Generelt om personvern i KPMG
Generelt om personvern i KPMG
Sist oppdatert september, 2023.
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av KPMG Norge. Formålet med personvernerklæringen er å beskrive KPMG Norges behandling av personopplysninger på en åpen og transparent måte.
1. Generelt om behandling av personopplysninger i KPMG Norge
1.1 Innledning
1.2 Virksomheten i KPMG Norge
1.3 Nettverket KPMG International
2. KPMGs kontroll over behandling av personopplysninger
3. Nærmere om behandling av personopplysninger i KPMGs virksomhet
3.1 Behandling av personopplysninger i oppdragsvirksomheten
3.1.1 Generelt
3.1.2 Revisjonsvirksomheten
3.1.3 Regnskapsvirksomheten
3.1.4 Rådgivningsvirksomhet
3.1.5 Advokatvirksomhet, skatt og avgift
3.1.6 Kontroll av identiteter, interessekonflikter og uavhengighet
3.1.7 Oppdragsdokumentasjon
3.2 Behandling av personopplysninger ved markedsaktiviteter
3.2.1 Målrettet segmentering
3.3 Behandling av personopplysninger ved rekruttering og om ansatte
3.4 Behandling av personopplysninger ved visse kontroller
3.5 Overføring av personopplysninger og bruk av databehandler
3.5.1 Generelt om overføring av personopplysninger
3.5.2 Overføring av personopplysninger som følge av lov
3.5.3 Overføring av personopplysninger i oppdragsvirksomheten
3.5.4 Overføring av personopplysninger ved enkelte kontroller
3.5.5 Bruk av databehandler
4. De registrertes rettigheter
4.1 Retten til informasjon
4.2 Rett til retting/korrigering
4.3 Rett til sletting
4.4 Rett til begrensning av behandling
4.5 Rett til å tilbakekalle samtykke
4.6 Dataportabilitet
4.7 Rett til å fremme innsigelser
4.8 Klager
5. KPMGs ti prinsipper for behandling av personopplysninger (KPMG International)
1. Generelt om behandling av personopplysninger i KPMG Norge
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av KPMG Norge. Referanser til "KPMG", "oss" eller "vi" i denne erklæringen inkluderer alle datterselskap og avdelinger.
Formålet med personvernerklæringen er å beskrive KPMG Norges behandling av personopplysninger på en åpen og transparent måte. Det skal være tydelig hvordan og hvorfor personopplysninger behandles i KPMGs virksomhet og hvilke rettigheter de registrerte har overfor selskapet.
For et kompetansehus som KPMG er det avgjørende at kunderelatert informasjon, inkludert personopplysninger, behandles på en trygg og konfidensiell måte. Også informasjon om selskapets ansatte behandles i tråd med gjeldene lovverk.
KPMG Norge tilbyr tjenester innen tjenesteområdene revisjon, rådgivning, regnskap, skatt, avgift og forretningsjus.
KPMG Norge håndterer betydelige oppdrag for selskaper/organisasjoner, myndigheter og privatpersoner. Blant kundene er noen av Norges største selskaper med nasjonal og internasjonal virksomhet. Det er også et stort antall selskaper med lokal forankring på enkelte steder i Norge, både børsnoterte og unoterte selskap, med virksomheter i et stort antall bransjer.
I revisjonsvirksomheten har KPMG Norge et viktig samfunnsansvar der den lovbestemte revisjonen har som formål å kvalitetssikre og styrke tilliten i samfunnet til virksomheters finansielle økonomiske rapportering. Ettersom KPMG Norge er et revisjonsselskap er virksomheten regulert i flere henseender og selskapet har en rekke lovbestemte forpliktelser.
Disse forholdene innebærer at KPMG Norge behandler personopplysninger i en rekke ulike sammenhenger. For at KPMG Norge skal kunne utføre sin virksomhet må personopplysninger håndteres ved gjennomføringen av oppdrag i Norge og internasjonalt, ved kontakter med andre medlemsfirmaer innad i KPMG, men også i forbindelse med markedsføringsaktiviteter, rekruttering og personopplysninger for ansatte.
Ytterligere informasjon om KPMG Norges virksomhet finnes blant annet i selskapets åpenhetsrapport. Denne er tilgjengelige på KPMGs nettside.
1.3 Nettverket KPMG International
KPMG Norge er medlem i KPMG International Cooperative ("KPMG International"), ett av de ledende, globale nettverk. KPMG International driver ingen virksomhet mot kunde, men det er en paraplyorganisasjon for medlemsfirmaene i nettverket. Medlemsbedriftene arbeider lokalt og selvstendig over hele verden. Medlemsfirmaene har tilgang til felles ressurser, metoder og det internasjonale nettverkets samlede kunnskap og ekspertise. Ytterligere informasjon om nettverket finnes ved årsrapporter og åpenhetsrapport tilgjengelig via nettverkets hjemmeside.
2. KPMGs kontroll over behandling av personopplysninger
KPMG Norge har en personvernansvarlig (Privacy Liaison). Privacy Liaison nås gjennom e-postadressen: data-privacy-reporting@kpmg.no.
3. Nærmere om behandling av personopplysninger i KPMGs virksomhet
Avsnitt 1 og 2 ovenfor inneholder generelle beskrivelser av virksomheten i KPMG Norge og hvordan KPMG håndterer selskapets behandling av personopplysninger. I det følgende gis en beskrivelse av hvordan KPMG håndterer personopplysninger i sentrale deler av sin virksomhet.
Innenfor rammen av virksomheten utfører KPMG Norge oppdrag i rollen som både behandlingsansvarlig og/eller som databehandler. KPMG er behandlingsansvarlig for behandling av personopplysninger der selskapet selv bestemmer formålet med behandlingen.
3.1 Behandling av personopplysninger i oppdragsvirksomheten
Innenfor rammen av oppdragsvirksomheten behandler KPMG personopplysninger for formålet å oppfylle forpliktelsene som følger av avtalen med våre oppdragsgivere. De lovlige grunnlagene for behandlingen i oppdragsvirksomheten er hovedsakelig at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse, avtale eller er tillatt gjennom en interesseavveining (legitim interesse).
Interesseavveininger i oppdragsvirksomheten baseres på en avveining mellom KPMGs interesse i å kunne drive virksomhet og følge de forpliktelser som følger av avtalen med selskapets oppdragsgivere, og videre oppdragsgivernes interesse av at KPMG skal kunne utføre oppdraget i forhold til de registrertes eventuelle motstående interesse for beskyttelse for sine personopplysninger. KPMGs oppdragsgivere har ofte en interesse av å kunne utnytte eksperthjelp i forbindelse med behov oppdragsgiver har, for eksempel å oppfylle sine rettslige forpliktelser eller avtale.
Personopplysninger som KPMG behøver for å kunne utføre oppdrag samles som utgangspunktet inn fra oppdragsgiveren, men det forekommer også at personopplysninger samles inn fra andre parter eller myndigheter, for eksempel Brønnøysundregistrene eller firmadatabaser.
Personopplysninger som samles inn for å benyttes i oppdrag kan være kontaktinformasjon, informasjon om ledere og andre opplysninger om ansettelse-, kunde- eller leverandørforhold.
Personopplysninger kan ved behov bli utlevert i samsvar med instruksjonene fra oppdragsgiveren, for eksempel når en oppdragsgiver gir KPMG oppdrag hvor man pålegges å gi myndigheter visse personopplysninger. De som behandler personopplysninger i KPMGs oppdragsvirksomhet er de ansatte som arbeider i oppdragsvirksomheten.
Revisjonsvirksomheten har til formål å utføre og rapportere revisjonsoppdrag. KPMG fokuserer særlig på lovbestemt revisjon og tilleggsoppdrag som følger av oppdraget som revisor, for eksempel å utføre gransking og avgi uttalelser i forbindelse med emisjon.
Behandling av personopplysninger ved revisjonsvirksomheten skjer for å gjennomføre og rapportere revisjon i samsvar med de lover og standarder som gjelder for disse oppdragene, samt i samsvar med god revisjons- og revisorskikk. Dette innebærer at behandling av personopplysninger skjer ved planlegging, gjennomføring og rapportering fra revisjonen.
Eksempler på de personopplysninger som behandles er kontaktinformasjon, opplysninger om styremøter og ledere, samt informasjon som er nødvendig for å vurdere selskapets økonomi og forvaltning. Dette kan inkludere personopplysninger om kundene til klienten vår, leverandørene deres og de ansatte.
Formålet med slik behandling av personopplysninger er å oppfylle de forpliktelsene som følger av oppdraget om å utføre revisjon. Det rettslige behandlingsgrunnlaget for behandlingene er at den er nødvendig for å oppfylle en rettslig forpliktelse. Det rettslige grunnlaget kan dessuten være å oppfylle en oppgave av allmenn interesse.
Regnskapsvirksomheten har til hensikt å bistå oppdragsgivere med bokføring, finansiell rapportering, lønnsadministrasjon og regnskapsrådgivning. Den finansielle rapporteringen kan referere til utarbeidelsen av årsrapporten, men også rådgi oppdragsgiveren med deres interne økonomiske rapportering. Oppdragsgiverne gir KPMG grunnlag som kan inneholde personopplysninger for at selskapet skal kunne oppfylle sine forpliktelser etter avtale som for eksempel å bistå med bokføring og finansiell rapportering og lønnsadministrasjon.
Opplysningene fra oppdragsgiverne inneholder personopplysninger med hensyn til blant annet underlag for lønnsutbetalinger, godtgjørelser og ytelser til ansatte og underlag for oppdragsgiverens fakturering og betalinger til leverandører.
Formålet med behandling av personopplysninger i regnskapsvirksomheten fremgår av avtalen med oppdragsgiveren og er som utgangspunkt å bistå oppdragsgiverne med bokføring, finansiell rapportering og lønnsadministrasjon.
Rådgivningsvirksomheten har som formål å gi råd til selskap i ulike sammenhenger. Gjennomføring av oppdraget kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel ved gjennomføring av internrevisjon eller intern økonomisk rapportering.
Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.
Formålet kan også være at behandlingen oppfyller et legitimt formål. Dette avgjøres gjennom en interesseavveining. Ved rådgivning som innebærer at KPMG er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der KPMGs interesse av å drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av å få oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveies mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.
3.1.5 Advokatvirksomhet, skatt og avgift
Virksomheten innen skatt og avgift har som formål å gi råd til organisasjoner i ulike sammenhenger, blant annet knyttet til forretningsjuridiske problemstillinger, lovreguleringer, kontraktsrett, arbeidsrett, EU/EØS-rett, offentlige anskaffelser, skatt og avgift.
Gjennomføring av oppdragene kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel i forbindelse med skatterettslig bistand for oppdragsgivers ansatte, og annen trygd- og arbeidsrettslig rådgivning.
Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.
Formålet kan også være at behandlingen oppfyller et legitimt formål. Dette avgjøres gjennom en interesseavveining. Ved rådgivning som innebærer at KPMG er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der KPMGs interesse av å drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av å få oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveies mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.
3.1.6 Kontroll av identiteter, interessekonflikter og uavhengighet
KPMG må i sin virksomhet følge regler om blant annet identitetskontroller gjennom hvitvaskingsregelverket, kontrollere hvorvidt det er interessekonflikter overfor ulike oppdragsgivere og ha rutiner for kontroll av upartiskhet og selvstendighet i forhold til revisjonsklienter. Grunnlaget for kontrollene innhentes fra potensielle oppdragsgivere, oppdragsgivere og fra andre, som for eksempel databaser. Disse kontrollene inneholder behandling av personopplysninger knyttet til for eksempel oppdragsgiverens representanter og deres bakgrunn. Kontrollene utføres med systemstøtte og verktøy for gjennomføring av slike kontroller.
Formålet med slike kontroller er å sikre selskapets overholdelse av gjeldende regler og å unngå interessekonflikter mellom ulike oppdragsgivere. Se mer om disse kontrollene under avsnitt 3.4.
KPMG oppbevarer oppdragsdokumentasjon i samsvar med de regler og rutiner som gjelder for oppdragsdokumentasjon. Disse regler og rutiner innebærer blant annet at oppdragsdokumentasjonen omfattes av taushetsplikt og rutiner for informasjonssikkerhet.
Formålet med oppbevaring av personopplysninger i oppdragsdokumentasjonen er å oppfylle oppbevaringskrav i samsvar med gjeldende rett, for eksempel oppbevaring av regnskapsinformasjon, revisjonsdokumentasjon og informasjon fra kundekontroll i henhold til hvitvaskingsloven.
Oppbevaring av personopplysninger i slik oppdragsdokumentasjon skjer med grunnlag i en rettslig forpliktelse.
Formålet med å oppbevare personopplysninger i oppdragsdokumentasjonen i andre tilfeller er at det er nødvendig for KPMGs berettigede interesse av å kunne besvare spørsmål fra kunder om oppdrag i ettertid, samt å kunne gjøre bruk av selskapets rettslige interesse i ulike henseender, for eksempel i forbindelse med myndighets- eller forsikringsspørsmål. Oppdragsdokumentasjon oppbevares normal 10 år for deretter å bli slettet.
3.2 Behandling av personopplysninger ved markedsaktiviteter
For at KPMG skal kunne nå ut til markedet med selskapets tjenester gjennomføres markedsaktiviteter som har til formål å markedsføre selskapet, ansatte og de tjenester som selskapet yter. KPMG behandler personopplysninger for slike markedsføringsformål, blant annet gjennom invitasjoner til forelesninger, kurs og seminarer, samt utsendelse av nyhetsbrev.
Behandlingsgrunnlaget for slik behandling er enten en interesseavveining eller samtykke. Interesseavveiningene baseres på en avveining mellom selskapets interesse av å kunne markedsføre virksomheten og kundens interesse av å kunne bli informert om KPMGs tjenestetilbud og de registrertes interesse for beskyttelse av sine personopplysninger.
Personopplysningene samles inn fra selskapet (for eksempel fra ansatte eller kunderegister) eller fra andre og inneholder hovedsakelig informasjon om nøkkelpersoner. Personopplysninger behandles i de system og verktøy selskapet benytter for å håndtere markedsaktiviteter.
Personopplysninger som samles inn for markedsføringsformål oppbevares ikke lengre enn det som er nødvendig for formålet. Informasjon som behandles etter en interesseavveining behandles til aktuelle personer melder at vedkommende ikke lenger er interessert i å motta nyhetsbrev eller invitasjoner fra KPMG. Kontaktinformasjon til forretningsforbindelser til eksisterende og potensielle kunder oppbevares normalt så lenge selskapet vurderer at personens stilling eller yrke kan antas å medføre interesse for selskapets tjenester.
For å kunne foreta relevante valg angående utsendelse av nyhetsbrev og invitasjoner til våre kurs, seminarer og arrangementer, kan segmentering benyttes på den måte at valg av utsendelser er basert på dine preferanser, tidligere historikk, jobbtittel/-stilling, arbeidsgiver eller annen tidligere aktivitet (for eksempel påmelding til seminar). Kommunikasjon fra KPMG sendes utelukkende for å tilby relevant informasjon som er av interesse og til fordel for mottakeren.
3.3 Behandling av personopplysninger ved rekruttering og om ansatte
En forutsetning for at KPMG skal kunne drive virksomhet er at selskapet kan rekruttere nye ansatte og gi støtte til ansatte og administrere forhold som angår disse. Denne virksomheten forutsetter behandling av personopplysninger. Det rettslige behandlingsgrunnlaget for denne behandlingen er en interesseavveining (rekruttering og ansatte), oppfyllelse av avtale (ansatte) og oppfyllelse av rettslige forpliktelser (ansatte). Interesseavveiningene baseres på en avveining mellom selskapets interesse av å ansette, opprettholde og utvikle kompetente og aktuelle ansatte i selskapets virksomhet, og disse personenes interesse om beskyttelse av sine personopplysninger.
Når det gjelder behandling av personopplysninger i forbindelse med en rekrutteringsprosess har også de arbeidssøkende en interesse av å kunne søk og gjøre aktiviteter og henvendelser i forbindelser med den aktuelle ansettelsen.
I rekrutteringsvirksomheten innhenter KPMG personopplysninger fra personer som søker ansettelse hos selskapet, enten direkte eller via et rekrutteringsselskap. KPMG Norge innhenter også personopplysninger via egne rekrutteringsaktiviteter. De personopplysningene som innhentes kan blant annet omfatte kontaktinformasjon, CV-informasjon, tidligere arbeidshistorikk, arbeidsgivere og ansvarsområder. Selskapet gjennomfører referansesjekk og i visse tilfeller personlighetstester. Personopplysninger om arbeidssøkende innhentes hovedsakelig fra den arbeidssøkende, men kan også innhentes fra andre personer eller selskap. Ved anvendelse av rekrutteringsselskap kan slike selskap samle inn opplysninger om arbeidssøkende og sortere ut kandidater som skal presenteres for selskapet.
Personopplysninger om eksisterende ansatte innhentes fra den ansatte selv i forbindelse med innledningen av ansettelsesprosessen. Under ansettelsen innhentes og benyttes kontinuerlig personopplysninger fra leder, andre ansatte og oppdragsgivere, for eksempel før i forbindelse med utviklingssamtaler og ved oppfølging av oppdrag og tilbakemeldinger fra kunder. Ansattes personopplysninger benyttes også i den daglig virksomheten ettersom informasjon håndteres ved arbeidet og ved utføring av oppdrag (for eksempel i e-postkorrespondanse med kunder og med andre ansatte). Personopplysningene behandles i de system selskapet benytter for rekrutteringsaktiviteter, og administrasjon og støtte for eksisterende og tidligere ansatte.
Personopplysninger innhentet i forbindelse med rekruttering oppbevares normalt høyst to år etter at rekrutteringsaktiviteten er avsluttet, hvis personen ikke har blitt ansatt. Visse personopplysninger om rekrutterte ansatte slettes etter at ansettelsesforholdet er avsluttet, mens andre personopplysninger oppbevares i lengre tid (for eksempel for å kunne gi informasjon til NAV etter at ansettelsesforholdet opphørte).
3.4 Behandling av personopplysninger ved visse kontroller
KPMG har flere lovpålagte forpliktelser som følge av sin revisjonsvirksomhet. Dette betyr at firmaet må utføre visse interne kontroller som involverer behandling av personopplysninger. Disse internkontrollene blir gjort av firmaets ansatte og er nødvendige i henhold til hvitvaskingsloven. Formålet med internkontrollene er å oppfylle lovbestemte krav.
Firmaet behandler også personopplysninger når de utfører internkontroller av uavhengighet og upartiskhet. Disse kontrollene har som formål å sikre etterlevelse av lovbestemte krav og interesseavveining. Den innsamlede personopplysningen forblir sammen med dokumentasjonen knyttet til oppdraget.
I tillegg behandler KPMG Norge personopplysninger når det gjennomføres kontroller av interessekonflikter. Disse kontrollene blir gjennomført før og under oppdrag for å unngå situasjoner der forskjellige kunder kan ha motstridende interesser, for eksempel når firmaet er involvert i en tvist som sakkyndig. Målet med disse kontrollene er å sikre at firmaet unngår situasjoner der kundene har motstridende interesser når KPMG utfører tjenester. Dette baserer seg på en interesseavveining.
3.5 Overføring av personopplysninger og bruk av databehandler
3.5.1 Generelt om overføring av personopplysninger
Som det fremgår ovenfor er KPMG et selvstendig selskap som er medlem i KPMG International. Dette innebærer at selskapet håndterer informasjon dels i system som administreres av KPMG Norge selvstendig, og dels i system som administreres av KPMG International. Selskapet og KPMG International benytter ved anledninger leverandører for å håndtere informasjon. Den informasjon som håndteres av selskapet, KPMG International og leverandører håndteres med overholdelse av konfidensialitet og taushetsplikt som gjelder overfor forhold vedrørende våre oppdragsgivere, blant annet vedrørende personopplysninger.
Den informasjon som KPMG Norge håndterer oppbevares normalt innad i Norge eller, når KPMG International er engasjert for håndtering, innad i EU/EØS. For oppdragsgivere med grenseoverskridende virksomhet i tredjeland kan det for oppfyllelse av oppdraget overføres personopplysninger utenfor EU/EØS.
Innenfor KPMG-nettverket er det opprettet en avtale som regulerer rettigheter og forpliktelser mellom KPMG-medlemsfirmaene når personopplysninger overføres mellom KPMG-medlemsfirmaer. Denne avtalen inneholder blant annet regulering av taushetsplikt og EUs standardklausuler om overføring av personopplysninger til tredjeland, der det er påkrevet.
3.5.2 Overføring av personopplysninger som følge av lov
Virksomheten i selskapet reguleres av lover som noen ganger innebærer at selskapet kan ha forpliktelser til å overføre personopplysninger til andre. En slik forpliktelse følger blant annet av hvitvaskingsloven, som gir uttrykk for at mistanke om hvitvasking og terrorfinansiering skal anmeldes til myndighetene. Slike anmeldelser vil normalt inneholde enkelte personopplysninger, eksempelvis hvem eller hva mistankene gjelder.
Revisjonsvirksomheten som drives av KPMG står under tilsyn av blant annet Finanstilsynet. Tilsynsmyndighetene kan be om tilgang til informasjon om selskapets aktiviteter, noe som kan innebære at KPMG kan måtte overføre personopplysninger til myndighetene
KPMG sine ansatte kan også bli bedt om å gi informasjon til de som undersøker i forbindelse med tilsyns- eller revisjonsprosesser. Dette kan bety at vi må dele personopplysninger som en del av prosessen.
I tillegg har våre ansatte en rettslig plikt til å stille opp som vitner i rettssaker. Dette kan innebære at vi må dele personopplysninger hvis det er nødvendig. Hvis myndigheter eller domstoler ber om informasjon som kan inneholde personopplysninger som en del av en rettssak, må vi overlevere den.
3.5.3 Overføring av personopplysninger i oppdragsvirksomheten
De system som selskapet benytter for oppdragsvirksomheten innebærer at personopplysninger behandles i Norge og innad i EU/EØS. Det forekommer i tillegg at KPMG overfører personopplysninger til tredjeland dersom det er nødvendig for å kunne gi tilbud eller oppfylle oppdrag vedrørende kunder som har virksomhet i tredjeland. Slike overføringer skjer normalt til andre medlemsfirmaer innad i KPMG-nettverket og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
3.5.4 Overføring av personopplysninger ved enkelte kontroller
Som det fremgår ovenfor behandler selskapet personopplysninger ved enkelte kontroller, blant annet vedrørende identitet- og interessekonflikter. Dersom, og i den grad, disse kontrollene påvirker selskap eller personer innenfor eller utenfor EU/EØS kan slike kontroller innebærer at personopplysninger overføres innenfor og utenfor EU/EØS. Kontroller innenfor og utenfor EU/EØS gjennomføres mellom medlemmene i nettverket KPMG International og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
Når KPMG oppfyller oppdrag som databehandler ved håndtering av personopplysninger i oppdrag, forekommer det at KPMG benytter underdatabehandler for behandling av personopplysninger. Hvem som er underdatabehandler fremgår av avtalen som opprettes med oppdragsgiveren/den behandlingsansvarlige (databehandleravtale).
Underdatabehandlerne har i avtale med KPMG forpliktet seg til å underrette KPMG om eventuelle engasjerte underdatabehandlere og utskiftning av slike underdatabehandlere. Informasjon om hvilke underdatabehandlere som engasjeres for et spesifikt oppdrag utgis på forespørsel.
4. De registrertes rettigheter
Den registrerte har i henhold til regelverket om behandling av personopplysninger rett til å få informasjon når hans eller hennes personopplysninger behandles. Informasjon om behandlingen skal gis både når informasjonen innsamles, eller kort tid deretter når informasjonen ikke innsamles fra den registrerte. Informasjon skal også gis på forespørsel. Det er også tilfeller når særskilt informasjon skal gis til den registrerte, for eksempel når det oppstår et databrudd eller liknende.
Det skal blant annet gis informasjon om kontaktinformasjonen til personvernansvarlige, behandlingsgrunnlaget og formålet med behandlingen.
Dette dokumentet inneholder blant annet slik informasjon som KPMG skal gi til de personer hvis personopplysninger behandles i virksomheten.
En innsynsbegjæring om informasjon meldes til kontaktpersonen for relevant oppdrag og ellers til: data-privacy-reporting@kpmg.no. En innsynsbegjæring om informasjon vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.2 Rett til retting/korrigering
Regelverket om behandling av personopplysninger innebærer at den registrerte har rett til å henvende seg til selskap som behandler personopplysninger og be om retting/korrigering av feilaktige personopplysninger og komplettere med personopplysninger og som er relevante for formålet med behandlingen.
En begjæring om retting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om retting vil bli behandlet med utgangspunkt i gjeldene regelverk og i samsvar med selskapets rutine for å håndtere slike begjæringer.
I henhold til personvernregelverket har den registrerte rett til å be om at informasjon som gjelder vedkommende skal slettes. Begjæring om sletting kan sendes til: data-privacy-reporting@kpmg.no
En begjæring om sletting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om sletting vil bli behandlet med utgangspunkt personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.4 Rett til begrensning av behandling
Den registrerte har i visse tilfeller rett til å kreve at behandlingen begrenses. Med begrensning menes at personopplysningene merkes slik at disse i fremtiden kun får behandles for visse avgrensede formål.
En begjæring om begrensning av behandling meldes til kontaktpersonen for eventuelt oppdrag og ellers til data-privacy-reporting@kpmg.no.
En begjæring om begrensning vil bli behandlet med utgangspunkt i personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.5 Rett til å tilbakekalle samtykke
Person med personopplysninger som behandles med samtykke som behandlingsgrunnlag har rett til å tilbakekalle samtykke.
Krav om tilbakekalling av samtykke skal meldes til: data-privacy-reporting@kpmg.no.
Personer som har etterlatt sine personopplysninger har i visse tilfeller rett til å få ut og benytte sine personopplysninger andre steder. Den som skal ta imot slik informasjon har en forpliktelse til å legge til rette for slik overføring.
En begjæring om å få ut personopplysninger for å benytte opplysninger på andre steder skal meldes til: data-privacy-reporting@kpmg.no.
En begjæring om dataportabilitet vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.7 Rett til å fremme innsigelser
En registrert har i enkelte tilfeller rett til å fremme innsigelser mot den behandlingsansvarliges behandling av dennes personopplysninger. Denne retten gjelder blant annet personopplysninger som behandles etter en interesseavveining og inneholder rett til å motsette seg automatiserte individuelle avgjørelser, herunder profilering.
Krav om innsigelse mot behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Krav om innsigelse vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.8 Klager
Klager vedrørende KPMGs behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Klager på behandlingen vil bli behandlet i samsvar med selskapets rutine for håndtering av slike klager.
Den som har personopplysninger som behandles av selskapet har i tillegg rett til å klage til Datatilsynet. Vi henviser til informasjon om dette på Datatilsynet.
5. KPMGs ti prinsipper for behandling av personopplysninger (KPMG International)
Når KPMG behandler persondata som behandlingsansvarlig skal KPMG og dets personell følge de ti prinsipper fastslått i KPMGs internasjonale personvernpolicy:
Åpenhet
KPMG vil gi de registrerte informasjon om hvordan vi behandler deres personopplysninger i den utstrekning som er nødvendig for å sikre at behandlingen er rettferdig.
Formålsbegrensning
KPMG vil kun behandle personopplysninger for formålene (i) angitt i enhver erklæring som er gjort tilgjengelig til de relevante registrerte som er relevante for KPMG, (ii) som påkrevd i lov, eller (iii) dersom de registrerte har samtykket.
Datakvalitet og forholdsmessighet
Personopplysninger skal være korrekt og holdes oppdatert. Personopplysninger som KPMG besitter må være adekvat, relevant og ikke overflødige for formålene dersom de blir overført mellom KPMGs medlemsfirmaer og skal kun beholdes så lenge det er nødvendig for formålene til den relevante behandlingen.
Sikkerhet og konfidensialitet
KPMG må ta rimelig forholdsregler for å sikre personopplysninger mot utilsiktede eller ulovlig ødeleggelse eller tap, endringer, uautorisert utlevering eller tilgang. Slike forholdsregler bør inkludere tekniske, fysiske og organisatoriske sikkerhetstiltak, som for eksempel tiltak for å forhindre uautorisert tilgang, som står i forhold til sensitiviteten av dataen og risikonivået forbundet med behandlingen av personopplysningene.
Dersom det er nødvendig eller passende må KPMG vurdere å implementere ytterligere tiltak for bestemte typer av persondata som må behandles med ekstra forsiktighet for å respektere lokal sedvane, lover og reguleringer. Dette kan inkludere sensitive persondata. Dersom et KPMG-firma behandler personopplysninger på vegne av et annet KPMG-firma, vil det kun handle under det første firmaet instruksjoner.
Tilgang, retting, sletting og innvendinger
De registrerte bør ha tilgang til sine personopplysninger som oppbevares av KPMG, hvor slike forespørsler er rimelige og tillatt etter lov eller regulering. KPMG vil akseptere å utbedre, endre, eller slette personopplysninger på forespørsel hvor den er unøyaktig eller blir benyttet i strid med disse prinsippene.
Den registrerte bør ha mulighet for å reise innvendinger til behandlingen av personopplysninger som gjelder vedkommende dersom det er overbevisende legitime grunner til deres spesielle situasjon, i den utstrekning som kreves av relevante lover.
Sensitive data
Dersom KPMG behandler sensitive personopplysninger skal det iverksettes ytterligere sikkerhetstiltak som er nødvendig for å beskytte sensitive personopplysninger i overensstemmelse med gjeldende lovgivning.
Data benyttet for markedsføringsformål
Dersom KPMG behandler personopplysninger for markedsføringsformål må KPMG ha effektive prosedyrer som tillater at den registrerte på ethvert tidspunkt kan fjerne sine personopplysninger ("opt-out") fra å bli benyttet for slike formål.
Automatisert behandling
Dersom KPMG behandler personopplysninger på et rent automatisert grunnlag som har betydelig innvirkning på den registrerte skal KPMG gi den registrerte muligheten til å diskutere konsekvensene av slik behandling før avgjørelsene tas (med mindre annet er tillatt etter gjeldende lov).
Dataminimering
Når KPMG beholder den registrertes personopplysninger skal dette gjøres i en form som identifiserer eller gjengir den registrerte identifiserbare kun så lenge det tjener formålet/formålene som opplysningene i utgangspunktet var innsamlet eller senere autorisert for, i den utstrekning det er tillatt etter gjeldende lov.
Overføring av informasjon
Innenfor nettverket av KPMGs medlemsfirmaer kan personopplysninger overføres ut av det landet personopplysningene opprinnelig ble innsamlet, inkludert land utenfor EØS, for legitime forretningsaktiviteter i samsvar med gjeldende lov. I tillegg, i samsvar med gjeldende lov, kan KPMG lagre personopplysninger på egne anlegg som drives av andre KPMGs medlemsfirmaer og/eller tredjeparter på vegne av KPMG på utsiden av landet dataen opprinnelig ble innsamlet.
Likevel skal persondata ikke overføres til andre land med mindre den som overfører har forsikret seg om at tilstrekkelig beskyttelsesnivå er på plass relatert til persondata og som er påkrevd etter gjeldende lov. For hvert enkelt KPMG medlemsfirma, er et tilstrekkelig beskyttelsesnivå, etablert ved nettverkets Inter-Firm Agreement som hvert KPMG-firma skal overholde.
KPMG-firmaer vil sørge for at, der personopplysninger overføres til tredjeparter på utsiden av KPMG-nettverket for behandling, kun foretas så lenge personopplysningene er tilstrekkelig beskyttet.