KPMG Norge har en personvernansvarlig (Privacy Liaison). Denne rollen har ansvar for intern oppfølging og etterlevelse av personvernlovgivningen i virksomheten. Privacy Liaison nås gjennom e-postadressen: data-privacy-reporting@kpmg.no.
Generelt om personvern i KPMG
Oppdatert Mai 2025
1. Generelt om behandling av personopplysninger i KPMG Norge
Denne personvernerklæringen gjelder for alle datterselskap og avdelinger av KPMG Norge. Referanser til "KPMG", "oss" eller "vi" i denne erklæringen inkluderer alle datterselskap og avdelinger. Formålet med personvernerklæringen er å beskrive KPMG Norges behandling av personopplysninger på en åpen og transparent måte. Det skal være tydelig hvordan og hvorfor personopplysninger behandles i KPMGs virksomhet og hvilke rettigheter de registrerte har overfor selskapet.
Ved rekruttering gis informasjon om behandling av personopplysninger i stillingsannonsen.
KPMG legger stor vekt på å sikre trygg og konfidensiell behandling av personopplysninger – både når det gjelder kunder og ansatte. Behandlingen skal skje i tråd med gjeldene regelverk.
KPMG Norge tilbyr tjenester innen revisjon, rådgivning, regnskap, skatt, avgift og forretningsjus.
KPMG Norge håndterer oppdrag for selskaper/organisasjoner, myndigheter og privatpersoner. Blant kundene finner man flere av Norges største selskaper med både nasjonal og internasjonal virksomhet. I tillegg har KPMG en rekke kunder med sterk lokal tilknytning over hele landet, både børsnoterte og unoterte selskaper innen mange ulike bransjer.
I revisjonsvirksomheten har KPMG Norge et særlig samfunnsansvar. Formålet med den lovbestemte revisjonen er å kvalitetssikre og styrke tilliten i samfunnet til virksomheters finansielle økonomiske rapportering. Som revisjonsselskap er KPMG Norge underlagt omfattende regulatoriske krav og har flere lovbestemte forpliktelser.
Dette innebærer at KPMG Norge behandler personopplysninger i flere ulike sammenhenger. For å kunne levere tjenestene sine må KPMG håndtere personopplysninger både i forbindelse med oppdrag og engasjementer, samt gjennom samarbeid med andre KPMG-kontorer i Norge og internasjonalt. I tillegg behandles personopplysninger i forbindelse med markedsføringsaktiviteter, samt opplysninger knyttet til konsulenter, ansatte og tidligere ansatte.
Ytterligere informasjon om KPMG Norges virksomhet finnes blant annet i selskapets åpenhetsrapport. Denne er tilgjengelige på KPMGs nettside.
KPMG Norge er medlemsfirma av KPMG International Limited ("KPMG International"), ett av de ledende, globale nettverkene av revisjons- og rådgivningsfirmaer med virksomhet i et stort antall land. KPMG International driver ingen virksomhet ovenfor kunder, men er en paraplyorganisasjon for medlemsfirmaene i nettverket. Medlemsbedriftene er selvstendige og uavhengige selskap som arbeider lokalt over hele verden. Medlemsfirmaene har tilgang til felles ressurser, metoder og det internasjonale nettverkets samlede kunnskap og ekspertise
2. KPMGs personvernansvarlig
3. Nærmere om behandling av personopplysninger i KPMGs virksomhet
Avsnittene ovenfor inneholder generelle beskrivelser av virksomheten i KPMG Norge og hvordan KPMG Norge håndterer selskapets behandling av personopplysninger. I det følgende gis en beskrivelse av hvordan KPMG Norge håndterer personopplysninger i sentrale deler av sin virksomhet.
Innenfor rammen av virksomheten utfører KPMG Norge oppdrag i rollen som både behandlingsansvarlig og/eller som databehandler. KPMG Norge er behandlingsansvarlig for behandling av personopplysninger der selskapet selv bestemmer formålet med behandlingen.
Innenfor rammen av KPMGs oppdragsvirksomhet behandler KPMG personopplysninger med det formål å oppfylle forpliktelser som følger av inngåtte avtaler med kunder. Det rettslige grunnlagene for behandlingen i engasjementsvirksomheten er som regel at:
- behandlingen er nødvendig for å overholde en rettslig forpliktelse;
- behandlingen er nødvendig for å oppfylle en avtale med den registrerte;
- behandlingen er tillatt etter en interesseavveining der KPMGs (eller andres) legitime interesser avveies mot den registrertes rettigheter.
Interesseavveininger i oppdragsvirksomheten baseres på en avveining mellom KPMGs interesse i å kunne drive virksomhet og følge de forpliktelser som følger av avtalen med kundene, samt kundenes interesse av at KPMG skal kunne utføre oppdraget i forhold til de registrertes eventuelle motstående interesse for beskyttelse for sine personopplysninger. KPMGs oppdragsgivere har ofte en interesse av å kunne utnytte eksperthjelp i forbindelse med behov oppdragsgiver har, for eksempel å oppfylle sine rettslige forpliktelser eller avtale.
Personopplysninger som KPMG behøver for å kunne utføre oppdrag samles som utgangspunktet inn fra kunden selv, men kan også samles inn fra andre parter eller myndigheter, for eksempel Brønnøysundregistrene eller firmadatabaser.
Personopplysninger som samles inn for bruk i engasjementer kan være kontaktopplysninger, informasjon om ledere og annen informasjon om ansettelsesforhold, kunde- eller leverandørforhold. Personopplysninger kan, om nødvendig, utleveres i henhold til instruks fra kunden eller dersom det følger av engasjementet, for eksempel når engasjementet innebærer å utlevere visse personopplysninger til myndigheter.
De som behandler personopplysninger i KPMGs engasjementsvirksomhet er ansatte og konsulenter i KPMG og, i enkelte tilfeller, tredjepartsleverandører som deltar i engasjementet.
KPMG benytter også systemstøtte for å gjennomføre oppdrag, noe som innebærer at tjenesteleverandørene som tilbyr slik systemstøtte (for eksempel skytjnesteleverandører) behandler personopplysninger.
Revisjonsvirksomheten i KPMG har som formål å utføre og rapportere revisjonsoppdrag. KPMG fokuserer særlig på lovbestemt revisjon og tilleggsoppdrag som følger av lovbestemt revisjon, for eksempel å utføre gransking og avgi uttalelser i forbindelse med emisjon.
Behandling av personopplysninger ved revisjonsvirksomheten skjer for å gjennomføre og rapportere revisjon i samsvar med de lover og standarder som gjelder for oppdragene, samt i samsvar med god revisjons- og revisorskikk. Dette innebærer behandling av personopplysninger i planleggingsfasen, under selve revisjonen og ved rapportering av resultatene.
Eksempler på personopplysninger som behandles er kontaktinformasjon, opplysninger om styremøter og ledere, samt informasjon som er nødvendig for å vurdere selskapets økonomi og forvaltning. Dette kan inkludere personopplysninger om kundene til klienten vår, leverandørene deres og de ansatte. Personopplysninger behandles i de systemene som KPMG bruker for å utføre og dokumentere revisjonsoppdrag.
Det rettslige grunnlaget for behandlingen er at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (utførelse av lovpålagt revisjon eller lovpålagt tilleggstjeneste i henhold til gjeldende selskapslovgivning eller revisorloven). Det rettslige grunnlaget kan også være å utføre en oppgave av allmenn interesse, der revisorens gjennomgang og rapportering har en viktig funksjon i nasjonal økonomi.
Utover lovpålagt revisjon utfører KPMG Norge og KPMGs revisorer andre attestasjons- og revisjonsoppdrag på vegne av kunder. For å kunne utføre oppdraget vil det ofte være nødvendig å behandle personopplysninger.
Det rettslige grunnlaget for behandlingen av personopplysninger er lovkrav og/eller KPMGs legitime interesse i å utføre engasjementer i henhold til avtaler og gjeldende standarder, samt kundens og, der det er aktuelt, tredjeparts interesse i at KPMG skal gjennomføre engasjementet.
Regnskapsvirksomheten har til hensikt å bistå oppdragsgivere med bokføring, finansiell rapportering, lønnsadministrasjon og regnskapsrådgivning. Oppdragsgiverne gir KPMG dokumentasjon som kan inneholde personopplysninger for at KPMG skal kunne oppfylle sine forpliktelser etter avtalen med klienten som for eksempel dokumentasjon for lønnsutbetalinger, annen godtgjørelse og ytelser for ansatte samt dokumentasjon for klientens fakturering og betaling til leverandører.
Formålet med behandling av personopplysninger i regnskapsvirksomheten kommer frem av avtalen med oppdragsgiveren. I utgangspunktet er formålet ofte å bistå oppdragsgiverne med bokføring, finansiell rapportering og lønnsadministrasjon.
I tilfeller der KPMG er behandlingsansvarlig for behandlingen av personopplysninger knyttet til regnskapsengasjementet, er det rettslige grunnlaget for behandlingen lovkrav og/eller at KPMGs legitime interesse er å kunne drive sin regnskapsvirksomhet og oppfylle engasjementene i henhold til avtalene med klienten, samt klientens interesse i at KPMG skal kunne håndtere et klientbehov (for eksempel å vurdere kvalifiserte regnskapsspørsmål).
Rådgivningsvirksomheten har som formål å gi råd til selskap i ulike sammenhenger. Gjennomføring av oppdraget kan omfatte behandling av personopplysninger i ulike sammenhenger og i forskjellig omfang, for eksempel ved gjennomføring av internrevisjon eller intern økonomisk rapportering.
Personopplysninger behandles i de systemverktøyene som KPMG bruker for å gjennomføre og dokumentere oppdragene. Formålet med behandlingen av personopplysninger er å oppfylle de forpliktelsene som følger av oppdragsavtalen.
Når KPMG er behandlingsansvarlig for personopplysninger innenfor et rådgivningsoppdrag, baserer vi behandlingen på en interesseavveining. KPMGs legitime interesse i å levere tjenesten i tråd med avtalen, sammen med oppdragsgivers behov for å få oppdraget utført, veies opp mot de registrertes rett til vern av sine personopplysninger.
KPMGs rådgivningsvirksomhet gir rådgivning innenfor flere områder, blant annet knyttet til forretningsjuridiske problemstillinger, lovreguleringer, kontraktsrett, arbeidsrett, EU/EØS-rett, offentlige anskaffelser, skatt og avgift.
Utførelsen av et oppdrag kan kreve behandling av personopplysninger i varierende omfang, for eksempel ved skatterettslig bistand til oppdragsgivers ansatte eller annen trygde- og arbeidsrettslig rådgivning. Opplysningene behandles for å oppfylle forpliktelsene i oppdragsavtalen.
Når KPMG er behandlingsansvarlig i slike oppdrag, skjer behandlingen på grunnlag av en interesseavveining: KPMGs legitime interesse i å levere tjenesten i tråd med avtalen – sammen med oppdragsgivers behov for bistand – veies opp mot de registrertes rett til vern av sine personopplysninger.
KPMG må, i tråd med hvitvaskingsregelverket, gjennomføre identitetskontroller, vurdere eventuelle interessekonflikter mellom oppdragsgivere og sikre upartiskhet og uavhengighet overfor revisjonsklienter. Dokumentasjon innhentes fra potensielle og eksisterende oppdragsgivere samt andre kilder, for eksempel eksterne databaser. Slike kontroller innebærer behandling av personopplysninger om blant annet oppdragsgivernes representanter og deres bakgrunn, og utføres ved hjelp av dedikerte systemer og verktøy. Formålet er å sikre at KPMG etterlever gjeldende regelverk og unngår interessekonflikter mellom oppdragsgivere. Se nærmere omtale i avsnitt 3.4.
KPMG lagrer oppdragsdokumentasjon i tråd med både eksterne krav og interne prosedyrer. Dokumentasjonen er underlagt taushetsplikt og beskyttes av strenge rutiner for informasjonssikkerhet. Hovedformålet med å lagre personopplysninger i denne dokumentasjonen er å oppfylle
lovpålagte plikter – for eksempel regler om oppbevaring av regnskapsmateriale, revisjonsfiler og kundekontroll etter hvitvaskingsloven. Denne lagringen har derfor hjemmel i en rettslig forpliktelse. I enkelte tilfeller lagrer KPMG også personopplysninger fordi det er nødvendig for våre berettigede interesser, slik som å kunne svare på senere kundespørsmål om et oppdrag eller ivareta selskapets rettigheter overfor myndigheter, motparter eller forsikringsgivere. Som hovedregel oppbevares oppdragsdokumentasjonen i ti år etter at oppdraget er avsluttet, før den slettes.
Formål
For å nå ut med våre tjenester gjennomfører KPMG markedsaktiviteter som skal profilere KPMG, våre medarbeidere og tjenestespekter, samt etablere, styrke og dokumentere kundeforhold og forretningsmuligheter. Eksempler på slike markedsaktiviteter er nyhetsbrev og invitasjoner til seminarer eller kurs.
Kategorier av personopplysninger
De kategorier av personopplysninger som behandles for disse formålene er først og fremst informasjon om ledere, slik som kontaktinformasjon, informasjon om stilling, arbeidsgiver, bransje, yrkesrolle, tilknytning til forretningsmuligheter, interesseområder (med hensyn til hvilke områder KPMG tilbyr tjenester), tidligere stillinger og arbeidsgivere, at personen har deltatt i en markedsaktivitet tidligere eller har mottatt et tilbud og, der det er aktuelt, informasjon om at personen tidligere har vært ansatt i KPMG.
Behandlingsgrunnlag
Behandlingen skjer enten på grunnlag av samtykke eller en interesseavveining. I sistnevnte tilfelle veier vi KPMGs legitime behov for å markedsføre seg og informere markedet om våre tjenester opp mot mottakerens interesse i å motta slik informasjon. Etter en individuell vurdering av mottakerens yrkesrolle og arbeidsgiver antar vi at vedkommende har en profesjonell interesse i å motta nyhetsbrev, invitasjoner og liknende.
For opplysninger som lagres i KPMGs forretningskontaktregister er grunnlaget vår legitime interesse i å dokumentere forretningskontakter og tilby dem relevant markedsføring, invitasjoner og undersøkelser, samt gjøre dataene tilgjengelige for ansatte som arbeider med markedsføring og kundeforvaltning.
Opprinnelse og mottakere
Personopplysningene samles inn direkte fra den registrerte, fra KPMGs klienter eller via våre ansatte. I enkelte tilfeller samles dataen inn fra tredjeparter, eksempelvis fra en alliansepartner av KPMG eller fra offentlig tilgjengelige kilder.
Personopplysninger behandles i våre systemer, og KPMG benytter eksterne leverandører for lagring av informasjon og for e-postsystemer. Opplysningene kan deles med samarbeidspartnere som bistår med markedsaktiviteter, eller til andre KPMG-firma for felles forretningsformål.
Oppbevaringsperiode
Personopplysninger lagres ikke lenger enn nødvendig. Informasjon som behandles på bakgrunn av at den registrerte har gitt uttrykk for interesse av å bli involvert i markedsaktiviteter oppbevares frem personen melder at vedkommende ikke lenger er interessert i å motta nyhetsbrev eller invitasjoner fra KPMG. Kontaktinformasjon til forretningsforbindelser til eksisterende og potensielle kunder oppbevares normalt så lenge selskapet vurderer at personens stilling eller yrke kan antas å medføre interesse for selskapets tjenester.
For å kunne foreta målrettede utsendelser av nyhetsbrev og invitasjoner, benytter vi profilering basert på informasjon som bransjesegment, yrkesrolle, stilling, arbeidsgiver og tidligere interaksjon med KPMG (eksempelvis seminarpåmelding).
Formålet med slik profilering er å sikre at kommunikasjonen som sendes ut er relevant, interessant og nyttig for mottaker.
Når klienter, leverandører, jobbsøkere eller andre besøker KPMGs lokaler, registrerer vi vanligvis navn, selskap/organisasjon, hvem du skal besøke, samt dato og tid for besøket. Formålet med denne registreringen er å ivareta sikkerheten, forebygge uautorisert adgang og beskytte ansatte, besøkende, eiendeler og sensitiv informasjon. Opplysningene brukes også ved eventuelle krisesituasjoner, som brann eller ulykker.
Opplysninger om besøk oppbevares i 30 dager, med mindre spesielle hendelser (f.eks. brann eller annen sikkerhetshendelse) gjør det nødvendig med lengre oppbevaring. Besøkende kan også samtykke til at opplysningen oppbevares lenger.
Formål:
KPMG behandler personopplysninger i e-post, samarbeidsplattformer og ulike skytjenester som en integrert del av virksomheten. Formålet er å lagre, kommunisere, overføre og dele informasjon som er nødvendig for å gjennomføre- og administrere våre oppdrag samt øvrig drift.
Behandlingsgrunnlag:
Behandlingen skjer på grunnlag av KPMGs berettigede interesse i å kunne lagre, kommunisere og overføre informasjon på en sikker og effektiv måte – både internt og eksternt mot kunder, leverandører og andre samarbeidspartnere. Også disse mottakerne har en tilsvarende legitim interesse i at informasjonen håndteres raskt og sikkert.
Kategorier av personopplysninger:
Typisk behandles kontaktinformasjon og andre personopplysninger som fremkommer i e-post eller lagres i plattformene som ledd i KPMGs forretningsaktiviteter. Hvilke kategorier som faktisk behandles avhenger av det underliggende formålet – se de spesifikke beskrivelsene for markedsaktiviteter, oppdragsgjennomføring, osv.
Kilder og mottakere:
Opplysningene samles inn fra KPMGs ansatte, kunder, leverandører eller andre tredjeparter som potensielle kunder eller forretningspartnere. KPMG bruker eksterne tjenesteleverandører til e-post, samarbeids- og skytjenester. Data deles etter behov med KPMGs ansatte, kunders ansatte og andre parter vi kommuniserer med for de formålene som er beskrevet her.
Lagringstid:
Dataene oppbevares så lenge det er nødvendig ut fra formålet med behandlingen. For eksempel, hvis en e-post er viktig for gjennomføring av et oppdrag, vil den oppbevares så lenge oppdragsdokumentasjonen lagres (se nærmere informasjon om oppbevaringstid ovenfor).
I enkelte tilfeller behandler KPMG personopplysninger om klienter og, i noen tilfeller, andre tredjeparter (eksempelvis deltakere på kurs arrangert av KPMG) i materiale som er tatt opp med lyd eller lyd og bilde/video.
Opptak forekommer i følgende sammenhenger
Opplæring/Kurs
Noen kurs og seminarer som holdes av KPMG blir tatt opp med det formål å gjenbrukes, sendes til deltakerne og for å evaluere og forbedre kvaliteten på KPMGs kurs.
Som hovedregel filmes kun den eller de som holder kurset, seminaret eller foredraget, men det kan også forekomme at deltakere som velger å ha kamera på under digitale samlinger blir filmet. I den grad deltakere stiller spørsmål eller kommer med kommentarer, blir dette tatt opp med lyd og/eller video.
Behandlingsgrunnlaget er samtykke eller berettiget interesse, der KPMG har en berettiget interesse i å kunne gjenbruke undervisningen, distribuere opptaket til deltakerne og evaluere samt forbedre kvaliteten i etterkant.
Markedsføring
KPMG benytter opptak i kommunikasjons- og markedsføringsøyemed. Slike opptak kan omfatte presentasjoner av KPMG, intervjuer med ansatte, klienter eller lignende. Personer som deltar i markedsføringsopptak blir forespurt om de ønsker å medvirke, og behandlingsgrunnlaget er samtykke eller KPMGs berettigede interesse i å markedsføre sine tjenester. Selv om berettiget interesse benyttes, skal den registrerte først spørres om deltakelse; behandlingen kan ikke gjennomføres dersom vedkommende motsetter seg opptaket.
Møter
Noen møter tas opp for å dokumentere møtet. Slike opptak kan inneholde personopplysninger knyttet til KPMGs forretningsvirksomhet, KPMGs klienter og leverandører samt deres ansatte. Behandlingen anses lovlig på grunnlag av samtykke eller KPMGs berettigede interesse i å dokumentere møtet for å effektivisere arbeidet eller for at opptaket skal kunne tjene som bevis, for eksempel på hva som er avtalt eller hvilket muntlig råd KPMG har gitt.
Hvor lenge lagres opplysningene?
Hvor lenge opptakene lagres avhenger av formålet med opptaket. Dersom opptaket inngår som del av leveransen i et oppdrag, lagres det så lenge som oppdragsdokumentasjonen oppbevares (se ovenfor).
Formål
KPMG har et Alumni-nettverk for tidligere ansatte. Formålet med nettverket å holde kontakten med tidligere ansatte, og inkluderer blant annet invitasjoner til seminarer og arrangementer.
Kategorier av personopplysninger
Personopplysninger som behandles om medlemmer i Alumni-nettverket omfatter navn og e-postadresse.
Rettslig grunnlag
Behandlingen er tillatt på grunnlag av samtykke. Dersom samtykket trekkes tilbake, vil KPMG fjerne personen fra Alumni-registeret og informasjonen vil slettes. Vedkommende vil ikke motta fremtidig informasjon om nettverket.
Opprinnelse og mottakere av personopplysningene
Dataene hentes fra nettverksmedlemmet eller fra KPMGs ansatte eller offentlig tilgjengelige kilder (for eksempel profesjonelle sosiale medier).
Kontaktinformasjon og informasjon knyttet til registrering for arrangementer kan deles med arrangører, og eventuelt hoteller og restauranter som bistår KPMG med arrangementet.
Hvor lenge oppbevares dataene?
Personopplysningene i Alumniregisteret oppbevares inntil personen gir beskjed til KPMG om at vedkommende ikke lenger ønsker å være en del av nettverket, eller inntil KPMGs ansatte vurderer at det ikke lenger kan antas at personen har interesse av å være med i nettverket, for eksempel fordi vedkommende ikke lenger er i en av KPMGs målgrupper.
KPMG har flere lovpålagte forpliktelser som følge av at selskapet utfører revisjonsvirksomhet. Dette innebærer at KPMG må utføre interne kontroller som involverer behandling av personopplysninger.
KPMG må etterleve lovpålagte forpliktelser knyttet til blant annet identitetskontroll og andre kundekontrolltiltak i henhold til hvitvaskingsreglene, kontroller knyttet til interessekonflikter overfor ulike klienter samt rutiner for uavhengighets- og objektivitetskontroller overfor revisjonsklienter. Videre må selskapet foreta sanksjonskontroller ved aksept av klienter og oppdrag. Som revisjonsselskap gjennomfører KPMG også investeringskontroller for nærstående til KPMG-ansatte, ettersom slike personers investeringer kan påvirke KPMGs uavhengighet i forhold til revisjonsklienter.
Formål og rettslig grunnlag
Kontroller pålagt av regelverket om hvitvasking og terrorfinansiering. Behandling av personopplysninger som utføres i forbindelse med kontroller pålagt gjennom regelverket om hvitvasking og terrorfinansiering, skjer med det formål å oppfylle KPMGs rettslige forpliktelser etter hvitvaskingsloven, herunder formålet om å forebygge hvitvasking og terrorfinansiering.
Kontroller for objektivitet og uavhengighet
KPMG behandler også personopplysninger for å gjennomføre objektivitets- og uavhengighetskontroller i samsvar med lovkrav og profesjonsstandarder. Formålet er å sikre etterlevelse av uavhengighetskrav. Den delen av behandlingen som er strengt nødvendig for å oppfylle en rettslig plikt, baserer seg på lovgrunnlag. Øvrig behandling bygger på KPMGs og andre KPMG-selskapers berettigede interesse i å tilrettelegge for og støtte etterlevelsen av uavhengighetskrav (f.eks. der kontrollene følger av profesjonsetiske regler eller interne retningslinjer).
Kontroller knyttet til interessekonflikter
Personopplysninger behandles også i forbindelse med kontroller av interessekonflikter før og under oppdrag. Formålet er å unngå situasjoner der ulike klienter kan ha konflikter i forhold til tjenestene KPMG leverer, for eksempel når KPMG opptrer som sakkyndig i tvister. Det rettslige grunnlaget er KPMGs, andre KPMG-selskapers og klientens berettigede interesse i å unngå interessekonflikter.
Sanksjonskontroller
KPMG behandler personopplysninger for å overholde sanksjonslovgivningen, blant annet ved søk i sanksjonslister. Behandlingen baserer seg på KPMGs berettigede interesse i å unngå brudd på gjeldende sanksjonsregler, samt på KPMGs rettslige plikt til å etterleve slik lovgivning.
Investeringskontroller
KPMG og selskapets ansatte plikter å være uavhengige og objektive overfor revisjonsklienter etter nasjonale og internasjonale regler («uavhengighetsreglene»). Reglene forbyr revisorer, deres ansatte og deres nærstående å eie aksjer eller ha visse finansielle interesser i revisjonsklienter. KPMG tilbyr verktøyet KICS – KPMG Independence Compliance System til ansatte og deres nærstående som omfattes av reglene. Investeringer må registreres i KICS for at KPMG, ansatte og nærstående skal kunne overvåke eventuelle ulovlige investeringer som kan være i strid med gjeldende uavhengighetsregler.
Formålet med behandlingen av personopplysninger i KICS er å sørge for KPMGs oppfyllelse av regler knyttet til uavhengighet. For samme formål gjennomfører KPMG KICS-compliance-kontroller for å verifisere at ansatte har registrert korrekte og fullstendige investeringsopplysninger om seg selv og sine nærstående. Det rettslige grunnlaget er KPMGs og andre KPMG-selskapers berettigede interesse i å overholde uavhengighetskravene og opprettholde tillit hos klienter og markedet.
Personopplysninger som behandles i KICS:
- Navn
- Opplysninger om investeringer (ingen beløp)
Personopplysninger som behandles i KICS-compliance-kontrollene:
- Nærstående sin relasjon til den aktuelle KPMG-ansatte
- Kontoutdrag fra investerings-/meglerkontoer (hvis aktuelt)
- Andre investeringsopplysninger som ikke fremgår av nevnte kontoutdrag (hvis aktuelt)
Opprinnelse og mottakere av personopplysningene
Kontrollene beskrevet ovenfor behandler personopplysninger som hentes inn fra potensielle eller eksisterende kunder, interne databaser og direkte fra ansatte. Ved behov kan opplysningene deles med andre KPMG-selskap.
Lagringstid
Resultatene av de ovennevnte kontrollene lagres sammen med oppdragsdokumentasjonen i den perioden dokumentasjon skal oppbevares (se over), eller – der det foreligger en lovpålagt plikt – så lenge som oppdragsdokumentasjonen oppbevares. Personopplysninger kan også lagres så lenge det er nødvendig i henhold til hvitvaskingsloven eller annet relevant regelverk. Opplysninger som samles inn i KICS oppbevares i 2 år etter at arbeidsforholdet avsluttes.
Formål
KPMG behandler personopplysninger i kontrakter og fakturaer for å:
- Oppfylle avtaler og sikre at avtalevilkårene overholdes.
- Oppbevare avtaler og fakturaer i henhold til gjeldende regelverk.
- Dokumentere og følge opp kontraktsforhold.
- Gjennomføre fakturering.
Kategorier av personopplysninger
Personopplysninger som behandles i forbindelse med kontrakter og fakturaer, er vanligvis kontaktinformasjon til personer hos kontraktspartene, signaturer, referanser, og i enkelte tilfeller informasjon om arbeidsoppgaver og tidsbruk for bestemte personer.
Rettslig grunnlag og oppbevaringsperiode
Avtaler oppbevares så lenge kontrakten er gyldig, og oppbevares normalt i ti år etter at kontraktsforholdet er avsluttet, basert på KPMGs legitime interesse i å kunne forsvare seg mot eventuelle rettslige krav.
Opprinnelse og mottakere av personopplysninger
Opplysningene innhentes fra ansatte hos KPMG, klienter og leverandører, samt fra andre parter som KPMG har eller er i ferd med å inngå kontraktsforhold med.
Mottakere av personopplysningene er konsulenter og databehandlere som håndterer data i økonomisystemene som benyttes av KPMG.
Hvor lenge oppbevares opplysningene?
Avtaler oppbevares i ti år etter at avtaleforholdet er avsluttet. Fakturaer oppbevares i 10 år etter utstedelse.
4 Overføring av personopplysninger og bruk av databehandlere
KPMG Norge er et selvstendig selskap som er medlem i KPMG International. Dette innebærer at selskapet håndterer informasjon dels i system som administreres av KPMG Norge selvstendig, og dels i system som administreres av KPMG International. Selskapet og KPMG International benytter også tredjepartsleverandører for å håndtere informasjon. Den informasjon som håndteres av selskapet, KPMG International og leverandører håndteres konfidensielt og taushetsplikt gjelder for forhold som gjelder våre oppdragsgivere, herunder for personopplysninger.
Den informasjon som KPMG Norge håndterer oppbevares normalt innad i Norge eller, når KPMG International er engasjert for håndtering, innad i EU/EØS. For oppdragsgivere med virksomhet i tredjeland kan overføres personopplysninger utenfor EU/EØS, slik at oppdraget kan oppfylles.
Innenfor KPMG-nettverket er det opprettet en avtale som regulerer rettigheter og forpliktelser mellom KPMG-medlemsfirmaene når personopplysninger overføres mellom KPMG-medlemsfirmaer. Denne avtalen inneholder blant annet regulering av taushetsplikt og EUs standardklausuler om overføring av personopplysninger til tredjeland, der det er nødvendig.
Virksomheten til KPMG reguleres av lover som noen ganger innebærer at KPMG kan ha forpliktelser til å overføre personopplysninger til andre. En slik forpliktelse følger blant annet av hvitvaskingsloven, som gir uttrykk for at mistanke om hvitvasking og terrorfinansiering skal anmeldes til myndighetene. Slike anmeldelser vil normalt inneholde enkelte personopplysninger, eksempelvis hvem eller hva mistankene gjelder.
Revisjonsvirksomheten som drives av KPMG står under tilsyn av blant annet Finanstilsynet. Tilsynsmyndighetene kan be om tilgang til informasjon om selskapets aktiviteter, noe som kan innebære at KPMG kan måtte overføre personopplysninger til myndighetene
KPMG sine ansatte kan også bli bedt om å gi informasjon til de som undersøker i forbindelse med tilsyns- eller revisjonsprosesser. Dette kan bety at vi må dele personopplysninger som en del av prosessen.
I tillegg har våre ansatte en rettslig plikt til å stille opp som vitner i rettssaker. Dette kan innebære at vi må dele personopplysninger hvis det er nødvendig. Hvis myndigheter eller domstoler ber om informasjon som kan inneholde personopplysninger som en del av en rettssak, må vi overlevere den.
De system som selskapet benytter for oppdragsvirksomheten innebærer at personopplysninger behandles i Norge og innad i EU/EØS. Det forekommer i tillegg at KPMG overfører personopplysninger til tredjeland dersom det er nødvendig for å kunne gi tilbud eller oppfylle oppdrag som gjelder kunder som har virksomhet i tredjeland. Slik overføring skjer normalt til andre medlemsfirmaer innad i KPMG-nettverket og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
Som det er beskrevet ovenfor behandler selskapet personopplysninger ved enkelte kontroller, blant annet vedrørende identitet- og interessekonflikter. Dersom, og i den grad, disse kontrollene påvirker selskap eller personer innenfor eller utenfor EU/EØS kan slike kontroller innebærer at personopplysninger overføres innenfor og utenfor EU/EØS. Kontroller innenfor og utenfor EU/EØS gjennomføres mellom medlemmene i nettverket KPMG International og omfattes dermed av avtalen om taushetsplikt og overføring av personopplysninger mellom medlemsfirmaene.
Når KPMG er databehandler ved håndtering av personopplysninger i oppdrag, forekommer det at KPMG benytter underdatabehandler for behandling av personopplysninger. Underdatabehandlere får bare tilgang til personopplysninger i den grad det er nødvendig for å utføre oppgavene de er engasjert til. Hvem som er underdatabehandler står beskrevet i databehandleravtalen med oppdragsgiveren/den behandlingsansvarlige (databehandleravtale). Underdatabehandlerne har i avtale med KPMG forpliktet seg til å underrette KPMG om eventuelle engasjerte underdatabehandlere og utskiftning eller endring av slike underdatabehandlere. Informasjon om hvilke underdatabehandlere som engasjeres for et spesifikt oppdrag utgis på forespørsel.
5. De registrertes rettigheter
Den registrerte har i henhold til regelverket om behandling av personopplysninger rett til å få informasjon når hans eller hennes personopplysninger behandles. Informasjon om behandlingen skal gis både når informasjonen innsamles, eller kort tid deretter når informasjonen ikke innsamles fra den registrerte. Informasjon skal også gis på forespørsel. Det er også tilfeller når særskilt informasjon skal gis til den registrerte, for eksempel når det oppstår et databrudd eller liknende.
Det skal blant annet gis informasjon om kontaktinformasjonen til personvernansvarlige, behandlingsgrunnlaget og formålet med behandlingen.
Dette dokumentet inneholder blant annet slik informasjon som KPMG skal gi til de personer hvis personopplysninger behandles i virksomheten.
En innsynsbegjæring om informasjon meldes til kontaktpersonen for relevant oppdrag og ellers til: data-privacy-reporting@kpmg.no. En innsynsbegjæring om informasjon vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer
5.2 Rett til retting/korrigering
Regelverket om behandling av personopplysninger innebærer at den registrerte har rett til å henvende seg til selskap som behandler personopplysninger og be om retting/korrigering av feilaktige personopplysninger og komplettere med personopplysninger og som er relevante for formålet med behandlingen. En begjæring om retting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om retting vil bli behandlet med utgangspunkt i gjeldene regelverk og i samsvar med selskapets rutine for å håndtere slike begjæringer.
I henhold til personvernregelverket har den registrerte rett til å be om at informasjon som gjelder vedkommende skal slettes. En begjæring om sletting meldes til kontaktpersonen for eventuelt oppdrag og ellers til: data-privacy-reporting@kpmg.no.
En begjæring om sletting vil bli behandlet med utgangspunkt personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
Den registrerte har i visse tilfeller rett til å kreve at behandlingen begrenses. Med begrensning menes at personopplysningene merkes slik at disse i fremtiden kun får behandles for visse avgrensede formål.
En begjæring om begrensning av behandling meldes til kontaktpersonen for eventuelt oppdrag og ellers til data-privacy-reporting@kpmg.no.
En begjæring om begrensning vil bli behandlet med utgangspunkt i personvernregelverket og i samsvar med selskapets rutine for å håndtere slike begjæringer.
Person med personopplysninger som behandles med samtykke som behandlingsgrunnlag har rett til å tilbakekalle samtykke. Krav om tilbakekalling av samtykke skal meldes til: data-privacy-reporting@kpmg.no.
Personer som har etterlatt sine personopplysninger har i visse tilfeller rett til å få ut og benytte sine personopplysninger andre steder. Den som skal ta imot slik informasjon har en forpliktelse til å legge til rette for slik overføring.
En begjæring om å få ut personopplysninger for å benytte opplysninger på andre steder skal meldes til: data-privacy-reporting@kpmg.no.
En begjæring om dataportabilitet vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
En registrert har i enkelte tilfeller rett til å fremme innsigelser mot den behandlingsansvarliges behandling av dennes personopplysninger. Denne retten gjelder blant annet personopplysninger som behandles etter en interesseavveining og inneholder rett til å motsette seg automatiserte individuelle avgjørelser, herunder profilering. Krav om innsigelse mot behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Krav om innsigelse vil bli behandlet med utgangspunkt i regelverket om behandling av personopplysninger og i samsvar med selskapets rutine for å håndtere slike begjæringer.
5.8 Klager Klager knyttet til KPMGs behandling av personopplysninger skal sendes til: data-privacy-reporting@kpmg.no.
Klager på behandlingen vil bli behandlet i samsvar med selskapets rutine for håndtering av slike klager.
Den som har personopplysninger som behandles av selskapet har i tillegg rett til å klage til Datatilsynet. Vi henviser til informasjon om dette på Datatilsynet.
6. KPMGs ti prinsipper for behandling av personopplysninger (KPMG International)
Når KPMG behandler persondata som behandlingsansvarlig skal KPMG og dets personell følge de ti prinsipper fastslått i KPMGs internasjonale personvernpolicy:
1. Åpenhet
KPMG vil gi de registrerte informasjon om hvordan vi behandler deres personopplysninger i den utstrekning som er nødvendig for å sikre at behandlingen er rettferdig.
2. Formålsbegrensning
KPMG vil kun behandle personopplysninger for formålene (i) angitt i enhver erklæring som er gjort tilgjengelig til de relevante registrerte som er relevante for KPMG, (ii) som påkrevd i lov, eller (iii) dersom de registrerte har samtykket.
3. Datakvalitet og forholdsmessighet
Personopplysninger skal være korrekt og holdes oppdatert. Personopplysninger som KPMG besitter må være adekvat, relevant og ikke overflødige for formålene dersom de blir overført mellom KPMGs medlemsfirmaer og skal kun beholdes så lenge det er nødvendig for formålene til den relevante behandlingen.
4. Sikkerhet og konfidensialitet
KPMG må ta rimelig forholdsregler for å sikre personopplysninger mot utilsiktede eller ulovlig ødeleggelse eller tap, endringer, uautorisert utlevering eller tilgang. Slike forholdsregler bør inkludere tekniske, fysiske og organisatoriske sikkerhetstiltak, som for eksempel tiltak for å forhindre uautorisert tilgang, som står i forhold til sensitiviteten av dataen og risikonivået forbundet med behandlingen av personopplysningene.
Dersom det er nødvendig eller passende må KPMG vurdere å implementere ytterligere tiltak for bestemte typer av persondata som må behandles med ekstra forsiktighet for å respektere lokal sedvane, lover og reguleringer. Dette kan inkludere sensitive persondata. Dersom et KPMG-firma behandler personopplysninger på vegne av et annet KPMG-firma, vil det kun handle under det første firmaet instruksjoner.
5. Tilgang, retting, sletting og innvendinger
De registrerte bør ha tilgang til sine personopplysninger som oppbevares av KPMG, hvor slike forespørsler er rimelige og tillatt etter lov eller regulering. KPMG vil akseptere å utbedre, endre, eller slette personopplysninger på forespørsel hvor den er unøyaktig eller blir benyttet i strid med disse prinsippene.
Den registrerte bør ha mulighet for å reise innvendinger til behandlingen av personopplysninger som gjelder vedkommende dersom det er overbevisende legitime grunner til deres spesielle situasjon, i den utstrekning som kreves av relevante lover.
6. Sensitive data
Dersom KPMG behandler sensitive personopplysninger skal det iverksettes ytterligere sikkerhetstiltak som er nødvendig for å beskytte sensitive personopplysninger i overensstemmelse med gjeldende lovgivning.
7. Data benyttet for markedsføringsformål
Dersom KPMG behandler personopplysninger for markedsføringsformål må KPMG ha effektive prosedyrer som tillater at den registrerte på ethvert tidspunkt kan fjerne sine personopplysninger ("opt-out") fra å bli benyttet for slike formål.
8. Automatisert behandling
Dersom KPMG behandler personopplysninger på et rent automatisert grunnlag som har betydelig innvirkning på den registrerte skal KPMG gi den registrerte muligheten til å diskutere konsekvensene av slik behandling før avgjørelsene tas (med mindre annet er tillatt etter gjeldende lov).
9. Dataminimering
Når KPMG beholder den registrertes personopplysninger skal dette gjøres i en form som identifiserer eller gjengir den registrerte identifiserbare kun så lenge det tjener formålet/formålene som opplysningene i utgangspunktet var innsamlet eller senere autorisert for, i den utstrekning det er tillatt etter gjeldende lov.
10. Overføring av informasjon
Innenfor nettverket av KPMGs medlemsfirmaer kan personopplysninger overføres ut av det landet personopplysningene opprinnelig ble innsamlet, inkludert land utenfor EØS, for legitime forretningsaktiviteter i samsvar med gjeldende lov. I tillegg, i samsvar med gjeldende lov, kan KPMG lagre personopplysninger på egne anlegg som drives av andre KPMGs medlemsfirmaer og/eller tredjeparter på vegne av KPMG på utsiden av landet dataen opprinnelig ble innsamlet.
Likevel skal persondata ikke overføres til andre land med mindre den som overfører har forsikret seg om at tilstrekkelig beskyttelsesnivå er på plass relatert til persondata og som er påkrevd etter gjeldende lov. For hvert enkelt KPMG medlemsfirma, er et tilstrekkelig beskyttelsesnivå, etablert ved nettverkets Inter-Firm Data Transfer Agreement som hvert KPMG-firma skal overholde.
KPMG-firmaer vil sørge for at, der personopplysninger overføres til tredjeparter på utsiden av KPMG-nettverket for behandling, kun foretas så lenge personopplysningene er tilstrekkelig beskyttet.