Information om behandling av personuppgifter i kvalitetskontroll av revisionsverksamhet
Bakgrund
När personuppgifter behandlas har den personuppgiftsansvarige en skyldighet att lämna viss information till de registrerade. Med anledning av kvalitetskontrollen kommer personuppgifter att behandlas av den byrå där kvalitetskontrollanten är verksam. Av denna anledning lämnas följande information.
Fakturerande företags behandling av personuppgifter
Kvalitetskontrollanten behöver ha tillgång till vissa personuppgifter för att kunna utföra kvalitetskontrollen i enlighet med god revisorssed och av FAR:s kvalitetsnämnd för revisionsverksamhet fastställda ”Riktlinjer för FAR:s kvalitetskontroll av revisionsverksamhet”.
Kvalitetskontrollanten kommer att behandla personuppgifter som erhålls från revisionsföretaget, dess koncernbolag (om tillämpligt), eller annan, t.ex. Skatteverket eller Bolagsverket eller allmänt tillgängliga källor, för att utföra och dokumentera kvalitetskontrollen. Personuppgifterna kommer att behandlas i enlighet med gällande rätt. Sådan behandling är nödvändig för att fullgöra den rättsliga förpliktelsen att genomgå kvalitetskontroll som åvilar kvalificerade revisorer enligt 27 a § revisorslagen. Personuppgifter kommer också att behandlas för att administrera fakturering och betalning av kvalitetskontrollen.
För dessa ändamål kommer revisionsbyrån att behandla information som kan innehålla personuppgifter, såsom exempelvis revisionsdokumentation, styrelseprotokoll och andra dokument hänförliga till medlemsföretaget och dess eventuella koncernbolags verksamhet. De kategorier av personuppgifter som kan komma att behandlas är bl.a:
a. kontaktuppgifter som namn, adress, telefonnummer och e-postadress,
b. uppgifter om anställning som anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
c. uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet, personnummer/samordningsnummer,
e. uppgifter om försäkringar, eller
f. andra kategorier av personuppgifter som behövs till följd av granskningen enligt god revisorssed och av FAR:s kvalitetsnämnd för revisionsverksamhet fastställda ”Riktlinjer för FAR:s kvalitetskontroll av revisionsverksamhet”.
Mottagare av informationen
Kvalitetskontrollanten är skyldig att tillse att den information som behandlas med anledning av kvalitetskontrollen inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt. Kvalitetskontrollanten kan komma att lämna personuppgifter till FAR.
Kvalitetskontrollanten kan även komma att lämna ut personuppgifterna till annan mottagare om sådan skyldighet föreligger enligt gällande lagar och regler, professionell skyldighet eller myndighetsbeslut.
Kvalitetskontrollanten kan även komma att lämna ut personuppgifterna till annan mottagare om sådan skyldighet föreligger enligt gällande lagar och regler, professionell skyldighet eller myndighetsbeslut.
Säkerhet vid behandling av personuppgifter
De åtgärder och granskningar som utförs inom ramen för kvalitetskontrollen omfattas av tystnadsplikt, vilket innebär att även personuppgifter som behandlas inom ramen för kvalitetskontroll och för andra angivna ändamål omfattas av sådan tystnadsplikt. Kvalitetskontrollanten tillser att de personuppgifter som behandlas skyddas genom erforderliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas karaktär och känslighet. Kvalitetskontrollantens system och organisation är ordnade så att obehöriga personer inte har tillgång till de personuppgifter som behandlas med anledning av kvalitetskontrollen.
Lagring av personuppgifter
Personuppgifterna kommer att behandlas under den tid som behövs för att utföra kvalitetskontrollen och därefter sparas uppgifterna för att dokumentera kvalitetskontrollen till dess att FAR:s kvalitetsnämnd har meddelat att beslut har fattats i ärendet.
Rättigheter såsom registrerad
Registrerade har i vissa fall rätt att begära tillgång till och rättelse eller radering av sina personuppgifter, rätt att begära begränsning eller invända mot behandling. Registrerade har också rätt att inge klagomål till en tillsynsmyndighet om behandlingen. Den information och de uppgifter som kvalitetskontrollanten tar del av inom ramen för Kvalitetskontrollen omfattas av tystnadsplikt, vilket innebär att kvalitetskontrollanten normalt sett inte får lämna ut sådan information. Därtill är kvalitetskontrollanten skyldig att dokumentera utförda kvalitetskontroller och bevara dokumentationen fram till dess att FAR:s kvalitetsnämnd har meddelat att beslut har fattats i ärendet, vilket medför att det inte är tillåtet att ändra/radera personuppgifter som ingår i sådan dokumentation dessförinnan. Av nämnda skäl är det inte heller alltid möjligt för kvalitetskontrollanten att på begäran från en registrerad begränsa eller inskränka eventuell behandling av personuppgifter som sker med anledning av kvalitetskontrollen.
FAR:s kvalitetsnämnd för revisionsverksamhet Version 230502