Behandling av personuppgifter | KPMG | SE
close
Share with your friends

Behandling av personuppgifter

Behandling av personuppgifter

Senast uppdaterad den 17 augusti 2018

1 Allmänt om behandling av personuppgifter i KPMG AB:s verksamhet

1.1 Inledning

Denna text syftar till att beskriva KPMG AB:s behandling av personuppgifter på ett öppet och transparent sätt så att personer vars personuppgifter företaget behandlar ska förstå hur och varför deras personuppgifter hanteras i KPMG AB:s verksamhet och vilka rättigheter de har i förhållande till företaget.

För ett kunskapsföretag som KPMG AB är det avgörande att kundrelaterad information, inkluderande personuppgifter, såväl som information om företagets anställda, behandlas säkert och konfidentiellt samt att tillämpliga regelverk efterföljs.

 

1.2 Verksamheten i KPMG AB

KPMG AB erbjuder tjänster inom fyra tjänsteområden; revision, skatt, redovisning och rådgivning. Företaget har cirka 1 700 medarbetare i Sverige.

KPMG AB hanterar ett stort antal uppdrag för företag/organisationer, myndigheter och privatpersoner. Bland kunderna finns några av Sveriges största företag med nationell och internationell verksamhet, d.v.s. företag med verksamhet inom och utanför såväl Sverige som EU/EES. Det finns också ett stort antal företag med lokal förankring på enskilda orter i Sverige. Här finns såväl börsnoterade företag som mindre noterade och onoterade företag och med verksamheter inom ett stort antal branscher.

I revisionsverksamheten har KPMG AB ett viktigt samhällsuppdrag där den lagstadgade revisionen syftar till att kvalitetssäkra och stärka tilltron till organisationers ekonomiska rapportering. Eftersom KPMG AB är en revisionsbyrå är verksamheten reglerad i flera avseenden och företaget har en mängd lagstadgade skyldigheter.

Dessa förhållanden innebär att KPMG AB behandlar personuppgifter i många olika sammanhang. För att företaget ska kunna bedriva sin verksamhet behöver personuppgifter hanteras vid fullgörande av uppdrag i Sverige och internationellt, vid kontakter med andra medlemsfirmor inom KPMG och även i samband med marknadsförings-aktiviteter, rekryteringar och personuppgifter för medarbetare.

Ytterligare information om KPMG AB:s verksamhet finns bland annat i företagets årsredovisningar, Transparency Report och hållbarhetsredovisning. Samtliga hålls tillgängliga på KPMGs webbplats.

 

1.3 Nätverket KPMG International

KPMG AB är medlem i KPMG International Cooperative (”KPMG International”), ett av de ledande, globala nätverken med 197 000 medarbetare och verksamheter i 154 länder. KPMG International bedriver ingen verksamhet mot kund, utan är en paraplyorganisation för medlemsfirmor i nätverket. Medlemsföretagen arbetar lokalt och självständigt över hela världen. Medlemsfirmorna har tillgång till gemensamma resurser, metoder samt det internationella nätverkets samlade kunskap och expertis. 

Ytterligare information om nätverket finns via årsredovisningar och Transparency Report tillgängliga via nätverkets hemsida.

 

2 KPMG AB:s styrning av behandling av personuppgifter

Styrelsen för KPMG AB har fastställt en policy för behandling av personuppgifter som gäller hela företagets verksamhet. Av policyn framgår de grundläggande principer som gäller för all behandling av personuppgifter i verksamheten och att företagsledningen ska fastställa de regler och rutiner som krävs för att företagets verksamhet ska kunna bedrivas i enlighet med Dataskyddsförordningen (GDPR). Det framgår också av policyn att företagets medarbetare återkommande ska genomgå adekvat utbildning och att de ska ha tillgång till stöd och vägledning vid tillämpningen av regelverket.

Företagsledningen har fastställt en anvisning för företagets behandling av personuppgifter. Anvisningen anger närmare krav på utbildning av medarbetare och hur företaget tillhandahåller information och stöd till medarbetare vid behandling av personuppgifter. Det framgår också av anvisningen att det ska finnas skriftliga vägledningar och rutiner till stöd för medarbetarnas tillämpning av regelverket om behandling av personuppgifter i den dagliga verksamheten. Här anges också krav på kontrollaktiviteter och att det ska utses ett dataskyddsombud.

Med utgångspunkt i policyn och anvisningen för behandling av personuppgifter har företaget tagit fram vägledningar och rutiner för företagets behandling av personuppgifter och kommunicerat dessa till företagets medarbetare. Det finns vägledningar avseende bland annat hantering av personuppgifter i uppdragsverksamheten, hantering av personuppgifter vid marknadsaktiviteter och hantering av personuppgifter vid rekrytering. Företagets rutiner omfattar bland annat rutiner avseende rätt att få del av behandlade personuppgifter och rättelse av personuppgifter.

En översiktlig beskrivning av tillämpningen av de grundläggande principerna i företagets verksamhet framgår av bilaga 1, se nedan.

 

2.1 Dataskyddsombud

KPMG AB har utsett ett dataskyddsombud. Peter Åkersten är dataskyddsombud och nås genom e-postadressen DPreporting@kpmg.se.

 

3 Närmare om behandling av personuppgifter i KPMG AB:s verksamhet

Avsnitten 1 och 2 ovan innefattar allmänna beskrivningar av verksamheten i KPMG AB och hur KPMG AB styr företagets behandling av personuppgifter. I det följande lämnas en beskrivning av hur KPMG AB hanterar personuppgifter i centrala delar av verksamheten.

Företaget utför inom ramen för verksamheten uppdrag både som personuppgifts-ansvarig och/eller uppdrag som personuppgiftsbiträde. Företagets vägledningar till medarbetare innefattar information till ledning för bedömningen av om enskilda uppdrag bedöms innebära en roll som personuppgiftsansvarig eller en roll som personuppgiftsbiträde.

KPMG AB är personuppgiftsansvarig för den behandling av personuppgifter som företaget genomför för egna ändamål, bland annat kontroller avseende förekomst av intressekonflikter och oberoende. Företagets kontaktuppgifter, organisationsnummer och uppgifter om företrädare för företaget finns tillgängliga på företagets webbplats www.kpmg.se.

 

3.1 Behandling av personuppgifter i uppdragsverksamheten

Allmänt

Inom ramen för uppdragsverksamheten behandlar KPMG AB personuppgifter för ändamålet att fullgöra de åtaganden som följer av avtalen med våra uppdragsgivare. De lagliga grunderna för behandlingen i uppdragsverksamheten är främst att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, avtal eller är tillåten genom en intresseavvägning. Intresseavvägningar i uppdragsverksamheten baseras på en avvägning mellan KPMG AB:s intresse av att kunna bedriva verksamhet och följa de åtaganden som följer av avtalen med företagets uppdragsgivare och även uppdragsgivarens intresse av att KPMG AB ska kunna utföra uppdraget i förhållande till de registrerades eventuellt motstående intressen avseende skydd för sina personuppgifter. KPMG AB:s uppdragsgivare har ofta ett intresse av att kunna anlita specialisthjälp avseende ett behov som uppdragsgivaren har - t ex att fullgöra dess rättsliga förpliktelser eller avtal.

Personuppgifter som KPMG AB behöver få del av för att utföra uppdrag samlas som utgångspunkt in från uppdragsgivaren, men det förekommer också att personuppgifter samlas in från andra parter eller myndigheter, t ex från Bolagsverket eller företagsdatabaser när det gäller befattningshavare hos företag och föreningar. Personuppgifter som samlas in för att användas i uppdrag kan vara kontaktuppgifter, information om befattningshavare och andra uppgifter avseende anställnings-, kund- eller leverantörsförhållanden. Personuppgifter kan vid behov komma att lämnas ut i enlighet med instruktioner från uppdragsgivaren, till exempel när en uppdragsgivare ger KPMG AB i uppdrag att förse myndigheter med vissa personuppgifter (t ex att lämna uppgift om en anställds lön till Försäkringskassan i samband med Försäkringskassans hantering av ett ersättningsärende).

De som behandlar personuppgifter i KPMG AB:s uppdragsverksamhet är de medar­betare hos
KPMG AB som arbetar i uppdragsverksamheten.

Revisionsverksamheten

Revisionsverksamheten avser att utföra och rapportera revisionsuppdrag, framförallt lagstadgad revision och de tilläggsuppdrag som följer av uppdraget som revisor, till exempel att utföra granskning och avge yttrande i samband med emission. Behandling av personuppgifter vid revisionsverksamheten sker för att genomföra och rapportera revision i enlighet med de lagar och standarder som gäller för dessa uppdrag samt i enlighet med god revisions- och revisorssed. Detta innebär att behandling av personuppgifter sker vid planering, genomförande och rapportering från revisionen. Exempel på personuppgifter som behandlas är kontaktuppgifter, uppgifter om styrelseledamöter och ledande befattningshavare och sådana personuppgifter som behövs för att granska företagets redovisning och förvaltning, t ex personuppgifter hänförliga till uppdragsgivarens kunder, leverantörer och medarbetare. Personuppgifterna behandlas i de system som företaget använder för att genomföra och dokumentera revisionsuppdrag. Ändamålet med sådan behandling av personuppgifter är att fullgöra de skyldigheter som följer av uppdraget att utföra revision och den rättsliga grunden för behandlingen är att den är nödvändig för att fullgöra en rättslig förpliktelse. Den rättsliga grunden kan även vara att fullgöra en uppgift av allmänt intresse.

Redovisningsverksamheten

Redovisningsverksamheten avser att biträda uppdragsgivare med bokföring, finansiella rapportering och löneadministration samt även redovisningsrådgivning. Den finansiella rapporteringen kan avse upprättande av årsredovisning, men också att biträda uppdragsgivaren med dess interna ekonomiska rapportering. Uppdragsgivarna tillhandahåller underlag som kan innefatta personuppgifter för att företagets ska kunna fullgöra åtaganden enligt avtal om att t ex bistå med bokföring och finansiell rapportering samt löneadministration. Det underlag som uppdragsgivarna tillhandahåller innefattar personuppgifter avseende bland annat underlag för löneutbetalningar, andra ersättningar och förmåner för anställda och underlag för uppdragsgivarens fakturering och betalningar till leverantörer. Personuppgifterna behandlas i de system och med de verktyg som är erforderliga för att bistå uppdragsgivaren med tjänster avseende bokföring, finansiell rapportering och löneadministration. Ändamålen med behandlingen av personuppgifter i redovisningsverksamheten framgår i avtalet med uppdragsgivaren och är som utgångspunkt att biträda uppdragsgivarna med bokföring, finansiell rapportering och löneadministration.

Vid rådgivningsuppdrag som innebär att KPMG AB är personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för redovisningsuppdraget är den rättsliga grunden för behandlingen som utgångspunkt en intresseavvägning där KPMG AB:s intresse av att kunna bedriva verksamhet och fullgöra uppdrag enligt avtal med uppdragsgivare och även uppdragsgivarens intresse av att kunna anlita KPMG AB för att hantera ett behov hos uppdragsgivaren (exempelvis att bedöma kvalificerade redovisningsfrågor) vägs mot de registrerades intresse avseende skydd för sina personuppgifter.

Rådgivningsverksamheten

Rådgivningsverksamheten avser att lämna råd till företag i olika sammanhang, bland annat avseende företagstransaktioner, skatt och regelverksfrågor. Uppdragen kan också innefatta att bistå uppdragsgivare vid dess interna ekonomiska rapportering, med frågor som rör intern kontroll, vid upprättande av interna styrdokument eller att lämna råd i samband med organisationsförändringar. Uppdragens genomförande kan omfatta behandling av personuppgifter i olika avseenden och i olika omfattning, exempelvis vid upprättande av deklarationer, genomförande av internrevision eller intern ekonomisk rapportering. Personuppgifterna behandlas med de verktyg som företaget använder för uppdragsverksamhetens genomförande och dokumentation av genomförda uppdrag. Ändamålet med behandlingen av personuppgifter är att fullgöra de åtaganden som följer av uppdragsavtalet.

Vid rådgivning som innebär att KPMG AB är personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för uppdraget är den rättsliga grunden för behandlingen som utgångspunkt en intresseavvägning där KPMG AB:s intresse av att kunna bedriva verksamhet och fullgöra uppdrag enligt avtal och uppdragsgivarens intresse av att få uppdraget utfört av olika skäl som varierar beroende på uppdragstyp vägs mot de registrerades intresse avseende skydd för sina personuppgifter.

Kontroll av identiteter, intressekonflikter och oberoende

Företaget har i verksamheten att följa regler avseende bland annat identitetskontroller enligt penningtvättregelverket, kontrollera förekomst av intressekonflikter i förhållande till olika uppdragsgivare och att ha rutiner för kontroll av opartiskhet och självständighet i förhållande till revisionsklienter. Underlag för kontrollerna inhämtas från potentiella uppdragsgivare, uppdragsgivare och från andra såsom t ex företagsdatabaser. Dessa kontroller innefattar behandling av personuppgifter avseende exempelvis uppdragsgivarens företrädare och företrädares bakgrund. Kontrollerna genomförs med systemstöd och verktyg för genomförande av sådana kontroller. Ändamålet med sådana kontroller är att säkerställa företagets regelefterlevnad och undvika intressekonflikter mellan olika uppdragsgivare.

Se mer om dessa kontroller under avsnitt 3.4 (bl a beskrivning av rättslig grund).

Uppdragsdokumentation

KPMG AB bevarar uppdragsdokumentation i enlighet med de regler och rutiner som gäller för uppdragsdokumentation. Dessa regler och rutiner innebär bland annat att uppdragsdokumentationen omfattas av tystnadsplikt och rutiner för informationssäkerhet. Ändamålen för bevarande av personuppgifter i uppdragsdokumentation är att fullgöra krav på bevarande enligt gällande rätt, t ex bevarande av räkenskapsinformation, revisionsdokumentation och uppgifter från kundkännedomsåtgärder enligt penningtvättslagen. Bevarande av personuppgifter i sådan uppdragsdokumentation sker med stöd av en rättslig förpliktelse. Ändamålen för att bevara personuppgifter i uppdragsdokumentationen i andra fall är att det behövs för KPMG AB:s berättigade intresse av att kunna besvara frågor från kunder om uppdrag i efterhand samt att kunna ta tillvara företagets rättsliga intressen i olika avseenden, t ex i samband med myndighets- eller försäkringsärenden.

Uppdragsdokumentationen bevaras normalt under 10 år för att därefter destrueras.

 

3.2 Behandling av personuppgifter vid marknadsaktiviteter

För att KPMG AB ska kunna nå ut till marknaden med företagets tjänster bedrivs marknadsaktiviteter som syftar till att marknadsföra företaget, medarbetare och de tjänster som företaget tillhandahåller. KPMG AB behandlar personuppgifter för sådana marknadsföringsändamål, bland annat genom inbjudningar till föreläsningar, seminarier och utskick av nyhetsbrev.

De lagliga grunderna för sådan behandling är antingen en intresseavvägning eller samtycke. Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna marknadsföra verksamheten och erbjuda marknaden företagets tjänster och kunders intresse av att kunna informera sig om KPMG AB:s tjänsteutbud samt de registrerades intresse avseende skydd för sina personuppgifter.

Personuppgifterna samlas in inom företaget (t ex från medarbetare eller kundregister) eller från annan och innefattar främst uppgifter om befattningshavare. Personuppgifter behandlas i de system och de verktyg företaget använder för att hantera marknadsaktiviteter. Uppgifterna (t ex deltagarlistor) kan vid behov lämnas ut till mottagare såsom hotell eller andra företag som tillhandahåller lokaler för kurser eller event.

Personuppgifter som samlas in för marknadsföringsändamål sparas inte längre än vad som är nödvändigt för ändamålet. Uppgifter som behandlas efter en intresseanmälan behandlas till dess personen anmäler att han eller hon inte längre är intresserad av att motta nyhetsbrev eller inbjudningar från KPMG AB. Kontaktuppgifter till affärskontakter såsom befintliga eller potentiella kunder bevaras normalt så länge företaget bedömer att personens befattning eller yrkesroll kan antas medföra ett intresse för företagets tjänster.

 

3.2.1 Profilering

För att företaget ska kunna göra relevanta urval avseende utskick av nyhetsbrev och inbjudningar till event används profilering på det sättet att urval för utskick baseras på uppgifter om branschsegment, yrkesroll/befattning, arbetsgivare eller tidigare aktivitet (såsom anmälan till ett seminarium). Sådan profilering är begränsat till sådana uppgiftskategorier och syftar till att innehållet i företagets kommunikation ska vara relevant, av intresse och till nytta för mottagaren.

 

3.3 Behandling av personuppgifter vid rekrytering och avseende medarbetare

En förutsättning för att KPMG AB ska kunna bedriva verksamhet är att företaget kan rekrytera nya medarbetare och ge stöd till anställda samt administrera förhållanden som rör dessa. Denna verksamhet innefattar behandling av personuppgifter, bland annat personuppgifter avseende personer som är eller har varit föremål för rekryteringsaktiviteter och behandling av personuppgifter avseende nuvarande och tidigare medarbetare. Den rättsliga grunden för denna behandling är en intresseavvägning (rekrytering och medarbetare), fullgörande av avtal (medarbetare) och fullgörande av rättsliga förpliktelser (medarbetare). Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna anställa, bibehålla och utveckla kompetenta och lämpliga medarbetare i företagets verksamhet och dessa personers intressen avseende skydd för sina personuppgifter. När det gäller behandling av personuppgifter i samband med en rekryteringsprocess har även de arbetssökande ett intresse av att kunna ansöka och komma i fråga för den aktuella anställningen.

I rekryteringsverksamheten erhåller företaget personuppgifter från personer som söker anställning hos företaget, antingen direkt eller via ett rekryteringsföretag, och inhämtar personuppgifter vid egna rekryteringsaktiviteter. Kategorier av personuppgifter som behandlas avser bland annat kontaktuppgifter, CV-uppgifter såsom kompetens, tidigare arbetsuppgifter och arbetsgivare samt ansvarsområden. Företaget genomför referenstagning och i vissa fall personlighetstester. Personuppgifter avseende arbetssökande inhämtas huvudsakligen från den arbetssökande men kan även inhämtas från andra personer eller företag. Vid användning av rekryteringsföretag kan sådant företag samla in uppgifter om arbetssökande och sortera ut kandidater som ska presenteras för företaget.

Personuppgifter avseende befintliga medarbetare inhämtas från medarbetaren själv i samband med att anställningen inleds. Under anställningen inhämtas och används fortlöpande personuppgifter från chefer, andra medarbetare och uppdragsgivare, t ex inför och i samband med utvecklingssamtal och vid uppföljning av uppdrag samt återkoppling från kunder. Medarbetares personuppgifter används även i den dagliga verksamheten eftersom uppgifter om anställda hanteras vid offertarbete och utförande av uppdrag (t ex i e-postkorrespondens med kunder och med andra medarbetare).

Personuppgifterna behandlas i de system företaget använder för rekryteringsaktiviteter och administration och stöd för befintliga och tidigare medarbetare.

Personuppgifter inhämtade i samband med rekrytering bevaras normalt under högst två år efter rekryteringsaktivitetens avslutande om personen inte har anställts. Vissa personuppgifter avseende anställda medarbetare raderas efter anställningens upphörande, medan andra personuppgifter bevaras under längre tid (t ex för att kunna tillhandahålla viss information till Försäkringskassan efter att anställningen upphört).

 

3.4 Behandling av personuppgifter vid vissa kontroller

KPMG AB har lagstadgade skyldigheter som följer av att företaget bedriver revisionsverksamhet. Detta innebär bl a att företaget har skyldigheter att utföra vissa kontroller som behöver innefatta behandling av personuppgifter. Kontrollerna utförs av företagets medarbetare.

Företaget behandlar personuppgifter vid de kontroller som är erforderliga enligt penningtvättslagen. Sådana kontroller utförs med stöd av och för ändamålet att fullgöra krav enligt lag.

Vidare behandlar företaget personuppgifter vid kontroller avseende opartiskhet och självständighet, dvs att kraven på oberoende enligt lag och yrkesetiska regler efterlevs. Sådana kontroller har till ändamål att säkerställa företagets efterlevnad av sådana krav och den därmed förenade behandlingen av personuppgifter baseras på krav enligt lag och intresseavvägning. Kontrollerna innefattar personuppgifter som samlats in från den potentiella uppdragsgivaren eller befintliga uppdragsgivare. Resultatet från kontrollerna bevaras tillsammans med uppdragsdokumentation under den tid som uppdragsdokumentationen bevaras (se ovan).

Företaget behandlar vidare personuppgifter i samband med kontroll av intressekonflikter. Sådana kontroller genomförs inför och under genomförande av uppdrag. Kontrollerna syftar till att undvika situationer där olika uppdragsgivare kan ha intressekonflikter i de tjänster som KPMG AB och företag inom KPMG-nätverket utför, till exempel vid företagets medverkan i tvist som sakkunnig. Dessa kontroller har till ändamål att undvika situationer där olika kunder har motstående intressen i de tjänster som KPMG AB utför och baseras på en intresseavvägning.

 

3.5 Överföring av personuppgifter och anlitande av biträden

Allmänt om överföring av personuppgifter

Som framgår ovan är KPMG AB ett självständigt företag som är medlem i KPMG International. Detta innebär att företaget hanterar information dels i system som förvaltas av KPMG AB självständigt och dels i system som förvaltas av KPMG International. Företaget och KPMG International anlitar stundom leverantörer för att hantera information. Den information som hanteras av företaget och av KPMG International samt av leverantörer hanteras med iakttagande av den tystnadsplikt som gäller avseende våra uppdragivarens förhållanden, bland annat avseende personuppgifter.

Den information som KPMG AB hanterar bevaras normalt inom Sverige eller, då KPMG International anlitas för hanteringen, inom EU/EES. För uppdragsgivare med gränsöverskridande verksamhet i tredjeland kan det för uppdragets fullgörande föras över personuppgifter utanför EU/EES. Företaget har upprättat vägledning till stöd för medarbetare för att bedöma huruvida sådana överföringar sker i enlighet med regelverket om skydd för personuppgifter.

Inom KPMG-nätverket har upprättats ett avtal som reglerar rättigheter och skyldigheter mellan KPMG-firmor då personuppgifter överförs mellan KPMG-firmor. Detta avtal innefattar bland annat reglering om tystnadsplikt och EU:s standardklausuler om överföring av personuppgifter till tredjeland.

Överföring av personuppgifter enligt krav i lag

Verksamheten i företaget regleras av lagar vilka stundom innebär att företaget kan ha skyldighet enligt lag att föra över personuppgifter till annan. En sådan skyldighet följer av penningtvättslagen, vilken bland annat innebär att misstänkt penningtvätt och terrorismfinansiering ska anmälas till myndighet. Vidare följer av aktiebolagslagen att en revisor under vissa förutsättningar har att anmäla misstanke om brott till myndighet. Sådana anmälningar kommer normalt att innefatta vissa personuppgifter, bland annat vem eller vilka misstankarna avser.

Den revisionsverksamhet som bedrivs av KPMG AB står under tillsyn av bland annat Revisorsinspektionen. Det kan förekomma att tillsynsmyndigheter begär tillgång till information om verksamheten i företaget som innebär att personuppgifter kan komma att överföras till myndigheter. Det kan också förekomma att myndigheter vid undersökningar förelägger företaget att lämna information som innefattar personuppgifter, exempelvis vid en skatterevision.

Medarbetare vid företaget kan ha att inom ramen för förundersökningar lämna information till förundersökningsledare, vilket kan innefatta överlämnande av personuppgifter.

Vidare har företagets medarbetare en skyldighet att stå till förfogande för att lämna vittnesmål vid rättsliga processer, vilket kan innebära yppande av personuppgifter. Ett rättsligt förfarande kan innebära att myndighet/domstol förelägger företaget att överlämna information som kan innefatta personuppgifter.

Överföring av personuppgifter i uppdragsverksamheten

De system som företaget använder för uppdragsverksamheten innebär att personuppgifter behandlas i Sverige och inom EU/EES.

Det förekommer härutöver att KPMG AB för över personuppgifter till tredje land om så fordras för att kunna lämna offert eller fullgöra uppdrag avseende sådana uppdragsgivare som har verksamhet i tredje land. Sådana överföringar sker normalt till andra medlemsfirmor inom KPMG-nätverket och omfattas därmed av avtalet om tystnadsplikt och överföring av personuppgifter mellan medlemsfirmorna.

Överföring av personuppgifter vid vissa kontroller

Det har ovan framgått att företaget behandlar personuppgifter vid vissa kontroller, bland annat avseende identiteter och intressekonflikter. Om och i den mån dessa kontroller berör företag eller personer inom eller utanför EU/EES kan sådana kontroller innebära att personuppgifter överförs inom och utom EU/EES. Kontroller inom och utom EU/EES genomförs mellan medlemmar i nätverket KPMG International och omfattas därmed av avtalet om tystnadsplikt och överföring av personuppgifter mellan medlemsfirmorna.

Anlitande av personuppgiftsbiträden

När KPMG AB fullgör uppdrag som personuppgiftsbiträde vid hantering av personuppgifter i uppdrag förekommer det att KPMG AB anlitar underbiträden för behandling av personuppgifter. Vilka dessa underbiträden är framgår av det avtal som upprättas med uppdragsgivaren/den personuppgiftsansvarige (personuppgiftsbiträdesavtal). Underbiträdena har i avtal med KPMG AB åtagit sig att underrätta KPMG AB om eventuellt anlitade underbiträden och utbyte av sådana underbiträden. Information om vilka underbiträden som anlitas för ett specifikt uppdrag lämnas på förfrågan.

 

4 De registrerades rättigheter

4.1 Rätten till information

Den registrerade har enligt regelverket om behandling av personuppgifter rätt att få information när hans eller hennes personuppgifter behandlas. Information om behandlingen ska lämnas både när uppgifter samlas in, eller kort tid därefter när uppgifterna inte samlas in från den registrerade, och när den registrerade begär det. Härtill finns vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande.

Information ska bland annat lämnas om kontaktuppgift till den personansvarige, den rättsliga grunden för och ändamålet med behandlingen.

Detta dokument innefattar bland annat sådan information som KPMG AB har att lämna till de personer vars personuppgifter behandlas i verksamheten.

En begäran om tillgång till information anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om tillgång till information kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.2 Rätt till rättelse

Regelverket om behandling av personuppgifter innebär att den registrerade har rätt att vända sig till företag som behandlar personuppgifter och be om rättelse av felaktiga personuppgifter samt att komplettera med sådana personuppgifter som saknas och som är relevanta för ändamålet med behandlingen.

En begäran om rättelse anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om rättelse kommer att hanteras med utgångspunkt i regelverket om behand­ling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.3 Rätt till radering

En registrerad har enligt regelverket om behandling av personuppgifter rätt att vända sig till företag och be att uppgifterna som avser honom eller henne raderas.

En begäran om radering anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om radering kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.4 Rätt till begränsning av behandling

De personer vars personuppgifter behandlas har i vissa fall rätt att kräva att behandling begränsas. Med begränsning avses att personuppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

En begäran om begränsning av behandling av personuppgifter anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om begränsning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.5 Rätt att återkalla samtycke

Personer vars personuppgifter som behandlas med samtycke som laglig grund har rätt att återkalla samtycke.

Ett återkallande av samtycke anmäls till DPreporting@kpmg.se.

 

4.6 Dataportabilitet

Den som har lämnat sin personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot sådana uppgifter har en skyldighet underlätta sådan överflyttning.

En begäran om att få ut personuppgifter för att använda dem på annat håll anmäls till DPreporting@kpmg.se.

En begäran om dataportabilitet kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.7 Rätt att göra invändningar

En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter. Denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering.

En framställan om invändning mot behandling av personuppgifter skickas till DPreporting@kpmg.se.

En framställan om invändning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

 

4.8 Klagomål

Klagomål avseende KPMG:s behandling av personuppgifter skickas till DPreporting@kpmg.se.

Inkomna klagomål kommer att utredas i enlighet med företagets rutin för hantering av klagomål.

Den vars personuppgifter behandlas har därtill rätt att anmäla klagomål till Datainspektionen. Vi hänvisar till vidare information om detta på Datainspektionens hemsida.

 

Bilaga 1

Grundläggande principer för personuppgiftsbehandling hos KPMG

Laglighet, korrekthet och öppenhet

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur hans eller hennes uppgifter behandlas och varför.

Förutsättningar för en laglig och korrekt behandling av personuppgifter är att KPMG AB:s medarbetare har kunskap om vilka krav som gäller, stöd genom vägledande dokumentation och tillgång till medarbetare med kunskap avseende regleringen av personuppgiftsbehandling för besvarande av frågor.

KPMG:s vägledningar innefattar rekommendationer till medarbetarna avseende laglighet och korrekthet vid olika slags behandling av personuppgifter, bland annat i uppdragsverksamheten samt vid användning av e-post.

Principen om öppenhet innebär att de registrerade har tillgång till information om hur och varför deras personuppgifter behandlas. KPMG AB:s medarbetare ska också via företagets intranät ha tillgång till information om hur företaget behandlar personuppgifter.

 

Ändamålsbegränsning

Principen om ändamålsbegränsning innebär att personuppgifter endast får behandlas för tydligt angivna ändamål och att de inte i ett senare skede får behandlas för något annat oförenligt ändamål.

Utgångspunkten för KPMG:s efterlevnad av ändamålsbegräsningar är att medarbetarna vid behandling av personuppgifter har kunskap om ändamålen för behandling av personuppgifter och förbudet mot att behandla personuppgifter för oförenliga ändamål samt att dessa ändamål dokumenteras. Härigenom ges medarbetarna möjlighet att efterleva samt verka för att principen om ändamålsbegränsning efterlevs vid behandlingen av personuppgifter.

 

Uppgiftsminimering

Principen om uppgiftsminimering innebär att fler eller känsligare personuppgifter än vad som behövs för att uppfylla ändamålet inte får behandlas.

Utgångspunkten för KPMG AB:s efterlevnad avseende uppgiftsminimering är att medarbetarna har kunskap om principen om uppgiftsminimering. Härigenom ges medarbetarna möjlighet att begränsa KPMG:s användning av personuppgifter för att inte avse annat än vad som behövs för att uppfylla ändamålet med behandlingen av personuppgifterna.

Härtill innefattar KPMG AB:s vägledningar rekommendationer till medarbetarna avseende minimering av personuppgifter, till exempel vid användande av e-post och vid bevarande av uppdragsdokumentation.

 

Korrekthet

Principen om korrekthet innebär att de personuppgifter som företaget behandlar ska vara korrekta och om nödvändigt uppdaterade.

Utgångspunkten för KPMG:s efterlevnad av principen om korrekthet är att medarbetarna har kunskap om principen om kravet på korrekthet och möjlighet att korrigera eventuella felaktigheter eller verka för att eventuella felaktigheter korrigeras genom företagets rutiner.

Det framgår av KPMG AB:s vägledningar och rutiner att medarbetare som upptäcker felaktigheter i personuppuppgifter ska rätta dessa eller verka för att företaget ges möjlighet att rätta felaktigheterna. KPMG har en rutin för medarbetare att anmäla eventuella felaktigheter i de personuppgifter som KPMG behandlar.

Härigenom ges medarbetarna kunskap om att eventuellt felaktiga personuppgifter ska korrigeras och tillgång till en rutin för att verka för KPMG:s korrigering av eventuellt felaktiga personuppgifter.

 

Lagringsminimering

Principen om lagringsminimering innebär att personuppgifter inte får sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen.

KPMG:s efterlevnad av principen om lagringsminimering sker genom fastställande av interna regler för lagring, vilka bland annat innefattar tidsfrister för radering på olika områden.

 

Integritet och konfidentialitet

Principen om integritet och konfidentialitet innebär att personuppgifterna ska skyddas med lämpliga tekniska och organisatoriska åtgärder så att de inte blir åtkomliga för obehöriga, förstörs eller oavsiktligt raderas.

KPMG:s efterlevnad av principen om integritet och konfidentialitet sker genom fastställande av interna regler för informationssäkerhet och reglering av tystnadsplikt med samtliga anställda och underkonsulter.

 

Ansvarsskyldighet

Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att principerna för personuppgiftsbehandling efterlevs.

KPMG visar att de grundläggande principerna om personuppgiftsbehandling genom att bland annat:

  • internt och externt informera om företagets regler och rutiner för hantering av personuppgifter.
  • fastställa och uppdatera strategi för dataskydd (riskpolicy).
  • dokumentera rutiner för dataskydd.
  • genomföra konsekvensbedömningar vid behov.
  • utse dataskyddsombud.

Inbyggt dataskydd och dataskydd som standard

Härtill gäller att företagets vägledningar och rutiner baseras på ”inbyggt dataskydd” samt ”dataskydd som standard”.

”Inbyggt dataskydd” innebär att:

  • företaget före och vid behandling av personuppgifter vidtar lämpliga åtgärder som främjar uppfyllandet av dataskyddsprinciperna och integrerar nödvändiga säkerhetsåtgärder och
  • företaget vid behandling av personuppgifter använder tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen, kostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna med personuppgiftsbehandlingen.

”Dataskydd som standard” innebär att:

  • företaget verkar för att medarbetarna ska hantera personuppgifter på ett integritetssäkert sätt och
  • företaget vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast uppgifter som är nödvändiga för ändamålet behandlas med beaktande av mängden uppgifter, behandlingens omfattning, lagringstid och tillgänglighet.