Hvilken betydning vil GDPR få for regnskap og revisjon?

  • Share

I forbindelse med at vi får en ny lov om behandling av personopplysninger, som følge av EUs nye personvernforordning (GDPR), får vi mange spørsmål om hvilken betydning dette får for behandling av personopplysninger med regnskap- og revisjonsformål.

Av: advokat Ida Kristine Hjorteset og Astrid Foyn-Bruun. Artikkelen er tidligere publisert i Revisjon og Regnskap og gjengis med tillatelse.

Når selskaper fører sine regnskaper, og disse revideres, vil det forekomme behandling av personopplysninger dersom regnskapene inneholder informasjon som er egnet til å identifisere fysiske personer. Dette gjelder særlig regnskapsopplysninger som omhandler privatkunder og ansatte i virksomheten. I tillegg vil all håndtering av opplysninger om enkeltpersonforetak kunne anses som personopplysninger. Når et selskap behandler sine egne regnskapsopplysninger, vil de være såkalt behandlingsansvarlig for disse opplysningene. Dersom det derimot er snakk om et regnskapsfirma som behandler personopplysninger på vegne av sine kunder, vil regnskapsfirmaet være å anse som databehandler for kundene. Kundene beholder imidlertid behandlingsansvaret for personopplysningene.

Oppbevaringsplikt opp mot sletteplikt

For at behandling av personopplysninger skal være tillatt, må den blant annet ha et lovlig grunnlag. Det mest sentrale grunnlaget for behandling av personopplysninger for regnskaps- og revisjonsformål følger av forordningens artikkel 6 første ledd bokstav c, som tillater behandling dersom det «er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». I den grad oppbevaring av personopplysninger er pålagt i henhold til bokføringsreglene, vil behandlingsansvarlig dermed også ha et lovlig grunnlag for behandlingen. Dette gjelder likevel bare der oppbevaringsplikten påhviler den behandlingsansvarlige.

Dette innebærer også at når det ikke lenger foreligger en oppbevaringsplikt etter bokføringsreglene eller andre regelsett (f.eks. hvitvaskingsreglene), og selskapet heller ikke har et annet grunnlag for å oppbevare opplysningene, har de ikke lenger lov til å behandle (herunder oppbevare) personopplysningene, og det inntrer en sletteplikt.

Det er viktig å presisere at alle ytterligere plikter for behandlingsansvarlig, samt rettigheter for registrerte, består så lenge de ikke er i konflikt med behandlingsansvarliges bokføringsplikt. Dette gjelder eksempelvis den registrertes rett til informasjon og innsyn, behandlingsansvarliges plikt til å begrense behandlingen av personopplysninger i så stor grad som mulig innenfor formålet, og plikten til forsvarlig håndtering av personopplysningene. Den registrertes rett til sletting og dataportabilitet vil imidlertid ikke kunne håndheves der virksomheten samtidig har en plikt etter bokføringsreglene til å oppbevare opplysningene.

Plassering av behandlingsansvar ved revisjon

Vi opplever at mange revisjonskunder etterspør databehandleravtaler hos sin revisor, ettersom de antar at revisor behandler personopplysninger på deres vegne.

Når revisor behandler personopplysninger i kundenes regnskaper for revisjonsformål og andre lovbestemte attestasjonsoppdrag, vil dette imidlertid være selvstendige formål, sammenlignet med det formål opplysningene ble innhentet for. Revisor bestemmer derfor formålet, og også hvilke midler som brukes i behandlingen, og er dermed å anse som selvstendig behandlingsansvarlig. For denne typen behandling av personopplysninger er det derfor ikke påkrevet med databehandleravtaler mellom revisor og revisjonskunde etter hverken någjeldende eller ny personopplysningslov.

Dersom revisor derimot yter andre tjenester for kundene sine, ut over ren revisjon, kan det være nødvendig å inngå en databehandleravtale for denne delen av arbeidet. Revisorforeningen nevner som eksempler teknisk utarbeidelse av årsregnskap og skattemelding, avtalte kontrollhandlinger eller lignende.