Personvernerklæring for oppdrag

Denne erklæringen ble sist oppdatert 5. mai 2022.

 

 

Riktig behandling av forretningsinformasjon og personopplysninger er svært viktig for PwC. Våre interne rutiner for prosessering av personopplysninger er laget for å kunne etterleve relevant lovgivning. De norske PwC selskapene inngår i PwC nettverket, som er et globalt nettverk av juridisk uavhengige selskaper. Gjennom PwC nettverket er vi også bundet av nettverkets interne standarder for behandling av forretningsinformasjon og personopplysninger. Vi tillater kun behandling av personopplysninger hvor vi har et legitimt formål og et rettslig grunnlag for dette. 

Overføringer av personopplysninger mellom selskaper i PwC nettverket reguleres av en Intra Network Transfer Agreement. En slik avtale har vært i kraft siden 2007, og PwC oppdaterer avtalen i henhold til den til enhver tid gjeldende lovgivning, senest i 2021 hvor oppdaterte EU Standard Contractual Clauses ble inntatt. 

Alle ansatte i PwC undertegner en årlig erklæring for datadisiplin, og det fremgår at brudd på reglene kan få følger for ansettelsesforholdet. Videre gjennomfører vi også regelmessig opplæring på informasjonssikkerhet og personvern for våre ansatte.

I PwC har vi lang erfaring med behandling av personopplysninger for klienter som har svært strenge krav til internkontroll rundt behandling av forretningsinformasjon og personopplysninger.

 

Når samler vi inn personopplysninger? 

Vi samler inn personopplysninger i forbindelse med

  • utførelse av våre oppdrag, inkludert revisjonstjenester, regnskapsføring,  advokatoppdrag og ulike konsulent- og rådgivningsoppdrag 

  • kundekontroll og rapportering av mistanke etter hvitvaskingsloven

  • kundekontakt og markedsføring

Behandlingsansvarlig og databehandler

Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger i forbindelse med revisjonstjenester, utøvelse av advokatoppdrag, utarbeidelse av årsregnskap og skattemelding for egne revisjonsklienter og attestasjonstjenester. Vi er normalt behandlingsansvarlig på due diligence-oppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som behandlingsansvarlig er vi ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine personopplysninger, herunder at du får ivaretatt dine rettigheter.

I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for de fleste konsulent- og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige). I slike tilfeller behandler vi dine personopplysninger i samsvar med databehandleravtalen.

 

Dine rettigheter

Du kan utøve dine rettigheter ved å kontakte vårt personvernombud. Se kontaktopplysninger nederst i denne erklæringen. Du skal få svar uten ugrunnet opphold, og senest innen 30 dager. 

Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår virksomhet.

Innsyn

Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne personvernerklæringen. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger, jf. personvernforordningen artikkel 12 nr. 5. 

Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysninger som er behandlet. Vi er underlagt lovbestemt taushetsplikt blant annet med hjemmel i revisorloven og for advokatoppdrag vil også advokaters taushetsplikt begrense mulighetene for å få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det kan også nektes innsyn i interne dokumenter så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser, jf. også personopplysningsloven § 16 første ledd bokstav e. 

Sletting og retting

Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan imidlertid ha en berettiget interesse i å beholde opplysninger utover dette hvis det er nødvendige for å forsvare oss mot erstatningskrav eller anklager, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.

Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet personopplysningene.

Klage

Ta kontakt med vårt personvernombud hvis du mener vi ikke overholder personvernreglene.

Du kan også klage over vår behandling av personopplysninger til Datatilsynet.

 

Informasjonssikkerhet, taushetsplikt og oppbevaring

Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved hjelp av kryptering. Med sensitive personopplysninger menes såkalte særlige kategorier av personopplysninger, fødselsnummer og opplysninger om straffbare forhold og lovovertredelser.

Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet, både i forbindelse med lovregulerte oppdrag og andre oppdrag. Straffeloven § 211 pålegger videre advokater taushetsplikt for opplysninger betrodd dem i anledning stillingen eller oppdraget. Advokatforskriftens kapittel 12 (regler for god advokatskikk) pålegger dessuten advokater taushetsplikt også for opplysninger advokaten blir kjent med i sitt virke som advokat, selv om de ikke er omfattet av lovbestemt taushetsplikt.

Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.

Etter revisorloven og forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet og betryggende måte sikret mot ødeleggelse, tap og endring, i minst fem år. Etter hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonen er avsluttet. PwC har i tillegg behov for å beholde dataene i en periode for å kunne imøtegå eventuelle erstatningskrav eller andre anklager. Basert på foreldelsesfristen er den ordinære oppbevaringstid derfor satt til 11 år. Det vil si 10 år etter avsluttet oppdrag, samt ett år til å gjennomføre sletting.

 

 

Overføring av personopplysninger

Oppbevaring

Lagring av kundedata, herunder personopplysinger, skjer i all hovedsak innenfor EU/EØS. Imidlertid kan data overføres til tredjeland ved at personell utenfor EU får tilgang til personopplysninger. Dette vil primært skje ved behov for support som ikke kan løses av vår interne IT-avdeling, hvor tilgang til personopplysninger er nødvendig for å løse problemet. Slike overføringer beskyttes av EU Standard Contractual Clauses, jf. personvernforordningen artikkel 46.2.c.

For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av EU-kommisjonen eller bindende virksomhetsregler for et konsern eller gruppe av foretak.

Overføring av personopplysninger som følge av lov

PwC er i en del tilfeller lovpålagt å overføre opplysninger til andre myndigheter. Slike overføringer vil kunne inneholder personopplysninger. Som eksempler på slike lovpålagte overføringer vises det til at:

  • finanstilsynet har tilgang til vår dokumentasjon i forbindelse med tilsyn
  • revisorer eller regnskapsførere som utfører kvalitetskontroll hos oss, har tilgang til vår dokumentasjon 
  • vi er pålagt å rapportere mistenkelige transaksjoner til Økokrim, se punkt 6.4
  • politiet i visse tilfeller kana gis tilgang til dokumentasjon om det er påkrevd ved lov
  • vi kan bli pålagt å overføre informasjon til skattemyndighetene som kan inneholde personopplysninger, dersom det gjennomføres bokettersyn hos en kunde
  • vi kan ha plikt til å gi informasjon som kan inneholde personopplysninger til gjeldsnemnd, konkursbo eller bobestyrer i forbindelse med gjeldsforhandling eller konkurs
  • vi har alminnelig vitneplikt dersom vi blir innkalt som vitne i en rettssak. Dette gjelder såfremt det ikke gjelder forhold dekket av advokaters taushetsplikt.

Revisorer, advokater, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.

Vår bruk av databehandlere

Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Det inkluderer behandling av personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har databehandleravtaler med alle tjenesteleverandører som behandler personopplysninger på vegne av oss. 

 

 

Personopplysninger vi samler inn og hva vi bruker dem til

PwCs behandling av kundekontaktinformasjon

PwC behandler kundekontaktinformasjon om alle våre kunder. Dette er informasjon om våre kunders navn, adresse, telefonnummer, epostadresse og stilling hos kunden. PwC er behandlingsansvarlig for disse opplysningene. Vi registrerer opplysningene i vårt klientregister. Opplysningene mottas vanligvis fra kunden selv, men kan også komme fra eksterne kilder, slik som offentlig tilgjengelig informasjon. Opplysningene brukes for å utføre risiko og uavhengighetskontroller, for styring av oppdraget og for markedsføring og forbedring av våre tjenester. 

PwCs behandling av markedskontaktinformasjon

PwC behandler kontaktinformasjon til markedskontakter. Dette er informasjon om navn, e-postadresse, arbeidsgiver, og telefonnummer. PwC er behandlingsansvarlig for disse opplysningene. Opplysningene registreres i vårt markedssystem. Opplysningene mottas normalt fra markedskontakten selv, gjennom registrering til events og nyhetsbrev. Opplysningene brukes for å reklamere til våre nyhetsbrev og events, men også for å tilpasse vår markedsføring til å bli mer relevant. Behandlingsgrunnlaget for denne behandlingen er PwCs berettigede interesse i å markedsføre våre tjenester, og å gjøre vår markedsføring mer relevant for mottager. 

Se for øvrig egen personvernerklæring knyttet til den behandling av personopplysninger som skjer via våre hjemmesider.

PwCs behandling av oppdragsinformasjon

PwC behandler personopplysninger i forbindelse med utførelsen av våre oppdrag, for eksempel i tilfeller hvor en del av oppdraget innebærer behandling av personopplysninger. Det vil avhenge av oppdraget hva slags personopplysninger dette er. Normalt vil disse personopplysningene mottas fra vår kunde, men de kan også komme fra eksterne kilder, slik som offentlige portaler, dersom vi har tillatelse til å benytte dette. Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger i den grad dette er nødvendig for oppdraget. Dette kan f.eks. være:

  • Navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget.

  • Opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer.

  • Vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte.

  • Det vil også kunne inkludere særlige kategorier av personopplysninger eller øvrige sensitive opplysninger dersom det er nødvendig for gjennomføring av oppdraget. F.eks. vil det kunne behandles opplysninger om enkeltpersoners lovovertredelser, herunder straffbare forhold dersom revisjonen skulle avdekke slike forhold.

Plikter etter hvitvaskingsloven

Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden og reelle rettighetshavere som i siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.

Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om involverte personer. Slike meldinger er unntatt innsyn for de involverte.

 

Behandlingsansvarlige

PwC i Norge består av de tre selskapene PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS eller PwC Tax Services AS. Hvilket selskap som er behandlingsansvarlig for den aktuelle behandling av personopplysninger vil avhenge av oppdragets karakter.

 

Kontakt oss

Dersom du har spørsmål til eller klager som gjelder denne personvernerklæringen eller måten dine personopplysninger er behandlet på, eller du ønsker å utøve en av dine rettigheter angitt ovenfor, vennligst kontakt oss via kontaktskjema;

pr. e-post til no_personvern@pwc.com

eller pr. post:

PwC
Att: Office of General Counsel (OGC)
Postboks 748 Sentrum, 0106 Oslo 

 

 

Kontakt oss

Christina Kleven Jacobsen

Christina Kleven Jacobsen

General Counsel, PwC Norway

Tlf: 479 01 386

Bjørnar Buvig Holmedahl

Bjørnar Buvig Holmedahl

Senior Manager | Legal Counsel og personvernrådgiver, PwC Norway

Tlf: 471 71 972