Person-vernerklæring

Ditt personvern er viktig for Tower NewCo og vi er opptatt av å verne om personopplysningenes integritet, tilgjengelighet og konfidensialitet. All behandling av personopplysninger i Tower NewCo skal følge det til enhver tid gjeldende personvernregelverket, herunder personopplysningsloven og EUs personvernforordning (GDPR).

Behandlingsansvarlig og databehandler

Som hovedregel opptrer Tower NewCo som databehandler når vi behandler personopplysninger i forbindelse med levering av våre tjenester. I slike tilfeller er vår behandling regulert av en databehandleravtale med våre kunder.

Som regnskapsførerselskap er vi imidlertid underlagt visse rettslige forpliktelser knyttet til oppdragsutførelsen. Dette innebærer at vi opptrer som behandlingsansvarlig for enkelte behandlingsaktiviteter, herunder:

• lovpålagt dokumentasjon av våre regnskapsføreroppdrag, og
• gjennomføring av kundekontroll i henhold til hvitvaskingsloven.

Videre er Tower NewCo behandlingsansvarlig for personopplysninger vi behandler i forbindelse med våre markedsføringstiltak og administrasjon av våre nettsider.

Dine rettigheter

Enhver som har personopplysninger registrert om seg selv i Tower NewCo s systemer har rett til:

• Innsyn i personopplysningene
• Retting av uriktige og ufullstendige personopplysninger
• Sletting av personopplysninger
• Begrensning av behandlingen av personopplysninger
• Dataportabilitet
• Å protestere mot behandlingen av personopplysninger

Vær imidlertid oppmerksom på at rettighetene ikke er absolutte og at de kan være begrenset. Vi kan blant annet være underlagt lovbestemt taushetsplikt som kan begrense innsynsretten din. I tillegg kan vi være underlagt lovbestemte oppbevaringsplikter som kan begrense din rett til å få personopplysninger om deg slettet. Dersom vi avviser din forespørsel om å få utøvet en av rettighetene, vil vi alltid gi en beskrivelse av grunnlaget for avvisningen.

Du kan utøve dine rettigheter ved å sende en forespørsel til [SETT INN KONTAKTPUNKT]. Vi skal svare på forespørselen uten ugrunnet opphold, og senest innen 30 dager.

I tilfeller der Tower NewCo er databehandler for kundene våre, skal forespørselen rettes til den som er behandlingsansvarlig, dvs. til Tower NewCo s kunde.

Dersom du mener at vi behandler personopplysninger i strid med personvernregelverket, kan du rette en klage til [SETT INN KONTAKTPUNKT]. Du kan også klage direkte til Datatilsynet.

Får andre tilgang til dine personopplysninger?

Avhengig av hvilken sammenheng personopplysningene er innhentet i, kan Tower NewCo utlevere informasjon som inneholder personopplysninger. Tower NewCo vil kun utlevere slik informasjon dersom det er avtalt med kunden eller dersom det er nødvendig for å oppfylle forpliktelser i lov eller krav fra myndigheter.

Vi vil kunne utlevere personopplysninger i enkelte tilfeller, for eksempel i følgende tilfeller:

• Tilsynsorgan vil gis tilgang til vår dokumentasjon i forbindelse med tilsyn
• Rapportering av mistenkelige transaksjoner til Økokrim
• Politiet kan i visse tilfeller gis tilgang til dokumentasjonen vår
• Dersom det gjennomføres bokettersyn hos en kunde, kan vi bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger
• Vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
• Hvis vi blir innkalt som vitne i en rettsak, kan vi ha vitneplikt

Vår bruk av databehandlere

Tower NewCo bruker flere leverandører som kan behandle personopplysninger på vegne av oss. Leverandører som behandler personopplysninger på vegne av Tower NewCo skal kunne dokumentere gode rutiner for personvern og informasjonssikkerhet. Tower NewCo has derfor som rutine at alle slike leverandører skal gjennomgå en sikkerhetskontroll før de blir leverandører av oss. Videre sørger vi for å inngå databehandleravtaler med leverandørene som gir oss mulighet til å føre kontroll med at leverandørene behandler personopplysninger i tråd med kravene i GDPR.

I oppdrag hvor Tower NewCo er databehandler for våre kunder vil disse leverandørene anses som underdatabehandlere.

Overføringer til tredjeland

Vi overfører som hovedregel ikke personopplysninger til land utenfor EU/EØS (tredjeland) som ikke har en adekvansvurdering fra EU-kommisjonen. I unntakstilfeller kan imidlertid personopplysninger overføres ved at personell som er lokalisert i slie tredjeland får tilgang til personopplysninger som er lagret i EU/EØS. Ved slik overføring vil Tower NewCo sikre at det foreligger et overføringsgrunnlag og at personopplysningene er underlagt et tilstrekkelig beskyttelsesnivå.

Informasjonssikkerhet

Tower NewCo tar informasjonssikkerhet på alvor og vi har etablert egnede sikkerhetstiltak for å beskytte dine personopplysningers konfidensialitet, tilgjengelighet og integritet. Tilgangen til personopplysninger er begrenset til ansatte som har et tjenstlig behov for slik tilgang og alle ansatte er underlagt taushetsplikt. Materiale som inneholder beskyttelsesverdige personopplysninger og som overføres til eller fra Tower NewCo, skal alltid sikres mot innsyn ved hjelp av kryptering. Med beskyttelsesverdige personopplysninger menes blant annet helseopplysninger, personnummer, lønns- og gjeldsopplysninger og opplysninger om straffbare forhold og lovovertredelser.

Behandling av kontaktinformasjon til våre kunder og leverandører

For å kunne administrere våre kunde- og leverandørforhold behandler vi personopplysninger om kontaktpersoner hos våre kunder og leverandører. Vi kan blant annet behandle personopplysninger som navn, telefonnummer, e-postadresse og stilling. Tower NewCo er behandlingsansvarlig for behandlingen av disse personopplysningene. Det rettslige grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse).

Behandling av personopplysninger i oppdrag

Regnskaps- og lønnstjenester

Når Tower NewCo sørger for hele eller deler av regnskapsføringen eller kjører lønn for våre kunder, kan Tower NewCo behandle personopplysninger om kundens ansatte eller andre som fremgår av kundens regnskap. Vi kan for eksempel behandle personopplysninger som navn, fødselsnummer og lønns- og trekkopplysninger. Opplysningene innhentes hovedsakelig fra våre kunder, men vi kan også innhente informasjon fra eksterne kilder som for eksempel skattekontorer og Altinn.

Tower NewCo er som hovedregel databehandler ved utførelse av regnskaps- eller lønnstjenester. Vi vil derfor inngå en databehandleravtale med kunden som setter rammene for Tower NewCo s behandling av personopplysninger, herunder hvilke sikkerhetstiltak og slettefrister som skal gjelde. Tower NewCo vil imidlertid oppbevare dokumentasjon som vi er pliktig til å oppbevare for å dokumentere vårt regnskapsføreroppdrag etter at oppdraget er utført. Denne dokumentasjonen kan inneholde personopplysninger som behandles i forbindelse med oppdraget. For denne behandlingen vil Tower NewCo være behandlingsansvarlig og det rettslige grunnlaget er GDPR artikkel 6 nr. 1 bokstav c og regnskapsførerloven §§ 5-3 og 5-4. Denne dokumentasjonen oppbevares som hovedregel i 10 år.

Rådgivningstjenester og andre tjenester

Tower NewCo leverer flere rådgivningstjenester og andre tjenester til kunder, for eksempel knyttet til systemimplementering og systemstøtte. Ved utførelse av slike oppdrag kan Tower NewCo behandle personopplysninger om for eksempel ansatte hos våre kunder. Personopplysningene vi behandler kan typisk være navn, kontaktinformasjon og opplysninger knyttet til den ansattes arbeidsforhold. I enkelte oppdrag kan vi også få tilgang til informasjon om økonomiske forhold og helseopplysninger.

Ved utførelse av slike tjenester vil Tower NewCo som hovedregel opptre som databehandler, og behandlingen vil reguleres av databehandleravtaler med våre kunder. Databehandleravtalen setter rammene for Tower NewCo s behandling av personopplysninger, herunder hvilke sikkerhetstiltak og slettefrister som skal gjelde. I databehandleroppdrag kan Tower NewCo oppbevare personopplysninger også etter at oppdraget med kunden er avsluttet dersom det er nødvendig for at vi skal kunne imøtegå eventuelle erstatningskrav eller andre anklager i ettertid.

Bruk av data til andre interne formål

I tillegg til å behandle kundedata for å utføre tjenestene som beskrevet ovenfor, kan Tower NewCo behandle kundedataene for andre interne formål, for eksempel statistikk eller kunnskapsforvaltning. Dersom kundedataene inneholder personopplysninger, vil vi alltid vurdere lovligheten av å viderebehandle personopplysningene for slike andre formål.

Behandling av personopplysninger ved kundekontroll

Gjennom hvitvaskingsloven kan vi være pålagt å gjennomføre kundekontroll av våre kunder. I den forbindelse kan vi behandle personopplysninger som navn, fødsels- og/eller personnummer, og adresse om styret, ledelse og kontaktpersoner hos kunden, samt reelle rettighetshavere. Vi kan også behandle særlige kategorier av personopplysninger som straffbare forhold og politisk tilhørighet om kontaktpersoner hos kunde og reelle rettighetshavere, samt deres familiemedlemmer og medarbeidere.

Ved behandling av personopplysninger for å utføre kundekontroll er Tower NewCo behandlingsansvarlig. Det rettslige grunnlaget for behandlingen er:

• GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og hvitvaskingsloven
• GDPR artikkel 9 nr. 2 bokstav g (viktig allmenn interesse) og hvitvaskingsloven

Tower NewCo er pålagt å oppbevare dokumenter benyttet i forbindelse med kundekontroll i minst fem år etter at kundeforholdet er avsluttet eller en transaksjon er gjennomført, jf. hvitvaskingsloven § 30. Personopplysningene skal slettes innen ett år etter at oppbevaringsplikten opphører.

Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering, samt andre straffbare forhold til Økokrim. Meldinger til skal inneholde alt vi er kjent med om forholdet som har medført rapportering, inkludert personopplysninger om involverte personer. Slike meldinger kan ikke gjøres kjent for de involverte.

Behandling av personopplysninger ved markedsføring og faglige oppdateringer

Nyhetsbrev, seminar-/webinarinvitasjoner og andre faglige oppdateringer

Det er mulig å frivillig abonnere på nyhetsbrev og seminar-/webinarinvitasjoner fra Tower NewCo. For å kunne sende nyhetsbrevene til riktig person er det nødvendig å registrere seg med navn og e-postadresse, firmanavn og stillingstittel. Ved påmelding til et av våre seminarer/webinarer vil vi også be om ditt telefonnummer. Personopplysningene lagres i vår kundedatabase og vil ikke bli videreformidlet til andre.

Det rettslige grunnlaget for behandlingen er GDPR artikkel 6 nr. 1 bokstav a (samtykke). Personopplysningene lagres så lenge du er abonnent, men du kan når som helst trekke tilbake ditt samtykke. Tower NewCo vil da slutte å sende deg nyhetsbrev og annen kommunikasjon per e-post og vi vil slette din kontaktinformasjon fra vårt register, med mindre du står oppført som kontaktperson hos en aktiv kunde.

Tower NewCo vil også kunne sende faglig innhold til kontaktpersoner hos våre eksisterende kunder dersom innholdet er relevant for kundeforholdet uten at det er samtykket til det på forhånd. I slike tilfeller benytter vi GDPR artikkel 6 nr. 1 bokstav f (vår berettiget interesse i å gi våre kunder relevant faglig innhold) som rettslig grunnlag. Slikt faglig innhold kan for eksempel være informasjon om relevante lovendringer. Du kan når som helst be at vi ikke skal sende deg slik informasjon

Register over potensielle kunder

Tower NewCo kan behandle personopplysninger om kontaktpersoner hos potensielle kunder for å markedsføre våre tjenester ved å ta kontakt per telefon. Opplysningene innhentes fra offentlig tilgjengelig kilder, for eksempel virksomheters nettside.

Det rettslige grunnlaget for denne behandlingen er GDPR artikkel 6 bokstav f (vår berettigede interesse i å markedsføre oss ovenfor potensielle kunder). Dersom du ikke ønsker å være en del av vårt register, kan du be om å bli slettet fra dette eller protestere mot behandlingen etter GDPR artikkel 21.

Personopplysningene skal slettes innen ett år, med mindre det etableres et kundeforhold, kontaktpersonen abonnerer på innhold fra oss, eller ved samtykke til fortsatt lagring.

Behandling av personopplysninger ved bruk av våre nettsider

Forespørsler via nettsiden

Ved bruk av skjema «Kontakt oss» på Tower NewCo.no, må du oppgi navn, e-postadresse telefonnummer og organisasjonen du kontakter oss på vegne av. Opplysningene lagres i nettsidens database som administreres av Tower NewCo s webredaktør, og vil ikke bli videreformidlet til andre utenfor Tower NewCo. Informasjonen slettes fortløpende fra databasen. Det rettslige grunnlaget for denne behandlingen er GDPR artikkel 6 nr. 1 bokstav a (samtykke).

Informasjonskapsler (cookies)

Cookies er små tekstfiler som blir lagret på din enhet når du besøker en nettside. Tower NewCo benytter cookies til følgende formål:

• For at våre nettsider skal fungere best mulig
• For å tilby funksjoner som husker din informasjon
• For å genere statistikk og analysere hvordan nettsidene våre brukes av besøkende
• For å gi deg relevante annonser basert på interesser og tidligere nettstedbruk

Cookies som er nødvendige for at nettsidene våre skal fungere best mulig lagres automatisk på din enhet når du laster ned våre nettsider. Det rettslige grunnlaget for denne behandlingen er GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse). Øvrige cookies (preferanser, webanalyse og markedsføring) er valgfrie og vil kun lagres på din enhet dersom du samtykker til det. Det rettslige grunnlaget for denne behandlingen er GDPR artikkel 6 nr. 1 bokstav a (samtykke).

Du kan blokkere og tillate cookies gjennom innstillingene i nettleseren. Les mer om hvordan du kan gjøre dette på Nettvett.no.

Behandling av personopplysninger der Tower NewCo as er kursarrangør

Tower NewCo arrangerer eksterne kurs som gir etterutdanningstimer for regnskapsførere. Som kursarrangører plikter Tower NewCo å utarbeide og oppbevare kursdokumentasjon i henhold til regnskapsførerloven § 3-4. Denne dokumentasjonen inneholder personopplysninger som navn på foreleser, forelesers bakgrunn/kompetanse, navn på deltakere, samt deltakeres kontaktinformasjon, firmanavn og stillingstittel. Kursdokumentasjonen oppbevares i fem år etter utløpet av det kalenderåret etterutdanningen ble gjennomført, jf. regnskapsførerloven § 3-4.

Det rettslige grunnlaget for å behandle disse personopplysningene er GDPR artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og regnskapsførerloven Etter avholdt kurs kan Tower NewCo sende ut evalueringsskjemaer til deltakerne. Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å forbedre våre kurs, jf. GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse).

Behandling av personopplysninger ved rekruttering

For å rekruttere nye ansatte, behandler vi personopplysninger som navn, kontaktinformasjon, søknad, CV, utdanning og referanser om jobbsøkere. Det rettslige grunnlaget for denne behandlingen er GDPR artikkel 6 nr. 1 bokstav b (nødvendig for å kunne inngå avtale med den registrerte)

Kontaktinformasjon

Vi oppfordrer våre kunder til å benytte sin kontaktperson i Tower NewCo ved spørsmål om Tower NewCo s behandling av personopplysninger. Spørsmål fra andre enn kunder, kan rettes til [SETT INN KONTAKTPUNKT].