Integritetspolicy

2019-10-14

Behandling av personuppgifter

Denna information riktar sig till kunder, leverantörer och samarbetspartners och beskriver varför och hur PwC behandlar personuppgifter i vår verksamhet. Informationen syftar till att ge en tydlig bild av hur vi samlar in personuppgifter, antingen från den registrerade själv eller från annan part.

Med “PwC” syftar vi på det internationella PwC-nätverket och/eller de svenska PwC-bolagen. Varje PwC-bolag i nätverket är en fristående juridisk person. För en sammanställning av ingående medlemmar i PwC-nätverket finns en uppdaterad lista här.  För ytterligare detaljer om nätverket och dess verksamhet, se www.pwc.com/structure samt http://www.pwc.com/gx/en/about/office-locations.html.

Vi betraktar all information som berör en enskild individ såsom en “personuppgift”. Vi väljer även att i förekommande fall gemensamt referera till hantering, insamling, lagring, bearbetning eller radering av personuppgifter som “behandling” eller “personuppgiftsbehandling”.

Inom PwC behandlas personuppgifter för ett antal olika ändamål. Utgångspunkten i vår verksamhet är att alltid vara transparent gentemot den registrerade gällande varför, när och hur denna behandling kan komma att ske.

 

PwC i rollen som personuppgiftsansvarig

Som personuppgiftsansvarig utför PwC de behandlingar som beskrivs nedan, tillsammans med den legala grunden för respektive behandling.

Administrativ behandling inom ramen för kunduppdrag

Registrering av kontaktpersoner i kundregister
Inför och under ett uppdrag kommer PwC att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare i PwC:s kundregister för att kunna administrera uppdraget samt göra de oberoende- och penningtvättskontroller som följer av lag samt de risk-manangementkontroller som ankommer på en revisionsbyrå. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser som följer dels av avtal, dels av lag; revisorslagen (2001:883) samt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Den legala grunden för risk managementkontrollerna är en intresseavvägning där PwC:s berättigade intresse av att kunna hantera risker i verksamheten motiverar behandlingen. De uppgifter som kommer att behandlas är namn, personnummer, adress, telefonnummer och e-postadresser till arbetsplatsen och eventuella uppgifter om avdelningstillhörighet och befattning. Personuppgifterna kommer att sparas för en tid om tolv (12) månader efter det att avtalet har upphört. Uppgifter för penningtvättskontrollen kommer att sparas i fem (5) år.

Affärsuppföljning och statistik
Efter det att ett uppdrag har slutförts kommer PwC att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare med legalt stöd av en intresseavvägning för att tillgodose vårt berättigade intresse av att genomföra affärsuppföljning och ta fram statistik på en övergripande nivå, t.ex. för att utvärdera kundnöjdhet. Behandlingen kommer att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet upphört. Statistiken kan dock inte kopplas till uppdragsgivarens företrädare personligen, varför uppgifterna inte utgör personuppgifter och därför kommer att sparas tillsvidare.

Tillsyn och kvalitetskontroller
PwC står i egenskap av registrerat revisionsbolag under tillsyn och är föremål för regelbundna kvalitetskontroller. PwC arkiverar därför information från genomförda uppdrag. Inom ramen för sådan tillsyn, kan personuppgifter som PwC redan erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, men i syfte att kontrollera kvaliteten i utfört arbete i uppdraget. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser enligt revisorslagen (2001:883). Uppgifterna kommer att sparas för en tid av elva (11) år.

Fastställa, göra gällande alternativt försvara rättsliga anspråk
PwC kommer att arkivera sina arbetspapper, som kan innehålla personuppgifter, efter avslutat uppdrag. Den legala grunden för arkiveringen är en intresseavvägning för att tillgodose PwC:s berättigade intresse av att dokumentera uppdraget. Vid ett eventuellt skadeärende kan de arkiverade personuppgifterna komma att behandlas för att kunna fastställa eller göra gällande ett rättsligt anspråk, alternativt försvara PwC mot ett sådant. Personuppgifterna kommer att arkiveras för en tid av elva (11) år.

 

Marknadsföring

Direktmarknadsföring baserat på en intresseavvägning

I syfte att tillhandahålla direktmarknadsföring om PwC:s tjänsteutbud till både befintliga och potentiella kunder kan PwC komma att behandla personuppgifter avseende kundernas företrädare. Den legala grunden för behandlingen är en intresseavvägning för att tillgodose PwC:s berättigade intresse av att under en begränsad tid och i en begränsad omfattning informera om samt erbjuda olika marknadsaktiviteter till en utvald målgrupp. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Informationen och erbjudandet kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.

I de fall det föreligger ett uppdragsavtal mellan den registrerades arbetsgivare och PwC kommer behandlingen att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet har upphört. I de fall ett sådant avtalsförhållande saknas kommer personuppgifterna att behandlas under en tid om tre (3) månader.

Den registrerade har rätt att när som helst motsätta sig denna behandling.

Direktmarknadsföring baserat på ett samtycke

För det fall PwC i marknadsföringssyfte vill fortsätta att behandla personuppgifter tillhörande företrädare för potentiella och tidigare kunder (äldre än 12 månader efter det att avtalsförhållandet upphört) efter det att tre månader har passerat krävs den registrerades samtycke. Om den registrerade har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för en sådan behandling. Om den registrerade på frivillig väg har lämnat sina personuppgifter för ett visst ändamål och i samband därmed har informerats om behandlingen anses den registrerade har samtyckt till behandlingen.

De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e- postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Information och erbjudanden om marknadsaktiviteter kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.

Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.

Genomförande av marknadsaktivitet

Om den registrerade aktivt anmält sig till en marknadsaktivitet (event, föreläsning, seminarium eller liknande) kommer PwC att behandla namn och kontaktuppgifter i syfte att kunna skicka ut kallelse, deltagarförteckning samt material inför och efter aktiviteten.

För det fall måltider kommer att serveras under aktiviteten kan uppgift om specialkost behövas behandlas. Den legala grunden för behandlingen är att den är nödvändig för att kunna genomföra aktiviteten. Härutöver kan PwC, efter det att aktiviteten genomförts, genom PwC:s sälj- och marknadsavdelning komma att följa upp vilka som deltagit i aktiviteten genom att ta del av deltagarlistor och därigenom kunna rikta marknadsföringsåtgärder mot deltagarna. Den legala grunden för den sistnämnda behandlingen är en intresseavvägning för att tillgodose PwC:s berättigade intresse av att få rikta erbjudande om PwC:s tjänsteutbud till deltagarna. Deltagarlistan sparas för administration och uppföljning under en period av högst sex (6) månader.

Deltagarlistan kan även i förekommande fall komma att utgöra underlag vid PwC:s redovisning i bokföringssammanhang av eventuell representation.

Medieproduktion för marknadsföring

I syfte att marknadsföra PwC och sprida kunskap om PwC:s verksamhet kan PwC komma att behandla personuppgifter i form av bilder - både stillbilder och rörliga bilder - och ljudupptagningar. Denna behandling görs med stöd av ett uttryckligt och informerat samtycke från den registrerade. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.

Webbplatsinteraktion

Vid besök på PwC:s webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, i syfte att optimera både funktion och upplevelse av webbsidan. Informationen består i regel av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker. Däremot sker ingen identifiering av besökaren. Även om någon identifiering inte sker krävs ett uttryckligt och informerat samtycke från webbplatsbesökaren för att PwC ska få använda sig av cookies. Om webbplatsbesökaren har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för behandlingen. Närmare information om vilka cookies som PwC behandlar  samt hur länge information från dessa sparas finns att ta del av på följande webbplats:

https://www.pwc.se/cookies.

PwC i rollen som personuppgiftsbiträde

Om inget annat överenskommits mellan kunden och PwC, utgör PwC ett personuppgiftsbiträde i alla revisions- och rådgivningsuppdrag. Det innebär att det är kunden som är personuppgiftsansvarig och därmed skyldig att tillhandahålla information till de personer vars personuppgifter kan komma att behandlas inom ramen för uppdraget. I egenskap av personuppgiftsbiträde behandlar PwC personuppgifterna utifrån kundens instruktioner

Personuppgiftsbehandling vid revision

PwC kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till revisionskundens och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till revisionskundens kunder och leverantörer kan komma att behandlas, beroende på granskningens inriktning.

De kategorier av personuppgifter som kan komma att behandlas är:

a. kontaktuppgifter som namn, adress, telefonnummer och e-postadress,

b. uppgifter om anställning, som anställningsnummer, avdelningstillhörighet, befattning och anställningstid,

c. uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,

d. facklig tillhörighet,

e. personnummer/samordningsnummer,

f. uppgifter om ekonomiska förhållanden som bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter och uppgift om registreringsnummer för tjänstebil,

g. uppgifter om försäkringar och pension, eller

h. andra kategorier av personuppgifter som behövs till följd av granskningen enligt god revisors- och revisionssed.

Den legala grunden för behandlingen är att kunna fullgöra vårt avtalade åtagande gentemot kunden samt de rättsliga förpliktelser som åvilar PwC, eller en inom PwC personvald revisor, som åtagit sig att utföra revisionsuppdraget i enlighet med tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige. Personuppgifterna kommer att behandlas under den tid som behövs för att utföra revisionsuppdraget och därefter sparas uppgifterna för att dokumentera revisionsuppdraget i elva (11) år från utgången av det år då granskningen avslutades.

Personuppgiftsbehandling vid rådgivning

PwC kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till rådgivningskunden och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till rådgivningskundens kunder och leverantörer kan komma att behandlas av PwC, beroende på uppdragets karaktär.

För rådgivningsuppdrag sker all personuppgiftsbehandling utifrån kundens uttryckliga instruktioner. Därmed varierar kategorier av personuppgifter och hur de behandlas. Detta specificeras i varje enskilt fall i det personuppgiftsbiträdesavtal som tecknas med den aktuella kunden.

 

Undantag vid revisionsuppdrag

Som anges ovan  utgör i normalfallet PwC ett personuppgiftsbiträde i alla revisions- och rådgivningsuppdrag. I undantagsfall har revisionskunden och PwC i ett enskilt uppdrag  träffat en överenskommelse om att PwC  ska vara personuppgiftsansvarig - antingen ensamt eller tillsammans med revisionskunden. Här åligger det PwC att informera registrerade individer om personuppgiftsbehandlingen. Denna behandling beskrivs under avsnitt “Personuppgiftsbehandling vid revision”.

 

Den registrerades rättigheter

Rätt till tillgång (s k registerutdrag)

Den registrerade har rätt att begära att få en bekräftelse från PwC om PwC behandlar personuppgifter som rör den registrerade, samt i sådant fall begära tillgång till de personuppgifterna i form av ett s.k. registerutdrag.

Rätt till rättelse

Om den registrerade anser att en uppgift som hänför sig till den registrerade är felaktig eller ofullständig, har den registrerade även rätt att begära rättelse.

Rätt att motsätta sig behandling baserad på samtycke

Är det fråga om behandling av den registrerades personuppgifter för  direktmarknadsföringsändamål äger den registrerade rätt att, när som helst, motsätta sig den och begära att den registrerade avregistreras från fortsatta utskick genom att anmäla detta till PwC, t.ex. genom att klicka på en avregistreringslänk i utskicket.

Rätt att motsätta sig behandling som stödjer sig på PwC:s berättigade intresse

Utöver ovanstående rättigheter har den registrerade även, i den utsträckning gällande dataskyddslagstiftning föreskriver det, rätt att motsätta sig behandlingar som stödjer sig på PwC:s berättigade intresse. PwC får dock fortsätta att behandla den registrerades personuppgifter, trots att denne har motsatt sig behandlingen, om PwC har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.

Rätt att begära begränsning eller radering, alternativt rätt att invända emot behandling samt dataportabilitet

Under vissa förutsättningar har den registrerade även rätt att begära begränsning eller radering av sina personuppgifter eller rätt att invända mot behandlingen. Därutöver har den registrerade även rätt att få ut de personuppgifter som rör den registrerade som denne lämnat till PwC i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.

Säkerhetsåtgärder

PwC:s målsättning är att värna skyddet för den personliga integriteten och att vidta alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna och säkerställa att behandlingarna sker i enlighet med gällande dataskyddslagstiftning och interna riktlinjer, policyer och rutiner för hantering av personuppgifter. Det innebär att endast de personer som behöver ha tillgång till uppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. En närmare beskrivning av PwC:s säkerhetsåtgärder kan erhållas via förfrågan till PwC.

Överföring och utlämning av personuppgifter

För att uppfylla ändamålen med PwC:s behandling av de personuppgifter som angivits ovan anlitar PwC i förekommande fall tjänste- och systemleverantörer av IT, som behandlar personuppgifter på PwC:s uppdrag. Dessa tjänste- och systemleverantörer får endast behandla personuppgifterna enligt PwC:s uttryckliga instruktioner och får inte använda uppgifterna för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna.

PwC kan i förekommande fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan i syfte att följa tillämpliga lagar och föreskrifter, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose PwC:s berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk.

PwC kan också komma att överföra personuppgifter till mottagare som återfinns i länder utanför EU/EES-området och som inte har samma skyddsnivå för personuppgifter som EU. För att säkerställa att personuppgifterna är ändamålsenligt skyddade har PwC ingått dataöverföringsavtal som inkluderar EU-kommissionens standardavtalsklausuler med mottagarna eller sett till att det finns andra lämpliga skyddsåtgärder på plats. Den registrerade har rätt att på begäran få en lista över vilka länder till vilka PwC överför personuppgifter med angivande av kategori av mottagare samt få en kopia på EU:s standardavtalsklausuler genom att kontakta PwC.
Se nedan för kontaktuppgifter.

Kontaktuppgifter

Vid frågor om behandlingen av personuppgifter vänligen kontakta PwC på följande e-postadress se_personuppgiftsombudet@pwc.com eller postadress PwC, 113 97 Stockholm.

Den registrerade har även rätt att vända sig till tillsynsmyndigheten (Datainspektionen) vid klagomål.

Kontakta oss

Customer Hub

Kundtjänst, PwC Sverige

Tel 010-212 50 00

Följ oss i sociala medier