Ny veiledning for behandling av personopplysninger i revisjonsbransjen
I artikkelen redegjøres det nærmere for utvalgte punkter som tas opp i revisjonsbransjens veiledning for behandling av personopplysninger. I tillegg gis noen praktiske råd for hvordan man kan ivareta personvernet i det daglige.
I revisjonsbransjen finnes det flere lover som revisjonsforetak må forholde seg til ved behandling av personopplysninger. I tillegg har revisorloven egne taushetspliktsregler.
Revisorforeningen har utarbeidet en veiledning som skal gjelde for behandling av personopplysninger i revisjonsbransjen. Denne oppsummerer de viktigste personvernforpliktelsene som gjelder for et revisjonsforetak ved levering av revisjons- og andre tjenester. Formålet med veiledningen er å klargjøre hvordan personvernreglene skal praktiseres i bransjen, samt bidra til forsvarlig behandling av personopplysninger.
Datatilsynet kan godkjenne bransjenormer som kan håndheves og sanksjoneres av bransjeorganisasjoner. Revisorforeningen har ikke ønsket å ha slike mekanismer og har derfor utarbeidet en veiledning for behandling av personopplysninger i revisjonsbransjen.
Når behandler revisjonsforetaket personopplysninger?
Et revisjonsforetak behandler normalt først og fremst bedriftsrelaterte opplysninger i sine oppdrag for klienter. I en viss grad er det imidlertid også nødvendig å behandle personopplysninger, for eksempel i utførelsen av revisjonsoppdrag, utarbeidelse av regnskap og skattemeldinger, og for å overholde forpliktelsene etter hvitvaskingsregelverket.
Revisjonsforetaket vil også behandle personopplysninger i forbindelse med administrering av personalmessige forhold, markedsføring, oppfølging av leverandører og annet som gjelder drift av revisjonsforetaket. Denne type behandlingsaktiviteter må håndteres i revisjonsforetak på samme måte som i andre foretak, og omtales derfor ikke i veiledningen eller i denne artikkelen.
