Personvernreglene for revisorer

I forbindelse med de nye personvernreglene (GDPR) som trer i kraft 25. mai 2018, arbeider Revisorforeningen med en veiledning på hva dette vil bety for revisorene. I tillegg har vi startet arbeidet med å utarbeide en bransjenorm for revisjonsbransjen. I denne forbindelse er det avholdt et møte med Datatilsynet.

Publisert: Revisjon

Formålet med de nye personvernreglene er å fastsette regler som sikrer fysiske personers rett til personvern. Revisjonsselskapene er som alle andre virksomheter omfattet av den nye personvernforordningen. Det som imidlertid skiller revisjonsbransjen fra mange andre bransjer, er at revisor i tillegg til å behandle personopplysninger i forbindelse med drift av egen virksomhet, også behandler personopplysninger i forbindelse med utførelse av oppdragene.

Som en hjelp til å kunne implementere og etterleve personvernreglene har Revisorforeningen startet arbeidet med en bransjenorm for revisjonsbransjen og en veiledning for revisorer.

Revisors behandling av personopplysninger er også i dag omfattet av personvernlovgivningen, men problemstillingen blir ytterligere aktualisert ved gjennomføringen av EU`s personvernforordning i Norge. Revisorloven har bestemmelser om blant annet taushetsplikt og regler om ordnet og betryggende oppbevaring av revisjonsdokumentasjon som langt på vei ivaretar formålet med personvernreglene. Vår oppfatning er at revisjonsselskaper som følger bestemmelsene i gjeldende revisorlov, har et godt utgangspunkt for å kunne etterleve personvernforordningen som trer i kraft i mai 2018.

Revisorforeningen hadde et møte med Datatilsynet 4. januar 2018, hvor formålet var å diskutere personvernforordningen sett fra revisors ståsted. I første omgang ble det fokusert på revisors behandling av personopplysninger i forbindelse med utførelse av revisjonsoppdrag og andre lovbestemte attestasjoner. I tillegg ble den fremtidige bransjenormen diskutert.

Bransjenorm og veiledning

Datatilsynet vil i løpet av våren 2018 gi ut en veiledning for utarbeidelse av bransjenorm. Vi har startet arbeidet med en bransjenorm, men da arbeidet er påvirket av innholdet i veiledningen vil ferdigstillelse av bransjenormen være avhengig av når veiledningen blir tilgjengelig.

Bransjenormen må godkjennes av Datatilsynet, og vil da være rettledende for revisjonsbransjens implementering og etterlevelse av loven.

Revisorforeningen arbeider samtidig med en veiledning som skal gi medlemmene veiledning om de ulike problemstillingene man står overfor ved behandling av personopplysninger. Vår veiledning vil omfatte hvordan behandling av personopplysninger bør håndteres både i drift av revisjonsvirksomhet og utførelse av oppdrag.

Revisor som behandlingsansvarlig eller databehandler

En problemstilling som ofte dukker opp i forbindelse med diskusjoner om innholdet i personvernforordningen, er om revisor anses som behandlingsansvarlig eller databehandler når det utføres oppdrag for kunder.

Dette avhenger av hvilken type oppdrag revisorutfører, og må vurderes konkret i hvert enkelt tilfelle. Når revisor utfører revisjonsoppdrag og andre lovbestemte attestasjonsoppdrag, vil revisor være behandlingsansvarlig for de personopplysninger som innhentes fra kunden og oppbevares. Et revisjonsoppdrag har ikke som formål å behandle personopplysninger, men revisor vil kunne måtte behandle personopplysninger som ledd i utførelsen av revisjonen.

Når revisor innhenter og oppbevarer personopplysninger i forbindelse med utførelse av andre oppdrag enn revisjon og andre lovbestemte attestasjoner for en oppdragsgiver, vil revisor være databehandler. Eksempler på slike oppdrag vil kunne være teknisk utarbeidelse av årsregnskap og skattemelding, avtalte kontrollhandlinger m.v..

For oppdrag der revisor er databehandler, vil det måtte inngås skriftlig avtale med kunden og revisor må i den forbindelse gi tilstrekkelige garantier for at personvernreglene etterleves. Som ledd i arbeidet med bransjenorm og veiledning vil det utarbeides eksempel på avtale som kan brukes der revisor er databehandler. I tillegg vil det gjøres vurderinger av om det må foretas endringer i engasjementsbrev m.v..