Privacy | KPMG | NO
close
Share with your friends

Generelt om personvern i KPMG

Generelt om personvern i KPMG

Sist oppdatert august, 2018.

Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av KPMG Norge. Formålet med personvernerklæringen er å beskrive KPMG Norges behandling av personopplysninger på en åpen og transparent måte.

1. Generelt om behandling av personopplysninger i KPMG Norge
    1.1 Innledning
    1.2 Virksomheten i KPMG Norge
    1.3 Nettverket KPMG International
2. KPMGs kontroll over behandling av personopplysninger
3. Nærmere om behandling av personopplysninger i KPMGs virksomhet
    3.1 Behandling av personopplysninger i oppdragsvirksomheten
        3.1.1 Generelt
        3.1.2 Revisjonsvirksomheten
        3.1.3 Regnskapsvirksomheten
        3.1.4 Rådgivningsvirksomhet
        3.1.5 Advokatvirksomhet, skatt og avgift
        3.1.6 Kontroll av identiteter, interessekonflikter og uavhengighet
        3.1.7 Oppdragsdokumentasjon
    3.2 Behandling av personopplysninger ved markedsaktiviteter
        3.2.1 Målrettet segmentering
    3.3 Behandling av personopplysninger ved rekruttering og om ansatte
    3.4 Behandling av personopplysninger ved visse kontroller
    3.5 Overføring av personopplysninger og bruk av databehandler
        3.5.1 Generelt om overføring av personopplysninger
        3.5.2 Overføring av personopplysninger som følge av lov
        3.5.3 Overføring av personopplysninger i oppdragsvirksomheten
        3.5.4 Overføring av personopplysninger ved enkelte kontroller
        3.5.5 Bruk av databehandler
4. De registrertes rettigheter
    4.1 Retten til informasjon
    4.2 Rett til retting/korrigering
    4.3 Rett til sletting
    4.4 Rett til begrensning av behandling
    4.5 Rett til å tilbakekalle samtykke
    4.6 Dataportabilitet
    4.7 Rett til å fremme innsigelser
    4.8 Klager
5. KPMGs ti prinsipper for behandling av personopplysninger (KPMG International)
 

1. Generelt om behandling av personopplysninger i KPMG Norge

1.1 Innledning
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av KPMG Norge. Referanser til "KPMG", "oss" eller "vi" i denne erklæringen inkluderer alle datterselskap og avdelinger.
Formålet med personvernerklæringen er å beskrive KPMG Norges behandling av personopplysninger på en åpen og transparent måte. Det skal være tydelig hvordan og hvorfor deres personopplysninger behandles i KPMGs virksomhet og hvilke rettigheter de har overfor selskapet.

For et kompetansehus som KPMG er det avgjørende at kunderelatert informasjon, inkludert personopplysninger, men også informasjon om selskapets ansatte, behandles sikkert og konfidensielt og at gjeldende regler følges.

1.2 Virksomheten i KPMG Norge

KPMG Norge tilbyr tjenester innen tjenesteområdene revisjon, rådgivning, regnskap, skatt, avgift og forretningsjus.

KPMG Norge håndterer betydelige oppdrag for selskaper/organisasjoner, myndigheter og privatpersoner. Blant kundene er noen av Norges største selskaper med nasjonal og internasjonal virksomhet. Det er også et stort antall selskaper med lokal forankring på enkelte steder i Norge, både børsnoterte og unoterte selskap, med virksomheter i et stort antall bransjer.

I revisjonsvirksomheten har KPMG Norge et viktig samfunnsansvar der den lovbestemte revisjonen har som formål å kvalitetssikre og styrke tilliten i samfunnet til virksomheters finansielle økonomiske rapportering. Ettersom KPMG Norge er et revisjonsselskap er virksomheten regulert i flere henseender og selskapet har en rekke lovbestemte forpliktelser.

Disse forholdene innebærer at KPMG Norge behandler personopplysninger i en rekke ulike sammenhenger. For at KPMG Norge skal kunne utføre sin virksomhet må personopplysninger håndteres ved gjennomføringen av oppdrag i Norge og internasjonalt, ved kontakter med andre medlemsfirmaer innad i KPMG, men også i forbindelse med markedsføringsaktiviteter, rekruttering og personopplysninger for ansatte.

Ytterligere informasjon om KPMG Norges virksomhet finnes blant annet i selskapets åpenhetsrapport. Denne er tilgjengelige på KPMGs nettside.

1.3 Nettverket KPMG International

KPMG Norge er medlem i KPMG International Cooperative ("KPMG International"), ett av de ledende, globale nettverk. KPMG International driver ingen virksomhet mot kunde, men det er en paraplyorganisasjon for medlemsfirmaene i nettverket. Medlemsbedriftene arbeider lokalt og selvstendig over hele verden. Medlemsfirmaene har tilgang til felles ressurser, metoder og det internasjonale nettverkets samlede kunnskap og ekspertise. Ytterligere informasjon om nettverket finnes ved årsrapporter og åpenhetsrapport tilgjengelig via nettverkets hjemmeside.

2. KPMGs kontroll over behandling av personopplysninger

KPMG Norge har en personvernansvarlig (Privacy Liaison). Privacy Liaison nås gjennom e-postadressen: data-privacy-reporting@kpmg.no.

3. Nærmere om behandling av personopplysninger i KPMGs virksomhet

Avsnitt 1 og 2 ovenfor inneholder generelle beskrivelser av virksomheten i KPMG Norge og hvordan KPMG håndterer selskapets behandling av personopplysninger. I det følgende gis en beskrivelse av hvordan KPMG håndterer personopplysninger i sentrale deler av sin virksomhet.

Innenfor rammen av virksomheten utfører KPMG Norge oppdrag i rollen som både behandlingsansvarlig og/eller som databehandler. KPMG er behandlingsansvarlig for den behandling av personopplysninger som selskapet gjennomfører for egne formål. Selskapets kontaktopplysninger, organisasjonsnummer og informasjon om selskapets representanter er tilgjengelig på selskapets nettside www.kpmg.no.

3.1 Behandling av personopplysninger i oppdragsvirksomheten

3.1.1 Generelt

Innenfor rammen av oppdragsvirksomheten behandler KPMG personopplysninger for formålet å oppfylle forpliktelsene som følger av avtalen med våre oppdragsgivere. De lovlige grunnlagene for behandlingen i oppdragsvirksomheten er hovedsakelig at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, avtale eller er tillatt gjennom en interesseavveining (legitim interesse).

Interesseavveininger i oppdragsvirksomheten baseres på en avveining mellom KPMGs interesse i å kunne drive virksomhet og følge de forpliktelser som følger av avtalen med selskapets oppdragsgivere, og videre oppdragsgivernes interesse av at KPMG skal kunne utføre oppdraget i forhold til de registrertes eventuelle motstående interesse for beskyttelse for sine personopplysninger. KPMGs oppdragsgivere har ofte en interesse av å kunne utnytte eksperthjelp i forbindelse med behov oppdragsgiver har, for eksempel å oppfylle sine rettslige forpliktelser eller avtale.

Personopplysninger som KPMG behøver for å kunne utføre oppdrag samles som utgangspunktet inn fra oppdragsgiveren, men det forekommer også at personopplysninger samles inn fra andre parter eller myndigheter, for eksempel Brønnøysundregistrene eller firmadatabaser,
Personopplysninger som samles inn for å benyttes i oppdrag kan være kontaktinformasjon, informasjon om ledere og andre opplysninger om ansettelse-, kunde- eller leverandørforhold.
Personopplysninger kan ved behov bli utlevert i samsvar med instruksjonene fra oppdragsgiveren, for eksempel når en oppdragsgiver gir KPMG oppdrag hvor man pålegges å gi myndigheter visse personopplysninger. De som behandler personopplysninger i KPMGs oppdragsvirksomhet er de ansatte som arbeider i oppdragsvirksomheten.

3.1.2 Revisjonsvirksomheten

Revisjonsvirksomheten har til formål å utføre og rapportere revisjonsoppdrag, spesielt lovbestemt revisjon og tilleggsoppdrag som følger av oppdraget som revisor, for eksempel å utføre gransking og avgi uttalelser i forbindelse med emisjon. Behandling av personopplysninger ved revisjonsvirksomheten skjer for å gjennomføre og rapportere revisjon i samsvar med de lover og standarder som gjelder for disse oppdragene, samt i samsvar med god revisjons- og revisorskikk. Dette innebærer at behandling av personopplysninger skjer ved planlegging, gjennomføring og rapportering fra revisjonen. Eksempel på personopplysninger som behandles er kontaktopplysninger, opplysninger om styremøter og ledende ansatte, og personopplysninger som trengs for å granske virksomhetens regnskap og forvaltning, for eksempel personopplysninger som kan henføres til oppdragsgiverens kunder, leverandører og ansatte. Personopplysningene behandles i de system som KPMG anvender for å gjennomføre og dokumentere revisjonsoppdrag. Formålet med slik behandling av personopplysninger er å oppfylle de forpliktelsene som følger av oppdraget om å utføre revisjon og det rettslige behandlingsgrunnlaget for behandlingene er at den er nødvendig for å oppfylle en rettslig forpliktelse. Det rettslige grunnlaget kan dessuten være å oppfylle en oppgave av allmenn interesse.

3.1.3 Regnskapsvirksomheten

Regnskapsvirksomheten har til hensikt å bistå oppdragsgivere med bokføring, finansiell rapportering, lønnsadministrasjon og regnskapsrådgivning. Den finansielle rapporteringen kan referere til utarbeidelsen av årsrapporten, men også rådgi oppdragsgiveren med deres interne økonomiske rapportering. Oppdragsgiverne gir grunnlag som kan inneholde personopplysninger for at selskapet skal kunne oppfylle sine forpliktelser etter avtale som for eksempel å bistå med bokføring og finansiell rapportering og lønnsadministrasjon.

Opplysningene fra oppdragsgiverne inneholder personopplysninger med hensyn til blant annet underlag for lønnsutbetalinger, godtgjørelser og ytelser til ansatte og underlag for oppdragsgiverens fakturering og betalinger til leverandører. Personopplysningene behandles i system og verktøy som er nødvendige for å bistå oppdragsgiveren med tjenester innen bokføring, finansiell rapportering og lønnsadministrasjon. Formålet med behandling av personopplysninger i regnskapsvirksomheten fremgår av avtalen med oppdragsgiveren og er som utgangspunkt å bistå oppdragsgiverne med bokføring, finansiell rapportering og lønnsadministrasjon.

3.1.4 Rådgivningsvirksomhet

Rådgivningsvirksomheten har som formål å gi råd til selskap i ulike sammenhenger. Gjennomføring av oppdraget kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel ved gjennomføring av internrevisjon eller intern økonomisk rapportering. Personopplysningene behandles med de verktøy som selskapet benytter for gjennomføring av oppdragsvirksomheten og dokumentasjon for gjennomførte oppdrag. Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.

Ved rådgivning som innebærer at KPMG er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der KPMGs interesse av å drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av å få oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveis mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.

3.1.5 Advokatvirksomhet, skatt og avgift

Virksomheten innen skatt og avgift har som formål å gi råd til organisasjoner i ulike sammenhenger, blant annet knyttet til forretningsjuridiske problemstillinger, lovreguleringer, kontraktsrett, arbeidsrett, EU/EØS-rett, offentlige anskaffelser, skatt og avgift.

Gjennomføring av oppdragene kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel i forbindelse med skatterettslig bistand for oppdragsgivers ansatte, og annen trygd- og arbeidsrettslig rådgivning. Personopplysningene behandles med de verktøy som KPMG benytter for gjennomføring av oppdragsvirksomheten og dokumentasjon for gjennomførte oppdrag. Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.

Ved rådgivning som innebærer at KPMG er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der KPMGs interesse av å drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av å få oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveies mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.

3.1.6 Kontroll av identiteter, interessekonflikter og uavhengighet

KPMG må i sin virksomhet følge regler om blant annet identitetskontroller gjennom hvitvaskingsregelverket, kontrollere hvorvidt det er interessekonflikter overfor ulike oppdragsgivere og ha rutiner for kontroll av upartiskhet og selvstendighet i forhold til revisjonsklienter. Grunnlaget for kontrollene innhentes fra potensielle oppdragsgivere, oppdragsgivere og fra andre, som for eksempel databaser. Disse kontrollene inneholder behandling av personopplysninger knyttet til for eksempel oppdragsgiverens representanter og deres bakgrunn. Kontrollene utføres med systemstøtte og verktøy for gjennomføring av slike kontroller. Formålet med slike kontroller er å sikre selskapets overholdelse av gjeldende regler og å unngå interessekonflikter mellom ulike oppdragsgivere. Se mer om disse kontrollene under avsnitt 3.4.

3.1.7 Oppdragsdokumentasjon

KPMG oppbevarer oppdragsdokumentasjon i samsvar med de regler og rutiner som gjelder for oppdragsdokumentasjon. Disse regler og rutiner innebærer blant annet at oppdragsdokumentasjonen omfattes av taushetsplikt og rutiner for informasjonssikkerhet.
Formålet med oppbevaring av personopplysninger i oppdragsdokumentasjonen er å oppfylle oppbevaringskrav i samsvar med gjeldende rett, for eksempel oppbevaring av regnskapsinformasjon, revisjonsdokumentasjon og informasjon fra kundekontroll i henhold til hvitvaskingsloven.

Oppbevaring av personopplysninger i slik oppdragsdokumentasjon skjer med grunnlag i en rettslig forpliktelse. Formålet med å oppbevare personopplysninger i oppdragsdokumentasjonen i andre tilfeller er at det er nødvendig for KPMGs berettigede interesse av å kunne besvare spørsmål fra kunder om oppdrag i ettertid, samt å kunne gjøre bruk av selskapets rettslige interesse i ulike henseender, for eksempel i forbindelse med myndighets- eller forsikringsspørsmål. Oppdragsdokumentasjon oppbevares normal 10 år for deretter å bli slettet.

3.2 Behandling av personopplysninger ved markedsaktiviteter

For at KPMG skal kunne nå ut til markedet med selskapets tjenester gjennomføres markedsaktiviteter som har til formål å markedsføre selskapet, ansatte og de tjenester som selskapet yter. KPMG behandler personopplysninger for slike markedsføringsformål, blant annet gjennom invitasjoner til forelesninger, kurs og seminarer, samt utsendelse av nyhetsbrev. Behandlingsgrunnlaget for slik behandling er enten en interesseavveining eller samtykke. Interesseavveiningene baseres på en avveining mellom selskapets interesse av å kunne markedsføre virksomheten og kundens interesse av å kunne bli informert om KPMGs tjenestetilbud og de registrertes interesse for beskyttelse av sine personopplysninger.

Personopplysningene samles inn fra selskapet (for eksempel fra ansatte eller kunderegister) eller fra andre og inneholder hovedsakelig informasjon om nøkkelpersoner. Personopplysninger behandles i de system og verktøy selskapet benytter for å håndtere markedsaktiviteter.

Personopplysninger som samles inn for markedsføringsformål oppbevares ikke lengre enn det som er nødvendig for formålet. Informasjon som behandles etter en interesseavveining behandles til aktuelle personer melder at vedkommende ikke lenger er interessert i å motta nyhetsbrev eller invitasjoner fra KPMG. Kontaktinformasjon til forretningsforbindelser til eksisterende og potensielle kunder oppbevares normalt så lenge selskapet vurderer at personens
stilling eller yrke kan antas å medføre interesse for selskapets tjenester.

3.2.1 Målrettet segmentering

For å kunne foreta relevante valg angående utsendelse av nyhetsbrev og invitasjoner til våre kurs, seminarer og arrangementer, kan segmentering benyttes på den måte at valg av utsendelser er basert på dine preferanser, tidligere historikk, jobbtittel/-stilling, arbeidsgiver eller annen tidligere aktivitet (for eksempel påmelding til seminar). Kommunikasjon fra KPMG sendes utelukkende for å tilby relevant informasjon som er av interesse og til fordel for mottakeren.

3.3 Behandling av personopplysninger ved rekruttering og om ansatte

En forutsetning for at KPMG skal kunne drive virksomhet er at selskapet kan rekruttere nye ansatte og gi støtte til ansatte og administrere forhold som angår disse. Denne virksomheten forutsetter behandling av personopplysninger, blant annet personopplysninger om personer som er eller har vært involvert i rekrutteringsaktiviteter, og behandling av personopplysninger om nåværende og tidligere ansatte. Det rettslige behandlingsgrunnlaget for denne behandlingen er en interesseavveining (rekruttering og ansatte), oppfyllelse av avtale (ansatte) og oppfyllelse av rettslige forpliktelser (ansatte). Interesseavveiningene baseres på en avveining mellom selskapets interesse av å ansette, opprettholde og utvikle kompetente og aktuelle ansatte i selskapets virksomhet, og disse personenes interesse om beskyttelse av sine personopplysninger.
Når det gjelder behandling av personopplysninger i forbindelse med en rekrutteringsprosess har også de arbeidssøkende en interesse av å kunne søk og gjøre aktiviteter og henvendelser i forbindelser med den aktuelle ansettelsen.

I rekrutteringsvirksomheten innhenter KPMG personopplysninger fra personer som søker ansettelse hos selskapet, enten direkte eller via et rekrutteringsselskap, og innhenter personopplysninger via egne rekrutteringsaktiviteter. Kategorier av personopplysninger som behandles gjelder blant annet kontaktinformasjon, CV-informasjon, tidligere arbeidshistorikk og arbeidsgivere og ansvarsområder. Selskapet gjennomfører referansesjekk og i visse tilfeller personlighetstester. Personopplysninger om arbeidssøkende innhentes hovedsakelig fra den arbeidssøkende, men kan også innhentes fra andre personer eller selskap. Ved anvendelse av rekrutteringsselskap kan slike selskap samle inn opplysninger om arbeidssøkende og sortere ut kandidater som skal presenteres for selskapet.

Personopplysninger om eksisterende ansatte innhentes fra den ansatte selv i forbindelse med innledningen av ansettelsesprosessen. Under ansettelsen innhentes og benyttes kontinuerlig personopplysninger fra leder, andre ansatte og oppdragsgivere, for eksempel før i forbindelse med utviklingssamtaler og ved oppfølging av oppdrag og tilbakemeldinger fra kunder. Ansattes personopplysninger benyttes også i den daglig virksomheten ettersom informasjon håndteres ved arbeidet og ved utføring av oppdrag (for eksempel i e-postkorrespondanse med kunder og med andre ansatte). Personopplysningene behandles i de system selskapet benytter for rekrutteringsaktiviteter, og administrasjon og støtte for eksisterende og tidligere ansatte.

Personopplysninger innhentet i forbindelse med rekruttering oppbevares normalt høyst to år etter at rekrutteringsaktiviteten er avsluttet, hvis personen ikke har blitt ansatt. Visse personopplysninger om rekrutterte ansatte slettes etter at ansettelsesforholdet er avsluttet, mens andre personopplysninger oppbevares i lengre tid (for eksempel for å kunne gi informasjon til NAV etter at ansettelsesforholdet opphørte).

3.4 Behandling av personopplysninger ved visse kontroller

KPMG har lovbestemte forpliktelser som følge av at selskapet driver revisjonsvirksomhet. Dette innebærer blant annet at selskapet har forpliktelser til å utføre visse kontroller som inneholder behandling av personopplysninger. Kontrollen utføres av selskapets ansatte. Selskapet behandler personopplysninger ved de kontroller som kreves i henhold til hvitvaskingsloven. Slike kontroller utføres med støtte for og formål om å oppfylle lovbestemte krav.

Videre behandler selskapet personopplysninger ved kontroller om upartiskhet og uavhengighet, det vil si lovbestemte krav til uavhengighet og at yrkesetiske regler etterkommes. Slike kontroller har som formål å sikre selskapets etterlevelse av slike krav, og den forenede behandlingen av personopplysninger baseres på lovbestemte krav og interesseavveining. Kontrollene inneholder personopplysninger som samles inn fra den potensielle oppdragsgiveren eller eksisterende oppdragsgivere. Resultatet fra kontrollene oppbevares sammen med oppdragsdokumentasjonen med samme tid som oppdragsdokumentasjonen oppbevares.

Selskapet behandler dessuten personopplysninger i forbindelse med kontroll av interessekonflikter. Slike kontroller gjennomføres før og under gjennomføring av oppdrag. Formålet til kontrollene er å unngå situasjoner der ulike oppdragsgivere kan ha interessekonflikter i de tjenester som KPMG utfører, for eksempel ved selskapets deltakelse i tvist som sakkyndig. Disse kontrollene har til formål å unngå situasjoner der ulike kunder har motstridende interesser i tjenester som KPMG utfører og baserer seg på en interesseavveining.

3.5 Overføring av personopplysninger og bruk av databehandler

3.5.1 Generelt om overføring av personopplysninger

Som det fremgår ovenfor er KPMG et selvstendig selskap som er medlem i KPMG International. Dette innebærer at selskapet håndtere informasjon dels i system som administreres av KPMG selvstendig og dels i system som administreres av KPMG International. Selskapet og KPMG International benytter ved anledninger leverandører for å håndtere informasjon. Den informasjon som håndteres av selskapet, KPMG International og leverandører håndteres med overholdelse av konfidensialitet og taushetsplikt som gjelder overfor forhold vedrørende våre oppdragsgivere, blant annet vedrørende personopplysninger.

Den informasjon som KPMG håndterer oppbevares normalt innad i Norge eller, når KPMG International er engasjert for håndtering, innad i EU/EØS. For oppdragsgivere med grenseoverskridende virksomhet i tredjeland kan det for oppfyllelse av oppdraget overføres personopplysninger utenfor EU/EØS.

Innenfor KPMG-nettverket er det opprettet en avtale som regulerer rettigheter og forpliktelser mellom KPMG-medlemsfirmaene når personopplysninger overføres mellom KPMG-medlemsfirmaer. Denne avtalen inneholder blant annet regulering av taushetsplikt og EUs standardklausuler om overføring av personopplysninger til tredjeland.

3.5.2 Overføring av personopplysninger som følge av lov

Virksomheten i selskapet reguleres av lover som noen ganger innebærer at selskapet kan ha forpliktelser i henhold til lov å overføre personopplysninger til andre. En slik forpliktelse følger av hvitvaskingsloven, som blant annet innebærer at mistanke om hvitvasking og terrorfinansiering skal anmeldes til myndighetene. Slike anmeldelser vil normalt inneholde enkelte personopplysninger, blant annet hvem eller hva mistankene gjelder.

Revisjonsvirksomheten som drives av KPMG står under tilsyn av blant annet Finanstilsynet. Det kan skje at tilsynsmyndighetene etterlyser tilgang til informasjon om virksomheten i selskapet som innebærer at personopplysninger kan måtte overføres til myndighetene. Det kan også forekomme at myndighetene ved undersøkelser anmoder selskapet om å gi informasjon som inneholder personopplysninger, for eksempel ved et bokettersyn. Ansatte hos selskapet kan innenfor rammen av undersøkelsene gi informasjon til personene som undersøkes, hvilket kan innebære overgivelse av personopplysninger.

Videre har selskapets ansatte en forpliktelse til å være tilgjengelig for å avgi vitnemål ved rettslige prosesser, hvilket kan innebærer avsløring av personopplysninger. En rettslig prosedyre kan innebære at myndigheten/domstolen anmoder selskapet om å overgi informasjon som kan inneholde personopplysninger.

3.5.3 Overføring av personopplysninger i oppdragsvirksomheten

De system som selskapet benytter for oppdragsvirksomheten innebærer at personopplysninger behandles i Norge og innad i EU/EØS. Det forekommer i tillegg at KPMG overfører personopplysninger til tredjeland dersom det er nødvendig for å kunne gi tilbud eller oppfylle oppdrag vedrørende kunder som har virksomhet i tredjeland. Slike overføringer skjer normalt til andre medlemsfirmaer innad i KPMG-nettverket og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.

3.5.4 Overføring av personopplysninger ved enkelte kontroller

Som det fremgår ovenfor behandler selskapet personopplysninger ved enkelte kontroller, blant annet vedrørende identitet og interessekonflikter. Dersom, og i den grad, disse kontroller påvirker selskap eller personer innenfor eller utenfor EU/EØS kan slike kontroller innebærer at personopplysninger overføres innenfor og utenfor EU/EØS. Kontroller innenfor og utenfor EU/EØS gjennomføres mellom medlemmene i nettverket KPMG International og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.

3.5.5 Bruk av databehandler

Når KPMG oppfyller oppdrag som databehandler ved håndtering av personopplysninger i oppdrag, forekommer det at KPMG benytter underdatabehandler for behandling av personopplysninger. Hvem disse underdatabehandlerne er fremgår av avtalen som opprettes med oppdragsgiveren/den behandlingsansvarlige (databehandleravtale). Underdatabehandlerne har i avtale med KPMG forpliktet seg til å underrette KPMG om eventuelle engasjerte underdatabehandlere og utskiftning av slike underdatabehandlere. Informasjon om hvilke underdatabehandlere som engasjeres for et spesifikt oppdrag utgis på forespørsel.

4. De registrertes rettigheter

4.1 Retten til informasjon

Den registrerte har i henhold til regelverket om behandling av personopplysninger rett til å få informasjon når hans eller hennes personopplysninger behandles. Informasjon om behandlingen skal gis både når informasjonen innsamles, eller kort tid deretter når informasjonen ikke innsamles fra den registrerte, og når den registrerte etterspør det. Det er også tilfeller når særskilt informasjon skal gis til den registrerte, for eksempel når det oppstår et databrudd eller liknende.

Det skal blant annet gis informasjon om kontaktinformasjonen til personvernansvarlige, behandlingsgrunnlaget og formålet med behandlingen.

Dette dokumentet inneholder blant annet slik informasjon som KPMG skal gi til de personer hvis personopplysninger behandles i virksomheten.

En innsynsbegjæring om informasjon meldes til kontaktpersonen for relevant oppdrag og ellers til: data-privacy-reporting@kpmg.no. En innsynsbegjæring om informasjon vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.

4.2 Rett til retting/korrigering

Regelverket om behandling av personopplysninger innebærer at den registrerte har rett til å henvende seg til selskap som behandler personopplysninger og be om retting/korrigering av feilaktige personopplysninger og komplettere med personopplysninger og som er relevante for formålet med behandlingen.

En begjæring om retting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.

En begjæring om retting vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.

4.3 Rett til sletting

En registrert har i samsvar med regelverket om behandling av personopplysninger rett til å henvende seg til selskap og be om at informasjonen som gjelde ham eller henne skal slettes.

En begjæring om sletting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.

En begjæring om sletting vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.

4.4 Rett til begrensning av behandling

De personer hvis personopplysninger behandles har i visse tilfeller rett til å kreve at behandlingen begrenses. Med begrensning menes at personopplysningene merkes slik at disse i fremtiden kun får behandles for visse avgrensede formål.

En begjæring om begrensning av behandling meldes til kontaktpersonen for eventuelt oppdrag og ellers til data-privacy-reporting@kpmg.no.

En begjæring om begrensning av behandling vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.

4.5 Rett til å tilbakekalle samtykke

Person med personopplysninger som behandles med samtykke som behandlingsgrunnlag har rett til å tilbakekalle samtykke.

Krav om tilbakekalling av samtykke skal meldes til: data-privacy-reporting@kpmg.no.

4.6 Dataportabilitet

Personer som har etterlatt sine personopplysninger har i visse tilfeller rett til å få ut og benytte sine personopplysninger andre steder. Den som skal ta imot slik informasjon har en forpliktelse til å legge til rette for slik overføring.

En begjæring om å få ut personopplysninger for å benytte opplysninger på andre steder skal meldes til: data-privacy-reporting@kpmg.no.

En begjæring om dataportabilitet vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.

4.7 Rett til å fremme innsigelser

En registrert har i enkelte tilfeller rett til å fremme innsigelser mot den behandlingsansvarliges behandling av dennes personopplysninger. Denne retten gjelder blant annet personopplysninger som behandles etter en interesseavveining og inneholder rett til å motsette seg automatiserte individuelle avgjørelser, herunder profilering.

Krav om innsigelse mot behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.

Krav om innsigelse vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.8 Klager
Klager vedrørende KPMGs behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.

Klager på behandlingen vil bli behandlet i samsvar med selskapets rutine for håndtering av slike klager.

Den som har personopplysninger som behandles av selskapet har i tillegg rett til å klage til Datatilsynet. Vi henviser til informasjon om dette på Datatilsynet.

5. KPMGs ti prinsipper for behandling av personopplysninger (KPMG International)

Når KPMG behandler persondata som behandlingsansvarlig skal KPMG og dets personell følge de ti prinsipper fastslått i KPMGs internasjonale personvernpolicy:

Åpenhet
KPMG vil gi de registrerte informasjon om hvordan vi behandler deres personopplysninger i den utstrekning som er nødvendig for å sikre at behandlingen er rettferdig.

Formålsbegrensning
KPMG vil kun behandle personopplysninger for formålene (i) angitt i enhver erklæring som er gjort tilgjengelig til de relevante registrerte som er relevante for KPMG, (ii) som påkrevd i lov, eller (iii) dersom de registrerte har samtykket.

Datakvalitet og forholdsmessighet
Personopplysninger skal være korrekt og holdes oppdatert. Personopplysninger som KPMG besitter må være adekvat, relevant og ikke overflødige for formålene dersom de blir overført mellom KPMGs medlemsfirmaer og skal kun beholdes så lenge det er nødvendig for formålene til den relevante behandlingen.

Sikkerhet og konfidensialitet
KPMG må ta rimelig forholdsregler for å sikre personopplysninger mot utilsiktede eller ulovlig ødeleggelse eller tap, endringer, uautorisert utlevering eller tilgang. Slike forholdsregler bør inkludere tekniske, fysiske og organisatoriske sikkerhetstiltak, som for eksempel tiltak for å forhindre uautorisert tilgang, som står i forhold til sensitiviteten av dataen og risikonivået forbundet med behandlingen av personopplysningene.

Dersom det er nødvendig eller passende må KPMG vurdere å implementere ytterligere tiltak for bestemte typer av persondata som må behandles med ekstra forsiktighet for å respektere lokal sedvane, lover og reguleringer. Dette kan inkludere sensitive persondata. Dersom et KPMG-firma behandler personopplysninger på vegne av et annet KPMG-firma, vil det kun handle under det første firmaet instruksjoner.

Tilgang, retting, sletting og innvendinger
De registrerte bør ha tilgang til sine personopplysninger som oppbevares av KPMG, hvor slike forespørsler er rimelige og tillatt etter lov eller regulering. KPMG vil akseptere å utbedre, endre, eller slette personopplysninger på forespørsel hvor den er unøyaktig eller blir benyttet i strid med disse prinsippene.

Den registrerte bør ha mulighet for å reise innvendinger til behandlingen av personopplysninger som gjelder vedkommende dersom det er overbevisende legitime grunner til deres spesielle situasjon, i den utstrekning som kreves av relevante lover.

Sensitive data
Dersom KPMG behandler sensitive personopplysninger skal det iverksettes ytterligere sikkerhetstiltak som er nødvendig for å beskytte sensitive personopplysninger i overensstemmelse med gjeldende lovgivning.

Data benyttet for markedsføringsformål
Dersom KPMG behandler personopplysninger for markedsføringsformål må KPMG ha effektive prosedyrer som tillater at den registrerte på ethvert tidspunkt kan fjerne sine personopplysninger ("opt-out") fra å bli benyttet for slike formål.

Automatisert behandling
Dersom KPMG behandler personopplysninger på et rent automatisert grunnlag som har betydelig innvirkning på den registrerte skal KPMG gi den registrerte muligheten til å diskutere konsekvensene av slik behandling før avgjørelsene tas (med mindre annet er tillatt etter gjeldende lov).

Dataminimering
Når KPMG beholder den registrertes personopplysninger skal dette gjøres i en form som identifiserer eller gjengir den registrerte identifiserbare kun så lenge det tjener formålet/formålene som opplysningene i utgangspunktet var innsamlet eller senere autorisert for, i den utstrekning det er tillatt etter gjeldende lov.

Overføring av informasjon
Innenfor nettverket av KPMGs medlemsfirmaer kan personopplysninger overføres ut av det landet personopplysningene opprinnelig ble innsamlet, inkludert land utenfor EØS, for legitime forretningsaktiviteter i samsvar med gjeldende lov. I tillegg, i samsvar med gjeldende lov, kan KPMG lagre personopplysninger på egne anlegg som drives av andre KPMGs medlemsfirmaer og/eller tredjeparter på vegne av KPMG på utsiden av landet dataen opprinnelig ble innsamlet.

Likevel skal persondata ikke overføres til andre land med mindre den som overfører har forsikret seg om at tilstrekkelig beskyttelsesnivå er på plass relatert til persondata og som er påkrevd etter gjeldende lov. For hvert enkelt KPMG medlemsfirma, er et tilstrekkelig beskyttelsesnivå, etablert ved nettverkets Inter-Firm Agreement som hvert KPMG-firma skal overholde.

KPMG-firmaer vil sørge for at, der personopplysninger overføres til tredjeparter på utsiden av KPMG-nettverket for behandling, kun foretas så lenge personopplysningene er tilstrekkelig beskyttet.