Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge. FormÃ¥let med personvernerklæringen er Ã¥ beskrive ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norges behandling av personopplysninger pÃ¥ en Ã¥pen og transparent mÃ¥te.
Generelt om personvern i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø
Sist oppdatert september, 2023.
1. Generelt om behandling av personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge
1.1 Innledning
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge. Referanser til "ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø", "oss" eller "vi" i denne erklæringen inkluderer alle datterselskap og avdelinger.
FormÃ¥let med personvernerklæringen er Ã¥ beskrive ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norges behandling av personopplysninger pÃ¥ en Ã¥pen og transparent mÃ¥te. Det skal være tydelig hvordan og hvorfor personopplysninger behandles i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs virksomhet og hvilke rettigheter de registrerte har overfor selskapet.
For et kompetansehus som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er det avgjørende at kunderelatert informasjon, inkludert personopplysninger, behandles pÃ¥ en trygg og konfidensiell mÃ¥te. OgsÃ¥ informasjon om selskapets ansatte behandles i trÃ¥d med gjeldene lovverk.
Ìý
1.2 Virksomheten i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge tilbyr tjenester innen tjenesteomrÃ¥dene revisjon, rÃ¥dgivning, regnskap, skatt, avgift og forretningsjus.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer betydelige oppdrag for selskaper/organisasjoner, myndigheter og privatpersoner. Blant kundene er noen av Norges største selskaper med nasjonal og internasjonal virksomhet. Det er ogsÃ¥ et stort antall selskaper med lokal forankring pÃ¥ enkelte steder i Norge, bÃ¥de børsnoterte og unoterte selskap, med virksomheter i et stort antall bransjer.
I revisjonsvirksomheten har ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge et viktig samfunnsansvar der den lovbestemte revisjonen har som formÃ¥l Ã¥ kvalitetssikre og styrke tilliten i samfunnet til virksomheters finansielle økonomiske rapportering. Ettersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge er et revisjonsselskap er virksomheten regulert i flere henseender og selskapet har en rekke lovbestemte forpliktelser.
Disse forholdene innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge behandler personopplysninger i en rekke ulike sammenhenger. For at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge skal kunne utføre sin virksomhet mÃ¥ personopplysninger hÃ¥ndteres ved gjennomføringen av oppdrag i Norge og internasjonalt, ved kontakter med andre medlemsfirmaer innad i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, men ogsÃ¥ i forbindelse med markedsføringsaktiviteter, rekruttering og personopplysninger for ansatte.
Ytterligere informasjon om ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norges virksomhet finnes blant annet i selskapets Ã¥penhetsrapport. Denne er tilgjengelige pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs nettside.
Ìý
1.3 Nettverket ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge er medlem i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International Cooperative ("ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International"), ett av de ledende, globale nettverk. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International driver ingen virksomhet mot kunde, men det er en paraplyorganisasjon for medlemsfirmaene i nettverket. Medlemsbedriftene arbeider lokalt og selvstendig over hele verden. Medlemsfirmaene har tilgang til felles ressurser, metoder og det internasjonale nettverkets samlede kunnskap og ekspertise. Ytterligere informasjon om nettverket finnes ved Ã¥rsrapporter og Ã¥penhetsrapport tilgjengelig via nettverkets hjemmeside.
2. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs kontroll over behandling av personopplysninger
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge har en personvernansvarlig (Privacy Liaison). Privacy Liaison nÃ¥s gjennom e-postadressen:Ìýdata-privacy-reporting@kpmg.no.
3. Nærmere om behandling av personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs virksomhet
Avsnitt 1 og 2 ovenfor inneholder generelle beskrivelser av virksomheten i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge og hvordan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø hÃ¥ndterer selskapets behandling av personopplysninger. I det følgende gis en beskrivelse av hvordan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø hÃ¥ndterer personopplysninger i sentrale deler av sin virksomhet.
Innenfor rammen av virksomheten utfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge oppdrag i rollen som bÃ¥de behandlingsansvarlig og/eller som databehandler. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig for behandling av personopplysninger der selskapet selv bestemmer formÃ¥let med behandlingen.
3.1 Behandling av personopplysninger i oppdragsvirksomheten
3.1.1 Generelt
Innenfor rammen av oppdragsvirksomheten behandler ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø personopplysninger for formÃ¥let Ã¥ oppfylle forpliktelsene som følger av avtalen med vÃ¥re oppdragsgivere. De lovlige grunnlagene for behandlingen i oppdragsvirksomheten er hovedsakelig at behandlingen er nødvendig for Ã¥ oppfylle en rettslig forpliktelse, avtale eller er tillatt gjennom en interesseavveining (legitim interesse).
Interesseavveininger i oppdragsvirksomheten baseres pÃ¥ en avveining mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs interesse i Ã¥ kunne drive virksomhet og følge de forpliktelser som følger av avtalen med selskapets oppdragsgivere, og videre oppdragsgivernes interesse av at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne utføre oppdraget i forhold til de registrertes eventuelle motstÃ¥ende interesse for beskyttelse for sine personopplysninger. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs oppdragsgivere har ofte en interesse av Ã¥ kunne utnytte eksperthjelp i forbindelse med behov oppdragsgiver har, for eksempel Ã¥ oppfylle sine rettslige forpliktelser eller avtale.
Personopplysninger som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behøver for Ã¥ kunne utføre oppdrag samles som utgangspunktet inn fra oppdragsgiveren, men det forekommer ogsÃ¥ at personopplysninger samles inn fra andre parter eller myndigheter, for eksempel Brønnøysundregistrene eller firmadatabaser.
Personopplysninger som samles inn for å benyttes i oppdrag kan være kontaktinformasjon, informasjon om ledere og andre opplysninger om ansettelse-, kunde- eller leverandørforhold.
Personopplysninger kan ved behov bli utlevert i samsvar med instruksjonene fra oppdragsgiveren, for eksempel nÃ¥r en oppdragsgiver gir ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø oppdrag hvor man pÃ¥legges Ã¥ gi myndigheter visse personopplysninger. De som behandler personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs oppdragsvirksomhet er de ansatte som arbeider i oppdragsvirksomheten.
3.1.2 Revisjonsvirksomheten
Revisjonsvirksomheten har til formÃ¥l Ã¥ utføre og rapportere revisjonsoppdrag. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø fokuserer særlig pÃ¥ lovbestemt revisjon og tilleggsoppdrag som følger av oppdraget som revisor, for eksempel Ã¥ utføre gransking og avgi uttalelser i forbindelse med emisjon.
Behandling av personopplysninger ved revisjonsvirksomheten skjer for å gjennomføre og rapportere revisjon i samsvar med de lover og standarder som gjelder for disse oppdragene, samt i samsvar med god revisjons- og revisorskikk. Dette innebærer at behandling av personopplysninger skjer ved planlegging, gjennomføring og rapportering fra revisjonen.
Eksempler på de personopplysninger som behandles er kontaktinformasjon, opplysninger om styremøter og ledere, samt informasjon som er nødvendig for å vurdere selskapets økonomi og forvaltning. Dette kan inkludere personopplysninger om kundene til klienten vår, leverandørene deres og de ansatte.
Formålet med slik behandling av personopplysninger er å oppfylle de forpliktelsene som følger av oppdraget om å utføre revisjon. Det rettslige behandlingsgrunnlaget for behandlingene er at den er nødvendig for å oppfylle en rettslig forpliktelse. Det rettslige grunnlaget kan dessuten være å oppfylle en oppgave av allmenn interesse.
3.1.3 Regnskapsvirksomheten
Regnskapsvirksomheten har til hensikt Ã¥ bistÃ¥ oppdragsgivere med bokføring, finansiell rapportering, lønnsadministrasjon og regnskapsrÃ¥dgivning. Den finansielle rapporteringen kan referere til utarbeidelsen av Ã¥rsrapporten, men ogsÃ¥ rÃ¥dgi oppdragsgiveren med deres interne økonomiske rapportering. Oppdragsgiverne gir ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø grunnlag som kan inneholde personopplysninger for at selskapet skal kunne oppfylle sine forpliktelser etter avtale som for eksempel Ã¥ bistÃ¥ med bokføring og finansiell rapportering og lønnsadministrasjon.
Opplysningene fra oppdragsgiverne inneholder personopplysninger med hensyn til blant annet underlag for lønnsutbetalinger, godtgjørelser og ytelser til ansatte og underlag for oppdragsgiverens fakturering og betalinger til leverandører.
Formålet med behandling av personopplysninger i regnskapsvirksomheten fremgår av avtalen med oppdragsgiveren og er som utgangspunkt å bistå oppdragsgiverne med bokføring, finansiell rapportering og lønnsadministrasjon.
3.1.4 RÃ¥dgivningsvirksomhet
Rådgivningsvirksomheten har som formål å gi råd til selskap i ulike sammenhenger. Gjennomføring av oppdraget kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel ved gjennomføring av internrevisjon eller intern økonomisk rapportering.
Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.
FormÃ¥let kan ogsÃ¥ være at behandlingen oppfyller et legitimt formÃ¥l. Dette avgjøres gjennom en interesseavveining. Ved rÃ¥dgivning som innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs interesse av Ã¥ drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av Ã¥ fÃ¥ oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveies mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.
3.1.5 Advokatvirksomhet, skatt og avgift
Virksomheten innen skatt og avgift har som formål å gi råd til organisasjoner i ulike sammenhenger, blant annet knyttet til forretningsjuridiske problemstillinger, lovreguleringer, kontraktsrett, arbeidsrett, EU/EØS-rett, offentlige anskaffelser, skatt og avgift.
Gjennomføring av oppdragene kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel i forbindelse med skatterettslig bistand for oppdragsgivers ansatte, og annen trygd- og arbeidsrettslig rådgivning.
Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelser som følger av oppdragsavtalen.
FormÃ¥let kan ogsÃ¥ være at behandlingen oppfyller et legitimt formÃ¥l. Dette avgjøres gjennom en interesseavveining. Ved rÃ¥dgivning som innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig for behandling av personopplysninger innenfor rammen av oppdraget, er behandlingsgrunnlaget for behandlingen som utgangspunkt en interesseavveining der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs interesse av Ã¥ drive virksomhet og oppfylle oppdraget i henhold til avtale og oppdragsgiverens interesse av Ã¥ fÃ¥ oppdraget utført av ulike grunner som varierer avhengig av oppdragstype avveies mot de registrertes interesse vedrørende beskyttelse av sine personopplysninger.
3.1.6 Kontroll av identiteter, interessekonflikter og uavhengighet
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥ i sin virksomhet følge regler om blant annet identitetskontroller gjennom hvitvaskingsregelverket, kontrollere hvorvidt det er interessekonflikter overfor ulike oppdragsgivere og ha rutiner for kontroll av upartiskhet og selvstendighet i forhold til revisjonsklienter. Grunnlaget for kontrollene innhentes fra potensielle oppdragsgivere, oppdragsgivere og fra andre, som for eksempel databaser. Disse kontrollene inneholder behandling av personopplysninger knyttet til for eksempel oppdragsgiverens representanter og deres bakgrunn. Kontrollene utføres med systemstøtte og verktøy for gjennomføring av slike kontroller.
Formålet med slike kontroller er å sikre selskapets overholdelse av gjeldende regler og å unngå interessekonflikter mellom ulike oppdragsgivere. Se mer om disse kontrollene under avsnitt 3.4.
3.1.7 Oppdragsdokumentasjon
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø oppbevarer oppdragsdokumentasjon i samsvar med de regler og rutiner som gjelder for oppdragsdokumentasjon. Disse regler og rutiner innebærer blant annet at oppdragsdokumentasjonen omfattes av taushetsplikt og rutiner for informasjonssikkerhet.
Formålet med oppbevaring av personopplysninger i oppdragsdokumentasjonen er å oppfylle oppbevaringskrav i samsvar med gjeldende rett, for eksempel oppbevaring av regnskapsinformasjon, revisjonsdokumentasjon og informasjon fra kundekontroll i henhold til hvitvaskingsloven.
Oppbevaring av personopplysninger i slik oppdragsdokumentasjon skjer med grunnlag i en rettslig forpliktelse.
FormÃ¥let med Ã¥ oppbevare personopplysninger i oppdragsdokumentasjonen i andre tilfeller er at det er nødvendig for ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs berettigede interesse av Ã¥ kunne besvare spørsmÃ¥l fra kunder om oppdrag i ettertid, samt Ã¥ kunne gjøre bruk av selskapets rettslige interesse i ulike henseender, for eksempel i forbindelse med myndighets- eller forsikringsspørsmÃ¥l. Oppdragsdokumentasjon oppbevares normal 10 Ã¥r for deretter Ã¥ bli slettet.
3.2 Behandling av personopplysninger ved markedsaktiviteter
For at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne nÃ¥ ut til markedet med selskapets tjenester gjennomføres markedsaktiviteter som har til formÃ¥l Ã¥ markedsføre selskapet, ansatte og de tjenester som selskapet yter. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger for slike markedsføringsformÃ¥l, blant annet gjennom invitasjoner til forelesninger, kurs og seminarer, samt utsendelse av nyhetsbrev.
Behandlingsgrunnlaget for slik behandling er enten en interesseavveining eller samtykke. Interesseavveiningene baseres pÃ¥ en avveining mellom selskapets interesse av Ã¥ kunne markedsføre virksomheten og kundens interesse av Ã¥ kunne bli informert om ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs tjenestetilbud og de registrertes interesse for beskyttelse av sine personopplysninger.
Personopplysningene samles inn fra selskapet (for eksempel fra ansatte eller kunderegister) eller fra andre og inneholder hovedsakelig informasjon om nøkkelpersoner. Personopplysninger behandles i de system og verktøy selskapet benytter for å håndtere markedsaktiviteter.
Personopplysninger som samles inn for markedsføringsformÃ¥l oppbevares ikke lengre enn det som er nødvendig for formÃ¥let. Informasjon som behandles etter en interesseavveining behandles til aktuelle personer melder at vedkommende ikke lenger er interessert i Ã¥ motta nyhetsbrev eller invitasjoner fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø. Kontaktinformasjon til forretningsforbindelser til eksisterende og potensielle kunder oppbevares normalt sÃ¥ lenge selskapet vurderer at personens stilling eller yrke kan antas Ã¥ medføre interesse for selskapets tjenester.
3.2.1 MÃ¥lrettet segmentering
For Ã¥ kunne foreta relevante valg angÃ¥ende utsendelse av nyhetsbrev og invitasjoner til vÃ¥re kurs, seminarer og arrangementer, kan segmentering benyttes pÃ¥ den mÃ¥te at valg av utsendelser er basert pÃ¥ dine preferanser, tidligere historikk, jobbtittel/-stilling, arbeidsgiver eller annen tidligere aktivitet (for eksempel pÃ¥melding til seminar). Kommunikasjon fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø sendes utelukkende for Ã¥ tilby relevant informasjon som er av interesse og til fordel for mottakeren.
3.3 Behandling av personopplysninger ved rekruttering og om ansatte
En forutsetning for at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne drive virksomhet er at selskapet kan rekruttere nye ansatte og gi støtte til ansatte og administrere forhold som angÃ¥r disse. Denne virksomheten forutsetter behandling av personopplysninger. Det rettslige behandlingsgrunnlaget for denne behandlingen er en interesseavveining (rekruttering og ansatte), oppfyllelse av avtale (ansatte) og oppfyllelse av rettslige forpliktelser (ansatte). Interesseavveiningene baseres pÃ¥ en avveining mellom selskapets interesse av Ã¥ ansette, opprettholde og utvikle kompetente og aktuelle ansatte i selskapets virksomhet, og disse personenes interesse om beskyttelse av sine personopplysninger.
Når det gjelder behandling av personopplysninger i forbindelse med en rekrutteringsprosess har også de arbeidssøkende en interesse av å kunne søk og gjøre aktiviteter og henvendelser i forbindelser med den aktuelle ansettelsen.
I rekrutteringsvirksomheten innhenter ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø personopplysninger fra personer som søker ansettelse hos selskapet, enten direkte eller via et rekrutteringsselskap. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge innhenter ogsÃ¥ personopplysninger via egne rekrutteringsaktiviteter. De personopplysningene som innhentes kan blant annet omfatte kontaktinformasjon, CV-informasjon, tidligere arbeidshistorikk, arbeidsgivere og ansvarsomrÃ¥der. Selskapet gjennomfører referansesjekk og i visse tilfeller personlighetstester. Personopplysninger om arbeidssøkende innhentes hovedsakelig fra den arbeidssøkende, men kan ogsÃ¥ innhentes fra andre personer eller selskap. Ved anvendelse av rekrutteringsselskap kan slike selskap samle inn opplysninger om arbeidssøkende og sortere ut kandidater som skal presenteres for selskapet.
Personopplysninger om eksisterende ansatte innhentes fra den ansatte selv i forbindelse med innledningen av ansettelsesprosessen. Under ansettelsen innhentes og benyttes kontinuerlig personopplysninger fra leder, andre ansatte og oppdragsgivere, for eksempel før i forbindelse med utviklingssamtaler og ved oppfølging av oppdrag og tilbakemeldinger fra kunder. Ansattes personopplysninger benyttes også i den daglig virksomheten ettersom informasjon håndteres ved arbeidet og ved utføring av oppdrag (for eksempel i e-postkorrespondanse med kunder og med andre ansatte). Personopplysningene behandles i de system selskapet benytter for rekrutteringsaktiviteter, og administrasjon og støtte for eksisterende og tidligere ansatte.
Personopplysninger innhentet i forbindelse med rekruttering oppbevares normalt høyst to år etter at rekrutteringsaktiviteten er avsluttet, hvis personen ikke har blitt ansatt. Visse personopplysninger om rekrutterte ansatte slettes etter at ansettelsesforholdet er avsluttet, mens andre personopplysninger oppbevares i lengre tid (for eksempel for å kunne gi informasjon til NAV etter at ansettelsesforholdet opphørte).
3.4 Behandling av personopplysninger ved visse kontroller
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har flere lovpÃ¥lagte forpliktelser som følge av sin revisjonsvirksomhet. Dette betyr at firmaet mÃ¥ utføre visse interne kontroller som involverer behandling av personopplysninger. Disse internkontrollene blir gjort av firmaets ansatte og er nødvendige i henhold til hvitvaskingsloven. FormÃ¥let med internkontrollene er Ã¥ oppfylle lovbestemte krav.
Firmaet behandler også personopplysninger når de utfører internkontroller av uavhengighet og upartiskhet. Disse kontrollene har som formål å sikre etterlevelse av lovbestemte krav og interesseavveining. Den innsamlede personopplysningen forblir sammen med dokumentasjonen knyttet til oppdraget.
I tillegg behandler ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge personopplysninger nÃ¥r det gjennomføres kontroller av interessekonflikter. Disse kontrollene blir gjennomført før og under oppdrag for Ã¥ unngÃ¥ situasjoner der forskjellige kunder kan ha motstridende interesser, for eksempel nÃ¥r firmaet er involvert i en tvist som sakkyndig. MÃ¥let med disse kontrollene er Ã¥ sikre at firmaet unngÃ¥r situasjoner der kundene har motstridende interesser nÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø utfører tjenester. Dette baserer seg pÃ¥ en interesseavveining.
3.5 Overføring av personopplysninger og bruk av databehandler
3.5.1 Generelt om overføring av personopplysninger
Som det fremgÃ¥r ovenfor er ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø et selvstendig selskap som er medlem i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International. Dette innebærer at selskapet hÃ¥ndterer informasjon dels i system som administreres av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge selvstendig, og dels i system som administreres av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International. Selskapet og ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International benytter ved anledninger leverandører for Ã¥ hÃ¥ndtere informasjon. Den informasjon som hÃ¥ndteres av selskapet, ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International og leverandører hÃ¥ndteres med overholdelse av konfidensialitet og taushetsplikt som gjelder overfor forhold vedrørende vÃ¥re oppdragsgivere, blant annet vedrørende personopplysninger.
Den informasjon som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer oppbevares normalt innad i Norge eller, nÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International er engasjert for hÃ¥ndtering, innad i EU/EØS. For oppdragsgivere med grenseoverskridende virksomhet i tredjeland kan det for oppfyllelse av oppdraget overføres personopplysninger utenfor EU/EØS.
Innenfor ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket er det opprettet en avtale som regulerer rettigheter og forpliktelser mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-medlemsfirmaene nÃ¥r personopplysninger overføres mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-medlemsfirmaer. Denne avtalen inneholder blant annet regulering av taushetsplikt og EUs standardklausuler om overføring av personopplysninger til tredjeland, der det er pÃ¥krevet.
3.5.2 Overføring av personopplysninger som følge av lov
Virksomheten i selskapet reguleres av lover som noen ganger innebærer at selskapet kan ha forpliktelser til å overføre personopplysninger til andre. En slik forpliktelse følger blant annet av hvitvaskingsloven, som gir uttrykk for at mistanke om hvitvasking og terrorfinansiering skal anmeldes til myndighetene. Slike anmeldelser vil normalt inneholde enkelte personopplysninger, eksempelvis hvem eller hva mistankene gjelder.
Revisjonsvirksomheten som drives av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø stÃ¥r under tilsyn av blant annet Finanstilsynet. Tilsynsmyndighetene kan be om tilgang til informasjon om selskapets aktiviteter, noe som kan innebære at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø kan mÃ¥tte overføre personopplysninger til myndighetene
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø sine ansatte kan ogsÃ¥ bli bedt om Ã¥ gi informasjon til de som undersøker i forbindelse med tilsyns- eller revisjonsprosesser. Dette kan bety at vi mÃ¥ dele personopplysninger som en del av prosessen.
I tillegg har våre ansatte en rettslig plikt til å stille opp som vitner i rettssaker. Dette kan innebære at vi må dele personopplysninger hvis det er nødvendig. Hvis myndigheter eller domstoler ber om informasjon som kan inneholde personopplysninger som en del av en rettssak, må vi overlevere den.
3.5.3 Overføring av personopplysninger i oppdragsvirksomheten
De system som selskapet benytter for oppdragsvirksomheten innebærer at personopplysninger behandles i Norge og innad i EU/EØS. Det forekommer i tillegg at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø overfører personopplysninger til tredjeland dersom det er nødvendig for Ã¥ kunne gi tilbud eller oppfylle oppdrag vedrørende kunder som har virksomhet i tredjeland. Slike overføringer skjer normalt til andre medlemsfirmaer innad i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
3.5.4 Overføring av personopplysninger ved enkelte kontroller
Som det fremgÃ¥r ovenfor behandler selskapet personopplysninger ved enkelte kontroller, blant annet vedrørende identitet- og interessekonflikter. Dersom, og i den grad, disse kontrollene pÃ¥virker selskap eller personer innenfor eller utenfor EU/EØS kan slike kontroller innebærer at personopplysninger overføres innenfor og utenfor EU/EØS. Kontroller innenfor og utenfor EU/EØS gjennomføres mellom medlemmene i nettverket ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
3.5.5 Bruk av databehandler
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø oppfyller oppdrag som databehandler ved hÃ¥ndtering av personopplysninger i oppdrag, forekommer det at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø benytter underdatabehandler for behandling av personopplysninger. Hvem som er underdatabehandler fremgÃ¥r av avtalen som opprettes med oppdragsgiveren/den behandlingsansvarlige (databehandleravtale).
Underdatabehandlerne har i avtale med ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø forpliktet seg til Ã¥ underrette ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø om eventuelle engasjerte underdatabehandlere og utskiftning av slike underdatabehandlere. Informasjon om hvilke underdatabehandlere som engasjeres for et spesifikt oppdrag utgis pÃ¥ forespørsel.
4. De registrertes rettigheter
4.1 Retten til informasjon
Den registrerte har i henhold til regelverket om behandling av personopplysninger rett til å få informasjon når hans eller hennes personopplysninger behandles. Informasjon om behandlingen skal gis både når informasjonen innsamles, eller kort tid deretter når informasjonen ikke innsamles fra den registrerte. Informasjon skal også gis på forespørsel. Det er også tilfeller når særskilt informasjon skal gis til den registrerte, for eksempel når det oppstår et databrudd eller liknende.
Det skal blant annet gis informasjon om kontaktinformasjonen til personvernansvarlige, behandlingsgrunnlaget og formålet med behandlingen.
Dette dokumentet inneholder blant annet slik informasjon som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal gi til de personer hvis personopplysninger behandles i virksomheten.
En innsynsbegjæring om informasjon meldes til kontaktpersonen for relevant oppdrag og ellers til:Ìýdata-privacy-reporting@kpmg.no. En innsynsbegjæring om informasjon vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for Ã¥ hÃ¥ndtere slike begjæringer.
4.2 Retten til retting/korrigering
Regelverket om behandling av personopplysninger innebærer at den registrerte har rett til å henvende seg til selskap som behandler personopplysninger og be om retting/korrigering av feilaktige personopplysninger og komplettere med personopplysninger og som er relevante for formålet med behandlingen.
En begjæring om retting meldes til kontaktpersonen for eventuelt oppdrag og ellers til:Ìýdata-privacy-reporting@kpmg.no.
En begjæring om retting vil bli behandlet med utgangspunkt i gjeldene regelverk og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.3 Retten til sletting
I henhold til personvernregelverket har den registrerte rett til å be om at informasjon som gjelder vedkommende skal slettes. Begjæring om sletting kan sendes til: data-privacy-reporting@kpmg.no
En begjæring om sletting meldes til kontaktpersonen for eventuelt oppdrag og ellers til:Ìýdata-privacy-reporting@kpmg.no.
En begjæring om sletting vil bli behandlet med utgangspunkt personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.4 Retten til begrensning av behandling
Den registrerte har i visse tilfeller rett til å kreve at behandlingen begrenses. Med begrensning menes at personopplysningene merkes slik at disse i fremtiden kun får behandles for visse avgrensede formål.
En begjæring om begrensning av behandling meldes til kontaktpersonen for eventuelt oppdrag og ellers tilÌýdata-privacy-reporting@kpmg.no.
4.5 Retten til å tilbakekalle samtykke
Person med personopplysninger som behandles med samtykke som behandlingsgrunnlag har rett til å tilbakekalle samtykke.
Krav om tilbakekalling av samtykke skal meldes til:Ìýdata-privacy-reporting@kpmg.no.
4.6 Dataportabilitet
Personer som har etterlatt sine personopplysninger har i visse tilfeller rett til å få ut og benytte sine personopplysninger andre steder. Den som skal ta imot slik informasjon har en forpliktelse til å legge til rette for slik overføring.
En begjæring om Ã¥ fÃ¥ ut personopplysninger for Ã¥ benytte opplysninger pÃ¥ andre steder skal meldes til:Ìýdata-privacy-reporting@kpmg.no.
En begjæring om dataportabilitet vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.7 Retten til å fremme innsigelser
En registrert har i enkelte tilfeller rett til å fremme innsigelser mot den behandlingsansvarliges behandling av dennes personopplysninger. Denne retten gjelder blant annet personopplysninger som behandles etter en interesseavveining og inneholder rett til å motsette seg automatiserte individuelle avgjørelser, herunder profilering.
Krav om innsigelse mot behandling av personopplysninger skal sendes til:Ìýdata-privacy-reporting@kpmg.no.
Krav om innsigelse vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
4.8 Klager
Klager vedrørende ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs behandling av personopplysninger skal sendes til:Ìýdata-privacy-reporting@kpmg.no.
Klager på behandlingen vil bli behandlet i samsvar med selskapets rutine for håndtering av slike klager.
Den som har personopplysninger som behandles av selskapet har i tillegg rett til Ã¥ klage til Datatilsynet. Vi henviser til informasjon om dette pÃ¥Ìý.
5. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ti prinsipper for behandling av personopplysninger (ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International)
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler persondata som behandlingsansvarlig skal ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø og dets personell følge de ti prinsipper fastslÃ¥tt i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs internasjonale personvernpolicy:
Ã…±è±ð²Ô³ó±ð³Ù
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil gi de registrerte informasjon om hvordan vi behandler deres personopplysninger i den utstrekning som er nødvendig for Ã¥ sikre at behandlingen er rettferdig.
¹ó´Ç°ù³¾Ã¥±ô²õ²ú±ð²µ°ù±ð²Ô²õ²Ô¾±²Ô²µ
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil kun behandle personopplysninger for formÃ¥lene (i) angitt i enhver erklæring som er gjort tilgjengelig til de relevante registrerte som er relevante for ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, (ii) som pÃ¥krevd i lov, eller (iii) dersom de registrerte har samtykket.
Datakvalitet og forholdsmessighet
Personopplysninger skal være korrekt og holdes oppdatert. Personopplysninger som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø besitter mÃ¥ være adekvat, relevant og ikke overflødige for formÃ¥lene dersom de blir overført mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer og skal kun beholdes sÃ¥ lenge det er nødvendig for formÃ¥lene til den relevante behandlingen.
Sikkerhet og konfidensialitet
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥ ta rimelig forholdsregler for Ã¥ sikre personopplysninger mot utilsiktede eller ulovlig ødeleggelse eller tap, endringer, uautorisert utlevering eller tilgang. Slike forholdsregler bør inkludere tekniske, fysiske og organisatoriske sikkerhetstiltak, som for eksempel tiltak for Ã¥ forhindre uautorisert tilgang, som stÃ¥r i forhold til sensitiviteten av dataen og risikonivÃ¥et forbundet med behandlingen av personopplysningene.
Dersom det er nødvendig eller passende mÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vurdere Ã¥ implementere ytterligere tiltak for bestemte typer av persondata som mÃ¥ behandles med ekstra forsiktighet for Ã¥ respektere lokal sedvane, lover og reguleringer. Dette kan inkludere sensitive persondata. Dersom et ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma behandler personopplysninger pÃ¥ vegne av et annet ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma, vil det kun handle under det første firmaet instruksjoner.
Tilgang, retting, sletting og innvendinger
De registrerte bør ha tilgang til sine personopplysninger som oppbevares av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, hvor slike forespørsler er rimelige og tillatt etter lov eller regulering. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil akseptere Ã¥ utbedre, endre, eller slette personopplysninger pÃ¥ forespørsel hvor den er unøyaktig eller blir benyttet i strid med disse prinsippene.
Den registrerte bør ha mulighet for å reise innvendinger til behandlingen av personopplysninger som gjelder vedkommende dersom det er overbevisende legitime grunner til deres spesielle situasjon, i den utstrekning som kreves av relevante lover.
Sensitive data
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler sensitive personopplysninger skal det iverksettes ytterligere sikkerhetstiltak som er nødvendig for Ã¥ beskytte sensitive personopplysninger i overensstemmelse med gjeldende lovgivning.
Data benyttet for markedsføringsformål
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger for markedsføringsformÃ¥l mÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø ha effektive prosedyrer som tillater at den registrerte pÃ¥ ethvert tidspunkt kan fjerne sine personopplysninger ("opt-out") fra Ã¥ bli benyttet for slike formÃ¥l.
Automatisert behandling
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger pÃ¥ et rent automatisert grunnlag som har betydelig innvirkning pÃ¥ den registrerte skal ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø gi den registrerte muligheten til Ã¥ diskutere konsekvensene av slik behandling før avgjørelsene tas (med mindre annet er tillatt etter gjeldende lov).
Dataminimering
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø beholder den registrertes personopplysninger skal dette gjøres i en form som identifiserer eller gjengir den registrerte identifiserbare kun sÃ¥ lenge det tjener formÃ¥let/formÃ¥lene som opplysningene i utgangspunktet var innsamlet eller senere autorisert for, i den utstrekning det er tillatt etter gjeldende lov.
Overføring av informasjon
Innenfor nettverket av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer kan personopplysninger overføres ut av det landet personopplysningene opprinnelig ble innsamlet, inkludert land utenfor EØS, for legitime forretningsaktiviteter i samsvar med gjeldende lov. I tillegg, i samsvar med gjeldende lov, kan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø lagre personopplysninger pÃ¥ egne anlegg som drives av andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer og/eller tredjeparter pÃ¥ vegne av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø pÃ¥ utsiden av landet dataen opprinnelig ble innsamlet.
Likevel skal persondata ikke overføres til andre land med mindre den som overfører har forsikret seg om at tilstrekkelig beskyttelsesnivÃ¥ er pÃ¥ plass relatert til persondata og som er pÃ¥krevd etter gjeldende lov. For hvert enkelt ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø medlemsfirma, er et tilstrekkelig beskyttelsesnivÃ¥, etablert ved nettverkets Inter-Firm Agreement som hvert ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma skal overholde.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firmaer vil sørge for at, der personopplysninger overføres til tredjeparter pÃ¥ utsiden av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket for behandling, kun foretas sÃ¥ lenge personopplysningene er tilstrekkelig beskyttet.