Policy för personuppgifter

Policy för personuppgifter

Read the policy in english here.


Följ länkarna för att läsa om hantering av personuppgifter inom respektive affärsområde.

Audit & Assurance                                                                                
Accounting
Business process solutions
Clients & Industries
Financial Advisory
Tax & Legal

Inledning

Denna policy ska tillämpas i situationer där Deloitte AB:s och dess närstående bolag (”Deloitte”, "vi", "oss" och "vår") behandlar personuppgifter.

Deloitte AB, är ett svenskt närståendebolag till Deloitte NWE LLP, som är medlemsfirma i Deloitte Touche Tohmatsu Limiteds nätverk av medlemsfirmor. Vi är en integritetsmedveten global organisation. Skyddet av personuppgifter är centralt för oss i vårt arbete. Vi hoppas att denna integritets- och personuppgiftspolicy hjälper dig förstå vilken slags information vi samlar in och hur vi behandlar den.

Vad omfattar denna policy?

Denna personuppgiftspolicy gäller dels för den behandling som varje affärsområde inom Deloitte Sverige vidtar för utförande av sina tjänster och uppdrag, dels för de specifika webbsidor på www.deloitte.se och www.deloitte.com som härrör till Deloitte Sverige, nedan betecknat som "Webbplatsen".

Policyn omfattar alla personuppgifter som Deloitte erhåller från eller på vägnar av dess medarbetare, klienter och andra med vilka Deloitte har affärsrelationer, information som lämnas av fysiska personer på de webbplatser Deloitte tillhandahåller samt Deloittes rutiner för insamling och hantering av information.

Deloitte.com består av olika enskilda globala, landspecifika, regionala eller funktionsspecifika webbplatser. Dessa webbplatser anges efter ordet "Plats" i övre högra hörnet på samtliga webbsidor under deloitte.com. Genom att använda Webbplatsen godkänner du användningen av din information i enlighet med denna personuppgiftspolicy. Genom att lämna information via Webbplatsen, ger du ditt samtycke till den hantering av personuppgifter som är beskriven nedan.

Vi ber dig notera att de andra lands-, regionala och funktionsspecifika webbplatserna som omfattas av deloitte.com tillhandahålls av andra enheter inom Deloitte-nätverket och inte av oss. Sådana webbplatser omfattas inte av denna personuppgiftspolicy. Vi uppmanar besökare att ta del av alla dessa webbplatsers integritetspolicyer innan du lämnar ut dina personuppgifter dit.

Policy och vägledning

Vi bryr oss om din personliga integritet

Vi behandlar personuppgifter i enlighet med gällande rätt och nedan angivna principer. All vår personal är skyldig att förstå och arbeta efter vår personuppgiftspolicy. Personalen är även skyldig att genomgå kontinuerliga utbildningar om personuppgiftsbehandling och arbeta efter de särskilda instruktioner som gäller specifikt för varje affärsområde, i samband med att de behandlar personuppgifter.

Med “personuppgift” avses information som direkt eller indirekt kan hänföras till en identifierad eller identifierbar fysisk person (d.v.s. en människa), t.ex. namn, adress, födelsedatum, personnummer, kontonummer, kundnummer, och betalkortsnummer.

Personuppgiftsansvariga eller biträden?

För vissa tjänster och uppdrag kommer vi att typiskt sett vara personuppgiftsansvariga, så som revisionstjänster, skattetjänster och andra kvalificerade uppdrag där våra uppdragsgivare inte kan eller har möjlighet att instruera oss i vad vi ska göra och hur vi ska utföra uppdraget. För andra tjänster och uppdrag kommer vi att vara personuppgiftsbiträden, så som redovisnings- och löneuppdrag, bemanningsuppdrag och vissa konsultuppdrag. Du kan läsa mer om våra roller i olika tjänste- och uppdragstyper här.

De personuppgifter vi samlar in och för vilka ändamål

Vi samlar endast in de personuppgifter som är nödvändiga och relevanta för utförandet av våra tjänster, eftersom vi behöver ha tillgång till vissa personuppgifter för att kunna utföra uppdrag i enlighet med uppdragsbeskrivningen. Du kan läsa mer om våra affärsområdens olika behandlingar av personuppgifter och för vilka ändamål de behöver dina personuppgifter här.

Vi samlar också in personuppgifter för att kunna lämna information och erbjudanden om aktiviteter, utbildningar och nätverk. I samband med att du via våra webbplatser, per telefon eller brev beställer nyhetsbrev eller anmäler dig till våra kurser och seminarier, registreras du som kund till Deloitte. Du kan ibland även välja att registrera dig eller skapa en användarprofil på våra webbplatser för att till exempel få tillgång till specifikt innehåll, delta vid ett evenemang, svara på en undersökning, eller efterfråga information kring specifika intresseområden. Information som du lämnar registreras och används för administration av beställda tjänster eller produkter och för att personalisera och förbättra våra webbplatser. Uppgifterna kan även komma att användas för marknadsföringsändamål eller för att skicka reklammaterial eller kommunikation avseende tjänster tillhandahållna av enheter inom Deloitte-nätverket (DTTL, medlemsfirmorna inom DTTL och deras relaterade enheter) som vi tror kan vara av intresse för dig samt uppföljning för utveckling och förbättring av Deloittes tjänster. Om du deltar i enkäter och undersökningar, söker lediga tjänster, skickar in intresseförfrågningar avseende anställning hos oss, eller vill bli kontaktad av oss använder vi dina personuppgifter endast för det ändamål för vilka du lämnat dem. Vi använder eller delar inte personuppgifter på ett sätt som inte är förenligt med det ursprungliga ändamål för vilket de samlats in, såvida inte efterföljande samtycke har erhållits.

Du kan när som helst begära att vi slutar skicka e-post eller annan kommunikation som genereras baserat på din registrering på våra webbplatser.

Personuppgifter som vi erhåller från dig

Vi samlar in dina personuppgifter när du:

  • anlitar en av våra medarbetare,
  • anmäler dig till att delta i våra kurser och seminarier,
  • tar del av information och anmäler dig till vår prenumerationstjänst för nyhetsbrev m.m.,
  • svarar på enkäter och deltar i undersökningar,
  • söker lediga tjänster eller anmäler ditt intresse för anställning hos oss och
  • besöker något av våra kontor, söker kontakt med oss i övrigt eller på annat sätt kommer i kontakt med oss
  • använder någon av våra tjänster inom Global Mobility, och andra typer av skattetjänster (som t.ex deklarationsuppdrag)

Personuppgifter som vi erhåller från annan

Om du är anställd eller kund hos en klient till oss, kan vi också komma att erhålla dina personuppgifter från denne i anledning att vi ska utföra ett uppdrag. I dessa fall kan vi vara både personuppgiftsansvariga (t.ex. om vi är valda revisorer till klienten) eller personuppgiftsbiträden (t.ex. om vi utför redovisnings- eller lönetjänster till klienten). I dessa fall samlar Deloitte således inte in personuppgifter direkt från dig som registrerad, utan erhåller dina personuppgifter från klienten. För att säkerställa skydd för dina rättigheter vid personuppgiftsbehandling i dessa fall, är det klientens ansvar att informera dig om att dina personuppgifter överförs till Deloitte.

Information om personuppgiftsbehandling för våra webbplatser

Som besökare behöver du inte lämna några personuppgifter för att kunna använda våra webbplatser. Våra webbplatser samlar endast in personuppgifter som är specifikt och frivilligt tillhandahållna av besökaren. Sådana personuppgifter kan bestå av exempelvis namn, adress, nuvarande titel, telefon- och/eller faxnummer och e-postadress.

Vi kan komma att samla in personuppgifter om du registrerar dig på våra webbplatser med ett socialt nätverkskonto (inklusive, men inte begränsat till, LinkedIn, Facebook och Twitter). Våra webbplatser ger dig till exempel möjlighet att registrera och skapa ett konto och logga in med dina sociala nätverksuppgifter. Vi kan spara det ID och/eller användarnamn som är kopplat till det sociala media-kontot och information eller innehåll som du har tillåtit det sociala nätverket att dela med oss, som t ex din profilbild, e-postadress och födelsedag. Den information vi samlar in kan bero på de integritetsinställningar du har på sociala nätverket, så vi ber dig att granska aktuell personuppgiftspolicy eller annan policy som nätverket tillhandahåller. När du besöker våra webbplatser genom ditt sociala nätverkskonto ger du oss tillåtelse att samla in och använda dina personuppgifter i enlighet med denna personuppgiftspolicy. Vi kan också komma att spara och hantera innehåll som du tillhandahåller såsom bloggposter, forum och wikis samt andra sociala media-applikationer och tjänster som vi tillhandahåller.

Ytterligare demografisk information söks inte aktivt men kan erhållas när en besökare översänder ett CV som en del av en arbetsansökan on-line.

Deloitte begränsar den information som inhämtas från webb-besökare till det minimum som krävs för att uppfylla besökarens begäran eller beställning. Om inte obligatoriska uppgifter begärs, ska besökaren underrättas om att sådan information inte är ett krav vid tidpunkten för insamling av sådana uppgifter. Även om flertalet publikationer som är tillgängliga för besökarna genom våra webbplatser erbjuds genom nedladdning, kan besökarna även ha möjlighet att köpa Deloittes publikationer, antingen on-line, genom att ringa något av våra svenska kontor eller genom att faxa beställningsblanketter. Om en besökare önskar köpa en publikation, samlar Deloitte in beställningsinformation som kan innehålla uppgifter om kreditkort för att kunna utföra betalning, och uppgifter om adress för leverans av publikationen.

Information om särskilda kategorier av personuppgifter

Deloitte behandlar inte s.k. särskilda kategorier av personuppgifter (såsom ras eller etniskt ursprung, religiös, politisk eller filosofisk övertygelse, hälsa eller sexuell läggning, genetiska eller biometriska uppgifter), såvida det inte finns någon rättslig förpliktelse eller ett berättigat intresse för oss vid rekrytering, anställning, eller för de tjänster som vi utför, att göra detta. För vissa av våra tjänsteuppdrag krävs att du lämnar information som utgör Särskilda kategorier av personuppgifter. Du kommer att uppmärksammas om detta om du väljer att anlita oss för utförandet av sådana tjänster.

Om du frivilligt lämnar särskilda kategorier av personuppgifter till oss, utan att detta begärs av oss, betraktar vi detta som att du lämnat ditt samtycke till registrering av uppgifterna på det sätt som beskrivs i denna personuppgiftspolicy och i enlighet med det ändamål som angivits särskilt i samband med lämnandet av uppgifterna. Det innebär att om du själv lämnar information, till exempel inför ett seminarium om att du är allergiker och önskar viss kost, förutsätter vi att du vill att uppgifterna registreras hos oss.

Legal grund för att behandla dina personuppgifter

Den legala grunden för behandling av personuppgifter varierar beroende på våra uppdrag. Om vi har lagstadgad skyldighet på att utföra visst uppdrag, så som t.ex. revisionsuppdrag, är den legala grunden för behandling vår rättsliga förpliktelse. För andra typer av rådgivningsuppdrag är den legala grunden för behandling vårt berättigade legitima intresse, eftersom uppdraget i annat fall inte kan utföras till fullo enligt uppdragsbeskrivningen och vårt åtagande. En uttömmande behandling av all typ av information, inklusive
personuppgifter, behövs för uppdragets utförande. Vi gör en bedömning av vilka personuppgifter som är nödvändiga i varje enskilt fall. Du kan läsa mer om våra affärsområdens olika behandlingar av personuppgifter och den legala grunden för dessa här.

Dina rättigheter

Som registrerad har du rätt att begära tillgång till och rättelse eller radering av sina personuppgifter, rätt att begära begränsning eller invända mot behandling. Du har också rätt att inge klagomål till en tillsynsmyndighet om behandlingen, vilket innebär Datainspektionen. I de fall vi är personuppgiftsansvariga kan du utkräva dessa rättigheter direkt av oss. Om vi är personuppgiftsbiträden, ska du istället vända dig till den personuppgiftsansvarige från vilken vi erhållit personuppgifterna, för att utöva dina rättigheter.

Den information och de uppgifter som vi tar del av inom ramen för uppdraget kan vara omfattad av lagstadgad tystnadsplikt, vilket innebär att vi normalt sett inte får lämna ut sådan information. Därtill är vi skyldiga att dokumentera utförda revisionsuppdrag och bevara dokumentationen under minst tio år från utgången av det kalenderår då granskningen avslutades, vilket medför att det inte är tillåtet att ändra/radera personuppgifter som ingår i sådan dokumentation dessförinnan. Av nämnda skäl är det inte heller inte alltid möjligt för oss att på begäran från en registrerad begränsa eller inskränka eventuell behandling av personuppgifter som sker med anledning av uppdraget. När det gäller personuppgiftsbehandling för marknadsföring och liknande ändamål har du rätt att begära radering, rättelse, begränsning och att invända mot behandling av dina personuppgifter.

Besökare som väljer att registrera sig på våra webbplatser kan komma åt sin profil, korrigera, och uppdatera sina detaljer eller avregistrera sig när som helst. Om du bestämmer dig för att du inte längre önskar ha ditt tredjeparts social media konto (t ex LinkedIn, Facebook eller Twitter) kopplat till din profil, kan du när som helst ändra dina kontoinställningar. Besökare som har problem med att komma åt sina profiler, eller önskar få en kopia av sina personuppgifter bör kontakta oss. I samtliga fall kommer vi att behandla förfrågningar om att komma åt information eller ändra information i enlighet med tillämpliga legala krav.
I de fall vi är personuppgiftsansvariga har du rätt att på egen begäran gratis en gång per år få uppgift om behandlingen av de personuppgifter som vi behandlar om dig. På din begäran ska vi ta bort alla identifierbara uppgifter eller personuppgifter från sina system, om vi inte omfattas av lagstadgad tystnadsplikt eller dokumentationsplikt.

Hur länge vi sparar och lagrar dina personuppgifter

Vi ansvarar för att dina personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Du kan läsa mer om våra affärsområdens olika lagringsperioder av personuppgifter här.

Överföring av dina personuppgifter

Vi ingår i ett nätverk av medlemsfirmor över hela världen. För utförande av våra uppdrag kan överföring av personuppgifter till annan medlemsfirma eller annan part, som exempelvis myndigheter, ske om det är nödvändigt för uppdragets utförande. Vi kan även komma att överföra dina personuppgifter till andra medlemsfirmor i syfte att förmedla information till dig som kan vara av intresse och för att genomföra marknads- eller andra undersökningar. Personuppgifter kan också komma att överföras till andra medlemsfirmor och tredje part i syfte att kunna besvara dina förfrågningar, som en del i en företagstransaktion såsom en försäljning, omorganisation, samgående eller uppköp, eller där dessa parter hanterar information på vårt uppdrag. Vi har ingått särskilda avtal med våra övriga medlemsfirmor om överföring av personuppgifter. Genom s.k. standardavtalsklausuler säkerställer vi att personuppgifter får överföras i varje enskilt uppdrag och fall, om personuppgifter måste överföras till land utanför EU/EES. Vi avvaktar även godkännande av bindande företagsbestämmelser från den engelska dataskyddsmyndigheten (Information Commissioners Office, ICO). Du kan läsa mer om våra affärsområdens olika överföringar av personuppgifter här.

De personuppgifter som du lämnar på våra webbsidor eller i våra sociala medier kommer vi att behandla med största respekt för din integritet. Vi kommer aldrig att sälja, publicera eller lämna ut uppgifter om någon besökare till någon icke närstående tredje part utan att först underrätta besökaren och inhämta uttryckliga tillstånd och godkännande. Vi kan komma att lämna information om en besökare till våra ombud, andra medlemsfirmor i andra länder eller till andra enheter som är knutna till DTTL internationellt, när det är nödvändigt för det ändamål för vilket sådan information lämnades.

Överföring av personuppgifter kan komma att ske till länder eller regioner utan motsvarande regler för dataskydd som gäller på din hemvist.

I de fall där sådan överföring av personuppgifter till annat land, inom eller utom EES området, kan komma ifråga kommer detta att anges särskilt i samband med att personuppgifterna inhämtas. Genom att lämna personuppgifter till Deloitte via Deloittes webbplatser samtycker du även till att dessa personuppgifter överförs till mottagaren i det angivna landet.

Personuppgifter kan komma att lämnas ut för det fall det föreskrivs i lag eller förordning. Vi kan t.ex. bli skyldiga på grund av tvingande bestämmelser att överföra dina personuppgifter till myndigheter såsom Revisorsinspektionen (RI) som utövar tillsyn över revisorer i Sverige. En revisor är enligt lag skyldig att tillhandahålla RI uppgifter och handlingar som RI begär i sin tillsynsverksamhet. Vi får också i den utsträckning lagen tillåter överföra och på annat sätt behandla dina personuppgifter för att försvara våra legitima intressen, till exempel i tvistemåls- eller brottmålsrättegångar.

Om vi beslutar att sälja, köpa, gå samman eller på annat sätt omorganisera vår affärsverksamhet kan detta innebära att vi överför personuppgifter till potentiella eller faktiska köpare och deras rådgivare, eller tar emot personuppgifter från säljare och deras rådgivare.

Ytterligare information om överföring av personuppgifter kan lämnas vid förfrågan till privacy@deloitte.se.

Informationsintegritet

Vi kommer att vidta rimliga åtgärder för att kontrollera att personuppgift är relevant, korrekt, fullständig och aktuell för de ändamål för vilka den ska användas.

Säkerhet

Vi vidtar lämpliga tekniska och organisatoriska informationssäkerhetsåtgärder för att förhindra och begränsa risken för de personuppgifter vi behandlar. Vi skyddar personuppgifter mot obehörig åtkomst, avslöjande, missbruk, förändringar och förstörelse genom såväl utbildning av vår personal om hur personuppgifter får hanteras, som genom effektiva och anpassade tekniska system. Endast behörig personal har tillgång till identifierbara personuppgifter som översänts via Deloittes webbplatser. Dessa anställda är skyldiga att hålla sådana känsliga uppgifter konfidentiella.

Vid händelse av en dataincident, har vi särskilda åtgärder fastställda för att begränsa risken för informationsspridning. Vi följer givetvis även de riktlinjer och krav som tillsynsmyndigheten anger för incidentrapportering.

Besökaridentifiering – cookies

Våra webbplatser samlar in standard logg-information, däribland din IP-adress, typ av webbläsare och språk, tider för besök och adresser till referande webbplatser. För att tillse att Deloittes webbplatser håller god standard, och för att kunna förbättra navigeringen på webbplatserna, använder vi eller vår/a tjänsteleverantör/er cookies (små textfiler som lagras på användarens dator) och webb-beacons (elektroniska bilder som tillåter våra webbplatser att räkna antalet besökare som besökt en viss sida och för att komma åt vissa cookies) för att samla in aggregerad data.

För mer detaljerad information om hur vi använder cookies och andra teknologier för spårning och hur du kan kontrollera dessa kan du hitta i vår cookieförklaring.

Länkar

Alla besökare bör vara medvetna om att våra webbplatser kan innehålla länkar till och från andra webbplatser som inte omfattas av denna eller annan personuppgiftspolicy. Du bör ta del av dessa webbplatsers integritetspolicyer innan du lämnar ut dina personuppgifter dit.

Bloggar, forum, wikis och annan social media

Våra webbplatser kan innehålla olika bloggar, forum, wikis och andra social media-applikationer eller tjänster som tillåter dig att dela innehåll med andra användare (kollektivt "Social Media-applikationer). Alla personuppgifter eller annan information som du bidrar med i någon Social media-applikation kan läsas, inhämtas och användas av andra användare av denna Social media-applikation, över vilka vi har lite eller ingen kontroll. Därför, tar vi inget ansvar för någon annan användares användning, missbruk, felaktigt tillskansande av personuppgifter eller annan information som du bidragit med i någon Social media-applikation.

Skydd för barns personliga integritet

Deloitte är medvetet om vikten av att skydda barns personliga integritet i den interaktiva online-världen. Deloittes webbplatser i Sverige, som omfattas av denna personuppgiftspolicy, är inte anpassade till eller avsedda för barn som är 13 år eller yngre. Det är inte Deloittes policy att medvetet samla in eller spara information om personer som är under 13 år.

Ändringar i vår personuppgiftspolicy

Deloitte förbehåller sig rätten att komplettera och ändra denna personuppgiftspolicy. Ändringar kan framförallt vara påkallade som en följd av förändringar i gällande rätt. Denna personuppgiftspolicy kan kompletteras av personuppgiftspolicyer som är mer specifika för vissa delar av våra webbplatser, till exempel rekrytering. När vi gör ändringar i denna policy, kommer vi att ändra revisionsdatumet längst ned på denna sida. Den ändrade personuppgiftspolicyn är gällande för dig och dina personuppgifter efter det datumet. Vi uppmuntrar dig att återkommande gå igenom denna personuppgiftspolicy för att få information om hur vi skyddar din information. Ingenting häri är avsett att skapa ett avtalsförhållande mellan Deloitte och någon användare som besöker Deloittes webbplatser eller lämnar identifierbara uppgifter av något slag.

Tillsyn och efterlevnad

Deloitte kvalitetskontrollerar effektiviteten av sitt program för personuppgiftsbehandling. Vi genomför årlig utvärdering för att mäta efterlevnaden av denna policy.

Rapportering

Överträdelse av denna policy ska rapporteras via lämpliga kanaler. Rapportering kan ske anonymt och utan risk för repressalier. Du kan alltid vända dig till Deloittes privacy lead privacy@deloitte.se eller vår Ethics Officer.

Frågor och kontakt

Om du har några frågor eller vill utöva din rätt så som registrerad emotser vi att du hör av dig till privacy@deloitte.se.

Deloitte AB
113 79 Stockholm
Besöksadress: Rehnsgatan 11
Tel: +46 75 246 20 00

Ikraftträdande

Denna policy har antagits den 7 december 2011 samt uppdaterats den 21 maj 2012, den 20 mars 2014, den 26 oktober 2017, samt den 17 maj 2018.