Denna information riktar sig till kunder, leverantörer och samarbetspartners och beskriver varför samt hur Strawberry Audit (benämns hädanefter ”SA”) behandlar personuppgifter i vår verksamhet. Informationen syftar till att ge en tydlig bild av hur vi samlar in personuppgifter, antingen från den registrerade själv eller från annan part.
Vi betraktar all information som berör en enskild individ såsom en “personuppgift”. Hantering, insamling, lagring, bearbetning eller radering av personuppgifter benämns hädanefter “behandling” eller “personuppgiftsbehandling”.
Inom SA behandlas personuppgifter för ett antal olika syften. Utgångspunkten i vår verksamhet är att alltid vara transparent gentemot den registrerade gällande varför, när och hur denna behandling kan komma att ske.
Som personuppgiftsansvarig utför SA de behandlingar som beskrivs nedan, tillsammans med den legala grunden för respektive behandling.
Inför och under ett uppdrag kommer SA att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare i SA:s kundregister för att kunna administrera uppdraget samt göra de oberoende- och penningtvättskontroller som följer av lag samt de risk-manangementkontroller som åligger oss i egenskap av revisionsbyrå. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser som följer dels av avtal, dels av lag; revisorslagen (2001:883) samt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Den legala grunden för risk managementkontrollerna är en intresseavvägning där SA:s berättigade intresse av att kunna hantera risker i verksamheten ger skäl för behandlingen. De uppgifter som kommer att behandlas är namn, personnummer, adress, telefonnummer och e-postadresser samt eventuella uppgifter om avdelningstillhörighet och befattning. Personuppgifterna kommer att sparas för en tid om tolv (12) månader efter det att avtalet har upphört. Uppgifter för penningtvättskontrollen kommer att sparas i fem (5) år.
Affärsuppföljning och statistikEfter det att ett uppdrag har slutförts kommer SA att behandla namn och kontaktuppgifter till uppdragsgivarens företrädare med legalt stöd av en intresseavvägning för att tillgodose vårt berättigade intresse av att genomföra affärsuppföljning och ta fram statistik på en övergripande nivå, t.ex. för att utvärdera kundnöjdhet. Behandlingen kommer att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet upphört.
Tillsyn och kvalitetskontroller
SA står i egenskap av registrerat revisionsbolag under tillsyn och är föremål för regelbundna kvalitetskontroller. SA arkiverar därför information från genomförda uppdrag. Inom ramen för sådan tillsyn, kan personuppgifter som SA redan erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, men i syfte att kontrollera kvaliteten i utfört arbete i uppdraget. Den legala grunden för denna behandling är att den är nödvändig för att fullgöra våra förpliktelser enligt revisorslagen (2001:883). Uppgifterna kommer att sparas i elva (11) år.
Fastställa, göra gällande alternativt försvara rättsliga anspråkSA kommer att arkivera sina arbetspapper, som kan innehålla personuppgifter, efter avslutat uppdrag. Den legala grunden för arkiveringen är en intresseavvägning för att tillgodose SA:s berättigade intresse av att dokumentera uppdraget. Vid ett eventuellt skadeärende kan de arkiverade personuppgifterna komma att behandlas för att kunna fastställa eller göra gällande ett rättsligt anspråk, alternativt försvara SA mot ett sådant. Personuppgifterna kommer att arkiveras i elva (11) år.
För ändamålet att tillhandahålla direktmarknadsföring om SA:s tjänsteutbud till både befintliga och potentiella kunder kan SA komma att behandla personuppgifter avseende kundernas företrädare. Den legala grunden för behandlingen är en intresseavvägning för att tillgodose SA:s berättigade intresse av att under en begränsad tid och i en begränsad omfattning informera om samt erbjuda olika marknadsaktiviteter till en utvald målgrupp. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Informationen och erbjudandet kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.
Om det föreligger ett uppdragsavtal mellan den registrerades arbetsgivare och SA kommer behandlingen att ske under avtalsförhållandet och för en tid om tolv (12) månader efter det att avtalsförhållandet har upphört. Om avtalsförhållande saknas kommer personuppgifterna att behandlas under en tid om tre (3) månader.
Den registrerade har rätt att när som helst motsätta sig denna behandling.
Direktmarknadsföring baserat på ett samtyckeOm SA i marknadsföringssyfte vill fortsätta att behandla personuppgifter tillhörande företrädare för potentiella och tidigare kunder (äldre än 12 månader efter det att avtalsförhållandet upphört) efter det att tre månader har passerat krävs den registrerades samtycke. Om den registrerade har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för en sådan behandling. Om den registrerade på frivillig väg har lämnat sina personuppgifter för ett visst ändamål och i samband därmed har informerats om behandlingen anses den registrerade har samtyckt till behandlingen.
De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Information och erbjudanden om marknadsaktiviteter kan komma att lämnas per telefon, brev, e-post eller SMS.
Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
Genomförande av marknadsaktivitetOm den registrerade aktivt anmält sig till en marknadsaktivitet (event, föreläsning, seminarium eller liknande) kommer SA att behandla namn och kontaktuppgifter i syfte att kunna skicka ut kallelse, deltagarlista samt material inför och efter aktiviteten. Den legala grunden för behandlingen är att den är nödvändig för att kunna genomföra aktiviteten. Härutöver kan SA, efter det att aktiviteten genomförts, genom SA:s sälj- och marknadsavdelning komma att följa upp vilka som deltagit i aktiviteten genom att ta del av deltagarlistor och därigenom kunna rikta marknadsföringsåtgärder mot deltagarna. Den legala grunden för den sistnämnda behandlingen är en intresseavvägning för att tillgodose SA:s berättigade intresse av att få rikta erbjudande om SA:s tjänsteutbud till deltagarna. Deltagarlistan sparas för administration och uppföljning under en period av högst sex (6) månader.
Deltagarlistan kan även i förekommande fall komma att utgöra underlag vid SA:s redovisning i bokföringssammanhang av eventuell representation.
Medieproduktion för marknadsföringI syfte att marknadsföra SA och sprida kunskap om SA:s verksamhet kan SA komma att behandla personuppgifter i form av bilder – både stillbilder och rörliga bilder – och ljudupptagningar. Denna behandling görs med stöd av ett uttryckligt och informerat samtycke från den registrerade. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
WebbplatsinteraktionVid besök på SA:s webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, för att optimera både funktion och upplevelse av webbsidan. Informationen består i regel av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker. Däremot sker ingen identifiering av besökaren. Även om någon identifiering inte sker krävs ett uttryckligt och informerat samtycke från webbplatsbesökaren för att SA ska få använda sig av cookies. Om webbplatsbesökaren har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för behandlingen.
Om inget annat överenskommits mellan kunden och SA, utgör SA ett personuppgiftsbiträde i alla revisions- och rådgivningsuppdrag. Det innebär att det är kunden som är personuppgiftsansvarig och därmed skyldig att tillhandahålla information till de personer vars personuppgifter kan komma att behandlas inom ramen för uppdraget. I egenskap av personuppgiftsbiträde behandlar SA personuppgifterna utifrån kundens instruktioner.
Personuppgiftsbehandling vid revisionSA kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, styrelseprotokoll och andra dokument hänförliga till revisionskundens och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till revisionskundens kunder och leverantörer kan komma att behandlas, beroende på granskningens inriktning.
De kategorier av personuppgifter som kan komma att behandlas är:
Den legala grunden för behandlingen är att kunna fullgöra vårt avtalade åtagande gentemot kunden samt de rättsliga förpliktelser som åligger SA, eller en inom SA personvald revisor, som åtagit sig att utföra revisionsuppdraget i enlighet med tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige. Personuppgifterna kommer att behandlas under den tid som behövs för att utföra revisionsuppdraget och därefter sparas uppgifterna för att dokumentera revisionsuppdraget i elva (11) år från utgången av det år då granskningen avslutades.
Personuppgiftsbehandling vid rådgivningSA kommer att behandla information som kan innehålla personuppgifter, såsom exempelvis lönefiler, protokoll och andra dokument hänförliga till rådgivningskunden och dess eventuella koncernbolags verksamhet. Även personuppgifter hänförliga till rådgivningskundens kunder och leverantörer kan komma att behandlas av SA, beroende på uppdragets karaktär.
För rådgivningsuppdrag varierar kategorier av personuppgifter och hur de behandlas. Detta specificeras i varje enskilt fall i det personuppgiftsbiträdesavtal som tecknas med den aktuella kunden.
Som anges ovan utgör SA i normalfallet ett personuppgiftsbiträde i alla revisions- och rådgivningsuppdrag, med nedanstående undantag.
Vid revisionsuppdragI undantagsfall har revisionskunden och SA i ett enskilt uppdrag träffat en överenskommelse om att SA ska vara personuppgiftsansvarig – antingen ensamt eller tillsammans med revisionskunden. Här ska SA informera registrerade individer om personuppgiftsbehandlingen. Denna behandling beskrivs under avsnitt ”Personuppgiftsbehandling vid revision”.
Vid skatterådgivning och näraliggande tjänsterVid skatterådgivning och näraliggande tjänster direkt till individer kommer SA, med hjälp av specifika system, att samla in personuppgifter direkt från kundens anställda. I dessa fall är SA personuppgiftsansvarig och behöver därmed informera de registrerade om behandlingen.
Detaljer om vilken information som behandlas och varför, lämnas till berörd individ då han/hon får åtkomst till systemet och därmed godkänner behandlingen.
Den registrerade har rätt att begära att få en bekräftelse från SA huruvida SA behandlar personuppgifter som rör den registrerade, samt i sådant fall begära tillgång till de personuppgifterna i form av ett registerutdrag.
Rätt till rättelseOm den registrerade anser att en uppgift som hänför sig till den registrerade är felaktig eller ofullständig, har den registrerade även rätt att begära rättelse.
Rätt att motsätta sig behandling baserad på samtyckeGällande behandling av den registrerades personuppgifter för direktmarknadsföringsändamål har den registrerade rätt att motsätta sig den och begära att den registrerade avregistreras från fortsatta utskick genom att anmäla detta till SA, t.ex. genom att klicka på en avregistreringslänk i utskicket.
Rätt att motsätta sig behandling som stödjer sig på SA:s berättigade intresseUtöver ovanstående rättigheter har den registrerade även, i den utsträckningen gällande dataskyddslagstiftning tillåter det, rätt att motsätta sig behandlingar som stödjer sig på SA:s berättigade intresse. SA får dock fortsätta att behandla den registrerades personuppgifter, trots att denne har motsatt sig behandlingen, om SA har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.
Rätt att begära begränsning eller radering, alternativt rätt att invända emot behandling samt dataportabilitetUnder vissa förutsättningar har den registrerade även rätt att begära begränsning eller radering av sina personuppgifter eller rätt att invända mot behandlingen. Därutöver har den registrerade även rätt att få ut de personuppgifter som rör den registrerade som denne lämnat till SA i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.
SA strävar efter att värna skyddet för den personliga integriteten och att vidta alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna och säkerställa att behandlingarna sker i enlighet med gällande dataskyddslagstiftning och interna riktlinjer, policies och rutiner för hantering av personuppgifter. Det innebär att endast de personer som behöver ha tillgång till uppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. En mer detaljerad beskrivning av SA:s säkerhetsåtgärder kan erhållas via förfrågan till SA.
Överföring och utlämning av personuppgifterFör att uppfylla ändamålen med SA:s behandling av de personuppgifter som angivits ovan anlitar SA i förekommande fall tjänste- och systemleverantörer av IT, som behandlar personuppgifter på SA:s uppdrag. Dessa tjänste- och systemleverantörer får endast behandla personuppgifterna enligt SA:s uttryckliga instruktioner och får inte använda uppgifterna för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna.
SA kan i vissa fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan i syfte att följa tillämpliga lagar och föreskrifter, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose SA:s berättigade intresse av att fastställa, göra gällande och försvara rättsliga anspråk.
Vid frågor om behandlingen av personuppgifter, vänligen kontakta SA på följande e-postadress:
Lars.jaderstrom@strawberryaudit.se
eller postadress:
Strawberry Audit AB
Mailbox 375
111 52 STOCKHOLM
Den registrerade har även rätt att vända sig till tillsynsmyndigheten (Datainspektionen) vid klagomål på följande adress www.datainspektionen.se.