logoRevisjon og regnskap

Logg på for å laste ned PDF
Regnskap
PhD
Lars Erlend Leganger

Direktør i PwC

Personvernjurist
Christine Ask Ottesen

Direktør i Advokatfirmaet PwC

Hva er en personopplysning?

  • Personopplysninger er «enhver opplysning om en identifisert eller identifiserbar fysisk person

  • En identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet*GDPR artikkel 4: https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_gdpr-1#KAPITTEL_gdpr-1

  • Anonyme opplysninger, altså opplysninger som ikke kan identifisere fysiske personer, er ikke ansett som personopplysninger. Opplysninger kan ved første øyekast fremstå som anonyme, men likevel være personopplysninger i lovens forstand, dersom det kan være mulig å identifisere en eller flere personer ad omveier. Eksempler på dette er kontonummer, en bils registreringsnummer og opplysninger knyttet til kundenumre. Slike opplysninger kan kobles sammen med andre opplysninger, og dermed identifisere personen opplysningen er knyttet til

SAF-T Regnskap:

Bruk og misbruk av personopplysninger

Målet med innføringen av Standard Audit File – Tax (SAF-T) Regnskap er å gjøre det enklere å dele, kontrollere og analysere regnskapsdata. Økt bruk og tilgjengelighet øker også risikoen for at regnskapsdata kommer på avveie eller misbrukes bevisst eller ubevisst, av interne eller eksterne parter.

Selskaper er lovpålagt å fremskaffe regnskapsdata på SAF-T-format når/om Skatteetaten ber om det ved en eventuell kontroll, men regnskapsdata på SAF-T-format har også mange potensielle anvendelsesområder både internt i foretaket og ved revisjon.*Se bl.a. Revisjon og Regnskap 8/2020 for en overordnet introduksjon til SAF-T Regnskap, Revisjon og Regnskap 1/2021 for en drøfting av mulighetene SAF-T Regnskap åpner for revisjon, og Revisjon og Regnskap 2/2021 for ny SAF-T i MVA-melding og fremtidige muligheter for sanntidsrapportering. Standardiseringen og forenklingen ved SAF-T tilrettelegger for økt bruk av regnskapsdata i verdiskapende prosesser og analyser, men økt bruk og tilgjengelighet øker også risikoen for at regnskapsdata kommer på avveie eller misbrukes bevisst eller ubevisst, av interne eller eksterne parter.

Fremskritt innen stordataanalyse både utvider mulighetene for, og reduserer kostnadene ved, å «sette data i arbeid» gjennom analyser og datadrevet automatisering. Dette gjør forretningsrelevante data om bedrifter, produkter, og enkeltindivider mer anvendelige og attraktive. I takt med at potensialet for å bruke – og misbruke – data øker, stilles det høyere krav til hvordan en jobber med (regnskaps)data: «Klassiske» risikoer knyttet til behandling av regnskapsdata – som lekkasje av børssensitiv informasjon og innsidehandel, eller avsløring av forretningshemmeligheter om priser og marginer – har fått selskap av nye risikoer og krav. Ikke minst gjelder dette hvordan en behandler og beskytter de personopplysningene*Se faktaboks for nærmere definisjon og eksempler på hva som kan utgjøre personopplysninger. som direkte eller indirekte inngår i foretakets regnskapsdata.

Personopplysningsloven

Personopplysningsloven*Norge innførte ny personopplysningslov i 2018. Loven består av nasjonale regler og implementerer EUs personvernforordning «General Data Protection Regulation» (GDPR) i norsk rett. stiller strenge krav til virksomheters behandling av personopplysninger – også når behandlingen utføres for å etterleve andre lovpålagte krav, som eksempelvis tilgjengeliggjøring av regnskapsdata på SAF-T-format. Dette innebærer blant annet at den enkelte virksomhet må vurdere og dokumentere det rettslige grunnlaget for behandlingen av personopplysninger, ta stilling til kravene til dataminimering og sletting, samt gjennomføre nødvendige sikkerhetstiltak – som tilgangsstyring, logging, kryptering, og/eller pseudonymisering.

I denne artikkelen ser vi på noen relevante personvernutfordringer – og -muligheter – ved etterlevelse av lovpålagte SAF-T-krav, og ved bruk av SAF-T i analyser og andre verdiskapende aktiviteter.

Utvalgte krav og begrep i GDPR

  • Behandlingsgrunnlag: all behandling av personopplysninger må ha et rettslig grunnlag for å være lovlig. Virksomheter som behandler personopplysninger, må identifisere et behandlingsgrunnlag for personopplysningene som behandles for hvert enkelt formål. Dersom en ikke kan identifisere et behandlingsgrunnlag, vil behandlingen ikke være lovlig. Typiske eksempler på rettslige grunnlag vil være samtykke, behandlingen er nødvendig for å gjennomføre en avtale, virksomhetens legitime interesse eller hvor behandlingen er nødvendig for å oppfylle en rettslig forpliktelse.

  • Behandlingsansvarlig: er det primære pliktsubjektet etter personvernregelverket og som er overordnet ansvarlig for å overholde personvernprinsippene og regelverkets øvrige bestemmelser. Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, sikre at det foreligger et behandlingsgrunnlag, behandle personopplysningene på en tilfredsstillende sikker måte, påse at de registrerte får utøvd sine rettigheter og en rekke øvrige plikter.

  • Databehandler: en ekstern aktør som behandler personopplysninger på vegne av den behandlingsansvarlige. Databehandler opptrer på instruks fra den behandlingsansvarlige og kan derfor ikke selv bestemme formål og andre avgjørende elementer ved behandlingen. Databehandlerens adgang til å behandle personopplysninger på vegne av den behandlingsansvarlige reguleres gjennom en databehandleravtale.

  • Dataminimering: prinsippet om dataminimering innebærer en forpliktelse til å begrense mengden personopplysninger som behandles. Dette innebærer at en bare kan behandle de personopplysningene som er nødvendige og relevante for å oppnå formålet personopplysningene behandles for.

  • Tekniske og organisatoriske tiltak: den behandlingsansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre at behandlingen utføres i samsvar med personvernprinsippene. Det betyr blant annet at behandlingsansvarlige skal innføre interne rammeverk og retningslinjer som sikrer denne gjennomføringen og implementere egnede tekniske og organisatoriske tiltak, inkludert gjennomføre risikovurderinger og ev. vurdering av personvernkonsekvenser ved behov. Tiltakene skal stå i forhold til risikoen forbundet med brudd på fysiske personers rettigheter og friheter som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-autorisert utlevering av eller tilgang til personopplysningene.