2023-03-23
Denna information riktar sig till PwC:s kunder och beskriver varför och hur vi behandlar personuppgifter i vår verksamhet.
Med “PwC” avses det internationella PwC-nätverket och/eller de svenska PwC-företagen som ingår i nätverket. Varje PwC-företag i nätverket är en fristående juridisk person. För information om vilka företag som ingår i PwC-nätverket, gå in här. För ytterligare information om nätverket och dess verksamhet, se www.pwc.com/structure samt http://www.pwc.com/gx/en/about/office-locations.html.
Med ”personuppgift” avses all information som kan hänföras till en enskild individ. När vi talar om ”behandling” eller ”personuppgiftsbehandling” kan det avse både hantering, insamling, lagring, bearbetning och/eller radering av personuppgifter.
Inom PwC behandlas personuppgifter för en rad olika ändamål. Utgångspunkten i vår verksamhet är att all behandling ska vara transparent och att information ska kunna tillhandahållas till den registrerade om varför, när och hur denna behandling kan komma att ske.
PwC är personuppgiftsansvarig vid behandling av personuppgifter inom ramen för följande aktiviteter.
Vid utförande av lagstadgad eller avtalad granskning kan PwC komma att behandla personuppgifter genom sin granskning av kundinformation. Det kan ske genom granskning av allt från lönefiler till styrelseprotokoll och andra dokument som rör kundens och dess eventuella koncernbolags verksamhet. De personuppgifter som är föremål för behandling kan vara sådana som hänför sig till kundens ägare och medarbetare, men även till andra personer såsom kundens kunder och leverantörer. Vilka personuppgifter som kan komma att behandlas beror på granskningens inriktning och således vilken information som är föremål för granskning.
Följande kategorier av personuppgifter kan emellertid komma att behandlas.
kontaktuppgifter som namn, adress, telefonnummer och e-postadress,
uppgifter om anställning, såsom anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
facklig tillhörighet,
personnummer/samordningsnummer,
uppgifter om ekonomiska förhållanden som bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter och uppgift om registreringsnummer för tjänstebil,
uppgifter om försäkringar och pension, eller
andra kategorier av personuppgifter som behövs till följd av granskningen enligt god revisors- och revisionssed.
Den legala grunden för denna behandling är att den är nödvändig för att PwC och i förekommande fall den personvalde revisorn ska kunna fullgöra sina förpliktelser enligt uppdragsavtal och tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige. Personuppgifterna kommer att behandlas under den tid som behövs för att utföra granskningsuppdraget. Därefter sparas revisorn arbetspapper i elva (11) år från utgången av det år då granskningen avslutades.
Registrering av kontaktuppgifter i PwC:s kundregister och kontroll av kundens företrädare.
Inför och under ett uppdrag kommer PwC att behandla namn och kontaktuppgifter till kundens företrädare i PwC:s kundregister för att kunna administrera uppdraget. Vidare kommer PwC att behandla personuppgifter hänförliga till kundens företrädare för att kunna göra oberoende- och penningtvättskontroller samt övriga risk manangementkontroller.
Den legala grunden för behandlingen av personuppgifterna i kundregistret är att PwC ska kunna fullgöra sina förpliktelser enligt uppdragsavtalet. Den legala grunden för oberoende- och penningtvättskontrollerna är att dessa är nödvändiga för att PwC ska kunna fullgöra sina förpliktelser enligt lag; revisorslagen (2001:883) och lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Den legala grunden för övriga risk managementkontroller är att PwC vid en intresseavvägning har ett berättigat intresse av att få behandla uppgifterna i syftet att minimera riskerna i verksamheten. De uppgifter som kommer att behandlas är namn, personnummer/födelsedata, adress, telefonnummer och e-postadresser till arbetsplatsen och eventuella uppgifter om avdelningstillhörighet och befattning.
Personuppgifterna i kundregistret kommer att sparas för en tid av tolv (12) månader efter det att avtalet har upphört. Personuppgifter hänförliga till oberoende- och penningtvättskontroller kommer däremot att sparas i fem (5) år efter det att uppdragsavtalet upphört. Om det är fråga om en revisionskund kommer personuppgifterna hänförliga till oberoende- och penningtvättskontrollerna att sparas i revisorns arbetspapper i elva (11) år från utgången av det år då granskningen avslutades.
Affärsuppföljning och statistik
Efter det att ett uppdrag har slutförts kommer PwC att behandla namn och kontaktuppgifter till kundens företrädare för affärsuppföljning och framtagande av övergripande statistik. Den legala grunden för denna behandling är att PwC vid en intresseavvägning får anses ha ett berättigat intresse av att få behandla personuppgifter för att kunna utvärdera kundnöjdhet. Behandlingen kommer att ske under avtalsförhållandet och för en tid av tolv (12) månader efter det att avtalsförhållandet upphört. Därefter kommer informationen att raderas. Den framtagna statistiken kommer emellertid att vara utformad på ett sådant sätt att uppgifterna inte kommer att kunna hänföras till de registrerade. Anonymiseringen medför således att uppgifterna efter denna åtgärd inte längre kommer att utgöra personuppgifter. Den anonymiserade information kommer att sparas tillsvidare.
Tillsyn och kvalitetskontroller
PwC står, i egenskap av registrerat revisionsbolag, under tillsyn och är föremål för regelbundna kvalitetskontroller. PwC är mot den bakgrunden skyldig att arkivera sina arbetspapper i uppdragen. Inom ramen för sådan tillsyn, kan personuppgifter som PwC redan har erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, men i syfte att kontrollera kvaliteten i utfört arbete. Den legala grunden för denna behandling är att den är nödvändig för att PwC ska kunna fullgöra sina förpliktelser enligt revisorslagen (2001:883). Uppgifterna kommer att sparas i elva (11) år från utgången av det år då granskningen avslutades.
Fastställa, göra gällande alternativt försvara sig mot rättsliga anspråk
PwC arkiverar inte bara sina arbetspapper för att tillgodose lagenliga krav på tillsyn och kvalitetskontroller, utan även för att kunna fastställa, göra gällande och försvara sig mot rättsliga anspråk. Den legala grunden för arkiveringen är att PwC vid en intresseavvägning har ett berättigat intresse av att få spara arbetspapper för att i ett eventuellt skadeärende eller vid en arvodestvist kunna fastställa, göra gällande eller försvara sig mot rättsliga anspråk. Personuppgifterna kommer att sparas i elva (11) år från utgången av det år då uppdraget avslutades.
Direktmarknadsföring baserad på en intresseavvägning
I syfte att tillhandahålla direktmarknadsföring om PwC:s tjänsteutbud till både befintliga och potentiella kunder kan PwC komma att behandla personuppgifter avseende kundernas företrädare.
Den legala grunden för behandlingen är en intresseavvägning för att tillgodose PwC:s berättigade intresse av att under en begränsad tid och i en begränsad omfattning kunna informera om samt erbjuda olika marknadsaktiviteter till en utvald målgrupp. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Informationen och erbjudandet kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.
I de fall det föreligger ett uppdragsavtal mellan den registrerades arbetsgivare och PwC kommer behandlingen att ske under avtalsförhållandet och under en tid av tolv (12) månader efter det att avtalsförhållandet har upphört. I de fall ett sådant avtalsförhållande saknas kommer personuppgifterna att behandlas under en tid av tre (3) månader. Den registrerade har rätt att när som helst motsätta sig denna behandling.
Direktmarknadsföring baserad på samtycke
För det fall PwC i marknadsföringssyfte vill fortsätta att behandla personuppgifter tillhörande företrädare för potentiella och tidigare kunder (äldre än tolv (12) månader efter det att avtalsförhållandet upphört) efter det att tre (3) månader har passerat krävs den registrerades samtycke.
Om den registrerade har tillhandahållit sådant samtycke utgör samtycket den legala grunden för en sådan behandling. Om den registrerade på frivillig väg har lämnat sina personuppgifter för ett visst ändamål och i samband därmed har informerats om behandlingen anses den registrerade ha samtyckt till behandlingen. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning.
Information och erbjudanden om marknadsaktiviteter kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
Genomförande av marknadsaktivitet
Om den registrerade aktivt anmält sig till en marknadsaktivitet (event, föreläsning, seminarium eller liknande) kommer PwC att behandla namn och kontaktuppgifter i syfte att kunna skicka ut kallelse, deltagarförteckning samt material inför och efter aktiviteten.
För det fall måltider kommer att serveras under aktiviteten kan uppgift om specialkost behöva behandlas. Den legala grunden för behandlingen är att den är nödvändig för att kunna genomföra aktiviteten. Härutöver kan PwC, efter det att aktiviteten genomförts, genom PwC:s sälj- och marknadsavdelning komma att följa upp vilka som deltagit i aktiviteten genom att ta del av deltagarlistor och därigenom kunna rikta marknadsföringsåtgärder mot deltagarna.
Den legala grunden för den sistnämnda behandlingen är en intresseavvägning för att tillgodose PwC:s berättigade intresse av att få rikta erbjudande om PwC:s tjänsteutbud till deltagarna. Deltagarlistan sparas för administration och uppföljning under en period av högst tolv (12) månader. Deltagarlistan kan även i förekommande fall komma att utgöra underlag vid PwC:s redovisning i bokföringssammanhang av eventuell representation.
Medieproduktion för marknadsföring
I syfte att marknadsföra PwC och sprida kunskap om PwC:s verksamhet kan PwC komma att behandla personuppgifter i form av bilder - både stillbilder och rörliga bilder - och ljudupptagningar. Denna behandling görs med stöd av ett uttryckligt och informerat samtycke från den registrerade. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
Webbplatsinteraktion
Vid besök på PwC:s webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, i syfte att optimera både funktion och upplevelse av webbsidan. Informationen består i regel av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker. Däremot sker ingen identifiering av besökaren. Även om någon identifiering inte sker krävs ett uttryckligt och informerat samtycke från webbplatsbesökaren för att PwC ska få använda sig av cookies. Om webbplatsbesökaren har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för behandlingen. Närmare information om vilka cookies som PwC behandlar samt hur länge information från dessa sparas finns att ta del av på följande webbplats: https://www.pwc.se/cookies.
PwC är i regel ett personuppgiftsbiträde vid behandling av personuppgifter inom ramen för ett fristående rådgivnings- (fristående i förhållande till revisionsrådgivning) och konsultuppdrag. Det innebär att all behandling av personuppgifter sker på kundens uttryckliga instruktioner. Det är kunden som är personuppgiftsansvarig i förhållande till de registrerade individerna. Vilka personuppgifter som kan komma att behandlas beror på uppdragets karaktär och inriktning. I dessa uppdrag ska således ett personuppgiftsbiträdesavtal ingås som reglerar vilka kategorier av uppgifter som får behandlas, för vilka syfte och på vilket sätt.
Vid behandling av personuppgifter inom ramen för skatterådgivning, pensionsrådgivning och övriga näraliggande tjänster till privatpersoner är PwC personuppgiftsansvarig. I dessa uppdrag erhåller PwC, med hjälp av specifika system, personuppgifterna direkt från individerna. Information om PwC:s behandling sker i anslutning därtill.
Den registrerade har rätt att begära att få en bekräftelse från PwC om PwC behandlar personuppgifter som rör den registrerade, samt i sådant fall begära tillgång till de personuppgifterna i form av ett s.k. registerutdrag.
Om den registrerade anser att en uppgift som hänför sig till den registrerade är felaktig eller ofullständig, har den registrerade även rätt att begära rättelse.
Är det fråga om behandling av den registrerades personuppgifter för direktmarknadsföringsändamål äger den registrerade rätt att, när som helst, motsätta sig den och begära att den registrerade avregistreras från fortsatta utskick genom att anmäla detta till PwC, t.ex. genom att klicka på en avregistreringslänk i utskicket.
Utöver ovanstående rättigheter har den registrerade även, i den utsträckning som gällande dataskyddslagstiftning tillåter, rätt att motsätta sig behandlingar som stödjer sig på PwC:s berättigade intresse. PwC får dock fortsätta att behandla den registrerades personuppgifter, trots att denne har motsatt sig behandlingen, om PwC har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.
Under vissa förutsättningar har den registrerade även rätt att begära begränsning eller radering av sina personuppgifter eller rätt att invända mot behandlingen. Därutöver har den registrerade även rätt att få ut de personuppgifter som rör den registrerade som denne lämnat till PwC i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.
PwC:s målsättning är att värna om skyddet för den personliga integriteten och att vidta alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna och säkerställa att behandlingarna sker i enlighet med gällande dataskyddslagstiftning och interna riktlinjer, policyer och rutiner för hantering av personuppgifter. Det innebär att endast de personer som behöver ha tillgång till uppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. En närmare beskrivning av PwC:s säkerhetsåtgärder kan erhållas genom en förfrågan till PwC.
För att uppfylla ändamålen med PwC:s behandling av de personuppgifter som angivits ovan anlitar PwC i förekommande fall tjänste- och systemleverantörer av IT, som behandlar personuppgifter på PwC:s uppdrag. Dessa tjänste- och systemleverantörer får endast behandla personuppgifterna enligt PwC:s uttryckliga instruktioner och får inte använda uppgifterna för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna.
PwC kan i förekommande fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan i syfte att följa tillämpliga lagar och regler, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose PwC:s berättigade intresse av att fastställa, göra gällande och försvara sig mot rättsliga anspråk.
PwC kan också komma att överföra personuppgifter till mottagare som återfinns i länder utanför EU/EES-området och som inte har samma skyddsnivå för personuppgifter som EU. För att säkerställa att personuppgifterna är ändamålsenligt skyddade har PwC ingått dataöverföringsavtal som inkluderar EU-kommissionens standardavtalsklausuler med mottagarna eller sett till att det finns andra lämpliga skyddsåtgärder på plats. Den registrerade har rätt att på begäran få en lista över vilka länder till vilka PwC överför personuppgifter med angivande av kategori av mottagare samt få en kopia på EU:s standardavtalsklausuler genom att kontakta PwC.
Se nedan för kontaktuppgifter.
Vid frågor om behandlingen av personuppgifter, eller önskemål om att utöva dina rättigheter i förhållande till PwC:s personuppgiftsbehandling, vänligen registrera ett ärende eller kontakta PwC på följande e-postadress: se_personuppgiftsombudet@pwc.com
eller postadress:
PwC
Personuppgiftsombudet
113 97 Stockholm
Den registrerade har även rätt att vända sig till Integritetsskyddsmyndigheten vid klagomål.