Denne erklæringen ble sist oppdatert 5. mai 2022.
Riktig behandling av forretningsinformasjon og personopplysninger er svært viktig for PwC. Våre interne rutiner for prosessering av personopplysninger er laget for å kunne etterleve relevant lovgivning. De norske PwC selskapene inngår i PwC nettverket, som er et globalt nettverk av juridisk uavhengige selskaper. Gjennom PwC nettverket er vi også bundet av nettverkets interne standarder for behandling av forretningsinformasjon og personopplysninger. Vi tillater kun behandling av personopplysninger hvor vi har et legitimt formål og et rettslig grunnlag for dette.
Overføringer av personopplysninger mellom selskaper i PwC nettverket reguleres av en Intra Network Transfer Agreement. En slik avtale har vært i kraft siden 2007, og PwC oppdaterer avtalen i henhold til den til enhver tid gjeldende lovgivning, senest i 2021 hvor oppdaterte EU Standard Contractual Clauses ble inntatt.
Alle ansatte i PwC undertegner en årlig erklæring for datadisiplin, og det fremgår at brudd på reglene kan få følger for ansettelsesforholdet. Videre gjennomfører vi også regelmessig opplæring på informasjonssikkerhet og personvern for våre ansatte.
I PwC har vi lang erfaring med behandling av personopplysninger for klienter som har svært strenge krav til internkontroll rundt behandling av forretningsinformasjon og personopplysninger.
Vi samler inn personopplysninger i forbindelse med
utførelse av våre oppdrag, inkludert revisjonstjenester, regnskapsføring, advokatoppdrag og ulike konsulent- og rådgivningsoppdrag
kundekontroll og rapportering av mistanke etter hvitvaskingsloven
kundekontakt og markedsføring
Vi er behandlingsansvarlig etter personvernreglene når vi behandler personopplysninger i forbindelse med revisjonstjenester, utøvelse av advokatoppdrag, utarbeidelse av årsregnskap og skattemelding for egne revisjonsklienter og attestasjonstjenester. Vi er normalt behandlingsansvarlig på due diligence-oppdrag, granskingsoppdrag og internrevisjonsoppdrag. Som behandlingsansvarlig er vi ansvarlig for å etterleve kravene i personvernreglene som gjelder ved vår behandling av dine personopplysninger, herunder at du får ivaretatt dine rettigheter.
I enkelte tilfeller er vi imidlertid databehandler for vår kunde. Det vil si at vi behandler dine personopplysninger på vegne av vår oppdragsgiver (behandlingsansvarlig). Dette gjelder for de fleste konsulent- og rådgivningsoppdrag mv. hvor det er vår oppdragsgiver (behandlingsansvarlig) som avgjør hvilke opplysninger vi skal behandle. I disse tilfellene vil vi inngå en databehandleravtale med vår oppdragsgiver (den behandlingsansvarlige). I slike tilfeller behandler vi dine personopplysninger i samsvar med databehandleravtalen.
Du kan utøve dine rettigheter ved å kontakte vårt personvernombud. Se kontaktopplysninger nederst i denne erklæringen. Du skal få svar uten ugrunnet opphold, og senest innen 30 dager.
Nedenfor informerer vi om hvordan vi ivaretar de rettighetene som er mest aktuelle for vår virksomhet.
Enhver som ber om det har krav på å få vite hva slags behandling av personopplysninger vi foretar, samt grunnleggende informasjon om behandlingen. Slik informasjon er gitt i denne personvernerklæringen. Vi kan imidlertid avvise åpenbart grunnløse eller overdrevne anmodninger, jf. personvernforordningen artikkel 12 nr. 5.
Når du ber om innsyn vil vi vurdere om vi kan gi innsyn uten hinder av vår lovbestemte taushetsplikt, og i tilfelle informere om personopplysninger som er behandlet. Vi er underlagt lovbestemt taushetsplikt blant annet med hjemmel i revisorloven og for advokatoppdrag vil også advokaters taushetsplikt begrense mulighetene for å få innsyn i opplysninger vi behandler om deg som også gjelder andre. Det kan også nektes innsyn i interne dokumenter så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser, jf. også personopplysningsloven § 16 første ledd bokstav e.
Du har rett til å få slettet opplysninger om deg selv som ikke lenger er nødvendige for å følge opp oppdraget forsvarlig og som vi ikke har lovbestemt plikt til å oppbevare. Vi kan imidlertid ha en berettiget interesse i å beholde opplysninger utover dette hvis det er nødvendige for å forsvare oss mot erstatningskrav eller anklager, jf. personvernforordningen artikkel 6 nr. 1 bokstav f.
Dersom vi behandler personopplysninger om deg som er uriktige eller ufullstendige, kan du innenfor de begrensninger som er fastsatt i personvernreglene og annen lovgivning kreve å få rettet personopplysningene.
Ta kontakt med vårt personvernombud hvis du mener vi ikke overholder personvernreglene.
Du kan også klage over vår behandling av personopplysninger til Datatilsynet.
Vi har rutiner for å sikre konfidensialitet og integritet i våre kunders data. Sikringsmekanismene inkluderer rolle- og tilgangsstyring og krav til innebygd personvern i våre IT-systemer. Når materiale som inneholder sensitive personopplysninger overføres elektronisk til eller fra oss, skal opplysningene alltid sikres mot innsyn ved hjelp av kryptering. Med sensitive personopplysninger menes såkalte særlige kategorier av personopplysninger, fødselsnummer og opplysninger om straffbare forhold og lovovertredelser.
Vi er underlagt taushetsplikt etter revisorloven om alt vi blir kjent med i vår virksomhet, både i forbindelse med lovregulerte oppdrag og andre oppdrag. Straffeloven § 211 pålegger videre advokater taushetsplikt for opplysninger betrodd dem i anledning stillingen eller oppdraget. Advokatforskriftens kapittel 12 (regler for god advokatskikk) pålegger dessuten advokater taushetsplikt også for opplysninger advokaten blir kjent med i sitt virke som advokat, selv om de ikke er omfattet av lovbestemt taushetsplikt.
Det gjelder enkelte unntak fra taushetsplikten, se nedenfor om overføring av personopplysninger som følge av lov.
Etter revisorloven og forskrift til revisorloven skal vi oppbevare dokumentasjonen vår på en ordnet og betryggende måte sikret mot ødeleggelse, tap og endring, i minst fem år. Etter hvitvaskingsloven skal vi oppbevare opplysninger og dokumenter som er benyttet til kundekontroll eller undersøkelse av mistenkelige transaksjoner etter hvitvaskingsloven i fem år etter at kundeforholdet eller transaksjonen er avsluttet. PwC har i tillegg behov for å beholde dataene i en periode for å kunne imøtegå eventuelle erstatningskrav eller andre anklager. Basert på foreldelsesfristen er den ordinære oppbevaringstid derfor satt til 11 år. Det vil si 10 år etter avsluttet oppdrag, samt ett år til å gjennomføre sletting.
Lagring av kundedata, herunder personopplysinger, skjer i all hovedsak innenfor EU/EØS. Imidlertid kan data overføres til tredjeland ved at personell utenfor EU får tilgang til personopplysninger. Dette vil primært skje ved behov for support som ikke kan løses av vår interne IT-avdeling, hvor tilgang til personopplysninger er nødvendig for å løse problemet. Slike overføringer beskyttes av EU Standard Contractual Clauses, jf. personvernforordningen artikkel 46.2.c.
For kunder som er en del av en internasjonal virksomhet, kan det være nødvendig å overføre personopplysninger til et annet land. Hvis overføringen ikke skjer til et EØS-land eller et land godkjent av EU-kommisjonen, skjer overføringen basert på standard personvernbestemmelser vedtatt av EU-kommisjonen eller bindende virksomhetsregler for et konsern eller gruppe av foretak.
PwC er i en del tilfeller lovpålagt å overføre opplysninger til andre myndigheter. Slike overføringer vil kunne inneholder personopplysninger. Som eksempler på slike lovpålagte overføringer vises det til at:
Revisorer, advokater, regnskapsførere og de myndigheter som er nevnt her, er underlagt lovbestemt taushetsplikt.
Vi bruker tjenesteleverandører til å drifte våre informasjonssystemer og lagre data for oss. Det inkluderer behandling av personopplysninger slik det er beskrevet i punkt 5 ovenfor. Vi har databehandleravtaler med alle tjenesteleverandører som behandler personopplysninger på vegne av oss.
PwC behandler kundekontaktinformasjon om alle våre kunder. Dette er informasjon om våre kunders navn, adresse, telefonnummer, epostadresse og stilling hos kunden. PwC er behandlingsansvarlig for disse opplysningene. Vi registrerer opplysningene i vårt klientregister. Opplysningene mottas vanligvis fra kunden selv, men kan også komme fra eksterne kilder, slik som offentlig tilgjengelig informasjon. Opplysningene brukes for å utføre risiko og uavhengighetskontroller, for styring av oppdraget og for markedsføring og forbedring av våre tjenester.
PwC behandler kontaktinformasjon til markedskontakter. Dette er informasjon om navn, e-postadresse, arbeidsgiver, og telefonnummer. PwC er behandlingsansvarlig for disse opplysningene. Opplysningene registreres i vårt markedssystem. Opplysningene mottas normalt fra markedskontakten selv, gjennom registrering til events og nyhetsbrev. Opplysningene brukes for å reklamere til våre nyhetsbrev og events, men også for å tilpasse vår markedsføring til å bli mer relevant. Behandlingsgrunnlaget for denne behandlingen er PwCs berettigede interesse i å markedsføre våre tjenester, og å gjøre vår markedsføring mer relevant for mottager.
Se for øvrig egen personvernerklæring knyttet til den behandling av personopplysninger som skjer via våre hjemmesider.
PwC behandler personopplysninger i forbindelse med utførelsen av våre oppdrag, for eksempel i tilfeller hvor en del av oppdraget innebærer behandling av personopplysninger. Det vil avhenge av oppdraget hva slags personopplysninger dette er. Normalt vil disse personopplysningene mottas fra vår kunde, men de kan også komme fra eksterne kilder, slik som offentlige portaler, dersom vi har tillatelse til å benytte dette. Denne oppdragsdokumentasjonen inneholder i hovedsak bedriftsrelaterte opplysninger. Den vil imidlertid også inneholde enkelte personopplysninger i den grad dette er nødvendig for oppdraget. Dette kan f.eks. være:
Navn og stillingsbetegnelse mv. på personer som vi har innhentet opplysninger fra i forbindelse med oppdraget.
Opplysninger om lønns- og arbeidsforhold til ansatte hos selskapet vi reviderer.
Vurderinger av kompetansen og integriteten til personer som har ansvar for regnskapet eller andre forhold som vi skal bekrefte.
Det vil også kunne inkludere særlige kategorier av personopplysninger eller øvrige sensitive opplysninger dersom det er nødvendig for gjennomføring av oppdraget. F.eks. vil det kunne behandles opplysninger om enkeltpersoners lovovertredelser, herunder straffbare forhold dersom revisjonen skulle avdekke slike forhold.
Gjennom hvitvaskingsloven er vi pålagt å utføre kundekontroll av alle våre kunder. I den forbindelse skal vi bekrefte identiteten til den som handler på vegne av kunden og reelle rettighetshavere som i siste hånd kontrollerer selskapet/kunden. Vi skal registrere opplysninger om disse personene, inkludert kopi av legitimasjonsdokumenter som er benyttet for å bekrefte identiteten.
Gjennom hvitvaskingsloven er vi også pålagt å rapportere mistanke om hvitvasking og terrorfinansiering til Økokrim. Meldinger til Økokrim om mistenkelige transaksjoner skal ha med alt vi er kjent med om forholdet som har medført mistanke, inkludert om involverte personer. Slike meldinger er unntatt innsyn for de involverte.
PwC i Norge består av de tre selskapene PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS eller PwC Tax Services AS. Hvilket selskap som er behandlingsansvarlig for den aktuelle behandling av personopplysninger vil avhenge av oppdragets karakter.
Dersom du har spørsmål til eller klager som gjelder denne personvernerklæringen eller måten dine personopplysninger er behandlet på, eller du ønsker å utøve en av dine rettigheter angitt ovenfor, vennligst kontakt oss via kontaktskjema;
pr. e-post til no_personvern@pwc.com
eller pr. post:
PwC
Att: Office of General Counsel (OGC)
Postboks 748 Sentrum, 0106 Oslo
Senior Manager | Legal Counsel og personvernrådgiver, PwC Norway
Tlf: 471 71 972