• Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger

BDOs PERSONVERNERKLÆRING

Personvern er retten til et privatliv og retten til å bestemme over egne personopplysninger.

Personopplysninger er opplysninger og vurderinger som kan knyttes til en enkeltperson.

BDO AS og BDO Advokater AS (heretter BDO) behandler personopplysninger som arbeidsgiver, som leverandør av tjenester, i markedsføringsøyemed og i forbindelse med besøk på vår hjemmeside, www.bdo.no.

Personvern er viktig i BDOs leveranser og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet. 

Denne personvernerklæringen gir utfyllende opplysninger om hvilke personopplysninger som samles inn, hvordan opplysningene samles inn og beskyttes, og hvilke rettigheter du har dersom personopplysninger om deg er registrert hos oss.

 

Hvilke behandlinger av personopplysninger foretas av BDO?

 

KUNDE- OG LEVERANDØROPPLYSNINGER

BDO behandler personopplysninger om kunder og leverandører, i tillegg til eventuell tredjeperson som er nødvendig for gjennomføring av kontraktsforpliktelser.

Blant opplysningene som behandles er kontaktinformasjon om kunder og leverandører. Med kontaktinformasjon menes navn på kontaktperson, e-postadresse, telefonnummer og stillingstittel.

Det rettslige grunnlaget for slik behandling er GDPR Artikkel 6 bokstav b, c og f, samt GDPR Artikkel 9 bokstav a og b. Personopplysningene lagres i en egen database og slettes fem år etter avslutning av kundeforholdet.

Dersom du som kunde har tilgang til BDOs Kundeportal, vårt digitale samhandlingssystem mellom BDO og kunde, ber vi deg lese gjennom vilkår og betingelser for bruk av denne. Du får tilgang til vilkårene ved pålogging til portalen. Det presiseres at det ikke samles inn nye eller flere kategorier av personopplysninger ved bruk av Kundeportalen. 

BDO kan komme til å dele personopplysninger om kunder og leverandører med BDO-kontorer i andre land.

 

UNDERDATABEHANDLERE

BDO kan komme til å bruke underdatabehandlere. Som følge av våre tjenester, opptrer vi som databehandler for svært mange kunder. Vi baserer oss derfor på generell tillatelse til bruk av underdatabehandlere, jf. GDPR Artikkel 28. Dette avtales med kunden i vår databehandleravtale.

Ved bruk av underdatabehandlere bekrefter vi at disse pålegges samme forpliktelser med hensyn til vern og bruk av personopplysninger og andre kundedata som BDO.

Leverandører som opptrer som underdatabehandlere for BDO skal kunne dokumentere gode interne rutiner for personvern og informasjonssikkerhet gjennom sertifiseringer, rapport fra uavhengig revisjon av leverandøren, eller annen relevant dokumentasjon. BDO kan gjennomføre sikkerhetsrevisjoner for å påse at leverandøren behandler personopplysninger i tråd med kravene i GDPR.

En oversikt over underdatabehandlere som benyttes av BDO pr. 14. november 2018 følger i tabellen nedenfor. Det presiseres at hvilke underdatabehandlere som benyttes avhenger av hvilke tjenester vi leverer, og vil derfor variere fra kunde til kunde.

 

BEHANDLING AV PERSONOPPLYSNINGER SOM LEDD I PERSONALADMINISTRASJON

BDO behandler personopplysninger som ledd i personaladministrasjon. Personopplysningene som behandles i denne forbindelse er blant annet personalia, lønnsopplysninger, evalueringer, opplysninger om pårørende, og utdannelse/stillingsnivå.

Det rettslige grunnlaget for denne behandlingen er oppfyllelse av arbeidsavtalen, jf GDPR Artikkel 6 bokstav b og c.  

Personopplysninger tilknyttet personaladministrasjon blir oppbevart så lenge vedkommende er ansatt hos BDO, og slettes 1,5 år etter vedkommende har sluttet hos BDO.

 

BEHANDLING AV PERSONOPPLYSNINGER I FORBINDELSE MED MARKEDSFØRING OG BRUK AV BDO.NO

BDO behandler personopplysninger i markedsføringsøyemed. Disse personopplysningene kan bli utvekslet mellom BDO AS og BDO Advokater AS, men vil ikke bli utlevert til andre virksomheter.

 

Nyhetsbrev og seminarinvitasjoner

Det er mulig å frivillig abonnere på nyhetsbrev, seminarinvitasjoner og annet fagstoff fra BDO. Dersom det ikke foreligger et eksisterende kundeforhold innebærer dette at du samtykker til å jevnlig motta e-post med de nyhetsbrevene du har valgt å abonnere på. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav a. Du kan når som helst trekke ditt samtykke for oppbevaring av dine kontaktopplysninger. BDO vil da slette din kontaktinformasjon fra adresselisten til det aktuelle nyhetsbrevet.


I tilfeller der det foreligger et eksisterende kundeforhold har BDO en berettiget interesse i å markedsføre seg overfor sine kunder. Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f. Du kan når som helst be om å bli slettet fra vår mailingliste.  

  
For å kunne sende nyhetsbrevene til riktig person er det nødvendig å registrere seg med navn og e-postadresse, bedriftsnavn og stillingstittel, og ved påmelding til et av våre seminarer vil vi også be om ditt telefonnummer. Disse opplysningene lagres i en egen database og vil ikke bli videreformidlet til andre. Du kan når som helst be om innsyn i disse opplysningene og be om at informasjonen slettes. Personopplysningene vi har lagret om deg som har samtykket til å motta våre nyhetsbrev og seminarinvitasjoner lagres så lenge du er abonnent. 
 

Forespørsler via nettsiden

Ved bruk av skjema «Kontakt oss» på bdo.no, må du oppgi navn og e-postadresse. Opplysningene lagres i nettsidens database som administreres av BDOs webredaktør, og vil ikke bli videreformidlet til andre utenfor BDO. Informasjonen slettes fortløpende fra databasen.

Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav b.

 

Adresseregister

BDO lagrer kontaktinformasjon til potensielle kunder i en egen database. Opplysningene er hentet fra offentlig tilgjengelig kilder, eksempelvis virksomheters nettside. Formålet med denne behandlingen av personopplysninger er å drive markedsføring for våre tjenester og koordinere dette markedsarbeidet.

Det rettslige grunnlaget for denne behandlingen er GDPR Artikkel 6 bokstav f. BDO har en berettiget interesse i å markedsføre seg ovenfor potensielle kunder. Dersom du ikke ønsker å være en del av BDOs adresseregister, kan du be om å bli slettet fra dette.

Personopplysningene knyttet til potensielle kunder slettes innen ett år etter at de ble lagt inn i databasen, så fremt det ikke etableres et kundeforhold eller samtykke til fortsatt lagring er gitt.

 

Webanalyse og informasjonskapsler (Cookies)

På BDOs nettsider http://www.bdo.no logger vi informasjon om alle besøkende ved hjelp av Google Analytics, Google Tags Manager og Albacross' cookie. Informasjonen som logges er ikke knyttet opp mot den besøkende og kan ikke spores tilbake til deg som enkeltperson. Informasjonen samles inn for bedre å kunne forstå hvordan våre brukere benytter nettstedet, slik kan vi tilpasse sidene optimalt til deg som bruker.

Som de fleste andre nettsider, benytter vi en metode der informasjonen lagres i en informasjonskapsel på din PC. De fleste nettlesere er stilt inn til å godta informasjonskapsler fra nettsteder. Du kan slette lagrede informasjonskapsler ved å følge instruksjonene for sletting i din nettleser. Informasjon om dette finnes i hjelpefunksjonen i nettleseren din. Vær oppmerksom på at å begrense tilgangen til informasjonskapsler kan påvirke funksjonaliteten på nettstedet vårt.

Besøkenes IP-adresse lagres normalt ikke, med noen unntak:

  • Applikasjonsfeil; feillogg og IP-adresse opprettes for å kunne undersøke feilen.
  • Dersom systemets brukerlogg og sporing (EMS) aktiveres.
  • Handlinger og IP-adresse til «Back-end users», slik som webredaktør og administratorer, lagres.  

Google Analytics

Informasjonskapselen på våre nettsider er fra Google Analytics (førsteparts cookie). Den er innstilt til å slettes automatisk etter 24 måneder hvis du ikke returnerer til nettstedet. Det er mulig å reservere seg mot all registrering i Google Analytics ved å installere et tillegg i nettleseren: Google Analytics Opt-out Browser Add-on

BDO benytter analyseverktøyet Google Analytics for å studere trafikk, bruksmønstre og trender på nettsiden. Dataene som samles inn brukes for å optimalisere brukeropplevelsen og tilpasse innholdet på nettsiden. I henhold til Googles retningslinjer for bruk av Google Analytics samles det ikke inn personlig informasjon om brukerne. Dataene som samles inn lagres på Googles servere. Du kan lese mer om hvordan Google samler inn og beskytter data her.

Google Tag Manager

I kombinasjon med Google Analytics benytter vi Google Tag Manager for å hjelpe oss distribuere forskjellige kodesnutter på nettstedet, som setter en cookie for å ivareta informasjon om inneværende sesjon. 
 

Google Display Advertising

DoubleClick cookien er en tredjeparts cookie som medfører at tredjepartsleverandører, herunder Google, viser egne målrettede annonser fra BDO på en rekke nettsteder på internett som er del av Google sitt innholdsnettverk. Dette er også kjent som remarketing. Du kan lese mer om fordelene med remarketing her.

Dette brukes for å tilpasse annonser for brukere basert på interesser og tidligere nettstedsbruk. Denne målrettingen bidrar til en mer relevant markedsføring for deg som bruker. I henhold til Google sin personvernpolitikk samles det ikke inn eller brukes informasjon som kan brukes til å identifisere individer. Du kan reservere deg mot målrettede Google Display annonser her.

 

Barns personvern

Vår nettside er ikke konstruert for eller rettet mot barn under 13 år, og vi vil aldri bevisst samle inn eller vedlikeholde informasjon om barn under 13 år. 

 

Behandling av personopplysninger i våre Tjenesteområder

 

Revisjonstjenester

Som revisor er vi å betrakte som behandlingsansvarlig. Behandling av personopplysninger i forbindelse med BDOs revisjonstjenester er hjemlet i personopplysningsloven GDPR Artikkel 6, jf. kapittel fem i revisorloven. I forbindelse med revisjonstjenester behandles personopplysninger slik som ansattavtaler, personnummer, lønnsopplysninger og skattekort. Innsamling og behandling av personopplysninger avhenger av hvilken informasjon vi trenger for å revidere regnskapet, utføre et attestasjonsoppdrag eller en forvaltningsrevisjon.  

Opplysningene samles inn fra våre kunder, skattekontorer og Altinn.

Det følger av revisorloven § 5-5 at revisor skal oppbevare dokumentasjon og nummererte brev etter dette kapittel på en ordnet og betryggende måte i minst 10 år. Det samme gjelder korrespondanse i tilknytning til rådgivning. BDO vil som hovedregel slette ovennevnte dokumentasjon innen ett år etter at oppbevaringsplikten er utløpt.

I tilfeller der BDO gjør egne analyser til annet formål enn revisjon vil personopplysninger anonymiseres eller utelates fullstendig. Slike tilfeller vil alltid avtales direkte med kunden.

 

Advokattjenester

BDO Advokater yter ulike former for juridisk rådgivning. BDO Advokater tilbyr i tillegg bistand i forbindelse med granskingsoppdrag. Som advokat er vi som hovedregel å betrakte som behandlingsansvarlig. Det rettslige grunnlaget for behandling av personopplysninger GDPR Artikkel 6 bokstav a, b eller f.

Oppdragene for våre kunder kan innebære behandling av personopplysninger, herunder blant annet personalia, opplysninger knyttet til arbeidsforholdet, økonomiske opplysninger, familieforhold, samt opplysninger om mulige straffbare handlinger. Opplysningene samles inn fra våre kunder.

I tilfeller hvor BDO Advokater opptrer som databehandler vil behandlingen reguleres av databehandleravtaler med våre oppdragsgivere.

 

Rådgivningstjenester

BDO leverer blant annet rådgivningstjenester innen compliance og gransking, internrevisjon, transaksjonsstøtte, virksomhetsstyring, lederutvikling, samt sikkerhet og beredskap. Oppdragene for våre kunder kan innebære behandling av personopplysninger, herunder blant annet personalia, opplysninger knyttet til arbeidsforholdet, økonomiske opplysninger, familieforhold (tilknytning til politisk eksponerte personer), helseopplysninger, samt opplysninger om mulige straffbare handlinger.

BDO vil i disse oppdragene som hovedregel være databehandler og inngår følgelig databehandleravtale med kunden som behandlingsansvarlig. Databehandleravtalen vil sette rammene for BDOs behandling av personopplysninger. De konkrete sikkerhetstiltakene og slettefristen for behandlingen vil fremgå av hver enkelt databehandleravtale.

 

Regnskapstjenester

BDO forestår hele eller deler av regnskapsføringen for kunder. Personopplysninger som behandles i den forbindelse er eksempelvis navn, fødselsnummer og lønns- og trekkopplysninger. Opplysningene innhentes fra kunden og i noen tilfeller tredjepart som for eksempel Altinn.

BDO vil i disse oppdragene være databehandler og inngår følgelig databehandleravtale med kunden som behandlingsansvarlig. Databehandleravtalen vil sette rammene for BDOs behandling av personopplysninger. De konkrete sikkerhetstiltakene og slettefristen for behandlingen vil fremgå av hver enkelt databehandleravtale.

I tilfeller der BDO gjør egne analyser til annet formål enn regnskapstjenester vil personopplysninger anonymiseres eller utelates fullstendig. Slike tilfeller vil alltid avtales direkte med kunden.

 

Behandling av opplysninger der BDO er kursarrangør

Etterutdanning er ett av vilkårene for å opprettholde sin autorisasjon som regnskapsfører og være ansvarlig revisor. Kravet om etterutdanning for regnskapsfører følger av regnskapsførerloven § 5. For revisorer følges lov 15. januar 1999 nr. 2 om revisjon og revisorer (revisorloven) § 3-7 første ledd nr. 1. 

BDO arrangerer eksterne kurs som gir etterutdanningstimer for revisorer og regnskapsførere. Som kursarrangør plikter BDO å oppbevare kursdokumentasjon. Kursplan og deltakerliste inngår som del av kursdokumentasjonen, og personopplysninger som behandles i denne forbindelse er navn på foreleser og forelesers bakgrunn/kompetanse, navn på deltakere, adresse, e-postadresse, telefonnummer, firmanavn og stillingstittel.

Personopplysninger tilknyttet kurs i forbindelse med etterutdanning av regnskapsførere oppbevares i 10 år etter at kurset ble gjennomført.

Personopplysninger tilknyttet kurs i forbindelse med etterutdanning av revisorer oppbevares i 6 år etter at kurset ble gjennomført.

Disse opplysningene lagres i en egen database og vil ikke bli videreformidlet til andre.

 

Behandling av personopplysninger i forbindelse med kundetiltak og undersøkelser

BDO er pålagt å gjennomføre kundetiltak i medhold av hvitvaskingsloven kapittel 4, samt å gjennomføre nærmere undersøkelser dersom det foreligger en mistanke om at en transaksjon kan ha tilknytning til utbytte av en straffbar handling.


Blant opplysningene som BDO er pålagt å behandle i denne forbindelse er navn/foretaksnavn, fødselsnummer/organisasjonsnummer, fast adresse, familieforhold (tilknytning til politisk eksponerte personer), og opplysninger knyttet til eventuell mistanke om straffbare forhold.

Behandling av personopplysninger knyttet til kundekontroll og en eventuell undersøkelsesplikt kan innebære behandling av sensitive personopplysninger, blant annet knyttet til straffbare forhold. 

Etter hvitvaskingsloven § 30 er BDO pålagt å oppbevare dokumenter benyttet i forbindelse med kundekontroll i minst fem år etter at kundeforholdet er avsluttet eller transaksjonen er gjennomført, med mindre lengre frister følger av annen lov eller forskrift.

Dokumenter og opplysninger knyttet til kundekontroll og eventuelle undersøkelser etter hvitvaskingsloven § 30 oppbevares i egne databaser, beskyttet mot uautorisert tilgang fra uvedkommende og slettes innen ett år etter at oppbevaringsplikten opphører.

Under visse omstendigheter er BDO også pålagt å utlevere opplysninger til Økokrim, eksempelvis dersom det foreligger mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling. Dette gjelder likevel ikke advokater dersom de har fått kjennskap til gjennom arbeidet med å fastslå klientens rettsstilling.

 

Behandling av personopplysninger knyttet til jobbsøkere

Ved registrering og/eller abonnering på ledige stillinger hos BDO, samt ved innsending av CV, søknad og andre relevante dokumenter i forbindelse med jobbsøknad samles det inn personopplysninger. Personopplysninger som behandles i forbindelse med rekruttering er blant annet personalia og jobb- og utdanningsdetaljer. I enkelte tilfeller gjennomføres det personlighetstest av aktuelle kandidater, og BDO behandler med dette resultater knyttet til testene. Personopplysningene innhentes fra jobbsøkerne.

I tilfeller der BDO benytter leverandør av rekrutteringstjenester vil behandlingen være bundet av databehandleravtale. Opplysningene vil ikke bli brukt til annet formål enn behandling knyttet til jobbsøking.

Personopplysninger om søkere til stillinger blir slettet ett år etter at vedkommende søkte på stilling hos BDO, med mindre vedkommende blir ansatt eller samtykker til at opplysningene oppbevares lengre. Det presiseres at jobbsøkere kan få opplysningene slettet når de måtte ønske det.

 

Overføring/utlevering av personopplysninger

OVERFØRING TIL TREDJELAND

Vi overfører ikke personopplysninger til land utenfor EU/EØS uten skriftlig godkjenning fra behandlingsansvarlige. Ved overføring til tredjeland skal det inngås avtale om overføringsgrunnlag, for eksempel Datatilsynets standardkontrakter for overføring av personopplysninger utenfor EU/EØS, Binding Corporate Rules (BCR) eller Privacy Shield.  

UTLEVERING

BDO utleverer ikke personopplysninger til andre med mindre det er lovpålagt ved lov. 

 

Informasjonssikkerhet

Vi er opptatt av informasjonssikkerhet, og har implementert rutiner for å sikre konfidensialitet og integritet i våre kunders data. BDO har sikringsmekanismer som innebærer både organisatoriske og tekniske tiltak slik som rolle- og tilgangsstyring og krav til innebygget personvern i våre IT-systemer. Materiale som inneholder sensitive personopplysninger eller personnummer og overføres til eller fra BDO skal alltid sikres mot innsyn ved hjelp av kryptering.

Utvidet informasjon om informasjonssikkerhet i BDO er tilgjengelig for våre kunder på forespørsel.

 

Dine rettigheter

BDOs behandling av personopplysninger er regulert av personopplysningsloven med tilhørende forskrift. Dine rettigheter knyttet til vår behandling av personopplysninger fremgår blant annet av GDPR Kapittel III. Nedenfor presenteres noen av de mest sentrale rettighetene:

 

Rett til innsyn

Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger BDO foretar, samt grunnleggende informasjon om disse behandlingene. Slik informasjon er gitt i denne personvernerklæringen. Det er kun i tilfeller der BDO er behandlingsansvarlig at vi kan forvalte krav om innsyn. I tilfeller der BDO er databehandler, skal forespørsler om innsyn rettes til behandlingsansvarlig. Som databehandler kan vi ikke gi i innsyn i personopplysninger til den registrerte uten at oppdragsgiver er orientert og godkjenner innsynet.

Dersom du er registrert i BDOs systemer har du krav på å få vite hvilke opplysninger om deg som er registrert og hvilke sikkerhetstiltak som foreligger ved behandlingen så langt slikt innsyn ikke svekker sikkerheten.

Du kan kreve at den behandlingsansvarlige utdyper informasjonen som nevnt ovenfor i den grad dette er nødvendig for at du skal kunne vareta egne interesser. 

 

Rett til retting og sletting

Dersom BDO behandler personopplysninger om deg som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, kan du innenfor de begrensninger som er fastsatt i personopplysningsloven, EUs personvernforordning (GDPR) og annen lovgivning kreve å få rettet eller slettet personopplysninger. Videre kan du kreve sletting dersom behandling av personopplysningene ikke lenger er nødvendig for å oppfylle formålet de ble samlet inn for, eller dersom behandlingen baserer seg på ditt samtykke og du trekker dette tilbake. Behandlingen vil være nødvendig dersom den er lovpålagt. For eksempel kan du derfor ikke kreve at personopplysninger som inngår i oppdragsdokumentasjonen til revisorer og regnskapsførere skal rettes eller slettes, jf. revisorloven § 5-5, revisorforskriften kap. 5 og bokføringsloven § 13. Ved krav om retting og sletting i oppdrag der BDO er databehandler, skal den registrerte som hovedregel henvende seg direkte til behandlingsansvarlig. 

BDO skal svare på henvendelser om innsyn eller andre rettigheter etter GDPR Artikkel 15, 16, 17 og 20 uten ugrunnet opphold, og senest innen 30 dager fra den dagen henvendelsen kom inn, med mindre særlige forhold gjør det umulig å svare på henvendelsen innen denne fristen. BDO skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sannsynlig tidspunkt for når svar kan gis.

 

Personvernombud

BDO har et eget personvernombud som bistår med veiledning slik at personopplysninger blir behandlet på en god måte og i tråd med regelverket.

Personvernombudet er en frivillig ordning og administreres av Datatilsynet. Forespørsler om innsyn, retting og sletting, samt meldinger om avvik håndteres av personvernombudet.

 

Kontaktinformasjon

Vi legger opp til at våre kunder skal benytte sin faste kontaktperson i BDO for spørsmål vedrørende BDOs behandling av personopplysninger, og disse vil involvere andre i organisasjonen ved behov.

Henvendelser om forespørsler om innsyn, retting og sletting, og avviksmeldinger skal rettes til personvern@bdo.no eller til BDO AS v/personvernombudet, Postboks 1704 Vika, 0121 Oslo. Generelle forespørsler om personvern fra andre enn kunder av BDO skal også rettes til personvernombudet.

 

Endringer i personvernerklæringen

Det kan forekomme endringer i vår personvernerklæring. Dato for siste endring er 14.11.2018. Vi oppfordrer interesserte til å jevnlig undersøke vår nettside for endringer.