Abstract data connectivity pattern
Skatt og Økonomi20.08.2021 12.00.00

Behandling av personopplysninger i installerte programmer fra Wolters Kluwer

Carl F. Kjeldsberg, Produktsjef Dokument
Wolters Kluwer som programvareleverandør har ingen rolle i relasjon til personopplysningslovgivningen i programvaren som våre kunder installerer i eget miljø, såkalte «on premise» produkter. Det er likevel viktig for oss at du som kunde har kunnskap om personvernreglene som gjelder ved bruk av våre programmer.

Ønsker du en generell innføring i personvernforordningen (GDPR) anbefaler vi Datatilsynets nettsider på www.datatilsynet.no.


Roller og begreper

Personopplysning
En opplysning eller vurdering som kan knyttes til en enkeltperson. Dette kan være navn, kontaktopplysninger, lønn, kjønn, interesser og handlemønster.

Behandling av sensitive (særlige kategorier) personopplysninger som religion, fagforeningsmedlemskap, helse, rasemessig eller etnisk opprinnelse, politiske oppfatninger osv. er i utgangspunktet forbudt, men det er en rekke unntak fra forbudet, f.eks. ved uttrykkelig samtykke fra den registrerte for spesifikke formål. Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Den registrerte («datasubjektet»):
En levende, fysisk person, herunder også selvstendig næringsdrivende, som kan knyttes til en personopplysning. Juridiske personer er ikke omfattet av GDPR. Forordningens formål er å styrke rettighetene til fysiske personer.

Behandlingsansvarlig:
Den som bestemmer om, hvorfor og hvordan personopplysningene skal behandles, det vil si formålet med og metoden for behandlingen, samt det rettslige grunnlaget for at behandlingen skal utføres. Behandlingsansvarlig har overordnet ansvar for at personvernforordningen blir fulgt, og at de registrertes rettigheter blir ivaretatt.

Databehandler (underleverandør):
Behandler personopplysninger på oppdrag av og i samsvar med instruksjoner fra den behandlingsansvarlige for de eller det formål som den behandlingsansvarlige har bestemt. Vær oppmerksom på at databehandleren/underleverandøren aldri har direkte informasjonsplikt overfor den registrerte – dette er den behandlingsansvarlige sitt ansvar.

Et regnskapsbyrå er i mange tilfeller databehandler for sine kunder når det behandler personopplysninger, for eksempel ved føring av lønn. Avhengig av hvilket oppdrag byrået/bedriften har påtatt seg, kan man i noen tilfeller være behandlingsansvarlig og i andre tilfeller være databehandler. Som byrå/bedrift er det viktig at det fastslås hvilke roller som gjelder, og at det foreligger tydelige skriftlige avtaler – for eksempel oppdragsavtale, databehandleravtale, leverandøravtale eller noe annet – der formål, midler og rettslig grunnlag for behandlingen fremgår. I vårt Dokument-program finnes det en egen case for oppdragsavtale for regnskapsførere hvor databehandleravtale inngår. Der finnes det også en egen dokumentmal for databehandleravtale og protokoll for behandlingsaktiviteter.

Krav om rettslig grunnlag (hjemmel) for å behandle personopplysninger.

De rettslige grunnlagene er samtykke, avtale, rettslig forpliktelse eller berettiget interesse. En oppdragsavtale eller arbeidsavtale, skattemeldingsdokumentasjon og årsregnskap som skal oppbevares i fem år i henhold til skatte- og regnskapslovgivningen, er typiske rettsgrunnlag ved bruk av våre programmer.

Det er viktig at den registrerte personen får informasjon om hvilke personopplysninger som blir behandlet, hvorfor de behandles og det rettslige grunnlaget for behandlingen. Det er den behandlingsansvarlige som skal informere den registrerte om dette, både ved innhenting av personopplysninger og når den registrerte ber om det. Det finnes enkelte unntak fra informasjonsplikten, for eksempel dersom den registrerte allerede har informasjonen. Det er også viktig å begrense personopplysningene, slik at bare de som trengs til behandlingen blir registrert. Den behandlingsansvarlige må ha oversikt over hvilke personopplysninger som blir behandlet, formålet med behandlingen, hvor lenge personopplysningene skal behandles og når de vil bli slettet. Her er vår dokumentmal «Protokoll over behandlingsaktiviteter» et nyttig verktøy.

Den registrertes rettigheter og hvordan du ivaretar disse ved bruk av våre produkter

Den registrerte har rett til informasjon (innsyn), rett til korrigering (rettelser), rett til sletting, rett til begrensning, rett til innsigelse og dataportabilitet (rett til å flytte data til en annen databehandler/ansvarlig). Det er svært viktig å være tydelig på hvordan man i slike tilfeller sender personopplysninger til kunden, altså den registrerte. Informasjonen kan ikke sendes med ordinær e-post, men må krypteres. Her vil Bluewhale sikker e-post være til god hjelp.

Rett til innsyn
Åpenhet og gjennomsiktighet (transparens) vil si at man som behandlingsansvarlig på anmodning fra den registrerte skal kunne legge frem hvilke personopplysninger som er registrert om vedkommende, og det skal gjøres ved hjelp av et lett tilgjengelig, skriftlig format (kan være elektronisk) og med et enkelt språk. En slik anmodning skal besvares av den behandlingsansvarlige innen 30 dager, enten på papir eller for eksempel en PDF-utskrift som kan skrives ut eller legges ved/deles via en sikker kanal til den registrerte.

Rett til korrigering
Retten til korrigering oppfylles ved at man på anmodning fra den registrerte utfører den ønskede rettelsen, forutsatt at det ikke gjør det umulig å oppfylle forpliktelsen overfor kunden. Man må for eksempel ha riktige opplysninger for å kunne fylle ut en korrekt skattemelding. Man kan også ha juridiske grunner til ikke å endre personopplysninger i et revisjonsdokument eller endre i allerede fullførte og innleverte skattemeldinger eller årsoppgjør.

Rett til sletting
Rett til sletting blir også kalt retten til å bli glemt. Det gjelder ulike regler for sletting av opplysninger, avhengig av formålet og det rettslige grunnlaget for behandlingen. Opplysningene behandles enten i egenskap av behandlingsansvarlig eller som databehandler på oppdrag fra en behandlingsansvarlig. Retten til sletting skal oppfylles forutsatt at det ikke gjør det umulig å oppfylle forpliktelser overfor kunden. Selv om kundeforholdet har opphørt, kan det foreligge rettslige grunner til at man ikke kan slette eller oppfylle retten til å bli glemt. De fleste data som knyttes til regnskapsføring skal oppbevares i 5 år i henhold til regnskapsloven. Revisor skal etter revisorloven (§ 5-5) oppbevare dokumentasjon i forbindelse med revisjon av årsregnskap i minst 10 år.

Rett til begrensning og rett til å protestere
Den registrerte har rett til å kreve begrense behandlingen og å protestere mot behandlingen.
Vær oppmerksom på at begrensning og innsigelse bare er aktuelt dersom

1. den registrerte ikke lenger inngår i et pågående oppdrag (tidligere kunde), eller det ikke foreligger andre rettslige hindringer, f.eks. i regnskapslovgivningen
2. det er lagret flere opplysninger enn det som er nødvendig til formålet/oppdraget

Retten til dataportabilitet
Det kan forekomme at behandlingsansvarlig må gi kunden – den registrerte – en kopi av det som er lagret om den registrerte, i (maskin-)lesbart format. Den registrerte har også rett til, når det er teknisk mulig, å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen. Vær oppmerksom på at reglene gjelder bare opplysninger som den registrerte selv har oppgitt.

Informasjonssikkerhet og samarbeid via e-post, skybaserte fildelingsverktøy osv.

Det er viktig at man lar sikkerheten komme først, både når man er behandlingsansvarlig (eng. «controller») og databehandler/underleverandør (eng. «processor»). Unngå å lagre informasjon, særlig filer med sensitive personopplysninger, på ukrypterte, bærbare lagringsenheter som USB-stasjoner og lignende. Hvis man utveksler informasjon med kollegaer, revisor eller andre for å utføre arbeidet, må man være bevisst på hvordan dette blir gjort, for å unngå å sende personopplysninger i utrygge kanaler. Bruker man skybaserte fildelingsløsninger, er det viktig at leverandøren oppfyller kravene i GDPR.

Vår Support

Vi bistår gjerne med å oppfylle krav fra kunden (den registrerte). Det er viktig at man i en oppdragsavtale eller på andre måter får godkjenning for at det ved behov kan sendes inn filer og annet som kan inneholde personopplysninger til vår supportavdeling, og at kunden tillater oppkobling og fjernhjelp ved hjelp av fjernhjelptjenestene TeamViewer eller QuickAssist.

Ved bruk av fjernhjelpen må åpne program eller vinduer som ikke trenger å være åpne, lukkes før man kobler opp. Vi tar personvern på alvor og behandler all informasjon konfidensielt.

Når man sender filer til brukerstøtten via våre programmer blir disse kryptert (https) (Innsending gjøres via den grønne support-fliken på høyre side i skjermbildet i alle våre programmer). Vi anbefaler å anonymisere personopplysningene i filen, slik at det ikke fremgår hvem den registrerte er. Vi sletter oversendte filer når de ikke trengs mer, senest tre måneder etter at supportsaken er avsluttet.

For nærmere informasjon om hvilke personopplysninger som blir lagret i de ulike programmene våre, og hvordan du utfører endringer, sletter eller flytter data på anmodning fra den registrerte, se GDPR brukerveiledning.

Carl F. Kjeldsberg, Produktsjef Dokument
Advokat MNA – Wolters Kluwer Norge AS
Fremtidens løsninger
Komplette skybaserte tjenester