Baker Tilly Stockholm i rollen som personuppgiftsansvari

Som personuppgiftsansvarig utför Baker Tilly Stockholm de behandlingar som beskrivs nedan, tillsammans med den legala grunden för respektive behandling.

Administrativ behandling inom ramen för kunduppdrag

Registrering av kontaktpersoner i kundregister
Inför och under ett uppdrag kommer Baker Tilly Stockholm att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare i Baker Tilly Stockholm’s kundregister för att kunna administrera uppdraget samt göra de oberoende- och penningtvättskontroller som följer av lag samt de risk-manangementkontroller som ankommer på en revisionsbyrå. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser som följer dels av avtal, dels av lag; revisorslagen (2001:883) samt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Den legala grunden för risk managementkontrollerna är en intresseavvägning där Baker Tilly Stockholm’s berättigade intresse av att kunna hantera risker i verksamheten motiverar behandlingen. De uppgifter som kommer att behandlas är namn, personnummer, adress, telefonnummer och e-postadresser till arbetsplatsen och eventuella uppgifter om avdelningstillhörighet och befattning. Personuppgifterna kommer att sparas för en tid om tolv (12) månader efter det att avtalet har upphört. Uppgifter för penningtvättskontrollen kommer att sparas i fem (5) år.

Affärsuppföljning och statistik
Efter det att ett uppdrag har slutförts kommer Baker Tilly Stockholm att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare med legalt stöd av en intresseavvägning för att tillgodose vårt berättigade intresse av att genomföra affärsuppföljning och ta fram statistik på en övergripande nivå, för att t.ex. utvärdera kundnöjdhet. Behandlingen kommer att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet upphört. Statistiken kan dock inte kopplas till uppdragsgivarens företrädare personligen, varför uppgifterna inte utgör personuppgifter och därför kommer att sparas tillsvidare.

Tillsyn och kvalitetskontroller
Baker Tilly Stockholm står i egenskap av registrerat revisionsbolag under tillsyn och är föremål för regelbundna kvalitetskontroller. Baker Tilly Stockholm arkiverar därför information från genomförda uppdrag. Inom ramen för sådan tillsyn, kan personuppgifter som Baker Tilly Stockholm redan erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, men i syfte att kontrollera kvaliteten i utfört arbete i uppdraget. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser enligt revisorslagen (2001:883). Uppgifterna kommer att sparas för en tid av elva (11) år.

Fastställa, göra gällande alternativt försvara rättsliga anspråk
Baker Tilly Stockholm kommer att arkivera sina arbetspapper, som kan innehålla personuppgifter, efter avslutat uppdrag. Den legala grunden för arkiveringen är en intresseavvägning för att tillgodose Baker Tilly Stockholm’s berättigade intresse av att dokumentera uppdraget. Vid ett eventuellt skadeärende kan de arkiverade personuppgifterna komma att behandlas för att kunna fastställa eller göra gällande ett rättsligt anspråk, alternativt försvara Baker Tilly Stockholm mot ett sådant. Personuppgifterna kommer att arkiveras för en tid av elva (11) år.

Marknadsföring

Direktmarknadsföring baserat på en intresseavvägning

I syfte att tillhandahålla direktmarknadsföring om Baker Tilly Stockholm’s tjänsteutbud till både befintliga och potentiella kunder kan Baker Tilly Stockholm komma att behandla personuppgifter avseende kundernas företrädare. Den legala grunden för behandlingen är en intresseavvägning för att tillgodose Baker Tilly Stockholm’s berättigade intresse av att under en begränsad tid och i en begränsad omfattning informera om samt erbjuda olika marknadsaktiviteter till en utvald målgrupp. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Informationen och erbjudandet kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.

I de fall det föreligger ett uppdragsavtal mellan den registrerades arbetsgivare och Baker Tilly Stockholm kommer behandlingen att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet har upphört. I de fall ett sådant avtalsförhållande saknas kommer personuppgifterna att behandlas under en tid om tre (3) månader.

Den registrerade har rätt att när som helst motsätta sig denna behandling.

Direktmarknadsföring baserat på ett samtycke

För det fall Baker Tilly Stockholm i marknadsföringssyfte vill fortsätta att behandla personuppgifter tillhörande företrädare för potentiella och tidigare kunder (äldre än 12 månader efter det att avtalsförhållandet upphört) efter det att tre månader har passerat krävs den registrerades samtycke. Om den registrerade har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för en sådan behandling. Om den registrerade på frivillig väg har lämnat sina personuppgifter för ett visst ändamål och i samband därmed har informerats om behandlingen anses den registrerade har samtyckt till behandlingen.

De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och epostadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Information och erbjudanden om marknadsaktiviteter kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.

Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.

Genomförande av marknadsaktivitet

Om den registrerade aktivt anmält sig till en marknadsaktivitet (event, föreläsning, seminarium eller liknande) kommer Baker Tilly Stockholm att behandla namn och kontaktuppgifter i syfte att kunna skicka ut kallelse, deltagarförteckning samt material inför och efter aktiviteten.

För det fall måltider kommer att serveras under aktiviteten kan uppgift om specialkost behövas behandlas. Den legala grunden för behandlingen är att den är nödvändig för att kunna genomföra aktiviteten. Härutöver kan Baker Tilly Stockholm, efter det att aktiviteten genomförts, genom Baker Tilly Stockholm’s sälj- och marknadsavdelning komma att följa upp vilka som deltagit i aktiviteten genom att ta del av deltagarlistor och därigenom kunna rikta marknadsföringsåtgärder mot deltagarna. Den legala grunden för den sistnämnda behandlingen är en intresseavvägning för att tillgodose Baker Tilly Stockholm’s berättigade intresse av att få rikta erbjudande om Baker Tilly Stockholm’s tjänsteutbud till deltagarna. Deltagarlistan sparas för administration och uppföljning under en period av högst sex (6) månader.

Deltagarlistan kan även i förekommande fall komma att utgöra underlag vid Baker Tilly Stockholm’s redovisning i bokföringssammanhang av eventuell representation.

Medieproduktion för marknadsföring

I syfte att marknadsföra Baker Tilly Stockholm och sprida kunskap om Baker Tilly Stockholm’s verksamhet kan Baker Tilly Stockholm komma att behandla personuppgifter i form av bilder – både stillbilder och rörliga bilder – och ljudupptagningar. Denna behandling görs med stöd av ett uttryckligt och informerat samtycke från den registrerade. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.

Webbplatsinteraktion

Vid besök på Baker Tilly Stockholm’s webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, i syfte att optimera både funktion och upplevelse av webbsidan. Informationen består i regel av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker. Däremot sker ingen identifiering av besökaren. Även om någon identifiering inte sker krävs ett uttryckligt och informerat samtycke från webbplatsbesökaren för att Baker Tilly Stockholm ska få använda sig av cookies. Om webbplatsbesökaren har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för behandlingen. Närmare information om och i så fall vilka cookies som Baker Tilly Stockholm behandlar samt hur länge information från dessa sparas finns att ta del av på följande webbplats:

https://www.bakertillystockholm.se//cookies.

Baker Tilly Stockholm i rollen som personuppgiftsbiträde

Om inget annat överenskommits mellan kunden och Baker Tilly Stockholm, utgör Baker Tilly Stockholm ett personuppgiftsbiträde i alla revisions- och rådgivningsuppdrag. Det innebär att det är kunden som är personuppgiftsansvarig och därmed skyldig att tillhandahålla information till de personer vars personuppgifter kan komma att behandlas inom ramen för uppdraget. I egenskap av personuppgiftsbiträde behandlar Baker Tilly Stockholm personuppgifterna utifrån kundens instruktioner

Personuppgiftsbehandling vid revision

Baker Tilly Stockholm kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till revisionskundens och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till revisionskundens kunder och leverantörer kan komma att behandlas, beroende på granskningens inriktning.

De kategorier av personuppgifter som kan komma att behandlas är:

  1. kontaktuppgifter som namn, adress, telefonnummer och e-postadress,
  2. uppgifter om anställning, som anställningsnummer, avdelningstillhörighet, befattning och anställningstid,
  3. uppgifter om sjukfrånvaro, tjänstledighet eller föräldraledighet,
  4. facklig tillhörighet,
  5. personnummer/samordningsnummer,
  6. uppgifter om ekonomiska förhållanden som bankkontouppgifter, uppgifter om lön och andra förmåner, försäkringsuppgifter och uppgift om registreringsnummer för tjänstebil,
  7. uppgifter om försäkringar och pension, eller
  8. andra kategorier av personuppgifter som behövs till följd av granskningen enligt god revisors- och revisionssed.

Den legala grunden för behandlingen är att kunna fullgöra vårt avtalade åtagande gentemot kunden samt de rättsliga förpliktelser som åvilar Baker Tilly Stockholm, eller en inom Baker Tilly Stockholm personvald revisor, som åtagit sig att utföra revisionsuppdraget i enlighet med tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige. Personuppgifterna kommer att behandlas under den tid som behövs för att utföra revisionsuppdraget och därefter sparas uppgifterna för att dokumentera revisionsuppdraget i elva (11) år från utgången av det år då granskningen avslutades.

Personuppgiftsbehandling vid redovisning, HR och rådgivning

Baker Tilly Stockholm kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till redovisnings-, HR- och/eller rådgivningskunden och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till redovisnings-, HR- och/eller rådgivningskundens kunder och leverantörer kan komma att behandlas av Baker Tilly Stockholm, beroende på uppdragets karaktär.

För redovisning-, HR- och/eller rådgivningsuppdrag sker all personuppgiftsbehandling utifrån kundens uttryckliga instruktioner. Därmed varierar kategorier av personuppgifter och hur de behandlas.

Detta specificeras i varje enskilt fall i det personuppgiftsbiträdesavtal som tecknas med den aktuella kunden.

Undantag från Baker Tilly Stockholm’s roll som personuppgiftsbiträde

 

Som anges ovan utgör Baker Tilly Stockholm i normalfallet ett personuppgiftsbiträde i alla revisions-, redovisnings, HR- och rådgivningsuppdrag, med nedanstående undantag.

Vid revisionsuppdrag

I undantagsfall har revisionskunden och Baker Tilly Stockholm i ett enskilt uppdrag träffat en överenskommelse om att Baker Tilly Stockholm ska vara personuppgiftsansvarig – antingen ensamt eller tillsammans med revisionskunden. Här åligger det Baker Tilly Stockholm att informera registrerade individer om personuppgiftsbehandlingen. Denna behandling beskrivs under avsnitt

”Personuppgiftsbehandling vid revision”.

Vid skatte- och pensionsrådgivning

Vid skatterådgivning, pensionsrådgivning och näraliggande tjänster direkt till individer kommer Baker Tilly Stockholm, med hjälp av specifika system, att samla in personuppgifter direkt från kundens anställda. I dessa fall är Baker Tilly Stockholm personuppgiftsansvarig och behöver därmed informera de registrerade om behandlingen.

Detaljer om vilken information som behandlas och varför, lämnas till berörd individ då han/hon får åtkomst till systemet och därmed godkänner behandlingen.
Den registrerades rättigheter

Rätt till tillgång (s k registerutdrag)

Den registrerade har rätt att begära att få en bekräftelse från Baker Tilly Stockholm om Baker Tilly Stockholm behandlar personuppgifter som rör den registrerade, samt i sådant fall begära tillgång till de personuppgifterna i form av ett s.k. registerutdrag.

Rätt till rättelse

Om den registrerade anser att en uppgift som hänför sig till den registrerade är felaktig eller ofullständig, har den registrerade även rätt att begära rättelse.

Rätt att motsätta sig behandling baserad på samtycke

Är det fråga om behandling av den registrerades personuppgifter för direktmarknadsföringsändamål äger den registrerade rätt att, när som helst, motsätta sig den och begära att den registrerade avregistreras från fortsatta utskick genom att anmäla detta till Baker Tilly Stockholm, t.ex. genom att klicka på en avregistreringslänk i utskicket.

Rätt att motsätta sig behandling som stödjer sig på Baker Tilly Stockholm’s berättigade intresse

Utöver ovanstående rättigheter har den registrerade även, i den utsträckning gällande dataskyddslagstiftning föreskriver det, rätt att motsätta sig behandlingar som stödjer sig på Baker Tilly Stockholm’s berättigade intresse. Baker Tilly Stockholm får dock fortsätta att behandla den registrerades personuppgifter, trots att denne har motsatt sig behandlingen, om Baker Tilly Stockholm har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.

Rätt att begära begränsning eller radering, alternativt rätt att invända emot behandling samt dataportabilitet

Under vissa förutsättningar har den registrerade även rätt att begära begränsning eller radering av sina personuppgifter eller rätt att invända mot behandlingen. Därutöver har den registrerade även rätt att få ut de personuppgifter som rör den registrerade som denne lämnat till Baker Tilly Stockholm i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.

Säkerhetsåtgärder

Baker Tilly Stockholm’s målsättning är att värna skyddet för den personliga integriteten och att vidta alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna och säkerställa att behandlingarna sker i enlighet med gällande dataskyddslagstiftning och interna riktlinjer, policyer och rutiner för hantering av personuppgifter. Det innebär att endast de personer som behöver ha tillgång till uppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. En närmare beskrivning av Baker Tilly Stockholm’s säkerhetsåtgärder kan erhållas via förfrågan till Baker Tilly Stockholm.

Överföring och utlämning av personuppgifter

För att uppfylla ändamålen med Baker Tilly Stockholm’s behandling av de personuppgifter som angivits ovan anlitar Baker Tilly Stockholm i förekommande fall tjänste- och systemleverantörer av IT, som behandlar personuppgifter på Baker Tilly Stockholm’s uppdrag. Dessa tjänste- och systemleverantörer får endast behandla personuppgifterna enligt Baker Tilly Stockholm’s uttryckliga instruktioner och får inte använda uppgifterna för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna.

Baker Tilly Stockholm kan i förekommande fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan i syfte att följa tillämpliga lagar och föreskrifter, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose Baker Tilly Stockholm’s berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk.

Baker Tilly Stockholm kan också komma att överföra personuppgifter till mottagare som återfinns i länder utanför EU/EES-området och som inte har samma skyddsnivå för personuppgifter som EU. För att säkerställa att personuppgifterna är ändamålsenligt skyddade har Baker Tilly Stockholm ingått dataöverföringsavtal som inkluderar EU-kommissionens standardavtalsklausuler med mottagarna eller sett till att det finns andra lämpliga skyddsåtgärder på plats. Den registrerade har rätt att på begäran få en lista över vilka länder till vilka Baker Tilly Stockholm överför personuppgifter med angivande av kategori av mottagare samt få en kopia på EU:s standardavtalsklausuler genom att kontakta Baker Tilly Stockholm.

Se nedan för kontaktuppgifter.

Kontaktuppgifter

Vid frågor om behandlingen av personuppgifter, vänligen kontakta Baker Tilly Stockholm på följande e-postadress:

info@bakertillystockholm.se

eller postadress:
Baker Tilly Stockholm

Att. GDPR
Box 1303 111 83 Stockholm