Information om behandling av personuppgifter i kvalitetskontroll av redovisningsverksamhet
Bakgrund
När personuppgifter behandlas har den personuppgiftsansvarige en skyldighet att lämna viss information till de registrerade. Med anledning av kvalitetskontrollen kommer personuppgifter att behandlas av det företag där kvalitetskontrollanten är verksam (Fakturerande företag) och dess eventuella nätverksbyråer. Av denna anledning lämnas följande information.
Fakturerande företags behandling av personuppgifter
Fakturerande företag behöver ha tillgång till vissa personuppgifter för att kunna utföra kvalitets-kontrollen i enlighet med god sed för redovisningstjänster uttryckta genom Svensk standard för redovisningstjänster, Reko och av kvalitetsnämnden fastställda ”Riktlinjer för FARs kvalitetskontroll av redovisningsverksamhet” som också innehåller sekretessbestämmelser.
Fakturerande företag kommer att behandla personuppgifter som erhålls från redovisningsföretaget, dess koncernbolag (om tillämpligt), eller annan, t.ex. Skatteverket eller Bolagsverket eller allmänt tillgängliga källor, för att utföra och dokumentera kvalitetskontrollen. Personuppgifterna kommer att behandlas i enlighet med gällande rätt. Sådan behandling är nödvändig för att fullgöra de förpliktelser som åvilar auktoriserade redovisningskonsulter FAR och auktoriserade lönekonsulter FAR.
För dessa ändamål kommer Fakturerande företag att behandla information som kan innehålla personuppgifter, såsom exempelvis uppdragsdokumentation, lönefiler, styrelseprotokoll och andra dokument hänförliga till medlemsföretaget och dess eventuella koncernbolags verksamhet. De kategorier av personuppgifter som kan komma att behandlas är bl.a.:
a. kontaktuppgifter som namn, adress, telefonnummer och e-postadress,
b. uppgifter om anställning som anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
c. uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
d. personnummer/samordningsnummer,
e. uppgifter om försäkringar, eller
f. andra kategorier av personuppgifter som behövs till följd av redovisningsuppdragen.
Mottagare av informationen
Kvalitetskontrollanten är skyldig att tillse att den information som behandlas med anledning av kvalitetskontrollen inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt. Kvalitetskontrollanten kan komma att lämna personuppgifter till FAR.
Kvalitetskontrollanten kan även komma att lämna ut personuppgifterna till annan mottagare om sådan skyldighet föreligger enligt gällande lagar och regler, professionell skyldighet eller myndighetsbeslut.
Säkerhet vid behandling av personuppgifter
De åtgärder och granskningar som utförs inom ramen för kvalitetskontrollen omfattas av tystnadsplikt, vilket innebär att även personuppgifter som behandlas inom ramen för kvalitetskontrollen och för andra angivna ändamål omfattas av sådan tystnadsplikt. Fakturerande företag tillser att de personuppgifter som behandlas skyddas genom erforderliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas karaktär och känslighet. Fakturerande företags system och organisation är ordnade så att obehöriga personer inte har tillgång till de personuppgifter som behandlas med anledning av kvalitetskontrollen.
Lagring av personuppgifter
Personuppgifterna kommer att behandlas under den tid som behövs för att utföra kvalitetskontrollen och därefter sparas uppgifterna för att dokumentera kvalitetskontrollen till dess att FAR:s kvalitetsnämnd har meddelat att beslut har fattats i ärendet.
Rättigheter såsom registrerad
Registrerade har i vissa fall rätt att begära tillgång till och rättelse eller radering av sina personuppgifter, rätt att begära begränsning eller invända mot behandling. Registrerade har också rätt att inge klagomål till en tillsynsmyndighet om behandlingen. Den information och de uppgifter som kontrollanten tar del av inom ramen för kvalitetskontrollen omfattas av tystnadsplikt, vilket innebär att Fakturerande företag normalt sett inte får lämna ut sådan information. Därtill är kvalitetskontrollanten skyldig att dokumentera utförda kvalitetskontroller och bevara dokumentationen fram till dess att beslut fattats i ärendet, vilket medför att det inte är tillåtet att ändra/radera personuppgifter som ingår i sådan dokumentation dessförinnan. Av nämnda skäl är det inte heller alltid möjligt för kvalitetskontrollanten att på begäran från en registrerad begränsa eller inskränka eventuell behandling av personuppgifter som sker med anledning av kvalitetskontrollen.
FAR:s kvalitetsnämnd för redovisningsverksamhet Version 180612