Databehandleraftaler

Hvis vi fungerer som databehandler for en kunde, indgår vi en skriftlig aftale med kunden om databehandlingen.

Hvis vi anvender en leverandører, som fungerer som databehandler, sikrer vi at der foreligger en skriftlig aftale med leverandøren om databehandlingen. Eksempler på vores underleverandører, hvor vi undersøger om de fungerer som databehandler: IT Revisor, Wolters Klüwer, Faglig Afdeling A/S, e-signatur og CL Data.

1.9.1. Erklæringer

Vi mener ikke, at vi er databehandler, når vi laver erklæringer med sikkerhed eller erklæringer uden sikkerhed.

1.9.2. Skat og regnskab

Det er vores opfattelse, at vi er selvstændigt dataansvarlige, når vi assisterer med regnskab eller skat, idet revisor ikke kan tage imod en detaljeret instruks, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke delformål og hjælpemidler opgaven skal løses.

1.9.3. Moms og bogholderi

Det er vores opfattelse, at vi er selvstændigt dataansvarlige når vi assisterer med moms og bogholderi, idet revisor ikke kan tage imod en detaljeret instruks herom, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses.

1.9.4. Løn

Det er vores opfattelse, at vi er selvstændigt dataansvarlige når vi laver løn, idet revisor ikke kan tage imod en detaljeret instruks om lønningerne, da revisor i sit arbejde er underlagt professionelle forpligtelser og standarder, f.eks. Hvidvaskloven. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses.

1.9.5. Rådgivning

Det er tvivlsomt, om vi er databehandler eller selvstændigt dataansvarlige, når vi udfører rådgivning. Forhold der taler for, at vi er dataansvarlige, er at vi ikke tager imod en detaljeret instruks om rådgivningen, da revisor i vores arbejde er underlagt professionelle forpligtelser og standarder, f. eks. Hvidvaskloven, skattelovgivningen mv. Vi træffer selv de væsentlige beslutninger om, med hvilke hjælpemidler opgaven skal løses, og derfor er vores opfattelse, at vi er selvstændigt dataansvarlige i disse situationer.

1.9.6. Leverandører

Hvis en leverandør fungerer som databehandler, indgår vi en skriftlig aftale med leverandøren om databehandlingen.

Eksempler på indgåede aftaler er It Revisor, Wolters Klüwer og CL Data.

1.10. Brud på sikkerheden

Hvis der sker et brud på sikkerhed, skal vi informere Datatilsynet (og nogle gange også den registrerede), om muligt indenfor 72 timer efter bruddet er konstateret.

Brud på datasikkerheden er, at der sandsynligvis er risiko for, at personoplysninger er blevet udsat for uautoriseret adgang eller er gået tabt. Sandsynlighed skal udgøre mere end 50%.

Hvis brud på datasikkerheden opdages, gives straks meddelelse til ledelsen, som om muligt indenfor 72 timer, skal have overblik over bruddet. Ledelsen eller en person af ledelsen udpeget, anmelder som minimum:

• Karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger

• Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes

• De sandsynlige konsekvenser af bruddet på persondatasikkerheden

• De foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

Hvis et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal vi ikke alene foretage en anmeldelse til Datatilsynet, men også underrette den registrerede om bruddet. Gør vi ikke dette, har Datatilsynet mulighed for at gå ind i sagen og kræve, at den dataansvarlige foretager underretning af den registrerede. Hvis det er relevant at informere den registrerede, gøres dette via mail, eller via offentlig meddelelse eller tilsvarende.

Vi skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at dokumentationskravet er overholdt. Dokumentet føres fortløbende (som en log).

1.11. Den registreredes rettigheder

1.11.1. Oplysning og indsigt

1.11.1.1. Medarbejdere

Vi informerer en gang årligt, medarbejderen om:

• Vores identitet og kontaktoplysninger

• Formålene og retsgrundlaget for vores behandling

• Hvem der modtager oplysningerne

• Hvorvidt oplysningerne vil blive overført til lande uden for EU/EØS

• Hvilke typer af oplysninger vi registrerer

• At vi indhenter oplysninger om dem fra leverandører, myndigheder, samarbejdspartnere og andre aktører / information om, hvorfra oplysningerne kommer, hvis ikke fra den registrerede

• Retten til at anmode om kopi af de data der opbevare

• Retten til at anmode om berigtigelse

• Retten til at gøre indsigelse mod en behandling

• Retten til dataportabilitet

• Vi placerer udelukkende teknisk nødvendige cookies på brugerens udstyr

• Slettepolitik

• Retten til at tilbagekalde samtykke

• Retten til at indgive en klage til Datatilsynet

• Forekomsten af automatiske afgørelser, herunder profilering eller logikken heri

• Retten til at anmode om sletning af personoplysninger

• Retten til at anmode om begrænsning af behandling af personoplysninger

1.11.1.2. Kunder

Vi oplyser vores kunder i kundeaftaler om, at vi behandler personoplysninger om dem. Vi informerer dem om:

• Vores identitet og kontaktoplysninger

• Formålene og retsgrundlaget for vores behandling

• Hvem der modtager oplysningerne

• Hvorvidt oplysningerne vil blive overført til lande uden for EU/EØS

• Hvilke typer af oplysninger vi registrer

• At vi indhenter oplysninger om dem fra leverandører, myndigheder, samarbejdspartnere og andre aktører / information om, hvorfra oplysningerne kommer, hvis ikke fra den registrerede

• Retten til at anmode om kopi af de data der opbevares

• Retten til at anmode om berigtigelse

• Retten til at gøre indsigelse mod en behandling

• Retten til dataportabilitet

• Vi placerer udelukkende teknisk nødvendige cookies på brugerens udstyr

• Slettepolitik

• Retten til at tilbagekalde samtykke

• Retten til at indgive en klage til Datatilsynet

• Forekomsten af automatiske afgørelser, herunder profilering eller logikken heri

• Retten til at anmode om sletning af personoplysninger

• Retten til at anmode om begrænsning af behandling af personoplysninger

1.11.2. Ret til indsigt

En person som vi registrerer data om, har ret til indsigt i, at vi registrerer, og hvilke data vi registrerer om vedkommende. En anmodning om indsigt, skal videreføres til ledelsen, som iværksætter en – uden ugrundet ophold - passende besvarelse til den registrerede. Indsigt omfatter:

• Formålet med behandling af data

• Kategorier af oplysninger, som behandles

• Eventuelle andre modtagere af data

• Slettepolitik for den registreredes data

• Den registreredes rettigheder (indsigt, berigtigelse, sletning mv.)

• Retten til at klage til Datatilsynet

• Hvor oplysningerne er indhentet, hvis dette ikke er fra den registrerede

• Omfanget af automatiske afgørelser, herunder profilering og logikken bag

1.11.3. Ret til berigtigelse

En person som vi registrerer data om, har ret til indsigt i, at vi berigtiger data, hvis data om vedkommende er forkerte.

En anmodning om berigtigelse kan behandles af den person, som modtager anmodningen.

1.11.4. Ret til sletning

En person som vi registrerer data om, har ret til at få slettet de data, som vi registrerer om personen. En anmodning om sletning, skal videreføres til virksomhedens ledelse, da der skal tages stilling til data, som kan være omfattet af opbevaringspligt efter Bogføringsloven, Hvidvaskloven, Erklæringsbekendtgørelsen osv. Data omfattet af opbevaringspligt, må ikke slettes inden lovgivningsfristen udløber.

En konsekvens af, at en person vil have slettet sine persondata, kan være at vi ikke kan fuldføre kundeforholdet, da lovgivningen ikke overholdes, og vi må i givet fald derfor stoppe kundeforholdet.

1.11.5. Ret til begrænset behandling

En person som vi registrerer data om, har ret til at få begrænset behandlingen af de data, som vi registrerer om personen, begrænset til hvad der er nødvendigt i forhold til formålet med behandlingen. Den registrerede har ret til begrænsning, hvis et af forholdene A-D gør sig gældende:

a) rigtigheden af personoplysningerne bestrides af den registrerede, i perioden indtil den dataansvarlige har haft mulighed for at fastslå, om personoplysningerne er korrekte

b) behandlingen er ulovlig, og den registrerede modsætter sig sletning af personoplysningerne og i stedet anmoder om, at anvendelse heraf begrænses

c) den dataansvarlige ikke længere har brug for personoplysningerne til behandlingen, men de er nødvendige for, at et retskrav kan fastlægges, gøres gældende eller forsvares

d) den registrerede har gjort indsigelse mod behandlingen i medfør af persondataforordningens artikel 21, stk. 1, i perioden mens det kontrolleres, om den dataansvarliges legitime interesser går forud for den registreredes legitime interesser.

Hvis begrænsningen ophæves, skal vi informere den registrerede inden da.

1.11.6. Ret til dataportabilitet

En person som vi registrerer data om, har ret til at dataportabilitet. Dvs. den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til os, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra os, når behandlingen er baseret på samtykke eller kontrakt, og behandlingen foretages automatisk.

Det er vores opfattelse, at behandlingen ikke foretages automatisk, hvorfor vi ikke mener, at data vi registrerer til brug, er omfattet af retten til dataportabilitet.

1.11.7. Ret til indsigelse

Den registrerede har til enhver tid ret til at gøre indsigelse mod behandling af sine personoplysninger, baseret på at behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, eller baseret på at behandling er nødvendig for, at vi kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Da vores registreringer er baseret på samtykke og kontrakter, mener vi ikke at dataene er omfattet af retten til indsigelse.