Privatlivspolitik
Denne privatlivspolitik forklarer, hvordan Ri Statsautoriseret Revisionspartnerselskab behandler personoplysninger, når du besøger vores hjemmeside, kontakter os, tilmelder dig nyheder eller arrangementer, eller når vi i øvrigt er i dialog med dig eller leverer ydelser til dig eller din virksomhed.
Politikken er udarbejdet for at opfylde oplysningspligten efter databeskyttelsesforordningen (GDPR) artikel 13 og 14 samt databeskyttelsesloven.
1. Hvem er dataansvarlig?
Dataansvarlig: Ri Statsautoriseret Revisionspartnerselskab
Adresse: Skagensgade 1, DK-2630 Taastrup, Danmark
Hjemmeside: https://www.ri.dk og https://www.fravalg.ri.dk
E-mail: support@ri.dk
Telefon: +45 43 50 50 50
Kontakt vedrørende persondata: Vi har ikke udpeget en databeskyttelsesrådgiver (DPO), da vi ikke er forpligtet hertil. Du kan altid kontakte os på support@ri.dk, hvis du har spørgsmål til vores behandling af personoplysninger eller ønsker at udøve dine rettigheder.
2. Hvornår gælder denne politik, og hvilken rolle har vi?
Vi behandler personoplysninger i forskellige situationer og kan have forskellige roller efter GDPR.
Når du besøger hjemmesiden, tilmelder dig nyhedsbrev, tilmelder dig kursus eller arrangement, eller på anden måde kontakter os, er vi som udgangspunkt dataansvarlig for behandlingen.
Når vi leverer revisions-, regnskabs- eller rådgivningsydelser, kan vi behandle personoplysninger som led i en kundes opgave. Vi vil her enten være dataansvarlig (fx for oplysninger om kundens kontaktpersoner og for vores egne lovpligtige forpligtelser som revisor) eller databehandler (når vi behandler personoplysninger på vegne af en kunde efter kundens dokumenterede instrukser). Når vi er databehandler, er rammen fastlagt i en databehandleraftale med kunden, og kunden er den dataansvarlige.
3. Hvilke personoplysninger behandler vi?
Vi behandler kun personoplysninger, der er relevante og nødvendige for det konkrete formål. Afhængigt af situationen kan det omfatte:
Almindelige personoplysninger: navn, virksomhed, titel, e-mail, telefonnummer, adresse, korrespondance, mødenoter, oplysninger om deltagelse i kurser og events, faktura- og betalingsoplysninger samt tekniske oplysninger om brug af hjemmesiden (fx IP-adresse, enhedsoplysninger, browseroplysninger og logdata).
Cookies og lignende teknologier: oplysninger indsamles i det omfang du giver samtykke, eller hvor behandlingen er strengt nødvendig for hjemmesidens funktion.
Identitetsoplysninger: i visse tilfælde behandler vi CPR-nummer, billedlegitimation (kørekort eller pas) og oplysninger om reelle ejere. Dette sker, når vi er forpligtet til at gennemføre kundekendskabsprocedurer (KYC) efter hvidvaskloven, eller hvor lovgivningen i øvrigt kræver entydig identifikation.
Særlige kategorier af personoplysninger (GDPR artikel 9), herunder helbredsoplysninger, samt oplysninger om strafbare forhold (GDPR artikel 10), kan i særlige tilfælde forekomme som led i opgaveløsning for kunder. Sådanne oplysninger behandles kun, når det er nødvendigt, lovligt og relevant for opgaven, og med skærpet sikkerhed og adgangsbegrænsning.
4. Formål og retsgrundlag
4.1. Henvendelser og dialog (telefon, e-mail, formularer)
Når du kontakter os, behandler vi dine oplysninger for at besvare din henvendelse, håndtere dialogen, dokumentere aftaler og følge op.
Retsgrundlag: GDPR artikel 6, stk. 1, litra b (foranstaltninger forud for kontrakt) og/eller artikel 6, stk. 1, litra f (legitim interesse i at kunne kommunikere effektivt med vores kontakter og dokumentere dialog).
4.2. Kunder, samarbejdspartnere og kontaktpersoner hos virksomheder
Når vi leverer ydelser, behandler vi personoplysninger for at levere den aftalte ydelse, administrere kundeforholdet, fakturere, føre sagsstyring og dokumentation, kvalitetssikre samt håndtere eventuelle retskrav.
Retsgrundlag:
- GDPR artikel 6, stk. 1, litra b (opfyldelse af aftale, hvor du er kontraktpart).
- GDPR artikel 6, stk. 1, litra c (overholdelse af retlig forpligtelse, herunder revisorloven, bogføringsloven, hvidvaskloven, skatteindberetningslovgivning m.v.).
- GDPR artikel 6, stk. 1, litra f (legitime interesser i at administrere og udvikle vores rådgivnings- og revisionsvirksomhed, kvalitetssikre leverancer, dokumentere udført arbejde og fastlægge, gøre gældende eller forsvare retskrav).
- For særlige kategorier af oplysninger (artikel 9): som udgangspunkt artikel 9, stk. 2, litra f (retskrav).
- For oplysninger om strafbare forhold (artikel 10): databeskyttelseslovens § 8.
Behandling af CPR-nummer sker med hjemmel i databeskyttelseslovens § 11, stk. 2 (typisk nr. 1, idet behandlingen følger af lovgivning, herunder hvidvaskloven). Videregivelse af CPR-nummer sker kun i de tilfælde, der er hjemlet i § 11, stk. 2.
Hvidvask-relaterede oplysninger behandles med hjemmel i GDPR artikel 6, stk. 1, litra c, sammenholdt med hvidvaskloven, og hvor relevant artikel 9, stk. 2, litra g, jf. databeskyttelseslovens § 7.
4.3. Nyhedsbreve og markedsføring
Hvis du tilmelder dig vores nyhedsbrev eller på anden vis accepterer at modtage markedsføring fra os, behandler vi dine kontaktoplysninger og dit samtykke for at sende dig relevante nyheder, invitationer og tilbud.
Retsgrundlag: GDPR artikel 6, stk. 1, litra a (samtykke), sammenholdt med markedsføringslovens § 10.
Du kan til enhver tid afmelde dig via afmeldingslink i nyhedsbrevet eller ved at kontakte support@ri.dk. Tilbagekaldelse påvirker ikke lovligheden af behandling, der er sket før tilbagekaldelsen.
4.4. Kurser, arrangementer og events
Ved tilmelding til kurser, arrangementer eller events behandler vi dine oplysninger for at administrere tilmelding, deltagelse, praktisk afvikling, kommunikation, betaling og efterfølgende dokumentation.
Retsgrundlag: GDPR artikel 6, stk. 1, litra b (aftale om deltagelse) og/eller artikel 6, stk. 1, litra f (legitim interesse i at afvikle og forbedre arrangementer).
Hvis vi tager fotos eller video af identificerbare deltagere til efterfølgende brug i markedsføring eller på sociale medier, sker det udelukkende på grundlag af samtykke (GDPR artikel 6, stk. 1, litra a). Du kan til enhver tid trække samtykket tilbage ved at kontakte support@ri.dk.
4.5. Hjemmeside, drift, statistik og sikkerhed
Når du besøger vores hjemmeside, behandler vi tekniske data og eventuelle cookie-data for at levere og drive hjemmesiden, sikre stabil drift, forebygge misbrug og fejlsøge. Med dit samtykke anvender vi desuden cookies til statistik og markedsføring.
Retsgrundlag: GDPR artikel 6, stk. 1, litra f (legitim interesse i sikker og stabil drift af hjemmesiden) for nødvendige behandlinger, og GDPR artikel 6, stk. 1, litra a (samtykke) for ikke-nødvendige cookies, jf. cookiebekendtgørelsen.
4.6. Rekruttering
Hvis du søger en stilling hos os, behandler vi de oplysninger, du sender til os (CV, ansøgning, referencer m.v.) med henblik på at vurdere din ansøgning.
Retsgrundlag: GDPR artikel 6, stk. 1, litra b (foranstaltninger forud for kontrakt) og artikel 6, stk. 1, litra f (legitim interesse i at finde kvalificerede medarbejdere). Ansøgninger slettes senest 6 måneder efter afslag, medmindre du har givet samtykke til, at vi opbevarer dem længere.
4.7. MitID-login på Fravalg (fravalg.ri.dk)
På vores tjeneste Fravalg (https://fravalg.ri.dk) anvender vi MitID til at verificere brugerens identitet, når du ønsker at fravælge, at en del af dit fagforeningskontingent anvendes til partistøtte.
Når du logger ind med MitID, modtager vi følgende oplysninger fra MitID-systemet:
- Fulde navn
- Fødselsdato
- Et unikt MitID-identifikationsnummer (UUID)
Vi modtager ikke CPR-nummer eller adresse via MitID. CPR-nummer er nødvendigt for at gennemføre fravalget, og du indtaster det selv særskilt på fravalg.ri.dk, og det behandles adskilt fra MitID-login.
Retsgrundlag:
- For identitetsverifikation via MitID: GDPR artikel 6, stk. 1, litra f (legitim interesse i at sikre, at fravalget afgives af den rette person og ikke af uvedkommende).
- For behandling af oplysninger om dit fagforeningsmedlemskab, der er en særlig kategori af personoplysninger jf. GDPR artikel 9: GDPR artikel 9, stk. 2, litra a (udtrykkeligt samtykke). Du afgiver et udtrykkeligt samtykke til behandlingen i forbindelse med, at du gennemfører fravalget. Samtykket kan til enhver tid trækkes tilbage med fremtidig virkning ved henvendelse til support@ri.dk.
- For behandling af CPR-nummer: databeskyttelseslovens § 11, stk. 2, sammenholdt med ovenstående.
Databehandler og underliggende aktører:
Til at formidle MitID-login anvender vi Idura ApS (CVR 35142207, Gammel Kongevej 3E, 1610 København V) som certificeret MitID-broker. Idura er databehandler på vores vegne og behandler alene oplysningerne efter vores instruks. Der er indgået en databehandleraftale med Idura i overensstemmelse med GDPR artikel 28. MitID-løsningen anvender desuden Nets DanID A/S og Digitaliseringsstyrelsen som underliggende aktører i selve MitID-infrastrukturen.
Opbevaringssted:
Oplysninger modtaget via MitID behandles og opbevares udelukkende inden for EU/EØS — konkret i Microsoft Azure-datacentre i Irland og Holland samt Amazon Web Services-datacentre i Tyskland. Der sker ikke overførsel til tredjelande.
Opbevaringsperiode:
Oplysninger om dit fravalg, herunder MitID-login-data, opbevares så længe det er nødvendigt for at dokumentere fravalget over for relevante aktører og i øvrigt i overensstemmelse med gældende lovgivning. Når dokumentationsbehovet bortfalder, slettes oplysningerne efter vores interne sletterutiner.
Dine rettigheder:
De rettigheder, der er beskrevet i afsnit 10, gælder også for behandling i forbindelse med MitID-login og fravalg. Henvendelser vedrørende MitID-behandlingen kan rettes til support@ri.dk.
5. Er du forpligtet til at afgive oplysninger, og hvad sker der hvis du ikke gør?
Hvorvidt du er forpligtet til at give os personoplysninger afhænger af situationen:
Lovkrav (du er forpligtet):
- Hvidvaskloven (KYC): Når vi etablerer eller opretholder et kundeforhold omfattet af hvidvaskloven, er det et lovkrav, at du afgiver identitets- og kundekendskabsoplysninger, herunder eventuelt CPR-nummer og billedlegitimation. Hvis du ikke afgiver oplysningerne, kan vi ikke etablere kundeforholdet og er forpligtede til at afbryde det, jf. hvidvasklovens § 14.
- Skatte-, regnskabs- og revisorlovgivning: Til brug for revisions-, regnskabs- og indberetningsopgaver kan lovgivningen kræve specifikke oplysninger om dig eller virksomheden. Hvis vi ikke modtager dem, kan det betyde, at vi ikke kan udføre opgaven, eller at vi skal modificere eller afslå at afgive en revisionserklæring.
Aftalekrav (nødvendigt for at vi kan levere):
- For at indgå eller opfylde en aftale med dig eller den virksomhed, du repræsenterer, har vi brug for visse kontakt-, identifikations- og betalingsoplysninger. Hvis du ikke afgiver dem, kan vi ikke levere den aftalte ydelse eller fakturere korrekt.
Frivilligt (du bestemmer selv):
- Tilmelding til nyhedsbrev, tilmelding til arrangementer (ud over det praktisk nødvendige), brug af kontaktformularer på hjemmesiden samt deltagelse i fx markedsføringssamtykker er frivilligt. Hvis du ikke afgiver oplysningerne, vil du blot ikke modtage den pågældende ydelse eller kommunikation.
6. Hvor kommer oplysningerne fra?
Vi indsamler personoplysninger direkte fra dig, når du udfylder formularer, tilmelder dig, eller kommunikerer med os.
I kundesager kan vi også modtage oplysninger fra:
- Vores kunde (fx en arbejdsgiver, samarbejdspartner eller bestyrelse).
- Offentlige registre og myndigheder (fx CVR-registeret, Det Centrale Virksomhedsregister, Erhvervsstyrelsen, SKAT, tinglysning).
- Tredjeparter, der medvirker til kundekendskab og lovpligtige kontroller (fx KYC-leverandører).
- Andre rådgivere, banker eller modparter, hvor det er nødvendigt og lovligt.
7. Hvem deler vi oplysninger med?
Vi deler kun personoplysninger, når det er nødvendigt og lovligt.
Databehandlere og leverandører: Vi anvender leverandører til IT-drift, hosting, e-mail, backup, support, dokumenthåndtering, hjemmesidefunktionalitet, nyhedsbrevssystemer og eventadministration. Vi indgår databehandleraftaler i overensstemmelse med GDPR artikel 28, og leverandørerne får kun adgang til oplysninger i det omfang, det er nødvendigt for at levere deres ydelse til os.
Offentlige myndigheder: Vi videregiver oplysninger til offentlige myndigheder, når vi er retligt forpligtet til det, fx til SKAT, Erhvervsstyrelsen, Hvidvasksekretariatet (SØIK/NSK), Revisortilsynet og Datatilsynet.
Andre modtagere: Oplysninger kan deles med professionelle rådgivere (advokater, forsikringsselskaber), modparter, voldgiftsinstitutter og domstole, når det er nødvendigt for at fastlægge, gøre gældende eller forsvare retskrav.
Alle databehandlere er underlagt databehandleraftaler og må kun behandle dine oplysninger efter vores instruks.
8. Overførsel til lande uden for EU/EØS
Vi tilstræber, at personoplysninger udelukkende behandles inden for EU/EØS, og vores nuværende leverandører hoster og behandler data inden for EU/EØS. Der sker derfor som udgangspunkt ikke overførsel af personoplysninger til tredjelande.
Hvis vi i fremtiden måtte gøre brug af leverandører, der medfører overførsel til lande uden for EU/EØS, vil overførslen kun ske på et lovligt grundlag efter GDPR kapitel V, fx en tilstrækkelighedsafgørelse fra EU-Kommissionen eller EU-Kommissionens standardkontraktbestemmelser (SCC) suppleret med nødvendige foranstaltninger. Du kan kontakte os på support@ri.dk for at få en kopi af det aktuelle overførselsgrundlag.
9. Opbevaring og sletning
Vi opbevarer personoplysninger, så længe det er nødvendigt for det formål, oplysningerne er indsamlet til, og sletter eller anonymiserer oplysninger, når formålet er opnået, og opbevaring ikke længere er påkrævet.
Vi anvender følgende vejledende opbevaringsperioder:
- Bogføringsmateriale opbevares som hovedregel i 5 år fra udgangen af det regnskabsår, materialet vedrører, jf. bogføringslovens § 12.
- Revisionsdokumentation og arbejdspapirer: Som udgangspunkt 5 år efter afslutning af opgaven, jf. revisorloven og Revisortilsynets praksis. Længere opbevaring kan forekomme ved verserende sager, klager eller retskrav.
- Hvidvask- og KYC-dokumentation: 5 år efter forretningsforbindelsens ophør eller den enkelte transaktions gennemførelse, jf. hvidvasklovens § 30.
- Skatte- og momsoplysninger opbevares i overensstemmelse med skatte- og afgiftslovgivningens krav, typisk 5 år.
- Henvendelser uden efterfølgende kundeforhold: Slettes som udgangspunkt senest 12 måneder efter sidste relevante kontakt.
- Nyhedsbrevs- og markedsføringssamtykker: Opbevares, så længe samtykket er aktivt. Hvis du ikke har interageret med vores nyhedsbreve i 24 måneder, vurderer vi, om samtykket fortsat er gyldigt, og sletter eller indhenter fornyet samtykke.
- Tilmeldinger til kurser og arrangementer: Slettes senest 12 måneder efter arrangementets afholdelse, medmindre længere opbevaring følger af bogføringsloven eller andre lovkrav.
- Tekniske logs og sikkerhedslogs: Som udgangspunkt 6-12 måneder, afhængigt af typen og det driftsmæssige behov.
- Ansøgninger ved rekruttering: Slettes senest 6 måneder efter afslag, medmindre du har samtykket til længere opbevaring.
- MitID-login og fravalg af partistøtte (fravalg.ri.dk): Oplysninger opbevares så længe det er nødvendigt for at dokumentere fravalget og i øvrigt så længe gældende lovgivning kræver det, hvorefter de slettes.
Vi forbeholder os ret til at opbevare kundemateriale i mere end 5 år, hvis vi skønner nødvendigheden heraf i henhold til gældende lovgivning eller for at efterleve andre relevante krav. Dette gælder eksempelvis dokumenter, regnskabsmateriale og andre oplysninger, som kan være nødvendige for at sikre korrekt behandling af skattemæssige forhold eller imødekomme myndighedskrav.
Opbevaringen sker med henblik på at beskytte både Ri’s og kundens interesser, herunder dokumentation ved eventuelle revisioner eller forespørgsler fra offentlige myndigheder. Kundemateriale vil altid blive håndteret fortroligt og i overensstemmelse med gældende databeskyttelsesregler. Ønskes ikke opbevaring udover fem år skal dette meddeles Ri skriftligt. Alt øvrigt kundemateriale destrueres altid fem år efter kundeforholdets ophør iht. lovgivningen.
10. Dine rettigheder
Du har en række rettigheder efter GDPR, som du kan gøre gældende over for os:
- Ret til indsigt (artikel 15): Du har ret til at få indsigt i de oplysninger, vi behandler om dig, og en række yderligere oplysninger.
- Ret til berigtigelse (artikel 16): Du har ret til at få urigtige oplysninger rettet og ufuldstændige oplysninger fuldstændiggjort.
- Ret til sletning (artikel 17): Du har i visse tilfælde ret til at få slettet oplysninger, før vores almindelige slettetidspunkt indtræder. Retten kan være begrænset, hvis vi har en lovbestemt opbevaringspligt.
- Ret til begrænsning (artikel 18): Du har i visse tilfælde ret til at få begrænset behandlingen af dine oplysninger.
- Ret til indsigelse (artikel 21, stk. 1): Du har ret til at gøre indsigelse mod behandling, der baseres på legitim interesse.
- Absolut ret til indsigelse mod direkte markedsføring (artikel 21, stk. 2): Du kan til enhver tid og uden begrundelse gøre indsigelse mod behandling af dine oplysninger til direkte markedsføring. Vi vil straks ophøre med sådan behandling.
- Ret til dataportabilitet (artikel 20): Du har i visse tilfælde ret til at modtage dine oplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format eller få dem overført til en anden dataansvarlig.
- Ret til at trække samtykke tilbage (artikel 7, stk. 3): Hvis behandlingen er baseret på samtykke, kan du til enhver tid trække samtykket tilbage. Tilbagekaldelse påvirker ikke lovligheden af behandling, der er sket før tilbagekaldelsen.
- Ret til ikke at være genstand for automatiske afgørelser (artikel 22): Se afsnit 12.
Sådan udøver du dine rettigheder: Kontakt os på support@ri.dk. Vi besvarer din henvendelse uden unødig forsinkelse og senest 1 måned efter modtagelsen, jf. GDPR artikel 12, stk. 3. Fristen kan i komplekse tilfælde forlænges med op til 2 måneder, hvilket vi i givet fald orienterer dig om.
Vi kan bede om yderligere oplysninger for at bekræfte din identitet, hvis det er nødvendigt for at sikre, at oplysningerne ikke udleveres til uvedkommende.
Du kan læse mere om dine rettigheder i Datatilsynets vejledning om de registreredes rettigheder, der findes på www.datatilsynet.dk.
11. Klage til Datatilsynet
Hvis du er utilfreds med vores behandling af dine personoplysninger, opfordrer vi dig til først at kontakte os, så vi kan forsøge at løse sagen.
Du har til enhver tid ret til at klage til Datatilsynet:
Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
Telefon: +45 33 19 32 00
E-mail: dt@datatilsynet.dk
Hjemmeside: https://www.datatilsynet.dk
12. Automatiske afgørelser og profilering
Vi anvender ikke automatiske afgørelser eller profilering med retsvirkning for dig eller med tilsvarende betydelig effekt, jf. GDPR artikel 22.
13. Anvendelse af kunstig intelligens
Vi kan anvende AI-baserede værktøjer, herunder tekstgenererende assistenter, som støtteværktøj i vores sagsbehandling og kommunikation, for eksempel til udarbejdelse af udkast, opsummeringer og analyser.
AI anvendes alene som hjælpemiddel og ikke som selvstændigt beslutningsgrundlag. Output fra AI gennemgås og kvalitetssikres altid af en medarbejder, før det anvendes. Vi træffer ikke afgørelser med retsvirkning for dig eller med tilsvarende betydelig effekt alene på grundlag af AI, jf. afsnit 12.
Hvis personoplysninger behandles i forbindelse med brug af AI-værktøjer, sker det kun i værktøjer, der er godkendt til formålet og opfylder vores krav til databeskyttelse og informationssikkerhed. Sådan behandling sker inden for de formål, retsgrundlag og rammer for videregivelse og opbevaring, der er beskrevet i denne privatlivspolitik.
Hvis du ønsker at vide, om AI konkret er anvendt i en given sag, kan du rette henvendelse til os, jf. afsnit 10.
14. Cookies og lignende teknologier
Vi anvender cookies og lignende teknologier på vores hjemmeside. Nogle cookies er strengt nødvendige for, at hjemmesiden fungerer; andre anvendes til statistik og markedsføring og kræver dit samtykke i overensstemmelse med cookiebekendtgørelsen og Datatilsynets retningslinjer.
Du kan læse om hvilke cookies vi anvender, formål, udbydere og varighed, samt give, ændre eller trække dit samtykke tilbage i vores cookiepolitik: https://www.ri.dk/hvem-er-ri/cookiepolitik.
15. Sikkerhed
Vi har implementeret passende tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, tab, ændring og uautoriseret videregivelse eller adgang, jf. GDPR artikel 32.
Foranstaltningerne omfatter blandt andet adgangsstyring, kryptering, logning, beredskabsplaner, awareness-træning af medarbejdere, fortrolighedsaftaler, sikkerhedstilsyn med leverandører samt løbende risikovurdering. Foranstaltningerne tilpasses løbende den teknologiske udvikling og det aktuelle trusselsbillede.
I tilfælde af et brud på persondatasikkerheden, der medfører høj risiko for dine rettigheder og frihedsrettigheder, vil vi underrette dig i overensstemmelse med GDPR artikel 34. Brud anmeldes til Datatilsynet inden 72 timer, hvis det er sandsynligt, at bruddet medfører en risiko for dine rettigheder, jf. artikel 33.
16. Principper for dataetik
Vi behandler personoplysninger ansvarligt med fokus på fortrolighed, nødvendighed, proportionalitet, gennemsigtighed og sikkerhed. Vi indsamler kun oplysninger, der er relevante og nødvendige for opgaven, og vi stiller krav om databeskyttelse og informationssikkerhed til vores leverandører gennem aftaler, dokumentation og løbende tilsyn.
17. Ændringer til privatlivspolitikken
Vi kan løbende opdatere denne privatlivspolitik, hvis vores behandling ændrer sig, eller hvis lovgivning, vejledninger eller praksis kræver det. Den til enhver tid gældende version offentliggøres på vores hjemmeside med angivelse af versionsnummer og dato for seneste opdatering. Ved væsentlige ændringer informerer vi om dem på en passende måde.

