Villkor

Personuppgiftspolicy

Vi som redovisningsbyrå behandlar personuppgifter (personuppgiftsbiträde) som erhålls av våra uppdragsgivare (personuppgiftsansvarig). Enligt dataskyddslagen ingår även lagring i begreppet behandling och den grundläggande principen är att personuppgifter ska raderas eller återlämnas efter slutfört uppdrag eller på begäran av en registrerad person. Dataskyddslagen är underställd viss annan lagstiftning som kan kräva att lagring sker även efter slutfört uppdrag. Detta kan vara att lagra uppgifter för kundkännedom enligt lagen om penningtvätt och finansiering av terrorism, eller kravet att bevara räkenskapsinformation enligt bokföringslagen.

Vi behandlar personuppgifter i den omfattning och på det sätt som är nödvändigt för att uppfylla avtalade instruktioner i våra upprättade avtal med våra uppdragsgivare och agerar i enlighet med tillämplig dataskyddslagstiftning.

För att kunna utföra vårt arbete på bästa sätt och i enlighet med instruktioner i våra klienters uppdragsavtal använder vi oss av för branschen sedvanliga och väl etablerade programvaruleverantörer (underbiträden). Programmen består av fasta installationer i vår server samt molnet-baserade lösningar/system.
Våra mest förekommande programleverantörer(underbiträden) är:
Visma, Fortnox, Briljant, Wolters Klywer, Datavara, Hogia.
Dessa kan förändras över tid men arbetssätt och behandling av personuppgifter kommer att vara detsamma oavsett vilken lösning/system som tillämpas.

Vi har valt att outsourca vår IT-miljö till en väl etablerad underleverantör/underbiträde för att höja säkerhetsnivåerna gällande all databehandling, lagring, back up och övrig IT-service. Underbiträdet arbetar i enlighet med gällande dataskyddslagstiftning, dvs lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

För att kunna korrespondera effektivt med våra uppdragsgivare/personuppgiftsansvariga använder vi till största del e-post. Korrespondensen innehåller sällan eller inte alls personuppgifter av extra känslig karaktär utan innehåller oftast uppgifter och till viss del personuppgifter för att utföra och uppfylla det avtalade uppdraget. Utgångsläget är att vi försöker att begränsa korrespondens med personuppgifter via e-post. Lönespecifikationer som vi upprättar åt våra uppdragsgivare och deras anställda kommer i möjligaste mån att skickas via e-postleverantör med extra hög, krypterad, säkerhetsnivå. Detta förutsätter att mottagaren vill och har möjlighet att ta emot e-post via dessa kanaler.
Personuppgifter som behandlas för att utföra och uppfylla avtalade uppdrag enligt instruktioner i uppdragsavtalet sparas/arkiveras i 10 år, enl. bokföringslagen. Därefter gallras alla personuppgifter och raderas/slängs.

Övrig korrespondens som inte har med vårt uppfyllande av uppdrag att göra både via e-post och i fysisk form gallras kontinuerligt och tas bort. Då det ibland är svårt att avgöra eventuell behandling av inkomna uppgifter och frågeställningar så sparas dessa som längst i 10 år.

Ett eventuellt intrång i IT-miljön och andra molnet-baserade lösningar ska skyndsamt hanteras och rapporteras. Underbiträden/underleverantörer rapporterar till byrån som sedan rapporterar till relevanta personuppgiftsansvariga och personuppgiftsbiträden. Detta ska ske inom 72 timmar i enlighet med dataskyddslagen.

Vi medverkar till när så önskas att personuppgiftsansvarig kan få information om och vid behov granska att personuppgiftsbiträdets behandling av personuppgifter följer vad som överenskommits och uppfyller tillämplig dataskyddslagstiftning samt annan tillämplig lagstiftning.

När vi ingår våra samarbeten med uppdragsgivare (uppdragsansvarig) upprättas uppdragsavtal med tillhörande allmänna villkor för branschen, se egen flik allmänna villkor, samt personuppgiftsbiträdesavtal. Vid godkännande godkänner uppdragsgivare (uppdragsansvarig) vår säkerhetsnivå.