Behandling av personuppgifter i KPMG AB:s verksamhet

För ett revisions- och rådgivningsföretag som KPMG AB (”KPMG”) är det grundläggande att kundrelaterad information, inkluderande personuppgifter, behandlas säkert och konfidentiellt samt att tillämpliga regelverk efterlevs. Detsamma gäller den information som företaget hanterar avseende medarbetare och leverantörer.

Denna text syftar till att beskriva KPMG:s behandling av personuppgifter i uppdragsverksamheten på ett öppet och transparent sätt så att personer vars personuppgifter företaget behandlar ska förstå hur och varför deras personuppgifter hanteras i KPMG:s verksamhet och vilka rättigheter de har i förhållande till företaget.

När det gäller behandling av personuppgifter som samlas in via KPMG:s externa hemsida finns information i vår nätintegritetspolicy.

Information till KPMG:s medarbetare lämnas i företagets information om behandling av medarbetares uppgifter, som finns tillgänglig via företagets intranät. 

När det gäller rekrytering lämnas information till rekryteringskandidater i företagets rekryteringspolicy, som finns tillgänglig i samband med företagets rekryteringsannonser.

I den sammanfattande tabellen nedan beskrivs KPMG:s behandling av personuppgifter i tabellform. 

Övriga avsnitt i denna informationstext innehåller beskrivningar i löptext av KPMG:s behandling av personuppgifter.

Grundläggande principer för personuppgiftsbehandling hos KPMG

Här kan du läsa om grundläggande principer för personuppgiftsbehandling hos KPMG.

Sammanfattande tabell som beskriver KPMG:s behandling av personuppgifter

I den sammanfattande tabellen som beskriver KPMG:s behandling av personuppgifter listas följande uppgifter för de områden inom vilka KPMG behandlar personuppgifter:

  • Ändamål
  • Rättslig grund
  • Kategorier av personuppgifter
  • Varifrån uppgifterna kommer
  • Mottagare
  • Lagringsperiod

Verksamheten i KPMG

KPMG erbjuder tjänster inom revision och rådgivning via tre verksamhetsområden; Audit, Advisory och Tax & Legal.

KPMG hanterar ett stort antal uppdrag för företag/organisationer, myndigheter och privatpersoner. Bland kunderna finns några av Sveriges största företag med nationell och internationell verksamhet, d.v.s. företag med verksamhet inom och utanför såväl Sverige som EU/EES. Det finns också ett stort antal företag med lokal förankring på enskilda orter i Sverige. Här finns såväl stora börsnoterade företag som mindre noterade och onoterade företag med verksamheter inom ett stort antal branscher.

I revisionsverksamheten har KPMG ett viktigt samhällsuppdrag där den lagstad¬gade revisionen syftar till att kvalitetsgranska och stärka tilltron till organisationers ekonomiska rapportering. Eftersom KPMG är en revisionsbyrå är verksamheten reglerad i flera avseenden och företaget har en mängd lagstadgade skyldigheter.

Dessa förhållanden innebär att KPMG behandlar personuppgifter i många olika sammanhang. För att företaget ska kunna bedriva sin verksamhet behöver personuppgifter hanteras vid fullgörande av uppdrag i Sverige och internationellt, vid kontakter med andra medlemsfirmor inom KPMG och även i samband med marknadsföringsaktiviteter. KPMG behöver också hantera personuppgifter avseende medarbetare, konsulter och tidigare medarbetare.

Ytterligare information om KPMG:s verksamhet finns bland annat i företagets årsredovisningar, transparensrapporter och hållbarhetsredovisningar som finns tillgängliga på företagets webbplats.

Nätverket KPMG International

KPMG är medlem i KPMG:s globala organisation för självständiga medlemsfirmor (”KPMG International”), ett av de ledande globala nätverken av revisions- och rådgivningsföretag med verksamheter i ett stort antal länder globalt. KPMG International bedriver ingen verksamhet mot kund, utan är en paraply¬organisation för medlemsfirmor i nätverket. Medlemsföretagen arbetar lokalt och självständigt över hela världen. Medlemsfirmorna har tillgång till gemensamma resurser, metoder samt det internationella nätverkets samlade kunskap och expertis.   

Ytterligare information om nätverket finns via årsredovisningar och Transparency Report tillgängliga via nätverkets hemsida.

KPMG:s personuppgiftsansvar

KPMG är personuppgiftsansvarig för den behandling av personuppgifter som företaget genomför för egna ändamål, bland annat kontroller avseende förekomst av intressekonflikter och oberoende. 

Företagets kontaktuppgifter och uppgifter om företrädare för företaget finns tillgängliga här.

Företaget utför inom ramen för verksamheten uppdrag både som personuppgiftsansvarig och/eller uppdrag som personuppgiftsbiträde. Företagets medarbetare har tillgång till vägledning för bedömningen av vilken roll KPMG har för enskilda uppdrag. 

Dataskyddsombud

KPMG har utsett ett dataskyddsombud, som nås genom e-postadressen DPreporting@kpmg.se.

KPMG:s interna styrning av behandling av personuppgifter

Styrelsen för KPMG har fastställt en policy för behandling av personuppgifter som gäller hela företagets verksamhet. Av policyn framgår de grundläggande principer som gäller för all behandling av personuppgifter i verksamheten och att företagsledningen ska fastställa de regler och rutiner som krävs för att företagets verksamhet ska kunna bedrivas i enlighet med Dataskyddsförordningen (GDPR). Det framgår också av policyn att företagets medarbetare återkommande ska genomgå adekvat utbildning och att de ska ha tillgång till stöd och vägledning vid tillämpningen av regelverket.   

Företagsledningen har fastställt en anvisning för företagets behandling av personuppgifter. Anvisningen anger närmare krav på utbildning av medarbetare och hur företaget tillhandahåller information och stöd till medarbetare vid behandling av personuppgifter. Det framgår också av anvisningen att det ska finnas skriftliga vägledningar och rutiner till stöd för medarbetarnas tillämpning av regelverket om behandling av personuppgifter i den dagliga verksamheten. Här anges också krav på kontrollaktiviteter och att ett dataskyddsombud ska utses.   

Med utgångspunkt i policyn och anvisningen för behandling av personuppgifter har företaget tagit fram vägledningar och rutiner för företagets behandling av personuppgifter och kommunicerat dessa till företagets medarbetare. Det finns vägledningar avseende bland annat hantering av personuppgifter i uppdragsverksamheten, hantering av personuppgifter vid marknadsaktiviteter och hantering av personuppgifter vid rekrytering. Företagets rutiner omfattar bland annat rutiner avseende rätt att få del av behandlade personuppgifter och rättelse av personuppgifter.      

En översiktlig beskrivning av tillämpningen av de grundläggande principerna i företagets verksamhet finns här nedan.

Behandling av personuppgifter i uppdragsverksamheten

Inom ramen för uppdragsverksamheten behandlar KPMG personuppgifter för ändamålet att fullgöra de åtaganden som följer av avtalen med våra uppdragsgivare. De lagliga grunderna för behandlingen i uppdragsverksamheten är oftast att 

  • behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, 
  • behandlingen är nödvändig för att fullgöra avtal med den registrerade
  • eller är tillåten genom en intresseavvägning. 

Intresseavvägningar i uppdragsverksamheten baseras på en avvägning mellan KPMG:s intresse av att kunna bedriva verksamhet och följa de åtaganden som följer av avtalen med företagets uppdragsgivare och även uppdrags¬givarens intresse av att KPMG ska kunna utföra uppdraget i förhållande till de registrerades eventuellt motstående intressen avseende skydd för sina personuppgifter. KPMG:s uppdragsgivare har ofta ett intresse av att kunna anlita specialisthjälp avseende ett behov som uppdragsgivaren har – t.ex. att fullgöra dess rättsliga förpliktelser eller avtal, stöd vid hantering av redovisnings- eller skattefrågor eller stöd för att utveckla den egna verksamheten eller organisationen.

Personuppgifter som KPMG behöver få del av för att utföra uppdrag samlas som utgångspunkt in från uppdragsgivaren, men det förekommer också att personuppgifter samlas in från andra parter eller myndigheter, t.ex. från Bolagsverket eller företagsdatabaser. 

Personuppgifter som samlas in för att användas i uppdrag kan vara kontaktuppgifter, information om befattningshavare och andra uppgifter avseende anställnings-, kund- eller leverantörsförhållanden. Personuppgifter kan vid behov komma att lämnas ut i enlighet med instruktioner från uppdragsgivaren eller om det följer av uppdraget, till exempel när en uppdragsgivare ger KPMG i uppdrag att förse myndigheter med vissa personuppgifter.

De personer som behandlar personuppgifter i KPMG:s uppdragsverksamhet är medarbetare hos KPMG och i vissa fall leverantörer såsom till exempel underkonsulter som arbetar i uppdragsverksamheten.

Revisionsverksamheten

Lagstagdag revision och lagstadgade tilläggsuppdrag

Revisionsverksamheten avser utförande och rapportering av revisionsuppdrag, framförallt lagstadgad revision och de tilläggsuppdrag som följer av uppdraget som revisor, till exempel att utföra granskning och avge yttrande i samband med emission. Behandling av personuppgifter vid revisionsverksamheten sker för att genomföra och rapportera revision i enlighet med de lagar och standarder som gäller för dessa uppdrag samt i enlighet med god revisions- och revisorssed. 

Detta innebär att behandling av personuppgifter sker vid planering, genomförande och rapportering från revisionen. Exempel på personuppgifter som behandlas är kontaktuppgifter, uppgifter om styrelseledamöter och ledande befattningshavare och sådana personuppgifter som behövs för att granska företagets redovisning och förvaltning, t.ex. personuppgifter hänförliga till uppdragsgivarens kunder, leverantörer och medarbetare. 

Personuppgifterna behandlas i de system som företaget använder för att genomföra och dokumentera revisionsuppdrag. 

Ändamålet med behandling av personuppgifter vid utförande av lagstadgad revision och lagstadgade tilläggsuppdrag är att fullgöra de skyldigheter som följer av uppdraget att utföra revision. Den rättsliga grunden för behandlingen är att den är nödvändig för att fullgöra en rättslig förpliktelse (utföra lagstadgad revision eller lagstadgat tilläggsuppdrag enligt tillämplig associationsrättslig lagstiftning alternativt revisionslagen). Den rättsliga grunden kan även vara att fullgöra en uppgift av allmänt intresse, där revisorns granskning och rapportering har en viktig funktion i samhällsekonomin.

Andra bestyrkande- och granskningsuppdrag

Utöver den lagreglerade revisionen utför KPMG och KPMG:s revisioner andra bestyrkande- och granskningsuppdrag på uppdrag av kunder. 

Ändamålet med behandling av personuppgifter för andra bestyrkande- och granskningsuppdrag är att utföra dessa uppdrag. 

Den rättsliga grunden för behandlingen av personuppgifter är en intresseavvägning, där KPMG:s intresse av att utföra uppdrag enligt avtal och tillämplig standard samt kundens och, i tillämpliga fall, tredje parts intresse av att KPMG ska utföra uppdraget.

Redovisningsverksamheten

Redovisningsverksamheten avser att biträda uppdragsgivare med redovisningsrådgivning, bokföring, finansiell rapportering och lönehantering Uppdragsgivarna tillhandahåller underlag som kan innefatta personuppgifter för att företaget ska kunna fullgöra åtaganden enligt uppdragsavtal, exempelvis underlag för löneutbetalningar, andra ersättningar och förmåner för anställda och underlag för uppdragsgivarens fakturering och betalningar till leverantörer. Ändamålen med behandlingen av personuppgifter i redovisningsverksamheten framgår i avtalet med uppdragsgivaren och är som utgångspunkt att biträda uppdragsgivarna med redovisningsfrågor, bokföring, finansiell rapportering och löneadministration. 

Vid uppdrag som innebär att KPMG är personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för redovisningsuppdraget är den rättsliga grunden för behandlingen som utgångspunkt en intresseavvägning. KPMG:s berättigade intresse är att kunna bedriva verksamhet och fullgöra uppdrag enligt avtal med uppdragsgivare och även uppdragsgivarens intresse av att kunna anlita KPMG för att hantera ett behov hos uppdragsgivaren (exempelvis att bedöma kvalificerade redovisningsfrågor).

Rådgivningsverksamheten

Rådgivningsverksamheten avser att lämna råd till företag i olika sammanhang, bland annat avseende företagstransaktioner, skatt och regelverksfrågor. Uppdragen kan också innefatta att bistå uppdragsgivare vid dess interna ekonomiska rapportering, med frågor som rör intern kontroll, vid upprättande av interna styrdokument eller att lämna råd i samband med organisationsförändringar. Uppdragens genomförande kan omfatta behandling av personuppgifter i olika avseenden och i olika omfattning, exempelvis vid upprättande av deklarationer, genomförande av internrevision eller intern ekonomisk rapportering. 

Personuppgifterna behandlas med de systemverktyg som företaget använder för uppdragsverksamhetens genomförande och dokumentation av genomförda uppdrag. Ändamålet med behandlingen av personuppgifter är att fullgöra de åtaganden som följer av uppdragsavtalet.

Vid rådgivning som innebär att KPMG är personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för uppdraget är den rättsliga grunden för behandlingen som utgångspunkt en intresseavvägning där KPMG:s berättigade intresse är att kunna bedriva verksamhet och fullgöra uppdrag enligt avtal och uppdragsgivarens intresse av att få uppdraget utfört av olika skäl som varierar beroende på uppdragstyp.

Uppdragsdokumentation

KPMG bevarar uppdragsdokumentation i enlighet med de regler och rutiner som gäller för uppdragsdokumentation. Dessa regler och rutiner innebär bland annat att uppdragsdokumentationen omfattas av tystnadsplikt och rutiner för informationssäkerhet. Ändamålen för bevarande av personuppgifter i uppdragsdokumentation är att fullgöra krav på bevarande enligt gällande rätt, t.ex. bevarande av räkenskapsinformation, revisionsdokumentation och uppgifter från kundkännedomsåtgärder enligt penningtvättsregelverket. Bevarande av personuppgifter i sådan uppdragsdokumentation sker med stöd av en rättslig förpliktelse. 

Ändamålen för att bevara personuppgifter i uppdragsdokumentationen i andra fall är att det behövs för KPMG:s intresse av att kunna besvara frågor från kunder om uppdrag i efterhand samt att kunna ta tillvara företagets rättsliga intressen i olika avseenden, t.ex. i sam¬band med myndighets- eller försäkringsärenden. 

Uppdragsdokumentationen bevaras normalt under 10 år efter uppdragets slutförande för att därefter destrueras. 

Behandling av personuppgifter vid vissa kontroller

Bakgrund

KPMG har lagstadgade skyldigheter som följer av att företaget bedriver revisionsverksamhet. Detta innebär bl.a. att företaget har skyldigheter att utföra vissa kontroller som behöver innefatta behandling av personuppgifter. 

Företaget har i verksamheten att följa regler avseende bland annat identitetskontroller och andra kundkännedomsåtgärder enligt penningtvättregelverket, kontrollera förekomst av intressekonflikter i förhållande till olika uppdragsgivare och att ha rutiner för kontroll av opartiskhet och självständighet i förhållande till revisionsklienter. Vidare behöver företaget utföra kontroller avseende sanktioner vid antagande av kunder och uppdrag. 

Ändamål och rättslig grund

Företaget behandlar personuppgifter bl.a. vid de kontroller som är erforderliga enligt penningtvättsregelverket. Sådana kontroller utförs med stöd av och för ändamålet att fullgöra krav enligt lag.

Vidare behandlar företaget personuppgifter vid kontroller avseende opartiskhet och självständighet, d.v.s. att kraven på oberoende enligt lag och yrkesetiska regler efterlevs. Sådana kontroller har till ändamål att säkerställa företagets efterlevnad av sådana krav och den därmed förenade behandlingen av personuppgifter baseras på krav enligt lag och intresseavvägning (i den utsträckning kontrollerna inte följer direkt av en rättslig förpliktelse utan av yrkesetiska regler eller företagets interna policys). 

Företaget behandlar vidare personuppgifter i samband med kontroll av intressekonflikter. Sådana kontroller genomförs inför och under genomförande av uppdrag. Kontrollerna syftar till att undvika situationer där olika uppdragsgivare kan ha intressekonflikter i de tjänster som KPMG och företag inom KPMG-nätverket utför, till exempel vid företagets medverkan i tvist som sakkunnig. Dessa kontroller har till ändamål att undvika situationer där olika kunder har motstående intressen i de tjänster som KPMG utför och baseras på en intresseavvägning. Den rättsliga grunden för behandlingen är en intresseavvägning, där både KPMG: och kundens berättigade intresse av att undvika intressekonflikter beaktas.

KPMG behandlar personuppgifter för ändamålet att efterleva sanktionslagstiftning. Kontrollerna innefattar sökning i sanktionslistor. Den rättsliga behandlingen är en intresseavvägning, där KPMG har ett berättigat intresse av att inte bryta mot gällande sanktionslagstiftning.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Kontrollerna innefattar personuppgifter som samlats in från den potentiella eller befintliga uppdragsgivare, företagsdatabaser samt direkt från relevanta företrädare och befattningshavare. 

Uppgifterna kan vid behov delas med andra KPMG-firmor.

Hur länge sparas uppgifterna?

Resultatet från kontrollerna bevaras tillsammans med uppdragsdokumentation under den tid som uppdragsdokumentationen bevaras (se ovan), eller, om det inte finns ett rättsligt krav eller i tillämpliga fall en professionell skyldighet att behålla uppgifterna så länge som uppdragsdokumentationen bevaras; så lång tid som uppgifterna ska bevaras enligt penningtvättslagstiftningen eller annat relevant regelverk.

Behandling av personuppgifter för marknadsaktiviteter och avseende affärskontakter

Ändamål

För att KPMG ska kunna nå ut till marknaden med företagets tjänster bedrivs marknadsaktiviteter som syftar till att marknadsföra företaget, medarbetare och de tjänster som företaget tillhandahåller samt skapa, förbättra och dokumentera företagets kundrelationer och affärsmöjligheter, bland annat genom inbjudningar till föreläsningar, seminarier, utbildningar och utskick av nyhetsbrev. 

Ändamålet med KPMG:s register för affärskontakter är att främja ovanstående ändamål samt att tillgängliggöra uppgifterna internt för de medarbetare som har behov av uppgifterna för att kunna nå ut till företagets målgrupper.

Kategorier av personuppgifter

De kategorier av personuppgifter som behandlas för dessa ändamål är främst uppgifter om befattningshavare såsom kontaktuppgifter, uppgifter om befattning, arbetsgivare, bransch, yrkesroll, intresseområden (avseende områden inom vilka KPMG erbjuder tjänster), tidigare positioner och arbetsgivare, att personen deltagit vid marknadsaktivitet tidigare eller stått som mottagare av en offert och, i förekommande fall, uppgift om att personen tidigare varit anställd hos KPMG.

Laglig grund för behandling

De lagliga grunderna för behandling av personuppgifter i samband med marknadsaktiviteter är som utgångspunkt en intresseavvägning eller i vissa fall samtycke. Intresseavvägningarna baseras på företagets intresse av att marknadsföra verksamheten och företagets medarbetare, erbjuda marknaden företagets tjänster, skapa och förbättra relationer med kunder samt att skapa affärsmöjligheter. Intresseavvägningarna baseras också på att KPMG:s affärskontakter kan antas ha ett intresse av att informera sig om KPMG:s tjänsteutbud och av att få ta del av information som erbjuds i nyhetsbrev, på seminarier och andra aktiviteter, baserat på vilken yrkesroll och arbetsgivare de har.

Den lagliga grunden för behandling av personuppgifter i KPMG:s register för affärskontakter är en intresseavvägning där KPMG har ett berättigat intresse av att dokumentera affärskontakter och uppgifter som behövs om dem för att kunna rikta relevant marknadsföring, inbjudningar och enkäter till dem, samt att tillgängliggöra uppgifterna för KPMG:s medarbetare som arbetar med att nå ut till affärskontakter i marknadsförings- och kundrelationssyfte.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Personuppgifterna samlas in direkt från den registrerade, från KPMG:s kunder eller från KPMG:s medarbetare eller kundregister. I vissa fall inhämtas uppgifterna från någon annan, exempelvis en samarbetspartner till KPMG eller från offentligt tillgängliga källor. 

Personuppgifter behandlas i de system och de verktyg företaget använder för att hantera marknadsaktiviteter. KPMG anlitar externa leverantörer för lagring av information och för utskickssystem. 

Uppgifterna (t.ex. deltagarlistor) kan vid behov lämnas ut till mottagare som bistår KPMG med marknadsföringsaktiviteter, exempelvis företag som tillhandahåller lokaler för kurser eller event, ordnar catering eller marknadsföringsbyråer och tryckerier.

Hur länge sparas uppgifterna?

Personuppgifter som samlas in för marknadsförings- och utvärderingsändamål sparas så länge som det är nödvändigt för ändamålet. 

Uppgifter som behandlas efter att den registrerade gjort en intresseanmälan (t.ex. anmält sig till KPMG:s nyhetsbrev) behandlas till dess personen anmäler att han eller hon inte längre är intresserad av att motta nyhetsbrev eller inbjudningar från KPMG, eller till dess en medarbetare hos KPMG gör bedömningen att personen inte längre kan antas ha ett intresse av kommunikationen. 

Kontaktuppgifter till affärskontakter såsom befintliga eller potentiella kunder bevaras normalt så länge företaget bedömer att personens befattning eller yrkesroll kan antas medföra ett intresse för företagets tjänster.

Profilering

För att företaget ska kunna göra relevanta urval avseende utskick av nyhetsbrev och inbjudningar till event används profilering på det sättet att urval för utskick baseras på uppgifter om branschsegment, yrkesroll/befattning, arbetsgivare eller tidigare interaktion med KPMG (såsom anmälan till ett seminarium). Sådan profilering är begränsat till sådana uppgiftskategorier och syftar till att innehållet i företagets kommunikation ska vara relevant, av intresse och till nytta för mottagaren.

Behandling av personuppgifter vid genomförande av enkäter och utvärderingar

Ändamål

Företaget genomför frivilliga enkäter och utvärderingar för uppföljningsändamål när det gäller kundnöjdhet, marknadens uppfattning och för att skapa underlag för förbättring av tjänster och service.

Kategorier av personuppgifter

De kategorier av personuppgifter som behandlas för detta ändamål är kontaktuppgifter, koppling till kund och uppdrag uppgift om deltagande i enkät och uppgifter om den registrerades uppfattning och nöjdhet (det sistnämnda såvida inte undersökningen utförs anonymt).

Laglig grund för behandling

Behandling av personuppgifter i samband med enkäter och utvärderingar sker med stöd av företagets berättigade intresse av att följa upp t.ex. utfört uppdrag och kundnöjdhet. 

I vissa fall kan grunden för behandlingen vara samtycke, om det på grund av frågornas karaktär inte kan bedömas att KPMG:s intresse väger tyngre än den tillfrågades intresse. Med tanke på att det alltid är frivilligt att delta i en enkät/undersökning är den rättsliga grunden oftast en intresseavvägning.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Kontaktuppgifterna inhämtas från KPMG:s kund- eller uppdragsregister eller från kunder. Uppgifter som avser svar i enkäten/undersökningen inhämtas från den som valt att delta.  

Uppgifterna kan komma att behandlas av leverantörer till KPMG som bistår KPMG med utförande av undersökningen. Anonyma resultat av undersökningar kan komma att delas med externa parter i marknadsföringssyften samt med andra KPMG-firmor som exempelvis deltagit i utförande av uppdrag som undersökningen berört.

Hur länge sparas uppgifterna?

Personuppgifter kopplade till en undersökning sparas i högst sex månader efter enkätens utförande.

Behandling av besökares personuppgifter

Kunder, leverantörer, arbetssökande och andra som besöker KPMG:s kontor registreras normalt med namn, företag/organisation, uppgift om vem de ska besöka och tidpunkten för besöket. Sådana uppgifter registreras av säkerhetsskäl, både för att förhindra och skydda medarbetare, besökare, tillgångar och information från att obehöriga vistas i KPMG:s lokaler samt i händelse av brand eller annan krissituation.

Uppgifterna om besök sparas i fem dagar, om inte särskild händelse (t.ex. brand) föranleder att en inspelning sparas längre. 

Kameraövervakning äger rum vid entrén på KPMG:s kontor i Stockholm i syfte att förhindra obehörig åtkomst till KPMG:s lokaler av de skäl som anges i första stycket ovan samt för uppföljning av inträffade säkerhetsincidenter. Inspelat material bevaras som utgångspunkt i fem dagar om inte särskild händelse (t.ex. inbrott) föranleder att en inspelning sparas längre.

Upphandlingsunderlag och offerter

Ändamål

KPMG behandlar personuppgifter som förekommer i upphandlingsunderlag och offerter för ändamål som rör att KPMG ska kunna lämna offerter och ingå avtal, dokumentera avtalsförhållandet, fullgöra rättsligt krav på bevarande av räkenskapsinformation och för att ha kontroll över och kunna jämföra med vad som tidigare har offererats (t.ex. en viss konsult med en viss kompetens).

Kategorier av personuppgifter

De personuppgifter som behandlas för dessa ändamål är normalt kontaktuppgifter till personer hos upphandlande organisationer, samt i förekommande fall uppgifter om yrkesroll, titel och ansvarsområde.

Rättslig grund

Personuppgifter i offerter och upphandlingsunderlag hanteras och lagras med stöd av KPMG:s berättigade intressen av att lämna offert och ingå avtal samt att bevara uppgifterna som en del av KPMG:s uppdragsdokumentation eller för jämförande ändamål vid lämnande av framtida offerter. 

Personuppgifter i offerter och upphandlingsunderlag som lett till avtal sparas med stöd av en rättslig förpliktelse i den utsträckning de utgör räkenskapsinformation. KPMG:s rättsliga förpliktelse är att bevara räkenskapsinformation i enlighet med bokföringslagen.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Uppgifterna samlas in från KPMG:s kunder, underkonsulter eller leverantörer.

Uppgifterna kan komma att delas med underkonsulter (t.ex. andra KPMG-firmor) vid behov. Uppgifter som samlas in från underkonsulter delas med KPMG:s kunder när underkonsulters tjänster ska offereras.

Hur länge sparas uppgifterna?

Personuppgifter som förekommer i upphandlingsunderlag och offerter sparas i tio år efter utgången av det räkenskapsår då avtalet ingicks. 

När det gäller personuppgifter i offerter och upphandlingsunderlag som ej leder till att avtal ingås sparas sådana uppgifter i två år efter offertens avlämnande.

Personuppgifter som är en del av räkenskapsinformation sparas i sju år.

Avtal och fakturor

Ändamål

KPMG behandlar personuppgifter som förekommer i avtal och fakturor i syfte att bevara avtal och fakturor i enlighet med gällande regler och i syfte att fullgöra avtal och kunna begära att få avtal fullgjort samt att dokumentera och följa upp avtalsförhållandet och fakturering.

Kategorier av personuppgifter

De personuppgifter som förekommer i avtal och fakturor är normalt kontaktuppgifter till personer hos upphandlande organisationer, signatur, referens samt i vissa fall uppgifter om vilket arbete en person har utfört och nedlagd tid.

Rättslig grund och lagringstid

Uppgifterna sparas i sju år med stöd av en rättslig förpliktelse, där KPMG har en skyldighet att bevara verifikationer som är räkenskapsinformation. 

Uppgifterna sparas även med stöd av en intresseavvägning, där KPMG har ett berättigat intresse att kunna försvara rättsliga anspråk. Uppgifterna sparas i tio år efter avtalsförhållandets upphörande för detta ändamål.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Uppgifter inhämtas från KPMG:s: (i) medarbetare, (ii) kunders medarbetare och (iii) leverantörers medarbetare eller andra parter med vilka KPMG har eller ska inleda ett avtalsförhållande. 

Mottagare av uppgifter är eventuella underkonsulter och underbiträden som bevarar information i ekonomisystem.

Hur länge sparas uppgifterna?

Avtal bevaras i tio år. Fakturor bevaras i sju år.

Behandling av personuppgifter i e-post och samarbetsplattformar

Ändamål

Behandling av personuppgifter förekommer i e-post och i samarbetsplattformar när det gäller en stor del av KPMG:s verksamhet. Ändamålet är att kommunicera och överföra eller dela information i företagets verksamhet.

Laglig grund för behandling

De rättsliga grunden för behandling av personuppgifter i e-post och samarbetsplattformar är KPMG:s berättigade intresse av att kommunicera och överföra information internt och mellan KPMG och kunder eller andra parter för att kunna bedriva företagets verksamhet, eller väsentligt förenkla och effektivisera sådan hantering av information. 

KPMG, KPMG:s kunder och andra parter har även ett berättigat intresse av att information ska kunna överföras på ett snabbt och säkert sätt.

Kategorier av personuppgifter

Uppgifter som behandlas är kontaktuppgifter och uppgifter i kommunikation och filer. Närmare beskrivning av vilka kategorier av uppgifter som behandlas finns under beskrivningen för respektive bakomliggande ändamål i denna informationstext (exempelvis vilka kategorier av personuppgifter som behandlas i uppdragsverksamheten). Med bakomliggande ändamål förstås t.ex. att uppgifter i e-post behandlas i syfte att kommunicera för att KPMG ska kunna utföra ett uppdrag (utförandet av uppdraget är då det bakomliggande ändamålet till kommunikationsändamålet).

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Uppgifterna inhämtas från KPMG:s medarbetare, KPMG:s kunders medarbetare, KPMG:s leverantörer eller tredje parter såsom potentiella kunder eller samarbetspartners.

KPMG använder externa leverantörer för e-posttjänster. 

Uppgifter i e-post och samarbetsplattformar delas vid behov med KPMG:s medarbetare, KPMG:s kunders medarbetare eller andra parter som KPMG har kommunikation med för respektive ändamål som beskrivs i denna informationstext.

Hur länge sparas uppgifterna?

Uppgifterna sparas så länge det behövs för respektive bakomliggande ändamål som beskrivs i denna informationstext, närmare beskrivning av lagringstid finns under beskrivningen för respektive ändamål. 

Om exempelvis ett e-postmeddelande är relevant för fullgörelsen av ett uppdragsavtal, bevaras e-postmeddelande i uppdragsdokumentationen så länge som uppdragsdokumentationen bevaras enligt ovan.

Behandling av personuppgifter i inspelat material

KPMG behandlar i vissa fall personuppgifter avseende kunder och i vissa fall andra kategorier av registrerade, i material som har spelats in med ljud- eller ljud och bild (video).

Inspelningar förekommer i följande sammanhang.

Utbildningar

Vissa utbildningar och seminarier som hålls av KPMG spelas in för att utbildningen ska kunna återanvändas, skickas till deltagare och även i syfte att utvärdera och förbättra kvaliteten på KPMG:s utbildning. 

Som utgångspunkt filmas enbart den eller de som håller i utbildningen, seminariet eller föreläsningen, men det förekommer även att deltagare som deltar med video på digitala sammankomster filmas. I den utsträckning deltagare ställer frågor eller har synpunkter spelas det in med ljud och/eller bild. 

Om deltagare ställer frågor eller har synpunkter spelas det in med ljud. Den rättsliga grunden för sådan behandling av personuppgifter är samtycke eller en intresseavvägning, där KPMG har berättigade intressen av att kunna återanvända utbildningar, distribuera inspelningsmaterialet till deltagare samt att utvärdera och förbättra kvaliteten på utbildningar i efterhand.

Hur länge inspelningarna sparas beror på ändamålet med inspelningen, men normalt sparas de i högst två år efter inspelningstillfället. Om utbildningen är en del av utförandet av ett uppdrag bevaras inspelningen lika länge som uppdragsdokumentationen (se ovan).

Marknadsföring

KPMG använder inspelat material i kommunikations- och marknadsföringssyfte. Sådant material kan innefatta presentationer av företaget, intervjuer med anställda, kunder och liknande. Personer som medverkar i inspelningar för marknadsföringsmaterial tillfrågas om de vill delta och den rättsliga grunden för behandlingen är samtycke eller en intresseavvägning baserad på KPMG:s intresse av att marknadsföra företagets tjänster. Även när en intresseavvägning tillämpas som stöd för behandlingen tillfrågas personer om de vill delta i inspelningen, som bara får äga rum om personerna medger inspelning.

Möten

Vissa möten spelas in för ändamålet att dokumentera mötet. Sådana inspelningar kan innefatta personuppgifter kopplade till KPMG:s, KPMG:s kunders och KPMG:s leverantörers affärsverksamhet och anställda hos dessa. Sådan behandling bedöms vara laglig med stöd av samtycke eller en intresseavvägning, där KPMG har ett berättigat intresse av att dokumentera mötet för att effektivisera eller förenkla arbetet eller för att inspelningen ska tjäna som bevisning, t.ex. om vad som har överenskommits eller vilka muntliga råd som har lämnats av KPMG.

Alumni-nätverk

Ändamål

KPMG har ett alumni-nätverk för tidigare medarbetare i syfte att hålla kontakten med tidigare medarbetare, vilket innefattar att skicka nyhetsbrev och inbjudningar till seminarier och event till dem.

Kategorier av personuppgifter

Personuppgifter som behandlas om medlemmar i alumninätverket är namn, kontaktuppgifter, arbetsgivare (eller eget företag), ny och tidigare yrkesroll, bransch och intresseområden. 

En alumni-medlem kan också vara en affärskontakt till KPMG, t.ex. avseende kunduppdrag. KPMG registrerar uppgift om att affärskontakter tidigare har varit anställda hos KPMG i företagets system för hantering av affärskontakter.

Rättslig grund

Behandlingen är tillåten med stöd av samtycke. Om samtycket återkallas innebär det att KPMG tar bort personen från alumni-registret och inte längre kommer att kommunicera med personen avseende alumni-nätverket, men det påverkar inte tillåtligheten av behandlingen före det att samtycket återkallades.

Personuppgifternas ursprung och till vilka de kan komma att lämnas ut

Uppgifterna inhämtas från nätverksmedlemmen eller från KPMG:s medarbetare eller allmänt tillgängliga källor (exempelvis sociala medier för yrkesverksamma). 

Kontaktuppgifter och uppgifter kopplade till anmälan till event delas med arrangörer av event, tryckerier samt hotell och restauranger som bistår KPMG med arrangemanget.

Hur länge sparas uppgifterna?

Personuppgifterna i alumni-registret sparas till dess personen anmäler till KPMG att personen inte längre önskar vara med i nätverket, eller till dess medarbetare hos KPMG bedömer att personen inte längre kan antas vara intresserad av att vara med i nätverket, t.ex. för att personen inte längre är yrkesverksam inom KPMG:s målgrupper.

Överföring av personuppgifter och anlitande av personuppgiftsbiträden

Allmänt om överföring av personuppgifter till externa mottagare

Som medlem i KPMG International hanterar KPMG information dels i system som förvaltas av KPMG självständigt och dels i system som förvaltas av KPMG International. 

KPMG och KPMG International anlitar leverantörer för tjänster som innefattar att hantera information. Den information som hanteras av företaget och av KPMG International samt av leverantörer hanteras med iakttagande av den tystnadsplikt som gäller avseende våra uppdragivarens och anställdas förhållanden, bland annat avseende person¬uppgifter. 

Den information som KPMG hanterar bevaras normalt inom EU/EES.

Överföringar till tredjeland

De system som företaget använder innebär att person¬uppgifter normalt sett behandlas i Sverige och inom EU/EES. 

Det förekommer härutöver att KPMG för över personuppgifter utanför EU/EES. Sådana överföringar sker normalt till andra medlemsfirmor inom KPMG-nätverket. Inom KPMG-nätverket har upprättats ett avtal som reglerar rättigheter och skyldigheter mellan KPMG-firmor då personuppgifter överförs mellan KPMG-firmor. Detta avtal innefattar bland annat reglering om tystnadsplikt och EU:s senaste standardavtalsklausuler om överföring av personuppgifter till tredjeland. 

Personuppgifter kan komma att överföras till tredjeland:

  • för uppdragsgivare med gränsöverskridande verksamhet i tredjeland för uppdragets fullgörande, för att lämna offert eller i samband med de kontroller som beskrivs ovan (bl.a. avseende identiteter och intressekonflikter), 
  • i de fall uppdraget medför användning av systemverktyg i vilka information hanteras utanför EU/EES eller
  • i de fall en underkonsult med placering utanför EU/EES anlitas vid uppdragets utförande. 

I dessa fall omfattas överföringen av EU:s standardavtalsklausuler. I förekommande fall görs även en bedömning avseende behov av kompletterande skyddsåtgärder.

Företaget har upprättat vägledning till stöd för medarbetare för att bedöma huruvida sådana överföringar sker i enlighet med regelverket om skydd för personuppgifter.

Överföring av personuppgifter enligt krav i lag

Verksamheten i företaget regleras av lagar vilka stundom innebär att företaget kan ha skyldighet enligt lag att föra över personuppgifter till annan part. En sådan skyldighet följer av penningtvättsregelverket, vilken bland annat innebär att misstänkt penningtvätt och terrorismfinansiering ska anmälas till myndighet. Vidare följer av aktiebolagslagen att en revisor under vissa förutsättningar har att anmäla misstanke om brott till myndighet. Sådana anmälningar kommer normalt att innefatta vissa personuppgifter, bland annat vem eller vilka misstankarna avser. 

Den revisionsverksamhet som bedrivs av KPMG står under tillsyn av bland annat Revisorsinspektionen. Det kan förekomma att tillsynsmyndigheter begär tillgång till information om verksamheten i företaget innebärande att personuppgifter kan komma att överföras till myndigheter. Det kan också förekomma att myndigheter vid undersökningar förelägger företaget att lämna information som innefattar personuppgifter, exempelvis vid en skatterevision. 

Medarbetare vid företaget kan ha att inom ramen för förundersökningar lämna information till förundersökningsledare, vilket kan innefatta överlämnande av personuppgifter.

Vidare har företagets medarbetare en skyldighet att stå till förfogande för att lämna vittnesmål vid rättsliga processer, vilket kan innebära yppande av personuppgifter. Ett rättsligt förfarande kan innebära att myndighet/domstol förelägger företaget att överlämna information som kan innefatta personuppgifter.

Anlitande av personuppgiftsbiträden

Det förekommer att KPMG anlitar personuppgiftsbiträden för behandling av personuppgifter för KPMG:s räkning. Sådana personuppgiftsbiträden kan komma att få tillgång till personuppgifter i den utsträckning det behövs för det ändamål för vilket personuppgiftsbiträdet anlitats. Exempel på behandlingar av personuppgifter som utförs av personuppgiftsbiträden:

  • Lagring i molntjänster (inom EU/EES)
  • Kommunikations- och samarbetsverktyg 
  • Teknisk support
  • Systemstöd för ärendehantering

Vilka dessa biträden är framgår av det avtal som upprättas med uppdragsgivaren/den personuppgiftsansvarige (personuppgiftsbiträdesavtal). Personuppgiftsbiträdena har i avtal med KPMG åtagit sig att behandla personuppgifter konfidentiellt samt underrätta KPMG om eventuellt anlitade biträden och utbyte av sådana biträden.

Behandling av personuppgifter för statistik- och analysändamål

KPMG använder information som samlas in från uppdrag för sammanställning av statistik och marknadsanalyser. Sådan information används exempelvis för att skapa mervärde för kunder genom jämförelser och insikter, eller för att förbättra KPMG:s tjänster. 

Före sammanställning och/eller analys av informationen avidentifieras informationen så att den inte ska kunna knytas till en person, ett företag eller en viss kund. I de fall anonymiseringen i sig innebär en behandling av personuppgifter är den rättsliga grunden för behandlingen en intresseavvägning, där KPMG:s berättigade intresse är att utföra anonymiseringen av personuppgifter för att kunna använda informationen för statistik- eller analysändamål.

Behandling av personuppgifter i Bohlinsgruppen i Sverige Försäkring AB

Försäkringsbolaget Bohlinsgruppen i Sverige Försäkring AB tillhandahåller försäkring enligt avtal med KPMG. Verksamheten i Bohlinsgruppen i Sverige Försäkring AB sköts av KPMG:s personal enligt avtal mellan KPMG och Bohlinsgruppen i Sverige Försäkring AB. KPMG är ett personuppgiftsbiträde till Bohlinsgruppen i Sverige Försäkring AB när det gäller verksamheten i försäkringsbolaget. I försäkringsbolagets verksamhet hanteras personuppgifter för i huvudsak nedanstående ändamål.

Redovisning och bokföring

KPMG och Bohlinsgruppen i Sverige Försäkring AB behandlar personuppgifter som ett led i fullgörande av bokföringsskyldighet och skyldigheter avseende ekonomisk rapportering samt i samband med hantering av leverantörsreskontra. De kategorier av personuppgifter som behandlas för dessa ändamål är kontaktuppgifter (t ex på fakturor), ekonomiska uppgifter, uppgifter om medarbetare, konsulter och nedlagd tid samt försäkringsuppgifter. De kategorier av registrerade vars personuppgifter behandlas för dessa ändamål är KPMG:s anställda, kontaktpersoner hos leverantörer, kontaktpersoner hos kunder eller tidigare kunder samt personer som förekommer i skadeärenden.

Den rättsliga grunden för behandlingen är en rättslig förpliktelse när det gäller bokföring och ekonomisk rapportering och en intresseavvägning när det gäller hanteringen av leverantörsfakturor.

Personuppgifter inhämtas från leverantörer, kunder, KPMG:s anställda, personer inblandade i skadeärenden och i förekommande fall från offentliga register och hanteras av KPMG:s personal och leverantörer.

Personuppgifterna bevaras under den tid som krävs enligt bokföringslagen.

Regulatorisk efterlevnad

KPMG har lagstadgade skyldigheter att förhålla sig till när det gäller bl.a. vissa kontroller.

Utöver vad som framgår om redovisning och bokföring ovan har Bohlinsgruppen i Sverige Försäkring AB lagstadgade skyldigheter i övrigt att förhålla sig till, t ex skyldigheter avseende skatter och avgifter och skyldigheter som arbetsgivare. Vid fullgörande av sådana skyldigheter behandlas personuppgifter avseende främst KPMG:s och Bohlinsgruppen Aktiebolags anställda. Ändamålen och den lagliga grunden för sådan behandling av personuppgifter är att fullgöra rättsliga förpliktelser. De kategorier av personuppgifter som behandlas för dessa ändamål är bl.a. namn och kontaktuppgifter, personnummer, anställningsnummer och personliga förhållanden. När det gäller KPMG:s skyldigheter att behandla personuppgifter avseende anställda hänvisas till den företagsinterna informationen om behandling av anställdas personuppgifter.

Försäkringsbolaget har, i egenskap av försäkringsbolag, lagstadgade skyldigheter avseende risk och regelefterlevnad och behandlar personuppgifter vid fullgörande sådana skyldigheter. De kategorier av personuppgifter som kan komma att behandlas för dessa ändamål är kontaktuppgifter, ekonomiska uppgifter och försäkringsuppgifter samt uppgifter kopplade till skadeärenden och uppdrag utförda av KPMG. De kategorier av registrerade vars personuppgifter behandlas för dessa ändamål är KPMG:s anställda, kontaktpersoner hos kunder eller tidigare kunder samt personer som förekommer i skadeärenden. Den rättsliga grunden för behandlingen är rättsliga förpliktelser.

Personuppgifter inhämtas från KPMG:s kunder eller KPMG:s tidigare kunder, KPMG:s anställda, personer inblandade i skadeärenden och i förekommande fall från offentliga register och hanteras av KPMG:s personal och i förekommande fall av leverantörer.

Personuppgifterna bevaras som utgångspunkt under minst tio år för att kunna följa det regulatoriska arbetet och därutöver under den tid som behövs för att kunna försvara rättsliga anspråk.

Hantering av skadeärenden

Försäkringsbolaget hanterar anmälda skadeärenden enligt avtal med försäkringstagaren i syfte att fullgöra skyldigheter gentemot försäkringstagaren, bedöma ersättningsärenden och ersättningsskyldighet samt att utreda försäkringsbolagets och försäkringstagarens rättsliga anspråk. Försäkringsbolaget och KPMG har bedömts vara gemensamt personuppgiftsansvariga för skadehanteringen.

De kategorier av personuppgifter som kan komma att behandlas för dessa ändamål är kontaktuppgifter, ekonomiska uppgifter och försäkringsuppgifter samt uppgifter kopplade till skadeärenden och uppdrag utförda av KPMG. De kategorier av registrerade vars personuppgifter behandlas för dessa ändamål är KPMG:s anställda, kontaktpersoner hos kunder eller tidigare kunder samt personer som förekommer i skadeärenden.

Den rättsliga grunden för behandlingen är en intresseavvägning där försäkringsbolagets och försäkringstagarens berättigade intressen rör ändamålen som beskrivs i första stycket ovan.

Personuppgifter inhämtas från KPMG:s kunder eller KPMG:s tidigare kunder, personer inblandade i skadeärenden och i förekommande fall från offentliga register och hanteras av KPMG:s personal och i förekommande fall leverantörer.

Personuppgifterna bevaras under den tid som behövs för att kunna försvara rättsliga anspråk, och som utgångspunkt under minst tio år.

Kontaktuppgifter samt utövande av registrerades rättigheter

När det gäller kontaktuppgifter och information om registrerades rättigheter när det gäller försäkringsbolaget hänvisas till samma information om dessa rättigheter och samma kontaktuppgifter som anges för KPMG i denna informationstext.

Dina rättigheter som registrerad

Rätten till information

Den registrerade har enligt regelverket om behandling av personuppgifter rätt att få information när hans eller hennes personuppgifter behandlas. Information om behand¬lingen ska lämnas både när uppgifter samlas in, eller kort tid därefter när uppgifterna inte samlas in från den registrerade, och när den registrerade begär det. Härtill finns vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande.

Information ska bland annat lämnas om kontaktuppgift till den personansvarige, den rättsliga grunden för och ändamålet med behandlingen.

Detta dokument innefattar bland annat sådan information som KPMG har att lämna till de personer vars personuppgifter behandlas i verksamheten.

En begäran om tillgång till information anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om tillgång till information kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Rätt till rättelse

Regelverket om behandling av personuppgifter innebär att den registrerade har rätt att vända sig till företag som behandlar personuppgifter och be om rättelse av felaktiga personuppgifter samt att komplettera med sådana personuppgifter som saknas och som är relevanta för ändamålet med behandlingen.

En begäran om rättelse anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om rättelse kommer att hanteras med utgångspunkt i regelverket om behand¬ling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Rätt till radering

En registrerad har enligt regelverket om behandling av personuppgifter rätt att vända sig till företag och be att uppgifterna som avser honom eller henne raderas.  

En begäran om radering anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om radering kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Rätt till begränsning av behandling

De personer vars personuppgifter behandlas har i vissa fall rätt att kräva att behandling begränsas. Med begränsning avses att personuppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

En begäran om begränsning av behandling av personuppgifter anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till DPreporting@kpmg.se.

En begäran om begränsning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Rätt att återkalla samtycke

Personer vars personuppgifter som behandlas med samtycke som laglig grund har rätt att återkalla samtycket.

Ett återkallande av samtycke anmäls till DPreporting@kpmg.se

Dataportabilitet

Den som har lämnat sina personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot sådana uppgifter har en skyldighet underlätta sådan överflyttning.

En begäran om att få ut personuppgifter för att använda dem på annat håll anmäls till DPreporting@kpmg.se.

En begäran om dataportabilitet kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Rätt att göra invändningar

En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter. Denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering.

En framställan om invändning mot behandling av personuppgifter skickas till DPreporting@kpmg.se.

En framställan om invändning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

Klagomål

Klagomål avseende KPMG:s behandling av personuppgifter skickas till DPreporting@kpmg.se.

Inkomna klagomål kommer att utredas i enlighet med företagets rutin för hantering av klagomål.

Den vars personuppgifter behandlas har därtill rätt att anmäla klagomål till Integritetsskyddsmyndigheten. Vi hänvisar till vidare information om detta på Integritetsskyddsmyndighetens hemsida.

Bevarande av förfrågningar avseende utövande av rättigheter

KPMG bevarar förfrågningar om utövande av registrerades rättigheter för att kunna bedöma och visa hur förfrågningar har hanterats i efterhand, under så lång tid som det behövs för att kunna fastställa, utöva eller försvara rättsliga anspråk.