Personvernerklæring for Grant Thornton Norge

Denne personvernerklæringen forteller hvordan Grant Thornton Revisjon AS, Grant Thornton Økonomiservice AS, Grant Thornton Law Advokatfirma AS og Grant Thornton Consulting AS samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av personopplysninger.

Her får du nærmere informasjon om hvilke personopplysninger vi typisk samler inn, hva vi bruker opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har dersom vi har personopplysninger om deg.

Henvendelse om vår behandling av personopplysninger kan rettes til:

Grant Thornton Revisjon AS
Kirkegata 15, 0153 OSLO
grant@no.gt.com

Henvendelsen vil bli fulgt opp av vår personvernansvarlig. Du kan også rette din henvendelse til din kontaktperson hos oss.

Vi vil kunne gjøre mindre endringer i denne personvernerklæringen. Du vil alltid finne siste versjon på vår nettside.

Oversikt over personvernerklæringen

  1. Bransjenormer
  2. Når samler vi inn personopplysninger?
  3. Behandlingsansvarlig og databehandler
  4. Dine rettigheter
    1. Innsyn
    2. Sletting og retting
    3. Klage
    4. Personopplysninger som vi samler inn og hva vi bruker dem til
      1. Revisoroppdrag
      2. Regnskapsføreroppdrag
      3. Advokatoppdrag
      4. Andre oppdrag
      5. Plikter etter hvitvaskingsloven
      6. Kundekontakt og markedsføring
      7. Bruk av våre nettsider www.grantthornton.no
      8. Medarbeidere og jobbsøkere
      9. Informasjonssikkerhet, taushetsplikt og oppbevaring
      10. Overføring av personopplysninger
        1. Oppbevaring i EØS
        2. Overføring av personopplysninger som følge av lov
        3. Vår bruk av databehandlere

1 Bransjenormer

Det er utarbeidet bransjenormer for behandling av personopplysninger i revisjons-, regnskapsfører- og advokatbransjen.  Vi følger disse bransjenormene i vår virksomhet.

2 Når samler vi inn personopplysninger?

Vi samler inn personopplysninger i forbindelse med

  • etablering av kundeforhold
  • rapportering av mistanke etter hvitvaskingsloven
  • utførelse av våre oppdrag, inkludert revisjonstjenester (revisjon av årsregnskap, forenklet revisorkontroll av regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte kontrollhandlinger), regnskapsføring og ulike rådgivningsoppdrag kundekontakt og markedsføring
  • bruk av våre nettsider www.grantthornton.no
  • ansettelser og ansatte

3 Behandlingsansvarlig og databehandler

Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger i forbindelse med våre oppdrag. Som behandlingsansvarlig er vi ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine personopplysninger, herunder at du får ivaretatt dine rettigheter.

I enkelte tilfeller er vi databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for regnskapsføreroppdrag og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige.) Vi behandler dine personopplysninger i samsvar med databehandleravtalen.

4 Dine rettigheter

Du kan utøve dine rettigheter ved å kontakte vår personvernansvarlig. Send en e-post til grant@no.gt.com. Du skal få svar uten ugrunnet opphold, og senest innen 30 dager.

Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider.

4.1 Innsyn

Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne personvernerklæringen.

Hvis du ber oss om innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger (personvernforordningen artikkel 12.5).

Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet. Vi er underlagt lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder en konflikt mellom deg og din arbeidsgiver. Da må du gå direkte til arbeidsgiveren og be om å få innsyn i opplysningene.

Det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag. Vår taushetsplikt forhindrer oss å gi innsyn i slike vurderinger. Revisors vurdering skal også være uavhengig av muligheten til innsyn, jf. også personopplysningsloven § 16 1.ledd bokstav e.

4.2 Sletting og retting

Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan også ha en berettiget interesse i å beholde opplysninger utover dette hvis de er nødvendige for å forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).

Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet personopplysningene

4.3 Klage

Ta først kontakt med vår personvernansvarlig hvis du mener vi ikke overholder personvernreglene.

Du kan også klage over vår behandling av personopplysninger til Datatilsynet.

5 Personopplysninger som vi samler inn og hva vi bruker dem til

5.1 Revisoroppdrag

Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe oss forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis). Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger, slik som:

  • navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget
  • opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
  • vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte

Det vil også kunne inkludere opplysninger om enkeltpersoners straffbare forhold og lovovertredelser

5.2 Regnskapsføreroppdrag

Vi utfører også regnskapsføreroppdrag. Da er vi underlagt regnskapsførerloven. Etter regnskapsførerloven skal vi utføre oppdraget i samsvar med de lover og regler som kundens regnskap skal oppfylle (bokførings-, regnskaps- og skattelovgivningen mv.), og følge god regnskapsføringsskikk. Det regnskapsmaterialet vi behandler på vegne av våre kunder inkluderer personopplysninger, slik som opplysninger om lønns- og arbeidsforhold.

5.3 Advokatoppdrag

Enkelte advokatoppdrag innebærer at vi får tilgang til personopplysninger om parter eller andre enkeltpersoner som berøres av en sak. Slike opplysninger kan fremkomme av dokumenter klienten oversender eller annen korrespondanse i saken. Behandlingen av personopplysninger i forbindelse med oppdrag for virksomhetskunder er forankret i GDPR artikkel 6 nr. 1 bokstav f (interesseavveining). I noen saker får vi også tilgang til sensitive personopplysninger, f.eks. helseopplysninger eller straffedommer og lovovertredelser. I slike tilfeller har behandlingen av opplysningene hjemmel i GDPR artikkel 9 nr. 2 bokstav f (behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav), jf. personopplysningsloven (ny 2018) § 11.

5.4 Andre oppdrag

Vi utfører også oppdrag som ikke er revisjonsoppdrag, regnskapsføreroppdrag eller advokatoppdrag. Dette inkluderer bekreftelser/attestasjoner overfor andre enn offentlige myndigheter, avtalte kontrollhandlinger, granskinger og ulike rådgivningsoppdrag. På tilsvarende måte som for revisjonsoppdrag (se ovenfor), vil det være snakk om personopplysninger som fremgår av dokumentasjon som er nødvendig som grunnlag for våre uttalelser, rapporter o.l.

5.5 Plikter etter hvitvaskingsloven

Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden og reelle rettighetshavere som i siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert (kopi av) legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.

Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om involverte personer. Slike meldinger er unntatt innsyn for de involverte.

5.6 Kundekontakt og markedsføring

I vår kontakt med eksisterende, tidligere og potensielle kunder, registrer vi kontaktopplysninger om kontaktpersoner slik som navn, e-postadresse, telefonnummer og stillingsbenevnelse. Vi har en berettiget interesse i å holde kundekontakt og markedsføre våre tjenester (personvernforordningen artikkel 6.1.f).

5.7 Bruk av våre nettsider www.grantthornton.no

Vi bruker informasjonskapsler (cookies) og IP-adresser som gjør at vårt nettsted kan kjenne igjen din datamaskin eller mobiltelefon. Vi bruker cookies for å huske din påloggingsinformasjon og samle inn besøksstatistikk på våre nettsider. For å samle informasjon vedrørende trafikk på våre nettsider og hvilke sider brukeren besøker, bruker vi Analyseprogrammer. Se egen cookie policy for bruk av våre nettsider på www.grantthornton.no

5.8 Fagnyheter og seminarer

Hos Grant Thornton gis du mulighet til å abonnere på fagnyheter og seminarinvitasjoner fra oss. Dette innebærer at du mottar e-post med de nyhetsbrev og invitasjoner du har valgt å abonnere på. For å kunne sende nyhetsbrev til riktig person er det nødvendig å registrere seg med navn og e-postadresse, bedriftsnavn og stillingstittel. Disse opplysningene lagres i en egen database og vil ikke bli videreformidlet til andre aktører. Du kan når som helst trekke ditt samtykke for oppbevaring av dine kontaktopplysninger. I dette tilfellet vil vi slette din kontaktinformasjon fra adresselisten.

5.9 Medarbeidere og jobbsøkere

Personopplysninger om ansatte som vi behandler, er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende og utdannelse/stillingsnivå. Grunnlaget er oppfyllelse av arbeidsavtalen (personvernforordningen artikkel 6.1.b) samt å oppfylle vår plikt til å rapportere opplysninger om ansatte til offentlige myndigheter som NAV og Skatteetaten (personvernforordningen artikkel 6.1.c, ev. artikkel 9.2.b, jf. personopplysningsloven § 6). Personopplysninger blir oppbevart så lenge medarbeideren er ansatt hos oss, og slettes ett og et halvt år etter at medarbeideren har sluttet. Personopplysninger om ansatte som inngår i oppbevaringspliktig regnskapsmateriale, oppbevares i samsvar med kravene i bokføringsregelverket.

Dersom du søker jobb hos oss, trenger vi å behandle opplysninger om deg for å vurdere din søknad. Grunnlaget er tiltak på søkerens anmodning før en ev. arbeidsavtale blir inngått (personvernforordningen artikkel 6.1.b). Personopplysninger om søkere som ikke blir ansatt, oppbevares i inntil ett år.

6 Informasjonssikkerhet, taushetsplikt og oppbevaring

Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn (dette gjelder såkalte særlige kategorier personopplysninger, fødselsnummer og personopplysninger om straffbare forhold og lovovertredelser).

Utvidet informasjon om informasjonssikkerhet er tilgjengelig for våre kunder på forespørsel.

Vi er underlagt taushetsplikt om alt vi blir kjent med i vår virksomhet, både i forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.

Vi oppbevarer dokumentasjonen vår på en ordnet og betryggende måte sikret mot ødeleggelse, tap og endring, i henhold til krav til oppbevaringstid i lov og forskrift.  Vi vil slette personopplysninger innen ett år etter utløpet av oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen som inneholder personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).

7 Overføring av personopplysninger

7.1 Oppbevaring i EØS

Vi oppbevarer våre kundedata, inkludert alle personopplysninger, i Norge eller andre EØS-land. Det samme gjelder opplysninger om medarbeidere og jobbsøkere. Vi benytter kun databehandlere som oppbevarer opplysningene i Norge eller andre EØS-land.

For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av EU-kommisjonen, bindende virksomhetsregler for et konsern eller gruppe av foretak eller til noen som er bundet av Privacy Shield (USA).

7.2 Overføring av personopplysninger som følge av lov

  • Finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn
  • Revisorer eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til vår dokumentasjon
  • Rapportering av mistenkelige transaksjoner til Økokrim, se punkt 5.4
  • Politiet kan i visse tilfeller gis tilgang til dokumentasjonen vår
  • Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger
  • Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
  • Hvis vi blir innkalt som vitne i en rettsak, har vi alminnelig vitneplikt

Revisorer, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.

7.3 Vår bruk av databehandlere

Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Det inkluderer behandling av personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har databehandleravtaler med alle tjenesteleverandører som behandler personopplysninger på vegne av oss.