PERSONVERNERKLÆRING FOR BDO

Ditt personvern er viktig for BDO og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet. All behandling av personopplysninger i BDO skal følge det til enhver tid gjeldende personvernregelverket, herunder personopplysningsloven og EUs personvernforordning (GDPR). 

I tillegg til at BDO er underlagt personvernregelverket, er BDO en del av et større globalt nettverk som stiller krav til vår behandling av personopplysninger. Kravene følger av BDOs Binding Corporate Rules (BCR) som er tilgjengelig her. Vi rapporterer årlig til BDOs globale organisasjon på hvordan vi etterlever disse kravene. 

 

BEHANDLINGSANSVARLIG OG DATABEHANDLER

BDO består av BDO AS, org.nr. 993 606 650, og BDO Advokater AS, org. nr. 996 798 577. BDO AS og BDO Advokater AS er i utgangspunktet to selvstendige rettssubjekter som har hver sine plikter etter personvernregelverket. Selskapene har imidlertid et svært tett samarbeide og opererer på mange måter som om det var ett selskap. Dette gjelder også ved behandling av personopplysninger. 

BDO kan være behandlingsansvarlig eller databehandler avhengig av hvilken type behandling det er snakk om. Som hovedregel er vi behandlingsansvarlig når vi behandler personopplysninger i forbindelse med utførelse av revisjonstjenester og advokatoppdrag. Vi kan også anses som behandlingsansvarlig for enkelte typer rådgivningstjenester, for eksempel internrevisjonsoppdrag og ved due diligence. I tillegg anses vi som behandlingsansvarlig for personopplysninger som vi behandler for egne formål eller etter lovbestemte plikter, for eksempel ved markedsføring og kundekontroll etter hvitvaskingsloven. 

I tilfeller hvor BDO er regnskapsfører for kundene våre, vil vi som hovedregel være databehandler for kundene. Det samme gjelder flere av rådgivningstjenestene våre. Når BDO er databehandler for kundene våre, vil BDOs behandling av personopplysninger være regulert av en databehandleravtale med kunden. 

 

DINE RETTIGHETER

Enhver som har personopplysninger registrert om seg selv i BDOs systemer har rett til: 

• Innsyn i personopplysningene
• Retting av uriktige og ufullstendige personopplysninger
• Sletting av personopplysninger 
• Begrensning av behandlingen av personopplysninger 
• Dataportabilitet 
• Å protestere mot behandlingen av personopplysninger

Vær imidlertid oppmerksom på at rettighetene ikke er absolutte og at de kan være begrenset. Vi kan blant annet være underlagt lovbestemt taushetsplikt som kan begrense innsynsretten din. I tillegg kan vi være underlagt lovbestemte oppbevaringsplikter som kan begrense din rett til å få personopplysninger om deg slettet. Dersom vi avviser din forespørsel om å få utøvet en av rettighetene, vil vi alltid gi en beskrivelse av grunnlaget for avvisningen. 

Du kan utøve dine rettigheter ved å sende en forespørsel til BDOs personvernombud på [email protected] eller ved å sende brev til BDO AS v/personvernombudet, Postboks 1704 Vika, 0121 Oslo. Vi skal svare på forespørselen uten ugrunnet opphold, og senest innen 30 dager. 
I tilfeller der BDO er databehandler for kundene våre, skal forespørselen rettes til den som er behandlingsansvarlig, dvs. til BDOs kunde.  

Dersom du mener at vi behandler personopplysninger i strid med personvernregelverket, kan du rette en klage til BDOs personvernombud. Du kan også klage direkte til Datatilsynet. 

 

FÅR ANDRE TILGANG TIL DINE PERSONOPPLYSNINGER?

Avhengig av hvilken sammenheng personopplysningene er innhentet i, kan BDO utlevere informasjon som inneholder personopplysninger. BDO vil kun utlevere slik informasjon dersom det er avtalt med kunden eller dersom det er nødvendig for å oppfylle forpliktelser i lov eller krav fra myndigheter. 

Som advokatfirma er vi underlagt streng taushetsplikt som medfører at vi som hovedregel kun kan dele informasjon med domstoler og motparter når det er nødvendig for å utføre oppdraget, dersom det er avtalt med klienten eller dersom det er nødvendig for å oppfylle forpliktelser i lov, for eksempel rapportering av mistenkelige transaksjoner til Økokrim.

Som revisjons-, rådgivnings og regnskapsselskap kan vi imidlertid utlevere personopplysninger i enkelte tilfeller, for eksempel i følgende tilfeller: 

• Tilsynsorgan vil gis tilgang til vår dokumentasjon i forbindelse med tilsyn 
• De som utfører kvalitetskontroll hos oss vil få tilgang til vår dokumentasjon 
• Rapportering av mistenkelige transaksjoner til Økokrim
• Politiet kan i visse tilfeller gis tilgang til dokumentasjonen vår 
• Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger 
• Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
• Hvis vi blir innkalt som vitne i en rettsak, kan vi ha vitneplikt

 

VÅR BRUK AV DATABEHANDLERE 

BDO bruker flere leverandører som kan behandle personopplysninger på vegne av oss. Leverandører som behandler personopplysninger på vegne av BDO skal kunne dokumentere gode rutiner for personvern og informasjonssikkerhet. BDO har derfor som rutine at alle slike leverandører skal gjennomgå en sikkerhetskontroll før de blir leverandører av oss. Videre sørger vi for å inngå databehandleravtaler med leverandørene som gir oss mulighet til å føre kontroll med at leverandørene behandler personopplysninger i tråd med kravene i GDPR.

I oppdrag hvor BDO er databehandler for våre kunder vil disse leverandørene anses som underdatabehandlere. En oversikt over BDOs underdatabehandlere finnes her.

 

OVERFØRINGER TIL TREDJELAND

Vi overfører som hovedregel ikke personopplysninger til land utenfor EU/EØS (tredjeland). I unntakstilfeller kan imidlertid personopplysninger overføres ved at personell som er lokalisert i tredjeland får tilgang til personopplysninger som er lagret i EU/EØS. Ved slik overføring vil BDO sikre at det foreligger et overføringsgrunnlag og at personopplysningene er underlagt et tilstrekkelig beskyttelsesnivå.

Dersom BDO overfører personopplysninger til selskaper i BDO-nettverket som er lokalisert utenfor EU/EØS, vil overføringen som hovedregel beskyttes av BDOs BCR. Dersom denne ikke omfatter den konkrete overføringen eller dersom BDO overfører til andre som ikke er en del av BDO-nettverket, vil vi benytte EUs Standard Contractual Clauses (SCC). 

 

INFORMASJONSSIKKERHET 

BDO tar informasjonssikkerhet på alvor og vi har etablert egnede sikkerhetstiltak for å beskytte dine personopplysningers konfidensialitet, tilgjengelighet og integritet. Tilgangen til personopplysninger er begrenset til ansatte som har et tjenstlig behov for slik tilgang og alle ansatte er underlagt taushetsplikt. Materiale som inneholder beskyttelsesverdige personopplysninger og som overføres til eller fra BDO, skal alltid sikres mot innsyn ved hjelp av kryptering. Med beskyttelsesverdige personopplysninger menes blant annet helseopplysninger, personnummer, lønns- og gjeldsopplysninger og opplysninger om straffbare forhold og lovovertredelser. 

Utvidet informasjon om informasjonssikkerhet i BDO er tilgjengelig for våre kunder på forespørsel.

 

Hvordan behandler BDO personopplysninger?

• Behandling av kontaktinformasjon til våre kunder og leverandører
• Behandling av personopplysninger i oppdrag
• Behandling av personopplysninger ved kundekontroll 
• Behandling av personopplysninger ved markedsføring og faglige oppdateringer
• Behandling av personopplysninger ved bruk av våre nettsider
• Behandling av personopplysninger der BDO er kursarrangør
• Behandling av personopplysninger ved rekruttering 

 

Kontaktinformasjon

Vi oppfordrer våre kunder til å benytte sin kontaktperson i BDO ved spørsmål om BDOs behandling av personopplysninger. 

Spørsmål fra andre enn kunder, kan rettes til personvernombudet på [email protected] eller til BDO AS v/personvernombudet, Postboks 1704 Vika, 0121 Oslo. 

 

Oppdatering

Dato for siste oppdatering av denne personvernerklæringen er 17.04.2023.