Hold deg oppdatert med aktuelt fagstoff fra Sticos Meld deg på nyhetsbrev

Regnskap og GDPR: Risikoer du må passe på

Regnskap og GDPR: Risikoer du må passe på

Regnskap og bokføring er berørt av regelverket om personvern. I denne artikkelen får du en oversikt over situasjoner der du som regnskapsfører må være oppmerksom på personvern.

Elin Petersen, rådgiver i Sticos

Når du fører et regnskap må du noen ganger innhente og registrere personopplysninger. GDPR gjør deg forpliktet til å ha god oversikt over hvilke personopplysninger du håndterer, i hvilke sammenhenger, hvorfor du må ha disse og hvordan du ivaretar det. Dette er en del av risikovurderingen som må gjøres. Artikkelen har mest fokus på regnskapsdokumentasjonen men vi nevner også oppdragsdokumentasjon som vil være av betydning for regnskapsfører.

Trenger du som regnskapsfører økt kunnskap om personvern? Ta nettkurset til Sticos om Personvern for regnskapsførere eller bestill en GDPR-workshop med våre personverneksperter gjennom Serious Game

Behandlingsgrunnlag

For å behandle personopplysninger må du ha et behandlingsgrunnlag (og formål), det vil si en hjemmel. Behandlingsgrunnlagene kan deles inn i tre kategorier: samtykke, lovhjemmel og nødvendighetsgrunner. Når det gjelder regnskapsdokumentasjon vil alle disse tre kunne være aktuelle. Lovhjemmelen vil ofte være bokføringsregelverket.

Lønnsutbetaling

Dette er et område som naturlig nok krever personopplysninger. Behandlingsgrunnlaget for det vil være både lovhjemmel og nødvendighetsgrunner.

Følgende er eksempler på det

  • Lønnsavtaler
  • Lønnsoppgaver
  • Lønnsutbetalingslister

Tilgang til data må begrenses

På dette området er det meget viktig at tilgang til dataene begrenses. Er det elektronisk lagring må det være tilgangsstyring både for endring og lesing av dataene. Hvis data må oppbevares lagres det i lønnssystemet og ikke i regnskapssystemet for nettopp å begrense tilgang til disse dataene.

Sletting/makulering av data

Når det ikke lenger er krav om oppbevaring må det være rutiner som sikrer at data blir slettet eller makulert. Man har da ikke lengre et behandlingsgrunnlag for personopplysningene. Det er ikke bare en oppbevaringsplikt, men også en sletteplikt. Ordlyden i GDPR er «uten ugrunnet opphold». Virksomheten må ha systemer og rutiner som sikrer at sletting blir gjennomført.

Lønnsavtaler er sekundærdokumentasjon som må oppbevares tre år og seks måneder etter regnskapsårets slutt etter siste lønnsutbetaling; dvs. etter at den ansatte har sluttet. Etter det er det ikke noe formål med å oppbevare avtalene.

Lønnsoppgaver har som formål å dokumentere grunnlag for lønnsutbetaling til den ansatte. Det er ikke oppbevaringspliktig materiale. Dataene vil være dokumentert i lønnssystemet som oppbevares der med begrenset tilgang.

Lønnsutbetalingslister dokumenterer bankutbetalinger og det er oppbevaringspliktig materiale.

Passordbeskyttelse ved oversendelse

Sendes lønnsavtaler, lønnsoppgaver, lønnsutbetalingslister digitalt må de krypteres (passordbeskyttes) for å sikre at sensitiv informasjon ikke kommer i feil hender.

Sticos har nettkursene du trenger innen GDPR:

Sletting av personopplysninger, Kartlegging av personopplysninger, Informasjonssikkerhet og personvern 

Timelister

Noen bransjer må etter bokføringsregelverket utarbeide timelister. Dette av hensyn til å kunne kontrollere fullstendigheten av inntektene. Andre formål kan for virksomhetene være at det er grunnlaget for å utbetale lønn og/eller som grunnlag for fakturering. Igjen vil dette være dokumentasjon som må oppbevares med begrenset tilgang.

Refusjon av sykelønn

Krav på refusjon av sykepenger skal dokumenteres ved Digital inntektsmelding og oppgjørsrapporter fra NAV. Denne type dokumentasjon bør oppbevares i tilknytning til lønnssystemet med begrenset tilgang, da det vil inneholde sensitive opplysninger. Det må være sporbart fra regnskap til dokumentasjon og motsatt.

Annen dokumentasjon med personopplysninger

Andre eksempler på dokumentasjon som inneholder personopplysninger og som man bør begrense tilgang til er

  • Kjørebok
  • Salg til ansatte for oppfølging av regelverket om personalrabatter
  • Salg til ledende ansatte og eiere
  • Lån til ansatte, ledere
  • Utleggstrekk, bidragstrekk
  • Forskuddstrekk

Alt dette er dokumentasjon som håndteres av lønningsansvarlig og oppbevares med begrenset tilgang via et lønnssystem.

Dokumentasjonskrav for skattemessig fradrag

Bokføringsregelverket og skatteregler setter krav til at navn og formål med kostnaden må oppgis i forbindelse med

  • Reiser
  • Representasjon 
  • Gaver

Formålet med regelverket er å kunne dokumentere at kostnadene gjelder firmaet og for vurdering av rett til fradrag eller eventuell innrapportering som fordel. Her vil da dette regelverket gå foran hensynet til personopplysninger. Minner om kravet til sletting av bilagene etter fem år (oppbevaringstiden).

Lagring i nettskyen

Også når man kjøper data og lagringstjenester av andre må man påse at system og rutiner ivaretar GDPR.

Har revisor rett til å få opplysningene?

Revisor vil når det er nødvendig etter revisorloven ha rett til å behandle personopplysninger. Det er på selvstendig grunnlag. Det samme vil gjelde når revisor må gjøre undersøkelser etter hvitvaskingsloven og for å kunne attestere lønns- og pensjonskostnader (RF-1022).

Innsyn fra offentlige myndigheter

Offentlige myndigheter har rett til innsyn med hjemmel i særlovgivning. Bokføringsregelverket krever at den bokføringspliktige bistår i bokettersyn og stiller nødvendig dokumentasjon til disposisjon. Det samme gjelder ved innsyn fra bostyrer, domstol, økokrim og politi.

GRATIS SJEKKLISTE: Viktige tema for regnskapsfører i kundemøter

Oppdragsdokumentasjon for regnskapsfører

Regnskapsfører vil som følge av god regnskapsførerskikk (GRFS) og i egeninteresse motta og oppbevare dokumentasjon i tillegg til oppbevaringspliktig regnskapsmateriale. Dette er dokumentasjon man ønsker å oppbevare for å dokumentere  jobben som er gjort. Vi mener at denne type dokumentasjon som inneholder personopplysninger må håndteres på lik linje som oppbevaringspliktig materiale i regnskapet. Det må være begrenset tilgang til de som jobber med oppdraget og sikkerhetsrutiner. 

Oppdragsdokumentasjon er oppbevaringspliktig i fem år, og enkelte deler opptil 10 år. Regnskapsfører må legge til rette for sletting av dokumentasjon som ikke er å anse som oppdragsdokumentasjon, men som likevel er oppbevart sammen med oppdragsdokumentasjonen. For lønnsoppdrag er følgende å anse som en del av oppdragsdokumentasjonen:

  • A-meldinger
  • Tilbakemelding på a-meldinger
  • Sammenstillingsoppgaver (årsoppgaver) lønn
  • Rapportering til oppdragsgiver

Oppbevares denne dokumentasjonen av kunde må regnskapsfører ha tilgang til det og sikres i hele oppbevaringstiden også etter at kundeforholdet er avsluttet. 

Regnskapsførervirksomheten må være kritisk til hva som oppbevares og ikke oppbevare unødvendig materiale som er vurderes som “kjekt å ha”.  Oppbevaringen må ha et formål. 

Risikovurderingen

Styret har et ansvar for at det blir gjort nødvendig risikovurdering av GDPR. De må påse at selskapets ledelse har dokumentert sin vurdering og gjort nødvendige tiltak i denne sammenheng. I denne vurderingen må det da også kartlegges risikoer innenfor regnskap. Er du regnskapsfører må du dokumentere kartlegging og håndtering av risiko per kunde. Har du ikke kommet i mål med kartleggingen og risikovurderingen, anbefaler vi på det sterkeste at det blir gjort av flere hensyn. Å trå feil på de eksemplene vi har nevnt under lønnsområdet vil være alvorlig.

Få aktuelle nyheter innen personal, regnskap, økonomi og personvern. Meld deg på vårt nyhetsbrev og følg Sticos på Facebook og LinkedIn 


Sticos holder deg oppdatert: