Nye regler om personopplysninger skjerper kravene til regnskapsbransjen

Dagens bruk av teknologi med elektroniske spor og registreringspunkter krever et regelverk som hindrer misbruk. De nye reglene medfører utvidede plikter for regnskapsførere.

Del
!
Artikkelen er over ett år gammel og innholdet kan derfor være utdatert

Personvern handler om retten til å bestemme over opplysninger om seg selv som registreres eller lagres. Både navn, adresse, epostadresse og fødselsdato er opplysninger som defineres som personopplysninger. Med dagens bruk av teknologi, og derav mange elektroniske spor og registreringspunkter, er det viktig med et godt regelverk som sikrer mot misbruk av opplysningene. Dette er bakgrunnen for den nye EU-forordningen som trer i kraft for Norge 25. mai 2018.

Personvernerklæring

Alle regnskapsvirksomheter må fra mai 2018 opplyse om hvordan de behandler personopplysninger. Denne opplysningsplikten vil ivaretas gjennom oppdragsavtalen. Dette under forutsetning av at du benytter oppdragsavtale, som er utarbeidet av Regnskap Norge.

Systemer og lagring

Lagring og registrering på en «personvernvennlig måte» er viktig. Det innebærer at du som regnskapsfører må tenke personvern, og utarbeide systemer og tiltak som gjør at den mest personvernvennlige innstillingen er standard i alle dine systemer.

Personvernombud

De nye reglene setter som krav at alle offentlige og noen private virksomheter oppretter et personvernombud. Personvernombudet skal være bindeleddet mellom ledelsen (i virksomheten som mottar eller lagrer personopplysninger), den registrerte og Datatilsynet.

De fleste regnskapsvirksomheter antas å måtte opprette et personvernombud fordi de behandler personopplysninger i stort omfang. Det samme gjelder for systemleverandørene.

Databehandlere får nye plikter 

Regnskapsfører er databehandler fordi virksomheten behandler personopplysninger på oppdrag fra kunden.

De nye pliktene innebærer at regnskapsvirksomheten må:

  • ha rutiner for innsamling og bruk av personopplysninger
  • si fra til oppdragsgiveren dersom de får instrukser som er i strid med loven
  • gi kunden rett til å godkjenne underleverandører

Dersom det foreligger grove brudd på regelverket kan regnskapsfører også bli holdt økonomisk ansvarlig sammen med kunden.

Strengere krav til avvikshåndtering

For å bruke Datatilsynets egne ord på hva denne regelen går ut på skal man kort sagt si fra raskere og oftere om eventuelle avvik enn man gjør i dag.

Må kunne oppfylle borgernes rettigheter

Retten til å bli glemt styrkes. Det medfører at borgerne raskere kan kreve at alle opplysninger om dem slettes. I tillegg vil borgerne få rett til å ta med seg personopplysninger en leverandør til en annen i et vanlig brukt filformat. Dette kalles «dataportabilitet». I tillegg kan borgerne motsette seg profilering. Og alle databehandlere har plikt til å besvare borgerne innen en måned.

Regnskap Norges kommentarer:

Merk at reglene først trer i kraft fra 2018. Det er også gjort endringer i personopplysningsregelverket fra 1.1.2017, men disse antas ikke å få innvirkning på regnskapsbransjen.

Det kan være fornuftig å orientere seg om regelverket allerede nå.

De nye reglene er strengere enn nåværende regler og overtredelser vil kunne sanksjoneres med høye gebyrer. Gebyrene kan bli på hele 4 % av årlig omsetning for de groveste overtredelsene. Her blir det med andre ord viktig å opptre i tråd med forordningen. En god start kan være å sjekke om dagens personopplysningslov etterleves. På den måten blir overgangen til de nye kravene enklere.