ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge har en personvernansvarlig (Privacy Liaison). Denne rollen har ansvar for intern oppfølging og etterlevelse av personvernlovgivningen i virksomheten. Privacy Liaison nÃ¥s gjennom e-postadressen: data-privacy-reporting@kpmg.no.
Generelt om personvern i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø
Oppdatert Mai 2025
1. Generelt om behandling av personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge. Referanser til "ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø", "oss" eller "vi" i denne erklæringen inkluderer alle datterselskap og avdelinger. ¹ó´Ç°ù³¾Ã¥±ôet med personvernerklæringen er Ã¥ beskrive ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norges behandling av personopplysninger pÃ¥ en Ã¥pen og transparent mÃ¥te. Det skal være tydelig hvordan og hvorfor personopplysninger behandles i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs virksomhet og hvilke rettigheter de registrerte har overfor selskapet.
Ved rekruttering gis informasjon om behandling av personopplysninger i stillingsannonsen.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø legger stor vekt pÃ¥ Ã¥ sikre trygg og konfidensiell behandling av personopplysninger â€� bÃ¥de nÃ¥r det gjelder kunder og ansatte. Behandlingen skal skje i trÃ¥d med gjeldene regelverk.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge tilbyr tjenester innen revisjon, rÃ¥dgivning, regnskap, skatt, avgift og forretningsjus.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer oppdrag for selskaper/organisasjoner, myndigheter og privatpersoner. Blant kundene finner man flere av Norges største selskaper med bÃ¥de nasjonal og internasjonal virksomhet. I tillegg har ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø en rekke kunder med sterk lokal tilknytning over hele landet, bÃ¥de børsnoterte og unoterte selskaper innen mange ulike bransjer.
I revisjonsvirksomheten har ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge et særlig samfunnsansvar. ¹ó´Ç°ù³¾Ã¥±ôet med den lovbestemte revisjonen er Ã¥ kvalitetssikre og styrke tilliten i samfunnet til virksomheters finansielle økonomiske rapportering. Som revisjonsselskap er ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge underlagt omfattende regulatoriske krav og har flere lovbestemte forpliktelser.
Dette innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge behandler personopplysninger i flere ulike sammenhenger. For Ã¥ kunne levere tjenestene sine mÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø hÃ¥ndtere personopplysninger bÃ¥de i forbindelse med oppdrag og engasjementer, samt gjennom samarbeid med andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-kontorer i Norge og internasjonalt. I tillegg behandles personopplysninger i forbindelse med markedsføringsaktiviteter, samt opplysninger knyttet til konsulenter, ansatte og tidligere ansatte.
Ytterligere informasjon om ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norges virksomhet finnes blant annet i selskapets Ã¥penhetsrapport. Denne er tilgjengelige pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs nettside.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge er medlemsfirma av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International Limited ("ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International"), ett av de ledende, globale nettverkene av revisjons- og rÃ¥dgivningsfirmaer med virksomhet i et stort antall land. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International driver ingen virksomhet ovenfor kunder, men er en paraplyorganisasjon for medlemsfirmaene i nettverket. Medlemsbedriftene er selvstendige og uavhengige selskap som arbeider lokalt over hele verden. Medlemsfirmaene har tilgang til felles ressurser, metoder og det internasjonale nettverkets samlede kunnskap og ekspertise
2. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs personvernansvarlig
3. Nærmere om behandling av personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs virksomhet
Avsnittene ovenfor inneholder generelle beskrivelser av virksomheten i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge og hvordan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer selskapets behandling av personopplysninger. I det følgende gis en beskrivelse av hvordan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer personopplysninger i sentrale deler av sin virksomhet.
Innenfor rammen av virksomheten utfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge oppdrag i rollen som bÃ¥de behandlingsansvarlig og/eller som databehandler. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge er behandlingsansvarlig for behandling av personopplysninger der selskapet selv bestemmer formÃ¥let med behandlingen.
Innenfor rammen av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs oppdragsvirksomhet behandler ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø personopplysninger med det formÃ¥l Ã¥ oppfylle forpliktelser som følger av inngÃ¥tte avtaler med kunder. Det rettslige grunnlagene for behandlingen i engasjementsvirksomheten er som regel at:
- behandlingen er nødvendig for å overholde en rettslig forpliktelse;
- behandlingen er nødvendig for å oppfylle en avtale med den registrerte;
- behandlingen er tillatt etter en interesseavveining der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs (eller andres) legitime interesser avveies mot den registrertes rettigheter.
Interesseavveininger i oppdragsvirksomheten baseres pÃ¥ en avveining mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs interesse i Ã¥ kunne drive virksomhet og følge de forpliktelser som følger av avtalen med kundene, samt kundenes interesse av at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne utføre oppdraget i forhold til de registrertes eventuelle motstÃ¥ende interesse for beskyttelse for sine personopplysninger. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs oppdragsgivere har ofte en interesse av Ã¥ kunne utnytte eksperthjelp i forbindelse med behov oppdragsgiver har, for eksempel Ã¥ oppfylle sine rettslige forpliktelser eller avtale.
Personopplysninger som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behøver for Ã¥ kunne utføre oppdrag samles som utgangspunktet inn fra kunden selv, men kan ogsÃ¥ samles inn fra andre parter eller myndigheter, for eksempel Brønnøysundregistrene eller firmadatabaser.
Personopplysninger som samles inn for bruk i engasjementer kan være kontaktopplysninger, informasjon om ledere og annen informasjon om ansettelsesforhold, kunde- eller leverandørforhold. Personopplysninger kan, om nødvendig, utleveres i henhold til instruks fra kunden eller dersom det følger av engasjementet, for eksempel når engasjementet innebærer å utlevere visse personopplysninger til myndigheter.
De som behandler personopplysninger i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs engasjementsvirksomhet er ansatte og konsulenter i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø og, i enkelte tilfeller, tredjepartsleverandører som deltar i engasjementet.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø benytter ogsÃ¥ systemstøtte for Ã¥ gjennomføre oppdrag, noe som innebærer at tjenesteleverandørene som tilbyr slik systemstøtte (for eksempel skytjnesteleverandører) behandler personopplysninger.
Revisjonsvirksomheten i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har som formÃ¥l Ã¥ utføre og rapportere revisjonsoppdrag. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø fokuserer særlig pÃ¥ lovbestemt revisjon og tilleggsoppdrag som følger av lovbestemt revisjon, for eksempel Ã¥ utføre gransking og avgi uttalelser i forbindelse med emisjon.
Behandling av personopplysninger ved revisjonsvirksomheten skjer for å gjennomføre og rapportere revisjon i samsvar med de lover og standarder som gjelder for oppdragene, samt i samsvar med god revisjons- og revisorskikk. Dette innebærer behandling av personopplysninger i planleggingsfasen, under selve revisjonen og ved rapportering av resultatene.
Eksempler pÃ¥ personopplysninger som behandles er kontaktinformasjon, opplysninger om styremøter og ledere, samt informasjon som er nødvendig for Ã¥ vurdere selskapets økonomi og forvaltning. Dette kan inkludere personopplysninger om kundene til klienten vÃ¥r, leverandørene deres og de ansatte. Personopplysninger behandles i de systemene som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø bruker for Ã¥ utføre og dokumentere revisjonsoppdrag.
Det rettslige grunnlaget for behandlingen er at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (utførelse av lovpålagt revisjon eller lovpålagt tilleggstjeneste i henhold til gjeldende selskapslovgivning eller revisorloven). Det rettslige grunnlaget kan også være å utføre en oppgave av allmenn interesse, der revisorens gjennomgang og rapportering har en viktig funksjon i nasjonal økonomi.
Utover lovpÃ¥lagt revisjon utfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge og ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs revisorer andre attestasjons- og revisjonsoppdrag pÃ¥ vegne av kunder. For Ã¥ kunne utføre oppdraget vil det ofte være nødvendig Ã¥ behandle personopplysninger.
Det rettslige grunnlaget for behandlingen av personopplysninger er lovkrav og/eller ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime interesse i Ã¥ utføre engasjementer i henhold til avtaler og gjeldende standarder, samt kundens og, der det er aktuelt, tredjeparts interesse i at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal gjennomføre engasjementet.
Regnskapsvirksomheten har til hensikt Ã¥ bistÃ¥ oppdragsgivere med bokføring, finansiell rapportering, lønnsadministrasjon og regnskapsrÃ¥dgivning. Oppdragsgiverne gir ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø dokumentasjon som kan inneholde personopplysninger for at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne oppfylle sine forpliktelser etter avtalen med klienten som for eksempel dokumentasjon for lønnsutbetalinger, annen godtgjørelse og ytelser for ansatte samt dokumentasjon for klientens fakturering og betaling til leverandører.
¹ó´Ç°ù³¾Ã¥±ôet med behandling av personopplysninger i regnskapsvirksomheten kommer frem av avtalen med oppdragsgiveren. I utgangspunktet er formÃ¥let ofte Ã¥ bistÃ¥ oppdragsgiverne med bokføring, finansiell rapportering og lønnsadministrasjon.
I tilfeller der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig for behandlingen av personopplysninger knyttet til regnskapsengasjementet, er det rettslige grunnlaget for behandlingen lovkrav og/eller at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime interesse er Ã¥ kunne drive sin regnskapsvirksomhet og oppfylle engasjementene i henhold til avtalene med klienten, samt klientens interesse i at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal kunne hÃ¥ndtere et klientbehov (for eksempel Ã¥ vurdere kvalifiserte regnskapsspørsmÃ¥l).
Rådgivningsvirksomheten har som formål å gi råd til selskap i ulike sammenhenger. Gjennomføring av oppdraget kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel ved gjennomføring av internrevisjon eller intern økonomisk rapportering.
Personopplysninger behandles i de systemverktøyene som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø bruker for Ã¥ gjennomføre og dokumentere oppdragene. ¹ó´Ç°ù³¾Ã¥±ôet med behandlingen av personopplysninger er Ã¥ oppfylle de forpliktelsene som følger av oppdragsavtalen.
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig for personopplysninger innenfor et rÃ¥dgivningsoppdrag, baserer vi behandlingen pÃ¥ en interesseavveining. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime interesse i Ã¥ levere tjenesten i trÃ¥d med avtalen, sammen med oppdragsgivers behov for Ã¥ fÃ¥ oppdraget utført, veies opp mot de registrertes rett til vern av sine personopplysninger.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs rÃ¥dgivningsvirksomhet gir rÃ¥dgivning innenfor flere omrÃ¥der, blant annet knyttet til forretningsjuridiske problemstillinger, lovreguleringer, kontraktsrett, arbeidsrett, EU/EØS-rett, offentlige anskaffelser, skatt og avgift.
Utførelsen av et oppdrag kan kreve behandling av personopplysninger i varierende omfang, for eksempel ved skatterettslig bistand til oppdragsgivers ansatte eller annen trygde- og arbeidsrettslig rådgivning. Opplysningene behandles for å oppfylle forpliktelsene i oppdragsavtalen.
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er behandlingsansvarlig i slike oppdrag, skjer behandlingen pÃ¥ grunnlag av en interesseavveining: ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime interesse i Ã¥ levere tjenesten i trÃ¥d med avtalen â€� sammen med oppdragsgivers behov for bistand â€� veies opp mot de registrertes rett til vern av sine personopplysninger.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥, i trÃ¥d med hvitvaskingsregelverket, gjennomføre identitetskontroller, vurdere eventuelle interessekonflikter mellom oppdragsgivere og sikre upartiskhet og uavhengighet overfor revisjonsklienter. Dokumentasjon innhentes fra potensielle og eksisterende oppdragsgivere samt andre kilder, for eksempel eksterne databaser. Slike kontroller innebærer behandling av personopplysninger om blant annet oppdragsgivernes representanter og deres bakgrunn, og utføres ved hjelp av dedikerte systemer og verktøy. ¹ó´Ç°ù³¾Ã¥±ôet er Ã¥ sikre at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø etterlever gjeldende regelverk og unngÃ¥r interessekonflikter mellom oppdragsgivere. Se nærmere omtale i avsnitt 3.4.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø lagrer oppdragsdokumentasjon i trÃ¥d med bÃ¥de eksterne krav og interne prosedyrer. Dokumentasjonen er underlagt taushetsplikt og beskyttes av strenge rutiner for informasjonssikkerhet. HovedformÃ¥let med Ã¥ lagre personopplysninger i denne dokumentasjonen er Ã¥ oppfylle
lovpÃ¥lagte plikter â€� for eksempel regler om oppbevaring av regnskapsmateriale, revisjonsfiler og kundekontroll etter hvitvaskingsloven. Denne lagringen har derfor hjemmel i en rettslig forpliktelse. I enkelte tilfeller lagrer ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø ogsÃ¥ personopplysninger fordi det er nødvendig for vÃ¥re berettigede interesser, slik som Ã¥ kunne svare pÃ¥ senere kundespørsmÃ¥l om et oppdrag eller ivareta selskapets rettigheter overfor myndigheter, motparter eller forsikringsgivere. Som hovedregel oppbevares oppdragsdokumentasjonen i ti Ã¥r etter at oppdraget er avsluttet, før den slettes.
¹ó´Ç°ù³¾Ã¥±ô
For Ã¥ nÃ¥ ut med vÃ¥re tjenester gjennomfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø markedsaktiviteter som skal profilere ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, vÃ¥re medarbeidere og tjenestespekter, samt etablere, styrke og dokumentere kundeforhold og forretningsmuligheter. Eksempler pÃ¥ slike markedsaktiviteter er nyhetsbrev og invitasjoner til seminarer eller kurs.
Kategorier av personopplysninger
De kategorier av personopplysninger som behandles for disse formÃ¥lene er først og fremst informasjon om ledere, slik som kontaktinformasjon, informasjon om stilling, arbeidsgiver, bransje, yrkesrolle, tilknytning til forretningsmuligheter, interesseomrÃ¥der (med hensyn til hvilke omrÃ¥der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø tilbyr tjenester), tidligere stillinger og arbeidsgivere, at personen har deltatt i en markedsaktivitet tidligere eller har mottatt et tilbud og, der det er aktuelt, informasjon om at personen tidligere har vært ansatt i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø.
Behandlingsgrunnlag
Behandlingen skjer enten pÃ¥ grunnlag av samtykke eller en interesseavveining. I sistnevnte tilfelle veier vi ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime behov for Ã¥ markedsføre seg og informere markedet om vÃ¥re tjenester opp mot mottakerens interesse i Ã¥ motta slik informasjon. Etter en individuell vurdering av mottakerens yrkesrolle og arbeidsgiver antar vi at vedkommende har en profesjonell interesse i Ã¥ motta nyhetsbrev, invitasjoner og liknende.
For opplysninger som lagres i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs forretningskontaktregister er grunnlaget vÃ¥r legitime interesse i Ã¥ dokumentere forretningskontakter og tilby dem relevant markedsføring, invitasjoner og undersøkelser, samt gjøre dataene tilgjengelige for ansatte som arbeider med markedsføring og kundeforvaltning.
Opprinnelse og mottakere
Personopplysningene samles inn direkte fra den registrerte, fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs klienter eller via vÃ¥re ansatte. I enkelte tilfeller samles dataen inn fra tredjeparter, eksempelvis fra en alliansepartner av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø eller fra offentlig tilgjengelige kilder.
Personopplysninger behandles i vÃ¥re systemer, og ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø benytter eksterne leverandører for lagring av informasjon og for e-postsystemer. Opplysningene kan deles med samarbeidspartnere som bistÃ¥r med markedsaktiviteter, eller til andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma for felles forretningsformÃ¥l.
Oppbevaringsperiode
Personopplysninger lagres ikke lenger enn nødvendig. Informasjon som behandles pÃ¥ bakgrunn av at den registrerte har gitt uttrykk for interesse av Ã¥ bli involvert i markedsaktiviteter oppbevares frem personen melder at vedkommende ikke lenger er interessert i Ã¥ motta nyhetsbrev eller invitasjoner fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø. Kontaktinformasjon til forretningsforbindelser til eksisterende og potensielle kunder oppbevares normalt sÃ¥ lenge selskapet vurderer at personens stilling eller yrke kan antas Ã¥ medføre interesse for selskapets tjenester.
For Ã¥ kunne foreta mÃ¥lrettede utsendelser av nyhetsbrev og invitasjoner, benytter vi profilering basert pÃ¥ informasjon som bransjesegment, yrkesrolle, stilling, arbeidsgiver og tidligere interaksjon med ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø (eksempelvis seminarpÃ¥melding).
¹ó´Ç°ù³¾Ã¥±ôet med slik profilering er Ã¥ sikre at kommunikasjonen som sendes ut er relevant, interessant og nyttig for mottaker.
NÃ¥r klienter, leverandører, jobbsøkere eller andre besøker ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs lokaler, registrerer vi vanligvis navn, selskap/organisasjon, hvem du skal besøke, samt dato og tid for besøket. ¹ó´Ç°ù³¾Ã¥±ôet med denne registreringen er Ã¥ ivareta sikkerheten, forebygge uautorisert adgang og beskytte ansatte, besøkende, eiendeler og sensitiv informasjon. Opplysningene brukes ogsÃ¥ ved eventuelle krisesituasjoner, som brann eller ulykker.
Opplysninger om besøk oppbevares i 30 dager, med mindre spesielle hendelser (f.eks. brann eller annen sikkerhetshendelse) gjør det nødvendig med lengre oppbevaring. Besøkende kan også samtykke til at opplysningen oppbevares lenger.
¹ó´Ç°ù³¾Ã¥±ô:
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger i e-post, samarbeidsplattformer og ulike skytjenester som en integrert del av virksomheten. ¹ó´Ç°ù³¾Ã¥±ôet er Ã¥ lagre, kommunisere, overføre og dele informasjon som er nødvendig for Ã¥ gjennomføre- og administrere vÃ¥re oppdrag samt øvrig drift.
Behandlingsgrunnlag:
Behandlingen skjer pÃ¥ grunnlag av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs berettigede interesse i Ã¥ kunne lagre, kommunisere og overføre informasjon pÃ¥ en sikker og effektiv mÃ¥te â€� bÃ¥de internt og eksternt mot kunder, leverandører og andre samarbeidspartnere. OgsÃ¥ disse mottakerne har en tilsvarende legitim interesse i at informasjonen hÃ¥ndteres raskt og sikkert.
Kategorier av personopplysninger:
Typisk behandles kontaktinformasjon og andre personopplysninger som fremkommer i e-post eller lagres i plattformene som ledd i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs forretningsaktiviteter. Hvilke kategorier som faktisk behandles avhenger av det underliggende formÃ¥let â€� se de spesifikke beskrivelsene for markedsaktiviteter, oppdragsgjennomføring, osv.
Kilder og mottakere:
Opplysningene samles inn fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ansatte, kunder, leverandører eller andre tredjeparter som potensielle kunder eller forretningspartnere. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø bruker eksterne tjenesteleverandører til e-post, samarbeids- og skytjenester. Data deles etter behov med ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ansatte, kunders ansatte og andre parter vi kommuniserer med for de formÃ¥lene som er beskrevet her.
Lagringstid:
Dataene oppbevares så lenge det er nødvendig ut fra formålet med behandlingen. For eksempel, hvis en e-post er viktig for gjennomføring av et oppdrag, vil den oppbevares så lenge oppdragsdokumentasjonen lagres (se nærmere informasjon om oppbevaringstid ovenfor).
I enkelte tilfeller behandler ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø personopplysninger om klienter og, i noen tilfeller, andre tredjeparter (eksempelvis deltakere pÃ¥ kurs arrangert av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø) i materiale som er tatt opp med lyd eller lyd og bilde/video.
Opptak forekommer i følgende sammenhenger
°¿±è±è±ôæ°ù¾±²Ô²µ/°³Ü°ù²õ
Noen kurs og seminarer som holdes av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø blir tatt opp med det formÃ¥l Ã¥ gjenbrukes, sendes til deltakerne og for Ã¥ evaluere og forbedre kvaliteten pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs kurs.
Som hovedregel filmes kun den eller de som holder kurset, seminaret eller foredraget, men det kan også forekomme at deltakere som velger å ha kamera på under digitale samlinger blir filmet. I den grad deltakere stiller spørsmål eller kommer med kommentarer, blir dette tatt opp med lyd og/eller video.
Behandlingsgrunnlaget er samtykke eller berettiget interesse, der ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har en berettiget interesse i Ã¥ kunne gjenbruke undervisningen, distribuere opptaket til deltakerne og evaluere samt forbedre kvaliteten i etterkant.
²Ñ²¹°ù°ì±ð»å²õ´Úø°ù¾±²Ô²µ
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø benytter opptak i kommunikasjons- og markedsføringsøyemed. Slike opptak kan omfatte presentasjoner av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, intervjuer med ansatte, klienter eller lignende. Personer som deltar i markedsføringsopptak blir forespurt om de ønsker Ã¥ medvirke, og behandlingsgrunnlaget er samtykke eller ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs berettigede interesse i Ã¥ markedsføre sine tjenester. Selv om berettiget interesse benyttes, skal den registrerte først spørres om deltakelse; behandlingen kan ikke gjennomføres dersom vedkommende motsetter seg opptaket.
²Ñø³Ù±ð°ù
Noen møter tas opp for Ã¥ dokumentere møtet. Slike opptak kan inneholde personopplysninger knyttet til ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs forretningsvirksomhet, ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs klienter og leverandører samt deres ansatte. Behandlingen anses lovlig pÃ¥ grunnlag av samtykke eller ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs berettigede interesse i Ã¥ dokumentere møtet for Ã¥ effektivisere arbeidet eller for at opptaket skal kunne tjene som bevis, for eksempel pÃ¥ hva som er avtalt eller hvilket muntlig rÃ¥d ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har gitt.
Hvor lenge lagres opplysningene?
Hvor lenge opptakene lagres avhenger av formålet med opptaket. Dersom opptaket inngår som del av leveransen i et oppdrag, lagres det så lenge som oppdragsdokumentasjonen oppbevares (se ovenfor).
¹ó´Ç°ù³¾Ã¥±ô
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har et Alumni-nettverk for tidligere ansatte. ¹ó´Ç°ù³¾Ã¥±ôet med nettverket Ã¥ holde kontakten med tidligere ansatte, og inkluderer blant annet invitasjoner til seminarer og arrangementer.
Kategorier av personopplysninger
Personopplysninger som behandles om medlemmer i Alumni-nettverket omfatter navn og e-postadresse.
Rettslig grunnlag
Behandlingen er tillatt pÃ¥ grunnlag av samtykke. Dersom samtykket trekkes tilbake, vil ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø fjerne personen fra Alumni-registeret og informasjonen vil slettes. Vedkommende vil ikke motta fremtidig informasjon om nettverket.
Opprinnelse og mottakere av personopplysningene
Dataene hentes fra nettverksmedlemmet eller fra ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ansatte eller offentlig tilgjengelige kilder (for eksempel profesjonelle sosiale medier).
Kontaktinformasjon og informasjon knyttet til registrering for arrangementer kan deles med arrangører, og eventuelt hoteller og restauranter som bistÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø med arrangementet.
Hvor lenge oppbevares dataene?
Personopplysningene i Alumniregisteret oppbevares inntil personen gir beskjed til ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø om at vedkommende ikke lenger ønsker Ã¥ være en del av nettverket, eller inntil ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ansatte vurderer at det ikke lenger kan antas at personen har interesse av Ã¥ være med i nettverket, for eksempel fordi vedkommende ikke lenger er i en av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs mÃ¥lgrupper.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har flere lovpÃ¥lagte forpliktelser som følge av at selskapet utfører revisjonsvirksomhet. Dette innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥ utføre interne kontroller som involverer behandling av personopplysninger.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥ etterleve lovpÃ¥lagte forpliktelser knyttet til blant annet identitetskontroll og andre kundekontrolltiltak i henhold til hvitvaskingsreglene, kontroller knyttet til interessekonflikter overfor ulike klienter samt rutiner for uavhengighets- og objektivitetskontroller overfor revisjonsklienter. Videre mÃ¥ selskapet foreta sanksjonskontroller ved aksept av klienter og oppdrag. Som revisjonsselskap gjennomfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø ogsÃ¥ investeringskontroller for nærstÃ¥ende til ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-ansatte, ettersom slike personers investeringer kan pÃ¥virke ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs uavhengighet i forhold til revisjonsklienter.
¹ó´Ç°ù³¾Ã¥±ô og rettslig grunnlag
Kontroller pÃ¥lagt av regelverket om hvitvasking og terrorfinansiering. Behandling av personopplysninger som utføres i forbindelse med kontroller pÃ¥lagt gjennom regelverket om hvitvasking og terrorfinansiering, skjer med det formÃ¥l Ã¥ oppfylle ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs rettslige forpliktelser etter hvitvaskingsloven, herunder formÃ¥let om Ã¥ forebygge hvitvasking og terrorfinansiering.
Kontroller for objektivitet og uavhengighet
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler ogsÃ¥ personopplysninger for Ã¥ gjennomføre objektivitets- og uavhengighetskontroller i samsvar med lovkrav og profesjonsstandarder. ¹ó´Ç°ù³¾Ã¥±ôet er Ã¥ sikre etterlevelse av uavhengighetskrav. Den delen av behandlingen som er strengt nødvendig for Ã¥ oppfylle en rettslig plikt, baserer seg pÃ¥ lovgrunnlag. Øvrig behandling bygger pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs og andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-selskapers berettigede interesse i Ã¥ tilrettelegge for og støtte etterlevelsen av uavhengighetskrav (f.eks. der kontrollene følger av profesjonsetiske regler eller interne retningslinjer).
Kontroller knyttet til interessekonflikter
Personopplysninger behandles ogsÃ¥ i forbindelse med kontroller av interessekonflikter før og under oppdrag. ¹ó´Ç°ù³¾Ã¥±ôet er Ã¥ unngÃ¥ situasjoner der ulike klienter kan ha konflikter i forhold til tjenestene ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø leverer, for eksempel nÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø opptrer som sakkyndig i tvister. Det rettslige grunnlaget er ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs, andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-selskapers og klientens berettigede interesse i Ã¥ unngÃ¥ interessekonflikter.
Sanksjonskontroller
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger for Ã¥ overholde sanksjonslovgivningen, blant annet ved søk i sanksjonslister. Behandlingen baserer seg pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs berettigede interesse i Ã¥ unngÃ¥ brudd pÃ¥ gjeldende sanksjonsregler, samt pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs rettslige plikt til Ã¥ etterleve slik lovgivning.
Investeringskontroller
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø og selskapets ansatte plikter Ã¥ være uavhengige og objektive overfor revisjonsklienter etter nasjonale og internasjonale regler («uavhengighetsreglene»). Reglene forbyr revisorer, deres ansatte og deres nærstÃ¥ende Ã¥ eie aksjer eller ha visse finansielle interesser i revisjonsklienter. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø tilbyr verktøyet KICS â€� ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Independence Compliance System til ansatte og deres nærstÃ¥ende som omfattes av reglene. Investeringer mÃ¥ registreres i KICS for at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, ansatte og nærstÃ¥ende skal kunne overvÃ¥ke eventuelle ulovlige investeringer som kan være i strid med gjeldende uavhengighetsregler.
¹ó´Ç°ù³¾Ã¥±ôet med behandlingen av personopplysninger i KICS er Ã¥ sørge for ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs oppfyllelse av regler knyttet til uavhengighet. For samme formÃ¥l gjennomfører ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø KICS-compliance-kontroller for Ã¥ verifisere at ansatte har registrert korrekte og fullstendige investeringsopplysninger om seg selv og sine nærstÃ¥ende. Det rettslige grunnlaget er ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs og andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-selskapers berettigede interesse i Ã¥ overholde uavhengighetskravene og opprettholde tillit hos klienter og markedet.
Personopplysninger som behandles i KICS:
- Navn
- Opplysninger om investeringer (ingen beløp)
Personopplysninger som behandles i KICS-compliance-kontrollene:
- NærstÃ¥ende sin relasjon til den aktuelle ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-ansatte
- Kontoutdrag fra investerings-/meglerkontoer (hvis aktuelt)
- Andre investeringsopplysninger som ikke fremgår av nevnte kontoutdrag (hvis aktuelt)
Opprinnelse og mottakere av personopplysningeneÌý
Kontrollene beskrevet ovenfor behandler personopplysninger som hentes inn fra potensielle eller eksisterende kunder, interne databaser og direkte fra ansatte. Ved behov kan opplysningene deles med andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-selskap.
Lagringstid
Resultatene av de ovennevnte kontrollene lagres sammen med oppdragsdokumentasjonen i den perioden dokumentasjon skal oppbevares (se over), eller � der det foreligger en lovpålagt plikt � så lenge som oppdragsdokumentasjonen oppbevares. Personopplysninger kan også lagres så lenge det er nødvendig i henhold til hvitvaskingsloven eller annet relevant regelverk. Opplysninger som samles inn i KICS oppbevares i 2 år etter at arbeidsforholdet avsluttes.
¹ó´Ç°ù³¾Ã¥±ô
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger i kontrakter og fakturaer for Ã¥:
- Oppfylle avtaler og sikre at avtalevilkårene overholdes.
- Oppbevare avtaler og fakturaer i henhold til gjeldende regelverk.
- Dokumentere og følge opp kontraktsforhold.
- Gjennomføre fakturering.
Kategorier av personopplysninger
Personopplysninger som behandles i forbindelse med kontrakter og fakturaer, er vanligvis kontaktinformasjon til personer hos kontraktspartene, signaturer, referanser, og i enkelte tilfeller informasjon om arbeidsoppgaver og tidsbruk for bestemte personer.
Rettslig grunnlag og oppbevaringsperiode
Avtaler oppbevares sÃ¥ lenge kontrakten er gyldig, og oppbevares normalt i ti Ã¥r etter at kontraktsforholdet er avsluttet, basert pÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs legitime interesse i Ã¥ kunne forsvare seg mot eventuelle rettslige krav.
Opprinnelse og mottakere av personopplysninger
Opplysningene innhentes fra ansatte hos ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, klienter og leverandører, samt fra andre parter som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø har eller er i ferd med Ã¥ inngÃ¥ kontraktsforhold med.
Mottakere av personopplysningene er konsulenter og databehandlere som hÃ¥ndterer data i økonomisystemene som benyttes av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø.
Hvor lenge oppbevares opplysningene?
Avtaler oppbevares i ti år etter at avtaleforholdet er avsluttet. Fakturaer oppbevares i 10 år etter utstedelse.
4 Overføring av personopplysninger og bruk av databehandlere
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge er et selvstendig selskap som er medlem i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International. Dette innebærer at selskapet hÃ¥ndterer informasjon dels i system som administreres av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge selvstendig, og dels i system som administreres av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International. Selskapet og ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International benytter ogsÃ¥ tredjepartsleverandører for Ã¥ hÃ¥ndtere informasjon. Den informasjon som hÃ¥ndteres av selskapet, ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International og leverandører hÃ¥ndteres konfidensielt og taushetsplikt gjelder for forhold som gjelder vÃ¥re oppdragsgivere, herunder for personopplysninger.
Den informasjon som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø Norge hÃ¥ndterer oppbevares normalt innad i Norge eller, nÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International er engasjert for hÃ¥ndtering, innad i EU/EØS. For oppdragsgivere med virksomhet i tredjeland kan overføres personopplysninger utenfor EU/EØS, slik at oppdraget kan oppfylles.
Innenfor ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket er det opprettet en avtale som regulerer rettigheter og forpliktelser mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-medlemsfirmaene nÃ¥r personopplysninger overføres mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-medlemsfirmaer. Denne avtalen inneholder blant annet regulering av taushetsplikt og EUs standardklausuler om overføring av personopplysninger til tredjeland, der det er nødvendig.
Virksomheten til ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø reguleres av lover som noen ganger innebærer at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø kan ha forpliktelser til Ã¥ overføre personopplysninger til andre. En slik forpliktelse følger blant annet av hvitvaskingsloven, som gir uttrykk for at mistanke om hvitvasking og terrorfinansiering skal anmeldes til myndighetene. Slike anmeldelser vil normalt inneholde enkelte personopplysninger, eksempelvis hvem eller hva mistankene gjelder.
Revisjonsvirksomheten som drives av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø stÃ¥r under tilsyn av blant annet Finanstilsynet. Tilsynsmyndighetene kan be om tilgang til informasjon om selskapets aktiviteter, noe som kan innebære at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø kan mÃ¥tte overføre personopplysninger til myndighetene
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø sine ansatte kan ogsÃ¥ bli bedt om Ã¥ gi informasjon til de som undersøker i forbindelse med tilsyns- eller revisjonsprosesser. Dette kan bety at vi mÃ¥ dele personopplysninger som en del av prosessen.
I tillegg har våre ansatte en rettslig plikt til å stille opp som vitner i rettssaker. Dette kan innebære at vi må dele personopplysninger hvis det er nødvendig. Hvis myndigheter eller domstoler ber om informasjon som kan inneholde personopplysninger som en del av en rettssak, må vi overlevere den.
De system som selskapet benytter for oppdragsvirksomheten innebærer at personopplysninger behandles i Norge og innad i EU/EØS. Det forekommer i tillegg at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø overfører personopplysninger til tredjeland dersom det er nødvendig for Ã¥ kunne gi tilbud eller oppfylle oppdrag som gjelder kunder som har virksomhet i tredjeland. Slik overføring skjer normalt til andre medlemsfirmaer innad i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
Som det er beskrevet ovenfor behandler selskapet personopplysninger ved enkelte kontroller, blant annet vedrørende identitet- og interessekonflikter. Dersom, og i den grad, disse kontrollene pÃ¥virker selskap eller personer innenfor eller utenfor EU/EØS kan slike kontroller innebærer at personopplysninger overføres innenfor og utenfor EU/EØS. Kontroller innenfor og utenfor EU/EØS gjennomføres mellom medlemmene i nettverket ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø er databehandler ved hÃ¥ndtering av personopplysninger i oppdrag, forekommer det at ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø benytter underdatabehandler for behandling av personopplysninger. Underdatabehandlere fÃ¥r bare tilgang til personopplysninger i den grad det er nødvendig for Ã¥ utføre oppgavene de er engasjert til. Hvem som er underdatabehandler stÃ¥r beskrevet i databehandleravtalen med oppdragsgiveren/den behandlingsansvarlige (databehandleravtale). Underdatabehandlerne har i avtale med ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø forpliktet seg til Ã¥ underrette ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø om eventuelle engasjerte underdatabehandlere og utskiftning eller endring av slike underdatabehandlere. Informasjon om hvilke underdatabehandlere som engasjeres for et spesifikt oppdrag utgis pÃ¥ forespørsel.
5. De registrertes rettigheter
Den registrerte har i henhold til regelverket om behandling av personopplysninger rett til å få informasjon når hans eller hennes personopplysninger behandles. Informasjon om behandlingen skal gis både når informasjonen innsamles, eller kort tid deretter når informasjonen ikke innsamles fra den registrerte. Informasjon skal også gis på forespørsel. Det er også tilfeller når særskilt informasjon skal gis til den registrerte, for eksempel når det oppstår et databrudd eller liknende.
Det skal blant annet gis informasjon om kontaktinformasjonen til personvernansvarlige, behandlingsgrunnlaget og formålet med behandlingen.
Dette dokumentet inneholder blant annet slik informasjon som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø skal gi til de personer hvis personopplysninger behandles i virksomheten.
En innsynsbegjæring om informasjon meldes til kontaktpersonen for relevant oppdrag og ellers til: data-privacy-reporting@kpmg.no. En innsynsbegjæring om informasjon vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer
5.2 Rett til retting/korrigering
Regelverket om behandling av personopplysninger innebærer at den registrerte har rett til å henvende seg til selskap som behandler personopplysninger og be om retting/korrigering av feilaktige personopplysninger og komplettere med personopplysninger og som er relevante for formålet med behandlingen. En begjæring om retting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om retting vil bli behandlet med utgangspunkt i gjeldene regelverk og i samsvar med selskapets rutine for å håndtere slike begjæringer.
I henhold til personvernregelverket har den registrerte rett til å be om at informasjon som gjelder vedkommende skal slettes. En begjæring om sletting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om sletting vil bli behandlet med utgangspunkt personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
Den registrerte har i visse tilfeller rett til å kreve at behandlingen begrenses. Med begrensning menes at personopplysningene merkes slik at disse i fremtiden kun får behandles for visse avgrensede formål.
En begjæring om begrensning av behandling meldes til kontaktpersonen for eventuelt oppdrag og ellers til data-privacy-reporting@kpmg.no.
En begjæring om begrensning vil bli behandlet med utgangspunkt i personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
Person med personopplysninger som behandles med samtykke som behandlingsgrunnlag har rett til å tilbakekalle samtykke. Krav om tilbakekalling av samtykke skal meldes til: data-privacy-reporting@kpmg.no.
Personer som har etterlatt sine personopplysninger har i visse tilfeller rett til å få ut og benytte sine personopplysninger andre steder. Den som skal ta imot slik informasjon har en forpliktelse til å legge til rette for slik overføring.
En begjæring om å få ut personopplysninger for å benytte opplysninger på andre steder skal meldes til: data-privacy-reporting@kpmg.no.
En begjæring om dataportabilitet vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
En registrert har i enkelte tilfeller rett til å fremme innsigelser mot den behandlingsansvarliges behandling av dennes personopplysninger. Denne retten gjelder blant annet personopplysninger som behandles etter en interesseavveining og inneholder rett til å motsette seg automatiserte individuelle avgjørelser, herunder profilering. Krav om innsigelse mot behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Krav om innsigelse vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
5.8 Klager Klager knyttet til ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Klager på behandlingen vil bli behandlet i samsvar med selskapets rutine for håndtering av slike klager.
Den som har personopplysninger som behandles av selskapet har i tillegg rett til å klage til Datatilsynet. Vi henviser til informasjon om dette på Datatilsynet.
6. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs ti prinsipper for behandling av personopplysninger (ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø International)
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler persondata som behandlingsansvarlig skal ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø og dets personell følge de ti prinsipper fastslÃ¥tt i ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs internasjonale personvernpolicy:
1. Ã…penhet
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil gi de registrerte informasjon om hvordan vi behandler deres personopplysninger i den utstrekning som er nødvendig for Ã¥ sikre at behandlingen er rettferdig.
2. ¹ó´Ç°ù³¾Ã¥±ôsbegrensning
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil kun behandle personopplysninger for formÃ¥lene (i) angitt i enhver erklæring som er gjort tilgjengelig til de relevante registrerte som er relevante for ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, (ii) som pÃ¥krevd i lov, eller (iii) dersom de registrerte har samtykket.
3. Datakvalitet og forholdsmessighet
Personopplysninger skal være korrekt og holdes oppdatert. Personopplysninger som ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø besitter mÃ¥ være adekvat, relevant og ikke overflødige for formÃ¥lene dersom de blir overført mellom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer og skal kun beholdes sÃ¥ lenge det er nødvendig for formÃ¥lene til den relevante behandlingen.
4. Sikkerhet og konfidensialitet
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø mÃ¥ ta rimelig forholdsregler for Ã¥ sikre personopplysninger mot utilsiktede eller ulovlig ødeleggelse eller tap, endringer, uautorisert utlevering eller tilgang. Slike forholdsregler bør inkludere tekniske, fysiske og organisatoriske sikkerhetstiltak, som for eksempel tiltak for Ã¥ forhindre uautorisert tilgang, som stÃ¥r i forhold til sensitiviteten av dataen og risikonivÃ¥et forbundet med behandlingen av personopplysningene.
Dersom det er nødvendig eller passende mÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vurdere Ã¥ implementere ytterligere tiltak for bestemte typer av persondata som mÃ¥ behandles med ekstra forsiktighet for Ã¥ respektere lokal sedvane, lover og reguleringer. Dette kan inkludere sensitive persondata. Dersom et ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma behandler personopplysninger pÃ¥ vegne av et annet ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma, vil det kun handle under det første firmaet instruksjoner.
5. Tilgang, retting, sletting og innvendinger
De registrerte bør ha tilgang til sine personopplysninger som oppbevares av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø, hvor slike forespørsler er rimelige og tillatt etter lov eller regulering. ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø vil akseptere Ã¥ utbedre, endre, eller slette personopplysninger pÃ¥ forespørsel hvor den er unøyaktig eller blir benyttet i strid med disse prinsippene.
Den registrerte bør ha mulighet for å reise innvendinger til behandlingen av personopplysninger som gjelder vedkommende dersom det er overbevisende legitime grunner til deres spesielle situasjon, i den utstrekning som kreves av relevante lover.
6. Sensitive data
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler sensitive personopplysninger skal det iverksettes ytterligere sikkerhetstiltak som er nødvendig for Ã¥ beskytte sensitive personopplysninger i overensstemmelse med gjeldende lovgivning.
7. Data benyttet for markedsføringsformål
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger for markedsføringsformÃ¥l mÃ¥ ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø ha effektive prosedyrer som tillater at den registrerte pÃ¥ ethvert tidspunkt kan fjerne sine personopplysninger ("opt-out") fra Ã¥ bli benyttet for slike formÃ¥l.
8. Automatisert behandling
Dersom ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø behandler personopplysninger pÃ¥ et rent automatisert grunnlag som har betydelig innvirkning pÃ¥ den registrerte skal ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø gi den registrerte muligheten til Ã¥ diskutere konsekvensene av slik behandling før avgjørelsene tas (med mindre annet er tillatt etter gjeldende lov).
9. Dataminimering
NÃ¥r ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø beholder den registrertes personopplysninger skal dette gjøres i en form som identifiserer eller gjengir den registrerte identifiserbare kun sÃ¥ lenge det tjener formÃ¥let/formÃ¥lene som opplysningene i utgangspunktet var innsamlet eller senere autorisert for, i den utstrekning det er tillatt etter gjeldende lov.
10. Overføring av informasjon
Innenfor nettverket av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer kan personopplysninger overføres ut av det landet personopplysningene opprinnelig ble innsamlet, inkludert land utenfor EØS, for legitime forretningsaktiviteter i samsvar med gjeldende lov. I tillegg, i samsvar med gjeldende lov, kan ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø lagre personopplysninger pÃ¥ egne anlegg som drives av andre ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍøs medlemsfirmaer og/eller tredjeparter pÃ¥ vegne av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø pÃ¥ utsiden av landet dataen opprinnelig ble innsamlet.
Likevel skal persondata ikke overføres til andre land med mindre den som overfører har forsikret seg om at tilstrekkelig beskyttelsesnivÃ¥ er pÃ¥ plass relatert til persondata og som er pÃ¥krevd etter gjeldende lov. For hvert enkelt ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø medlemsfirma, er et tilstrekkelig beskyttelsesnivÃ¥, etablert ved nettverkets Inter-Firm Data Transfer Agreement som hvert ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firma skal overholde.
ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-firmaer vil sørge for at, der personopplysninger overføres til tredjeparter pÃ¥ utsiden av ÀÖÓ㣨Leyu£©ÌåÓý¹ÙÍø-nettverket for behandling, kun foretas sÃ¥ lenge personopplysningene er tilstrekkelig beskyttet.