Personopplysninger
Personopplysninger er alle fortrolige opplysninger som f eks opplysninger om sykdom, straff og økonomiske personlige opplysninger, men personopplysninger er imidlertid noe langt mer. Etter personopplysningsloven er alle "opplysninger og vurderinger som kan knyttes til en enkeltperson", omfattet av loven. På den annen side omfatter loven kun opplysninger om fysiske personer, ikke juridiske personer.
Dette innebærer blant annet at alle næringsdrivende som i sitt foretak har opprettet registre med opplysninger som kan knyttes til enkeltperson, er underlagt loven og dens meldeplikt.
I praksis møter man personopplysninger som f eks kunderegister, personellregister, kontaktnett osv i mange foretak. Et spesielt viktig forhold å merke seg for regnskapsførere er at regnskapssystemer og andre registre som regnskapsfører daglig har befatning med, absolutt kan tenkes å inneholde personopplysninger. Lønnssystemer og Kunde/CRM-system inneholder prinsipielt sett personopplysninger. Mange praktiske unntak gjør imidlertid at loven trolig har liten betydning for de fleste regnskapsføreres hverdag.
Det at regnskapsførere på denne måten gis tilgang til personopplysninger har imidlertid en side mot personvernlovgivningen. Et sentralt spørsmål er hvilken betydning den nye personopplysningsloven har fått for regnskapsførere.
Lov om behandling av personopplysninger (popplyl) ble vedtatt 14. april 2000, med ikrafttredelse 1. januar 2001. Formålet med loven er å beskytte den enkelte mot at personvernet blir krenket gjennom "behandling av personopplysninger", jfr popplyl § 1.
Meldeplikt og konsesjonsplikt
Etter popplyl §§ 31-33 er behandling av personopplysninger i visse tilfeller meldepliktig og/eller konsesjonspliktig til Datatilsynet.
Det rettslige utgangspunkt er at et regnskap som inneholder personopplysninger må anses som en behandling av personopplysninger og følgelig er melde- og konsesjonspliktig.
I forskrift til popplyl, fastsatt ved kongelig resolusjon. av 15. desember 2000, kapittel 7 er det imidlertid en rekke konkrete unntak fra melde- og konsesjonsplikten.
Regnskap vil svært ofte fremstå som en del av annen behandling av personopplysninger, typisk kundeadministrasjon eller personellregistre. Begge disse behandlingsformene er, på visse vilkår, unntatt fra meldeplikten, jfr forskriftens §§ 7-7 og 7-16. Datatilsynet har antatt at i praksis vil den store hovedregel være at føring av regnskap inneholdende personopplysninger ikke er meldepliktig.
Regnskapsførere som "databehandlere"
Det er lovens system at regnskapsførere skal anses som "databehandlere". En databehandler er i popplyl § 2 nr 5 definert som "den som behandler personopplysninger på vegne av den behandlingsansvarlige". Oppdragsgiver (kunden) vil regelmessig være den behandlingsansvarlige, som i loven er definert som "den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes".
Den praktiske betydningen av dette er at i de sjeldne tilfeller hvor regnskapsopplysningene er meldepliktige, påhviler meldeplikten kun oppdragsgiver ("behandlingsansvarlig").
Krav til skriftlig avtale mellom regnskapsfører og kunde
Regnskapsførernes plikter etter personopplysningsloven fremgår av lovens § 15 som lyder:
"En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13."
Bestemmelsen i popplyl § 15 får betydning for regnskapsførerne i tre forskjellige relasjoner:
1. Skriftlighetskrav
Loven oppstiller som nytt krav i forhold til tidligere lovgivning at enhver samarbeidsavtale hvor regnskapsførere gis tilgang til eller skal behandle personopplysninger på vegne av kunden, må nedfelles skriftlig.
Begrunnelsen for skriftlighetskravet er at dette skal forenkle kontrollen av om personopplysninger er behandlet i henhold til avtalen eller om databehandleren har gått utenfor sin fullmakt.
2. Regnskapsførers rådighet over personopplysninger
Regnskapsføreren kan ikke behandle personopplysningene på annen måte enn det som er skriftlig avtalt. Dette innebærer at regnskapsføreren ikke har noen selvstendig rådighet over personopplysningene. Det er den behandlingsansvarlige som er ansvarlig for at personopplysningene behandles i samsvar med gjeldende regelverk. Regnskapsføreren kan heller ikke uten skriftlig avtale overlate personopplysningene til noen andre for lagring eller bearbeidelse.
Dersom regnskapsføreren behandler personopplysninger i strid med avtalen, er dette et regulært kontraktsbrudd fra regnskapsførerens side. Hvilke sanksjoner kunden kan gjøre gjeldende overfor regnskapsføreren må avgjøres etter alminnelig kontraktsrett.
Regnskapsførerens avtalebrudd innebærer imidlertid neppe at han blir ansvarlig for brudd på personlovgivningen, med mindre det foreligger brudd på informasjonssikkerheten etter popplyl § 13. I så fall vil regnskapsføreren og kunden være solidarisk ansvarlig.
3. Krav til innhold - informasjonssikkerhet
Personopplysningsloven stiller også krav til avtalens innhold. Det fremgår av popplyl § 15 at regnskapsføreren "plikter å gjennomføre slike sikringstiltak som følger av § 13" om informasjonssikkerhet.
Popplyl § 13 om informasjonssikkerhet lyder:
"Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f eks en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd."
Må oppdragsavtalen endres?
Riktignok dispenseres det fra meldeplikten i enkelte tilfeller. Like fullt stiller personopplysningsloven visse krav til behandlingen av personopplysninger. For regnskapsførere har dette gitt seg utslag i at det stilles krav til innholdet i Oppdragsavtalen mellom kunden og regnskapsføreren.
For de tilfeller hvor regnskapsførere behandler personopplysninger elektronisk, er ikke dagens standard Oppdragsavtale tilstrekkelig.
NARF jobber med å à jourholde Oppdragsavtalen på dette punkt.
Sanksjoner ved overtredelse av popplyl §§ 13 og 15
"Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39", jfr popplyl § 48 først ledd bokstav e.
Selv om personopplysningsloven oppstiller straffesanksjoner ved overtredelse av ovennevnte bestemmelser kan man vel likevel kanskje håpe at bestemmelsen ikke vil bli benyttet i særlig grad.
