Information om behandling av personuppgifter i revisionsuppdrag

Bakgrund

När personuppgifter behandlas har den personuppgiftsansvarige en skyldighet att lämna viss information till de registrerade. Till följd av revisionsuppdraget, eventuella lagstadgade tilläggsuppdrag och revisionsrådgivning som kan hänföras till sådana uppdrag (gemensamt benämnt "revisionsuppdraget") kommer personuppgifter att behandlas av revisionsbyrån och dess eventuella nätverksbyråer. Av denna anledning lämnas följande information.

Revisionsbyråns behandling av personuppgifter

Revisionsbyrån behöver ha tillgång till vissa personuppgifter för att kunna utföra revisionsuppdraget i enlighet med tillämpliga lagar och andra författningar, god revisionssed och yrkesetiken för revisorer i Sverige.

Revisionsbyrån kommer att behandla personuppgifter som erhållits från revisionsklienten, dess koncernbolag (om tillämpligt) eller annan enhet, till exempel Skatteverket eller Bolagsverket eller allmänt tillgängliga källor, för att utföra och dokumentera revisionsuppdraget. Personuppgifterna kommer att behandlas i enlighet med tillämplig lag. Sådan behandling är nödvändig för att fullgöra rättsliga förpliktelser som åvilar revisionsbyrån, eller en revisor inom byrån, som har åtagit sig att utföra revisionsuppdraget.

För dessa ändamål kommer revisionsbyrån att behandla information som kan innehålla personuppgifter, t.ex. lönefiler, styrelseprotokoll och andra handlingar som rör revisionsklientens verksamhet och eventuella koncernbolag till den senare. De kategorier av personuppgifter som kan komma att behandlas är bl.a:

  1. kontaktuppgifter såsom namn, adress, telefonnummer och e-postadress,
  2. uppgifter om anställning och anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
  3. uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet och föräldraledighet,
  4. facklig tillhörighet,
  5. personnummer/samordningsnummer,
  6. Uppgifter om ekonomiska förhållanden, t.ex. bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter och registreringsnummer för en tjänstebil,
  7. uppgifter om försäkringar eller pensioner, eller
  8. andra kategorier av personuppgifter som kan bli nödvändiga till följd av granskningen, i enlighet med god revisionssed och yrkesetiska regler för revisorer.

Revisionsbyrån kommer även att behandla vissa personuppgifter för att utföra oberoende- och kvalitetskontroller, kontroll av intressekonflikter, åtgärder enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism och riskhanteringsåtgärder (såsom försäkringsärenden) samt för att utföra intern finansiell rapportering. Revisionsbolaget har också vissa skyldigheter enligt tillämplig lag att lämna information till myndigheter eller annan extern part (till exempel en ny revisor). Behandlingen av personuppgifter för de ändamål som anges i denna punkt är nödvändig för att Revisionsbyrån ska kunna fullgöra en rättslig förpliktelse. När det gäller riskhanteringsåtgärder är behandlingen nödvändig för Revisionsbyråns berättigade intresse av att hantera risker och eventuella krav.

Revisionsbyrån kan även komma att behandla kontaktuppgifter till anställda hos revisionsklienten och dess koncernbolag (i förekommande fall) för att tillhandahålla information om seminarier och andra evenemang som Revisionsbyrån anordnar för att skicka nyhetsbrev och annat marknadsföringsmaterial. Behandling för sådana ändamål är nödvändig för Revisionsbyråns berättigade intresse av att kunna nå ut till anställda hos kunder som kan vara intresserade av evenemang, marknadsföring och nyheter inom områden som är relevanta för dessa personers befattningar.

Överföring till tredje land

Personuppgifter kan komma att behandlas av revisionsbyråns nätverksbyråer och andra enheter som revisionsbyrån anlitar i syfte att för revisionsbyråns räkning utföra de åtgärder som avses ovan; de kan vara baserade inom eller utanför EU/EES. Vid överföring av personuppgifter för behandling i ett land utanför EU/EES som inte garanterar en adekvat skyddsnivå ansvarar revisionsbyrån för att personuppgifterna omfattas av lämpliga skyddsåtgärder [t.ex. genom standardiserade dataskyddsbestämmelser som antagits av Europeiska kommissionen enligt artikel 46 i den allmänna dataskyddsförordningen, [1]] och under förutsättning att det finns verkställbara rättigheter för registrerade och effektiva rättsmedel för registrerade.

Mottagare av informationen

Revisionsföretaget är skyldigt att se till att den information som behandlas med anledning av revisionsuppdraget inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt. Endast de personer som ingår i revisionsteamet eller som konsulteras av revisionsteamet kommer att ha tillgång till personuppgifterna.

Revisionsbyrån kan komma att lämna ut personuppgifterna till nätverksföretag för ändamål som rör utförandet av tjänsterna och i övrigt för de ändamål som anges i detta dokument. Revisionsbyrån kan även komma att lämna ut personuppgifter till annan mottagare om sådan skyldighet föreligger enligt tillämpliga lagar och förordningar, yrkesmässig förpliktelse eller myndighetsbeslut (exempelvis till ny revisor).

Säkerhet vid behandling av personuppgifter

De åtgärder och granskningar som utförs inom ramen för revisionsuppdraget omfattas av en lagstadgad tystnadsplikt, vilket innebär att även personuppgifter som behandlas inom ramen för revisionsuppdraget och för andra angivna ändamål omfattas av sådan tystnadsplikt. Revisionsbyrån säkerställer att de personuppgifter som behandlas skyddas genom nödvändiga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas art och känslighet. Revisionsbyråns system och organisation är utformade så att obehöriga inte har tillgång till de personuppgifter som behandlas med anledning av revisionsuppdraget.

Lagring av personuppgifter

Personuppgifterna kommer att behandlas under den tid som behövs för att utföra revisionsuppdraget och uppgifterna kommer därefter att sparas för att dokumentera revisionsuppdraget i minst tio år från utgången av det räkenskapsår då granskningen avslutades i enlighet med tillämpliga lagar och regler, god revisionssed och yrkesetiken för revisorer i Sverige.

Den registrerades rättigheter

Den registrerade har rätt att i vissa fall begära tillgång till och rättelse eller radering av sina personuppgifter samt rätt att begära begränsning av eller invända mot behandling. Den registrerade har också rätt att lämna in klagomål till en tillsynsmyndighet avseende behandlingen. En revision innebär att revisionsklientens information för ett visst räkenskapsår granskas vid vissa tidpunkter under detta år och under en viss tid därefter, vilket innebär att uppdatering/rättelse av personuppgifter inte kommer att vara aktuellt i denna typ av uppdrag efter det att revisionsåtgärden har utförts. Vidare omfattas den information och de uppgifter som revisorn tar del av inom ramen för revisionsuppdraget av en lagstadgad tystnadsplikt, vilket innebär att revisionsbolaget normalt inte får röja sådan information. Därutöver är revisionsbolaget skyldigt att dokumentera utförda revisionsuppdrag och bevara dokumentationen i minst tio år från utgången av det räkenskapsår då granskningen avslutades, vilket innebär att det inte är tillåtet att i förväg ändra/radera personuppgifter som ingår i sådan dokumentation. Av nämnda skäl är det inte heller möjligt för revisionsbolaget/revisorn att på begäran av den registrerade begränsa eller inskränka den behandling av personuppgifter som sker med anledning av revisionsuppdraget. När det gäller revisionsbyråns behandling av personuppgifter för marknadsföringsändamål har den registrerade dock rätt att begära radering, rättelse och begränsning samt att invända mot behandling av sina personuppgifter för sådana ändamål.

[1] Kommentar: Dessa finns tillgängliga på https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.

Information om behandling av personuppgifter i arkivsystem för acceptans och hantering av klienter och uppdrag

Bakgrund

Vid behandling av personuppgifter har den personuppgiftsansvarige en skyldighet att lämna viss information till de registrerade. Som en följd av uppdraget kommer personuppgifter att behandlas av revisionsbyrån/uppdragstagaren och av dess eventuella nätverksbyråer. Av denna anledning lämnas följande information.

Revisionsbyråns/uppdragstagarens behandling av personuppgifter

Revisionsbyrån/uppdragstagaren kommer att behandla personuppgifter i enlighet med tillämplig lag. De personuppgifter som kommer att behandlas inhämtas från kunden, dess koncernbolag (i förekommande fall) eller annan enhet, exempelvis Skatteverket, Bolagsverket eller allmänt tillgängliga källor och avser behöriga företrädare och andra personer vars personuppgifter behövs för att hantera kundrelationen och verklig huvudman. Personuppgifterna behandlas inför antagande av klienter och/eller uppdrag och till följd av uppdragets utförande för att vidta [oberoende-], kvalitets- och intressekonfliktskontroller, åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ("penningtvättslagen") samt för att dokumentera vidtagna åtgärder. Sådan behandling är nödvändig för att fullgöra de rättsliga förpliktelser som åvilar revisionsbyrån, eller en lagstadgad revisor inom byrån/uppdragstagaren] [som] har åtagit sig att utföra uppdraget [och är nödvändig för uppdragstagarens berättigade intresse av att fullgöra sina yrkesmässiga skyldigheter]. Revisionsbyrån/uppdragstagaren kan även komma att behandla personuppgifter för andra riskhanteringsåtgärder (t.ex. försäkringsärenden) och för att utföra intern finansiell rapportering. Denna behandling är nödvändig för revisionsbyråns/uppdragstagarens berättigade intresse av att hantera risker och eventuella anspråk.

De kategorier av personuppgifter som kan komma att behandlas för ovan nämnda ändamål är kontaktuppgifter såsom namn, adress, personnummer/samordningsnummer, telefonnummer, e-postadress samt uppgift om avdelningstillhörighet och befattning. I samband med registrering av kunden kan revisionsbolaget/uppdragstagaren även komma att behandla kopior av identitetshandlingar för de personer som företräder kunden inom ramen för de åtgärder för kundkännedom som vidtas enligt penningtvättslagen.

Revisionsbyrån/uppdragstagaren kan även komma att behandla personuppgifter såsom namn, avdelningstillhörighet, befattning och e-postadresser för att informera om seminarier och andra evenemang som Revisionsbyrån/uppdragstagaren anordnar samt för att skicka nyhetsbrev och annat marknadsföringsmaterial. Behandlingen för sådana ändamål är nödvändig för revisionsbyråns/uppdragstagarens berättigade intresse av att kunna nå ut till anställda hos klienter som kan vara intresserade av evenemang, marknadsföring och nyheter inom områden som är relevanta för dessa personers befattningar.

Överföring till tredje land

Personuppgifter kan komma att behandlas av revisionsbyråns/uppdragstagarens nätverksföretag och andra enheter som anlitas av revisionsbyrån/uppdragstagaren i syfte att för revisionsbyråns/uppdragstagarens räkning utföra de åtgärder som avses ovan; de kan vara baserade inom eller utanför EU/EES. Vid överföring av personuppgifter för behandling i ett land utanför EU/EES som inte garanterar en adekvat skyddsnivå ansvarar revisionsbyrån/uppdragstagaren för att personuppgifterna omfattas av lämpliga skyddsåtgärder [t.ex. genom standardiserade dataskyddsbestämmelser som antagits av Europeiska kommissionen enligt artikel 46 i den allmänna dataskyddsförordningen[1],] och under förutsättning att det finns verkställbara rättigheter för registrerade och effektiva rättsmedel för registrerade.

Mottagare av informationen

Revisionsföretaget/uppdragstagaren är skyldig att se till att den information som behandlas med anledning av uppdraget inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt.

Revisionsbyrån/uppdragstagaren kan komma att lämna ut personuppgifter till nätverksföretag eller annan enhet som anlitas av revisionsbyrån/uppdragstagaren i syfte att kontrollera och upprätthålla revisionsbyråns/uppdragstagarens opartiskhet och självständighet, utföra kvalitetskontroller och vidta andra riskhanteringsåtgärder samt för att skicka inbjudningar till evenemang och annat marknadsföringsmaterial. Revisionsbyrån/uppdragstagaren kan även komma att lämna ut personuppgifter till försäkringsbolag eller juridiska ombud i samband med ett rättsligt förfarande i den utsträckning det krävs för att Revisionsbyrån/uppdragstagaren ska kunna tillvarata sina rättsliga intressen eller till annan mottagare om sådan skyldighet föreligger enligt tillämpliga lagar och förordningar, yrkesmässig förpliktelse eller myndighetsbeslut.

Säkerhet vid behandling av personuppgifter

Revisionsbyrån/uppdragstagaren ansvarar enligt tillämplig lag för att de personuppgifter som behandlas skyddas genom nödvändiga tekniska och organisatoriska säkerhetsåtgärder, med beaktande av vad som är lämpligt med hänsyn till personuppgifternas art och känslighet. Revisionsbyråns/uppdragstagarens system och organisation är utformade så att obehöriga inte får tillgång till de personuppgifter som behandlas med anledning av uppdraget.

Lagring av personuppgifter

Personuppgifterna kommer inte att behandlas under längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka personuppgifterna behandlas.

Den registrerades rättigheter

Registrerade har rätt att i vissa fall begära att få information om huruvida personuppgifter som rör den registrerade behandlas och i så fall få tillgång till personuppgifterna i form av ett s.k. registerutdrag. Den registrerade har vidare ofta rätt att få felaktiga personuppgifter som rör honom eller henne rättade. Vidare kan den registrerade ha rätt att få sina personuppgifter raderade och rätt att begära att behandlingen av personuppgifter som rör den registrerade begränsas eller att invända mot sådan behandling. Den registrerade har också rätt att lämna in ett klagomål till en tillsynsmyndighet avseende behandlingen.

När det gäller personuppgifter som behandlas i samband med antagande av klienter och uppdrag och som en följd av uppdraget är revisionsföretaget/uppdragstagaren skyldigt att bevara dokumentation i detta avseende i minst tio år. Detta innebär att det inte är tillåtet att i förväg radera personuppgifter som ingår i sådan dokumentation och ibland inte heller att rätta uppgifterna. Av nämnda skäl är det inte möjligt för [revisionsbyrån/uppdragstagaren] att i sådana fall på begäran av en registrerad begränsa eller inskränka behandlingen av personuppgifter. När det gäller revisionsbyråns/uppdragstagarens behandling av personuppgifter för marknadsföringsändamål har den registrerade dock rätt att begära radering, rättelse och begränsning samt att invända mot behandling av sina personuppgifter för sådana ändamål.

[1] Kommentar: Dessa finns tillgängliga på https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en.