logoRevisjon og regnskap

Logg på for å laste ned PDF
Spør advokaten

Om Spør advokaten

Astrid Foyn-Bruun er advokat og partner i EY Law. Hun arbeider særlig med kontraktsrett, arbeidsrett IP/IT, offentlige anskaffelser og problemstillinger knyttet til olje- og gassegmentet, men EY Law tilbyr tjenester innen et bredt spekter av forretningsjus, og i denne spalten vil Astrid svare på spørsmål knyttet til hele EY Laws fagområde. ­Advokatfullmektig Ida Kristine Hjorteset bidro med svaret i det temaet som ble tatt opp i denne utgaven av bladet. Har du spørsmål som også kan være av interesse for Revisjon og regnskaps lesere, kan disse sendes: astrid.foyn-bruun@no.ey.com. I utgangspunktet vil kun spørsmål som kommer på trykk bli besvart.

Hvilken betydning vil GDPR få for regnskap og revisjon?

I forbindelse med at vi får en ny lov om behandling av personopplysninger, som følge av EUs nye personvernforordning (GDPR), får vi mange spørsmål om hvilken betydning dette får for behandling av personopplysninger med regnskaps- og revisjonsformål.

Når selskaper fører sine regnskaper, og disse revideres, vil det forekomme behandling av personopplysninger dersom regnskapene inneholder informasjon som er egnet til å identifisere fysiske personer. Dette gjelder særlig regnskapsopplysninger som omhandler privatkunder og ansatte i virksom­heten. I tillegg vil all håndtering av opplysninger om enkeltpersonforetak kunne anses som personopplysninger. Når et selskap behandler sine egne regnskapsopplysninger, vil de være såkalt behandlingsansvarlig for disse opplysningene. Dersom det derimot er snakk om et regnskapsfirma som behandler personopplysninger på vegne av sine kunder, vil regnskaps­firmaet være å anse som databehandler for kundene. Kundene beholder imidlertid behandlingsansvaret for personopplysningene.

Oppbevaringsplikt opp mot sletteplikt

For at behandling av personopplysninger skal være tillatt, må den blant annet ha et lovlig grunnlag. Det mest sentrale grunnlaget for behandling av personopplysninger for regnskaps- og revisjonsformål følger av forordningens artikkel 6 første ledd bokstav c, som tillater behandling dersom det «er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». I den grad oppbevaring av personopplysninger er pålagt i henhold til bokføringsreglene, vil behandlingsansvarlig dermed også ha et lovlig grunnlag for behandlingen. Dette gjelder likevel bare når oppbevaringsplikten påhviler den behandlingsansvarlige.

Dette innebærer også at et selskap ikke lenger har lov til å behandle (herunder oppbevare) personopplysninger når det ikke lenger foreligger en oppbevaringsplikt etter bokføringsreglene eller andre regelsett (f.eks. hvitvaskings­reglene), og selskapet heller ikke har et annet grunnlag for å oppbevare opplysningene. Det inntrer samtidig en sletteplikt.

Det er viktig å presisere at alle ytterligere plikter for behandlingsansvarlig, samt rettigheter for registrerte, består så lenge de ikke er i konflikt med behandlingsansvarliges bokføringsplikt. Dette gjelder eksempelvis den registrertes rett til informasjon og innsyn, behandlingsansvarliges plikt til å begrense behandlingen av personopplysninger i så stor grad som mulig innenfor formålet, og plikten til forsvarlig håndtering av personopplysningene. Den registrertes rett til sletting og dataportabilitet vil imidlertid ikke kunne håndheves når virksomheten samtidig har en plikt etter bokføringsreglene til å oppbevare opplysningene.