Personvernerklæring
Denne erklæringen beskriver hvordan Tone Gulbrandsen samler inn og bruker personopplysninger.
Denne personvernerklæringen forteller hvordan statsautorisert revisor Tone Gulbrandsen samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av personopplysninger. Her får du nærmere informasjon om hvilke personvernopplysninger vi typisk samler inn, hva vi buker opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har dersom vi har personopplysninger om deg.
Henvendelser om vår behandling av personopplysninger kan rettes til:
post@tone-gulbrandsen.no
Denne personvernerklæringen forteller hvordan statsautorisert revisor Tone Gulbrandsen samler inn og bruker personopplysninger. Målet er å gi deg overordnet informasjon om vår behandling av personopplysninger. Her får du nærmere informasjon om hvilke personvernopplysninger vi typisk samler inn, hva vi buker opplysningene til og hvordan vi behandler dem. Du får også informasjon om hvilke rettigheter du har dersom vi har personopplysninger om deg.
Henvendelser om vår behandling av personopplysninger kan rettes til:
post@tone-gulbrandsen.no
Lovgivning og bransjenormer
Statsautorisert revisor Tone Gulbrandsen har offentlig godkjenning fra Finanstilsynet etter revisorloven. Finanstilsynet fører tilsyn med at vi driver virksomheten vår i samsvar med lovgivningen vi er underlagt. Nedenfor kan du lese mer om de kravene lovgivningen stiller til vår innsamling, oppbevaring og sikring av opplysninger, i tillegg kravene i personvernreglene. Det er utarbeidet en bransjenorm for behandling av personopplysninger i revisjonsbransjen. Vi følge disse bransjenormene i vår virksomhet.
Når samler vi inn personopplysninger
Vi samler inn personopplysninger i forbindelse med
- Utførelsen av våre oppdrag, inkludert revisjonstjenester (revisjon av årsregnskap, forenklet revisorkontroll av regnskaper, andre attestasjonsoppdrag/revisorbekreftelser og avtalte kontrollhandlinger) og ulike rådgivningsoppdrag.
- Kundekontroll og rapportering av mistanke etter hvitvaskingsloven
- Kundekontakt og markedsføring
- Bruk av våre nettsider
Behandlingsansvarlig og databehandler
Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger i forbindelse med revisjonstjenester, utarbeidelse av årsregnskap og skattemelding for egne revisjonstjenester og attestasjonstjenester. Vi er normalt behandlingsansvarlig på due diligence-oppdrag, granskningsoppdrag. Som behandlingsansvarlig er vi ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine personopplysninger, herunder at du får ivaretatt dine rettigheter.
I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige). Vi behandler dine personopplysninger i samsvar med databehandleravtalen.
I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige). Vi behandler dine personopplysninger i samsvar med databehandleravtalen.
Dine rettigheter
Du kan utøve dine rettigheter ved å kontakte vår personansvarlig. Send en e-post til post@tone-gulbrandsen.no. Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår virksomhet. Les mer om dine rettigheter etter personvernreglene på Datatilsynets nettsider.
InnsyN
Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne personvernerklæringen.
Hvis du ber oss om innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger (personvernforordningen artikkel 12,5).
Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet. Vi er underlagt lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder en konflikt mellom deg og din arbeidsgiver. Da må du gå direkte til din arbeidsgiver og be om å få innsyn i opplysningene.
Det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag. Vår taushetsplikt forhindrer oss å gi innsyn i slike vurderinger. Revisors vurdering skal også være uavhengig av muligheter til innsyn, jf. også personopplysningsloven § 16 første ledd bokstav e.
Hvis du ber oss om innsyn i opplysninger som vi kan ha om deg, vil vi gjøre rimelige undersøkelser for å finne ut om vi har slike opplysninger. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger (personvernforordningen artikkel 12,5).
Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysningene som er behandlet. Vi er underlagt lovbestemt taushetsplikt som gjør at du ikke kan få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det vil for eksempel være tilfelle for opplysninger som gjelder en konflikt mellom deg og din arbeidsgiver. Da må du gå direkte til din arbeidsgiver og be om å få innsyn i opplysningene.
Det kan være nødvendig å vurdere personers kompetanse og integritet for å utføre våre oppdrag. Vår taushetsplikt forhindrer oss å gi innsyn i slike vurderinger. Revisors vurdering skal også være uavhengig av muligheter til innsyn, jf. også personopplysningsloven § 16 første ledd bokstav e.
Sletting og retting
Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan også ha en berettiget interesse i å beholde opplysninger utover dette hvis det er nødvendig for å forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1 f).
Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet personopplysningene.
Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet personopplysningene.
Klage
Ta først kontakt med vår personvernansvarlig hvis du mener vi ikke har overholdt personvernreglene. Du kan også klage over vår behandling av personvernopplysninger til Datatilsynet.
Personvernopplysninger som vi samler inn og hva vi bruker dem til
Oppdrag etter revisorloven
Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe oss forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis). Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger, slik som :
Når vi utfører revisjonsoppdrag eller bekrefter opplysninger overfor offentlige myndigheter, er vi pålagt gjennom revisorloven og standarder for god revisjonsskikk å skaffe oss forsvarlig dokumentasjon for våre konklusjoner i revisjonsberetninger og andre uttalelser vi avgir (revisjonsbevis). Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger, slik som :
- Navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget
- Opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer
- Vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte.
Oppdrag som ikke er lovregulert
Vi utfører også oppdrag som ikke er regulert på denne måten i revisorloven. Det inkluderer bekreftelser/attestasjoner overfor andre enn offentlige myndigheter, avtalte kontrollhandlinger, granskninger og ulike rådgivningsoppdrag. I den grad de er nødvendig å samle inn personopplysninger for å utføre disse oppdragene, skal vi vurdere om kunden har et berettiget behov for revisors uttalelse. I motsatt fall vil vi ikke påta oss oppdraget. På tilsvarende måte som for revisjonsoppdrag (se ovenfor), vil det være snakk om personopplysninger som fremgår av dokumentasjonen som er nødvendig som grunnlag for vår uttalelse, rapporter o.l.
Plikter etter hvitvaskingsloven
Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden ( på revisjonsoppdrag er det daglig leder) og reelle rettighetshavere som i siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.
Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om insolvente personer. Slike meldinger er unntatt innsyn for de involverte.
Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om insolvente personer. Slike meldinger er unntatt innsyn for de involverte.
Kundekontakt og markedsføring
I vår kontakt med eksisterende, tidligere og potensielle kunder, registrerer vi kontaktopplysninger om kontaktpersoner slik som navn, e-postadresse, telefonnummer og stillingsbetegnelse. Vi har en berettiget interesse i å holde kundekontakt og markedsføre våre tjenester (personvernforordningen artikkel 6.1.f).
Bruk av våre nettsider
Informasjonssikkerhet, taushetsplikt og oppbevaring
Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved hjelp av kryptering (dette gjelder såkalte særlige kategorier personopplysninger, fødselsnummer og personopplysninger om straffbare forhold og lovovertredelser).
Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet både i forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.
Etter revisorloven og forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet og betryggende måte sikret mot ødeleggelse, tap og endring, i minst ti år. Etter hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelser skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonene er avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen som inneholder personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
I den grad vi oppbevarer personopplysninger på oppdrag som ikke er omfattet av revisorloven, gjør vi det fordi det er nødvendig for å følge opp oppdraget forsvarlig. Personopplysningene slettes normalt fem år etter at oppdraget er avsluttet.
Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet både i forbindelse med lovregulerte oppdrag og andre oppdrag. Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.
Etter revisorloven og forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet og betryggende måte sikret mot ødeleggelse, tap og endring, i minst ti år. Etter hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelser skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonene er avsluttet. Vi vil slette personopplysninger innen ett år etter utløpet av oppbevaringstiden. Vi kan ha en berettiget interesse i å beholde dokumentasjonen som inneholder personopplysninger lenger for å følge opp oppdraget forsvarlig eller forsvare oss mot erstatningskrav eller anklager (personvernforordningen artikkel 6.1.f).
I den grad vi oppbevarer personopplysninger på oppdrag som ikke er omfattet av revisorloven, gjør vi det fordi det er nødvendig for å følge opp oppdraget forsvarlig. Personopplysningene slettes normalt fem år etter at oppdraget er avsluttet.
Overføringer av personopplysninger
a) Oppbevaring i EØS
Vi oppbevarer våre kundedata, inkludert alle personopplysninger, i Norge eller andre EØS -land. For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS -land eller et land godkjent av EU- kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av EU-kommisjonen, bindende virksomhetsregler for et konsern eller gruppe av foretak eller til noen som er bundet av Privacy Shield (USA).
b) Overføring av personopplysninger som følge av lov.
- Finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn
- Revisorer som utfører kvalitetskontroll hos oss, har tilgang til vår dokumentasjon
- Rapportering av mistenkelige transaksjoner til Økokrim
- Politiet kan i visse tilfelle gis tilgang til dokumentasjonen vår
- Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger
- Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs.
- Hvis vi blir innkalt som vitne i en rettsak, har vi alminnelig vitneplikt
c) Vår bruk av databehandlere
Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer. Det kan inkludere behandling av personopplysninger slik det er beskrevet ovenfor under avsnittet personopplysninger vi samler inn og hva vi bruker de til.
Personvernerklæring
Denne erklæringen beskriver hvordan Tone Gulbrandsen samler inn og bruker personopplysninger.
Bedriftsinformasjon
Tone Gulbrandsen
Org.nr: 967 143 324
Tlf: 66 85 91 00
www.tone-gulbrandsen.no
post@tone-gulbrandsen.no
Forretningsadresse: 3 etg. Kirkeveien 230, 1383 Asker
Besøksadresse: 3 etg. Kirkeveien 230, 1383 Asker
Behandlingsansvarlig
Tone Gulbrandsen, ved daglig leder, er behandlingsansvarlig for virksomhetens behandling av personopplysninger. Erklæringen inneholder opplysninger du har krav på når det samles inn opplysninger fra nettstedet vårt (personopplysningsloven § 19) og generell informasjon om hvordan vi behandler personopplysninger (personopplysningsloven § 18 1. ledd).
Hva samler vi inn og hvorfor?
Formålet med behandlingen av personopplysninger er å gi gode og relevante tjenester, videreutvikle tjenestene, tilrettelegge informasjonsspredning og drive markedsføring. Formålet med behandling av kundeopplysninger er å gi grunnlag for leveranse, fakturering, statistikk, regnskap og markedsføring.
Analyseverktøy
På våre nettsider bruker vi analyseverktøyet Google Analytics. Dette er et verktøy som gir oss innsikt i blant annet hvordan brukere beveger seg på nettsiden, hvor lenge de oppholder seg på en side og hvilken nettside de var på før www.tone-gulbrandsen.no, ved hjelp av informasjonskapsler. Dette verktøyet benytter vi for å forbedre våre nettsider og dens brukeropplevelse, forstå brukermønstre, måle effektivitet av markedsaktiviteter og analysere statistikk om trafikk på siden. Standardinnstillingen til Google Analytics gjør at verktøyet registrerer besøkendes IP-adresser. Ifølge Datatilsynet er en IP-adresse definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. Vi benytter oss derfor av IP-anonymisering i Google Analytics. På den måten anonymiseres brukerens IP og den blir ikke lagret eller sporbar.
Data registrert gjennom Google Analytics lagres på Googles servere i USA. Opplysninger registrert med Google Analytics er underlagt Googles retningslinjer for personvern.
Informasjonskapsler (cookies)
Ved besøk på www.tone-gulbrandsen.no vil det bli lagret informasjonskapsler på brukerens enhet. Informasjonskapsler, eller cookies på engelsk, er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Disse tekstfilene brukes for å kjenne igjen brukeren og gi han/henne en mer brukertilpasset opplevelse. Dette kan for eksempel bety forhåndsutfylte felter, lagret språkvalg eller andre funksjoner for å gjøre hjemmesiden mer brukervennlig.
Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker både har blitt informert om og har gitt sitt samtykke til behandlingen. Brukeren skal få vite om og godkjenne hvilke opplysninger som behandles, hva formålet med behandlingen er og hvem som behandler opplysningene, jf. ekomloven § 2-7b.
Brukeren kan selv velge om lagring av informasjonskapsler skal tillates eller ikke. Dette gjøres i brukerens nettleser. Klikk her for framgangsmåte.
Informasjonskapsler for persontilpasset markedsføring
I vår markedsføring benytter vi oss av digitale kanaler som Googles annonsenettverk og Facebook. Vi ønsker at vår markedsføring skal være nyttig og ha verdi for brukerne som måtte se den. Derfor benytter vi oss av personaltilpasset markedsføring. For at vi skal kunne målrette til spesifikke brukere på denne måten, bruker vi Facebook Pixel og Google Remarketing Tag. Disse verktøyene gir hver bruker en unik og ikke-sporbar ID ved å lagre en informasjonskapsel på brukerens enhet. På denne måten kan brukeren kjennes igjen på andre nettsider eller apper og motta persontilpasset markedsføring.
Nyhetsbrev
Tone Gulbrandsen sender ut nyhetsbrev. For å motta dette nyhetsbrevet må brukeren selv melde seg opp og aktivt samtykke til å motta nyhetsbrev ved å sjekke av en avkryssingsboks. Nyhetsbrevets formål er å fortelle kunder om nyheter, aktiviteter og tilbud. E-postadressen deles ikke med tredjepart og slettes når du sier opp nyhetsbrevet.
Kontaktskjema
Kontaktskjema på nettsiden www.tone-gulbrandsen.no brukes til å sende inn forespørsler om tilbud, bestillinger eller ønske om kontakt med en salgs- eller kundeansvarlig, og ved andre spørsmål vedrørende Tone Gulbrandsen sine tjenester og virke. Forespørselen slettes etter at saken er avsluttet og spørsmålet er besvart, senest 30 dager etter.
Opplysninger om ansatte
Tone Gulbrandsen samler inn personopplysninger om sine ansatte for å kunne utbetale lønn og oppfylle arbeidsgivers ansvar. Rettslig grunnlag følger av personopplysningsloven § 8, første ledd og § 8 a), b) eller f) samt § 9 a), b) og f). Det er daglig leder som har det daglige ansvaret for dette. Det registreres nødvendige opplysninger for utbetaling av lønn, for eksempel grunndata, lønnsnivå, tidsregistrering, skatteprosent, skattekommune og fagforeningstilhørighet. Andre opplysninger om ansatte er knyttet til vedkommendes arbeidsinstruks og tilrettelegging av vedkommendes arbeid.
Opplysningene utleveres bare i forbindelse med lønnsutbetalinger og andre lovpliktige utleveringer. Sletterutiner for personalopplysninger følger regnskapsloven og arkivloven. Opplysninger om navn, stilling og arbeidsområdet regnes å være offentlige opplysninger og kan publiseres på Tone Gulbrandsen sine nettsider.
Informasjonssikkerhet
Tone Gulbrandsen plikter å behandle personopplysninger på en sikker måte. Tone Gulbrandsen etterlever og opererer etter Datatilsynets prinsipper for informasjonssikkerhet.
Konfidensialitet – hindre uvedkommende i å få tilgang på opplysningene
Integritet – ingen uautorisert eller utilsiktet endring av opplysninger
Tilgjengelighet – opplysningene er tilgjengelige når tilgang er nødvendig
For å sikre dine personopplysninger er det kun autoriserte personer, underlagt taushetsplikt, som har tilgang til opplysningene. Tilgang er begrenset med et sterkt og unikt passord. All overføring av personopplysninger skjer gjennom kryptert tilkobling, så langt dette er mulig. Tone Gulbrandsen har rutiner for utlevering av opplysninger dersom dette skulle bli forespurt.
Brukerens rettigheter
Alle som spør har rett på grunnleggende informasjon om behandlinger av personopplysninger i en virksomhet etter personopplysningslovens § 18, 1. ledd. Tone Gulbrandsen har gitt denne informasjonen i denne erklæringen, og vil henvise til den ved eventuelle forespørsler. De som er registrert i en av Tone Gulbrandsen sine systemer har rett på innsyn i egne opplysninger. Vedkommende har også rett til å be om at uriktige, ufullstendige eller opplysninger Tone Gulbrandsen ikke har adgang til å behandle blir rettet, slettet eller supplert. Krav fra den registrerte skal besvares kostnadsfritt og senest innen 30 dager. For å be om innsyn, sletting, endring eller supplering kan du sende en e-post til post@tone-gulbrandsen.no .