Privacy policy

Information om behandling av personuppgifter i samband med revisionsuppdrag

Bakgrund

När personuppgifter behandlas har den personuppgiftsansvarige en skyldighet att lämna viss information till de registrerade. Med anledning av revisionsuppdraget, eventuella lagstadgade tilläggsuppdrag och revisionsrådgivning som kan hänföras till sådana uppdrag (gemensamt benämnda ”Revisionsuppdraget”) kommer personuppgifter att behandlas av Ernst & Young AB (”EY”) och dess nätverksbyråer. EY är personuppgiftsansvarig vid sådan behandling och av denna anledning lämnas följande information.

Revisionsbyråns behandling av personuppgifter
Personuppgifter behandlas inför antagandet av kunder och/eller uppdrag, för att kontrollera EYs och dess revisorers opartiskhet och självständighet, för att vidta kvalitetskontroller, kontroll av intressekonflikter, åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (”penningtvättslagen”) samt för att dokumentera vidtagna åtgärder. Sådan behandling är nödvändig för att fullgöra de rättsliga förpliktelser som åvilar EY, eller inom EY personvald revisor/uppdragstagare som åtagit sig att utföra ett revisionsuppdrag och är även nödvändig för EYs/uppdragstagarens berättigade intresse av att uppfylla dess professionella skyldighet. EY/uppdragstagaren kan även komma att behandla personuppgifter för andra riskhanteringsåtgärder (såsom exempelvis försäkringsärenden) samt för att utföra den egna interna finansiella redovisningen. Denna behandling är nödvändig för EYs berättigade intresse av att hantera risker och eventuella krav. EY är personuppgifts-ansvarig för de uppgifter som kommer att behandlas för dessa ändamål.

De kategorier av personuppgifter som kan komma att behandlas för ovan nämnda ändamål är bl.a. kontaktuppgifter som namn, adress, personnummer/samordningsnummer, telefon-nummer, e-postadress samt uppgifter om avdelningstillhörighet och befattning. I samband med registrering av kunder kan EY även komma att behandla kopior av identitetshandlingar för de personer som företräder uppdragsgivaren, uppgift om ägande eller annat inflytande över uppdragsgivaren vad avser verklig huvudman och andra uppgifter som erfordras inom ramen för de kundkännedomsåtgärder som ska vidtas i enlighet med penningtvättslagen.

EY behöver vidare ha tillgång till vissa personuppgifter för att kunna utföra Revisionsuppdraget i enlighet med tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige.

EY kommer att behandla personuppgifter som erhålls från revisionskunden, dess koncernbolag (om tillämpligt), eller annan, t.ex. Skatteverket eller Bolagsverket eller allmänt tillgängliga källor, för att utföra och dokumentera Revisionsuppdraget. Personuppgifterna kommer att behandlas i enlighet med gällande rätt. Sådan behandling är nödvändig för att fullgöra de rättsliga förpliktelser som åvilar EY, eller en inom byrån personvald revisor, som åtagit sig att utföra Revisionsuppdraget.

För dessa ändamål kommer EY att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till Revisions-kundens och dess eventuella koncernbolags verksamhet. De kategorier av personuppgifter som kan komma att behandlas är bl.a.

  1. kontaktuppgifter som namn, adress, telefonnummer och e-postadress,
  2. uppgifter om anställning som anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
  3. uppgifter om hälsa och frånvaro, t.ex. läkarintyg och uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
  4. facklig tillhörighet,
  5. personnummer/samordningsnummer,
  6. uppgifter om ekonomiska förhållanden som bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter och uppgift om registreringsnummer för tjänstebil,
  7. uppgifter om försäkringar och pension, eller
  8. andra kategorier av personuppgifter som behövs till följd av granskningen enligt god revisors- och god revisionssed.

EY kan även komma att behandla revisionskundens och dess koncernbolags (om tillämpligt) anställdas kontaktuppgifter för att informera om seminarier och andra event som EY anordnar samt för att skicka ut nyhetsbrev och annan marknadsföring av EY:s verksamhet. Behandling för dessa ändamål är nödvändig för EYs berättigade intresse av att kunna nå ut till anställda hos kunder som kan vara intresserade av event, marknadsföring och nyheter inom områden som är relevanta för dessa personers befattningar. Mer information om behandling av personuppgifter för marknadsföringsändamål (nyhetsbrev, inbjudningar till events odyl) återfinns på Ernst & Young AB:s hemsida www.ey.com/se under fliken Policy för personuppgiftsbehandling. 

Överföring till tredje land
Personuppgifter kan komma att behandlas av EYs nätverksbyråer och annan som anlitas av EY/ i syfte att utföra de åtgärder som omnämns ovan på EYs uppdrag; de kan vara baserade såväl inom som utanför EU/EES. Vid överföring av personuppgifter för behandling i ett land utanför EU/EES, som inte säkerställer en adekvat skyddsnivå, ansvarar EY för att personuppgifterna omfattas av lämpliga skyddsåtgärder och att överföringen sker på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga. Överföring av personuppgifter inom EYs nätverk omfattas av EYs bindande företagsinterna regler (Eng: Binding Corporate Rules, som finns förtecknade på Ernst & Young AB: hemsida www.ey.com/se).

Mottagare av informationen
EY är skyldig att tillse att den information som behandlas med anledning av Revisions-uppdraget inte blir tillgänglig för obehöriga, vilket innebär att personuppgifter kommer att behandlas konfidentiellt. Endast de personer som ingår i revisionsteamet eller som konsulteras av revisionsteamet kommer att ha tillgång till personuppgifterna, med undantag för det som anges nedan.

EY kan komma att lämna ut personuppgifterna till nätverksbyråer för syften hänförliga till utförandet av tjänsterna och i övrigt för de syften som anges i detta dokument. EY kan även komma att lämna ut personuppgifterna till annan mottagare om sådan skyldighet föreligger enligt gällande lagar och regler, professionell skyldighet eller myndighetsbeslut (t.ex. till ny revisor, en tillsynsmyndighet). Behandlingen av personuppgifter för dessa ändamål är nödvändig för att EY ska fullgöra en rättslig förpliktelse. EY kan även komma att lämna ut personuppgifterna till försäkringsbolag eller juridiska rådgivare i samband med ett rättsligt förfarande i den mån det krävs för att EY ska kunna ta tillvara sina rättmätiga intressen.

Säkerhet vid behandling av personuppgifter
De åtgärder och granskningar som utförs inom ramen för Revisionsuppdraget omfattas av lagstadgad tystnadsplikt, vilket innebär att även personuppgifter som behandlas inom ramen för Revisionsuppdraget och för andra angivna ändamål omfattas av sådan tystnadsplikt. EY tillser att de personuppgifter som behandlas skyddas genom erforderliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas karaktär och känslighet. EYs system och organisation är ordnade så att obehöriga personer inte har tillgång till de personuppgifter som behandlas med anledning av Revisionsuppdraget.

Lagring av personuppgifter
Personuppgifterna kommer att behandlas under den tid som behövs för att utföra Revisionsuppdraget och därefter sparas uppgifterna för att dokumentera Revisionsuppdraget under tio år från utgången av det kalenderår då granskningen avslutades i enlighet med tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige.

Rättigheter såsom registrerad
Registrerade har i vissa fall rätt att begära tillgång till och rättelse eller radering av sina personuppgifter och rätt att begära begränsning av eller invända mot behandlingen av sina personuppgifter. Registrerade har också rätt att inge klagomål till en tillsynsmyndighet om behandlingen. En revision innebär att den information som granskas för ett visst räkenskapsår, baseras på information som den såg ut vid vissa tidpunkter under detta år och under viss tid därefter. Detta innebär att en uppdatering/rättelse av personuppgifter inte blir aktuell efter det att revisionsåtgärden har vidtagits. Vidare så omfattas den information och de uppgifter som revisorn tar del av inom ramen för Revisionsuppdraget av lagstadgad tystnadsplikt, vilket innebär att EY normalt sett inte får lämna ut sådan information. Därtill är EY skyldig att dokumentera utförda revisionsuppdrag och bevara dokumentationen under minst tio år från utgången av det kalenderår då granskningen avslutades, vilket medför att det inte är tillåtet att ändra/radera personuppgifter som ingår i sådan dokumentation dessförinnan. Av nämnda skäl är det inte heller möjligt för EY/revisorn att på begäran från en registrerad begränsa eller inskränka eventuell behandling av personuppgifter som sker med anledning av Revisionsuppdraget. När det gäller EYs personuppgiftsbehandling för marknadsförings-ändamål har registrerade dock rätt att begära radering, rättelse, begränsning och att invända mot behandling av sina personuppgifter för sådana ändamål. Mer information om behandling av personuppgifter för marknadsföringsändamål odyl finns på Ernst & Young AB:s hemsida www.ey.com/se under fliken Legala frågor och integritet.