Tillbaka till hemsidan
Integritetspolicy

1.1 Inledning

Denna text syftar till att beskriva AML Audit & Advisory AB:s ("AAAA"), org.nr. 559271-5329, behandling av personuppgifter på ett öppet och transparent sätt så att personer vars personuppgifter företaget behandlar ska förstå hur och varför deras personuppgifter hanteras i AAAA:s verksamhet och vilka rättigheter de har i förhållande till företaget.

För ett kunskapsföretag som AAAA är det avgörande att kundrelaterad information, inkluderande personuppgifter, såväl som information om företagets anställda, behandlas säkert och konfidentiellt samt att tillämpliga regelverk efterföljs.

1.2 Verksamheten i AAAA

AAAA erbjuder rådgivning och utbildning inom finansregulatoriska frågor till företag. Det innefattar att AAAA behandlar personuppgifter i olika sammanhang. För att företaget ska kunna bedriva sin verksamhet behöver personuppgifter hanteras vid fullgörande av uppdrag, i samband med marknadsförings-aktiviteter, rekryteringar och personuppgifter för medarbetare.

2 AAAA:s styrning av behandling av personuppgifter

Styrelsen för AAAA har fastställt en policy för behandling av personuppgifter. Av policyn framgår de grundläggande principer som gäller för all behandling av personuppgifter i verksamheten och att företagsledningen ska fastställa de regler och rutiner som krävs för att företagets verksamhet ska kunna bedrivas i enlighet med Dataskyddsförordningen (GDPR). Det framgår också av policyn att företagets medarbetare återkommande ska genomgå adekvat utbildning och att de ska ha tillgång till stöd och vägledning vid tillämpningen av regelverket.

Styrelsen har fastställt en anvisning för företagets behandling av personuppgifter. Anvisningen anger närmare krav på utbildning av medarbetare och hur företaget tillhandahåller information och stöd till medarbetare vid behandling av personuppgifter. Det framgår också av anvisningen att det ska finnas skriftliga vägledningar och rutiner till stöd för medarbetarnas tillämpning av regelverket om behandling av personuppgifter i den dagliga verksamheten. Här anges också krav på kontrollaktiviteter.

Med utgångspunkt i policyn och anvisningen för behandling av personuppgifter har företaget tagit fram vägledningar och rutiner för företagets behandling av personuppgifter och kommunicerat dessa till företagets medarbetare. Det finns vägledningar avseende bland annat hantering av personuppgifter i uppdragsverksamheten, hantering av personuppgifter vid marknadsaktiviteter och hantering av personuppgifter vid rekrytering. Företagets rutiner omfattar bland annat rutiner avseende rätt att få del av behandlade personuppgifter och rättelse av personuppgifter.

En översiktlig beskrivning av tillämpningen av de grundläggande principerna i företagets verksamhet framgår av bilaga 1, se nedan.

3 Närmare om behandling av personuppgifter i AAAA:s verksamhet

Avsnitten 1 och 2 ovan innefattar allmänna beskrivningar av verksamheten i AAAA och hur AAAA styr företagets behandling av personuppgifter. I det följande lämnas en beskrivning av hur AAAA hanterar personuppgifter i centrala delar av verksamheten.

AAAA utför inom ramen för verksamheten uppdrag både som personuppgiftsansvarig och/eller uppdrag som personuppgiftsbiträde.

AAAA är personuppgiftsansvarig för den behandling av personuppgifter som företaget genomför för egna ändamål. Företagets kontaktuppgifter, organisationsnummer och uppgifter om företrädare för företaget finns tillgängliga på AAAA:s webbplats.

3.1 Behandling av personuppgifter i uppdragsverksamheten

Allmänt

Inom ramen för uppdragsverksamheten behandlar AAAA personuppgifter för ändamålet att fullgöra de åtaganden som följer av avtalen med våra uppdragsgivare. De lagliga grunderna för behandlingen i uppdragsverksamheten är främst att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse, avtal eller är tillåten genom en intresseavvägning. Intresseavvägningar i uppdragsverksamheten baseras på en avvägning mellan AAAA:s intresse av att kunna bedriva verksamhet och följa de åtaganden som följer av avtalen med företagets uppdragsgivare och även uppdragsgivarens intresse av att AAAA ska kunna utföra uppdraget i förhållande till de registrerades eventuellt motstående intressen avseende skydd för sina personuppgifter. AAAA:s uppdragsgivare har ofta ett intresse av att kunna anlita specialisthjälp avseende ett behov som uppdragsgivaren har - t ex att fullgöra dess rättsliga förpliktelser eller avtal.

Personuppgifter som AAAA behöver få del av för att utföra uppdrag samlas som utgångspunkt in från uppdragsgivaren, men det förekommer också att personuppgifter samlas in från andra parter eller myndigheter, t.ex. från Bolagsverket eller företagsdatabaser när det gäller befattningshavare hos företag och föreningar. Personuppgifter som samlas in för att användas i uppdrag kan vara kontaktuppgifter, information om befattningshavare och andra uppgifter avseende anställnings-, kund- eller leverantörsförhållanden. Personuppgifter kan vid behov komma att lämnas ut i enlighet med instruktioner från uppdragsgivaren, till exempel när en uppdragsgivare ger AAAA i uppdrag att förse myndigheter med vissa personuppgifter (t ex att lämna uppgift om en anställds lön till Försäkringskassan i samband med Försäkringskassans hantering av ett ersättningsärende).

De som behandlar personuppgifter i AAAA:s uppdragsverksamhet är de medarbetare hos AAAA som arbetar i uppdragsverksamheten.

Rådgivningsverksamheten

Rådgivningsverksamheten avser att lämna råd till företag i olika sammanhang. Uppdragens genomförande kan omfatta behandling av personuppgifter i olika avseenden och i olika omfattning. Personuppgifterna behandlas med de verktyg som företaget använder för uppdragsverksamhetens genomförande och dokumentation av genomförda uppdrag. Ändamålet med behandlingen av personuppgifter är att fullgöra de åtaganden som följer av uppdragsavtalet. Ändamålen för att bevara personuppgifter i andra fall är att det behövs för AAAA:s berättigade intresse av att kunna besvara frågor från kunder om uppdrag i efterhand samt att kunna ta tillvara företagets rättsliga intressen i olika avseenden, t ex i samband med myndighets- eller försäkringsärenden.

Vid rådgivning som innebär att AAAA är personuppgiftsansvarig för behandlingen av personuppgifter inom ramen för uppdraget är den rättsliga grunden för behandlingen som utgångspunkt en intresseavvägning där AAAA:s intresse av att kunna bedriva verksamhet och fullgöra uppdrag enligt avtal och uppdragsgivarens intresse av att få uppdraget utfört av olika skäl som varierar beroende på uppdragstyp vägs mot de registrerades intresse avseende skydd för sina personuppgifter.

Uppdragsdokumentationen bevaras normalt under 10 år för att därefter destrueras.

3.2 Behandling av personuppgifter vid marknadsaktiviteter

För att AAAA ska kunna nå ut till marknaden med företagets tjänster bedrivs marknadsaktiviteter som syftar till att marknadsföra företaget, medarbetare och de tjänster som företaget tillhandahåller. AAAA behandlar personuppgifter för sådana marknadsföringsändamål, bland annat genom inbjudningar till föreläsningar, seminarier och utskick av nyhetsbrev.

De lagliga grunderna för sådan behandling är antingen en intresseavvägning eller samtycke. Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna marknadsföra verksamheten och erbjuda marknaden företagets tjänster och kunders intresse av att kunna informera sig om AAAA:s tjänsteutbud samt de registrerades intresse avseende skydd för sina personuppgifter.

Personuppgifterna samlas in inom företaget (t ex från medarbetare eller kundregister) eller från annan och innefattar främst uppgifter om befattningshavare. Personuppgifter behandlas i de system och de verktyg företaget använder för att hantera marknadsaktiviteter. Uppgifterna (t ex deltagarlistor) kan vid behov lämnas ut till mottagare såsom hotell eller andra företag som tillhandahåller lokaler för kurser eller event.

Personuppgifter som samlas in för marknadsföringsändamål sparas inte längre än vad som är nödvändigt för ändamålet. Uppgifter som behandlas efter en intresseanmälan behandlas till dess personen anmäler att han eller hon inte längre är intresserad av att motta nyhetsbrev eller inbjudningar från AAAA. Kontaktuppgifter till affärskontakter såsom befintliga eller potentiella kunder bevaras normalt så länge företaget bedömer att personens befattning eller yrkesroll kan antas medföra ett intresse för företagets tjänster.

Särskilt angående cookies

Cookies är en liten textfil bestående av bokstäver och siffror som skickas från vår webbserver och sparas på besökarens webbläsare eller enhet. På www.amlradgivning.se använder vi cookies i första hand för analyser, till exempel Google Analytics. De cookies vi använder förbättrar normalt sett de tjänster vi erbjuder. Några av våra tjänster behöver cookies för att fungera korrekt, medan andra förbättrar tjänsterna för besökaren. Vi använder cookies för övergripande analytisk information avseende din användning av våra tjänster och för att spara vissa funktionella inställningar så som språk och andra uppgifter. När du som besökare på vår webbplats där godkänner vår integritetspolicy så samtycker du till att cookies används och lagras. Du kan när som helst återkalla ditt samtycke till att cookies används för ovan angivna ändamål.

3.2.1 Profilering

För att företaget ska kunna göra relevanta urval avseende utskick av nyhetsbrev och inbjudningar till event används profilering på det sättet att urval för utskick baseras på uppgifter om branschsegment, yrkesroll/befattning, arbetsgivare eller tidigare aktivitet (såsom anmälan till ett seminarium). Sådan profilering är begränsat till sådana uppgiftskategorier och syftar till att innehållet i företagets kommunikation ska vara relevant, av intresse och till nytta för mottagaren.

3.3 Behandling av personuppgifter vid rekrytering och avseende medarbetare

En förutsättning för att AAAA ska kunna bedriva verksamhet är att företaget kan rekrytera nya medarbetare och ge stöd till anställda samt administrera förhållanden som rör dessa. Denna verksamhet innefattar behandling av personuppgifter, bland annat personuppgifter avseende personer som är eller har varit föremål för rekryteringsaktiviteter och behandling av personuppgifter avseende nuvarande och tidigare medarbetare. Den rättsliga grunden för denna behandling är en intresseavvägning (rekrytering och medarbetare), fullgörande av avtal (medarbetare) och fullgörande av rättsliga förpliktelser (medarbetare). Intresseavvägningarna baseras på en avvägning mellan företagets intresse av att kunna anställa, bibehålla och utveckla kompetenta och lämpliga medarbetare i företagets verksamhet och dessa personers intressen avseende skydd för sina personuppgifter. När det gäller behandling av personuppgifter i samband med en rekryteringsprocess har även de arbetssökande ett intresse av att kunna ansöka och komma i fråga för den aktuella anställningen.

I rekryteringsverksamheten erhåller företaget personuppgifter från personer som söker anställning hos företaget, antingen direkt eller via ett rekryteringsföretag, och inhämtar personuppgifter vid egna rekryteringsaktiviteter. Kategorier av personuppgifter som behandlas avser bland annat kontaktuppgifter, CV- uppgifter såsom kompetens, tidigare arbetsuppgifter och arbetsgivare samt ansvarsområden. Företaget genomför referenstagning och i vissa fall personlighetstester. Personuppgifter avseende arbetssökande inhämtas huvudsakligen från den arbetssökande men kan även inhämtas från andra personer eller företag. Vid användning av rekryteringsföretag kan sådant företag samla in uppgifter om arbetssökande och sortera ut kandidater som ska presenteras för företaget.

Personuppgifter avseende befintliga medarbetare inhämtas från medarbetaren själv i samband med att anställningen inleds. Under anställningen inhämtas och används fortlöpande personuppgifter från chefer, andra medarbetare och uppdragsgivare, t ex inför och i samband med utvecklingssamtal och vid uppföljning av uppdrag samt återkoppling från kunder. Medarbetares personuppgifter används även i den dagliga verksamheten eftersom uppgifter om anställda hanteras vid offertarbete och utförande av uppdrag (t ex i e-postkorrespondens med kunder och med andra medarbetare).

Personuppgifterna behandlas i de system företaget använder för rekryteringsaktiviteter och administration och stöd för befintliga och tidigare medarbetare.

Personuppgifter inhämtade i samband med rekrytering bevaras normalt under högst två år efter rekryteringsaktivitetens avslutande om personen inte har anställts. Vissa personuppgifter avseende anställda medarbetare raderas efter anställningens upphörande, medan andra personuppgifter bevaras under längre tid (t ex för att kunna tillhandahålla viss information till Försäkringskassan efter att anställningen upphört).

3.4 Överföring av personuppgifter och anlitande av biträden

Allmänt om överföring av personuppgifter

AAAA anlitar stundom leverantörer för att hantera information. Den information som hanteras av företaget samt av leverantörer hanteras med iakttagande av den tystnadsplikt som gäller avseende våra uppdragsgivarens förhållanden, bland annat avseende personuppgifter.

Den information som AAAA hanterar bevaras normalt inom Sverige eller inom EU/EES. För uppdragsgivare med gränsöverskridande verksamhet i tredjeland kan det för uppdragets fullgörande föras över personuppgifter utanför EU/EES.

Överföring av personuppgifter enligt krav i lag

Det kan förekomma att myndigheter förelägger företaget och/eller medarbetare att lämna information som innefattar personuppgifter.

Överföring av personuppgifter i uppdragsverksamheten

De system som företaget använder för uppdragsverksamheten innebär att personuppgifter behandlas i Sverige och inom EU/EES. Det kan förekomma att AAAA härutöver för över personuppgifter till tredje land.

Anlitande av personuppgiftsbiträden

När AAAA fullgör uppdrag som personuppgiftsbiträde vid hantering av personuppgifter i uppdrag förekommer det att AAAA anlitar underbiträden för behandling av personuppgifter. Vilka dessa underbiträden är framgår av det avtal som upprättas med uppdragsgivaren/den personuppgiftsansvarige (personuppgiftsbiträdesavtal). Underbiträdena åtar sig i avtal med AAAA sig att underrätta AAAA om eventuellt anlitade underbiträden och utbyte av sådana underbiträden. Information om vilka underbiträden som anlitas för ett specifikt uppdrag lämnas på förfrågan.

4 De registrerades rättigheter

4.1 Rätten till information

Den registrerade har enligt regelverket om behandling av personuppgifter rätt att få information när hans eller hennes personuppgifter behandlas. Information om behandlingen ska lämnas både när uppgifter samlas in, eller kort tid därefter när uppgifterna inte samlas in från den registrerade, och när den registrerade begär det. Härtill finns vissa tillfällen när särskild information ska ges till den registrerade, exempelvis om det inträffar ett dataintrång eller liknande.

Information ska bland annat lämnas om kontaktuppgift till den personuppgiftsansvarige, den rättsliga grunden för och ändamålet med behandlingen.

Detta dokument innefattar bland annat sådan information som AAAA har att lämna till de personer vars personuppgifter behandlas i verksamheten.

En begäran om tillgång till information anmäls till kontaktpersonen för eventuellt uppdrag och i annat fall till info@amlradgivning.se.

En begäran om tillgång till information kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.2 Rätt till rättelse

Regelverket om behandling av personuppgifter innebär att den registrerade har rätt att vända sig till företag som behandlar personuppgifter och be om rättelse av felaktiga personuppgifter samt att komplettera med sådana personuppgifter som saknas och som är relevanta för ändamålet med behandlingen.

En begäran om rättelse anmäls till info@amlradgivning.se.

En begäran om rättelse kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.3 Rätt till radering

En registrerad har enligt regelverket om behandling av personuppgifter rätt att vända sig till företag och be att uppgifterna som avser honom eller henne raderas.

En begäran om radering anmäls till info@amlradgivning.se.

En begäran om radering kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.4 Rätt till begränsning av behandling

De personer vars personuppgifter behandlas har i vissa fall rätt att kräva att behandling begränsas. Med begränsning avses att personuppgifterna markeras så att dessa i framtiden endast får behandlas för vissa avgränsade syften.

En begäran om begränsning av behandling av personuppgifter anmäls till info@amlradgivning.se.

En begäran om begränsning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.5 Rätt att återkalla samtycke

Personer vars personuppgifter som behandlas med samtycke som laglig grund har rätt att återkalla samtycke.

Ett återkallande av samtycke anmäls till info@amlradgivning.se.

4.6 Dataportabilitet

Den som har lämnat sin personuppgifter har i vissa fall rätt att få ut och använda sina personuppgifter på annat håll. Den som har tagit emot sådana uppgifter har en skyldighet underlätta sådan överflyttning.

En begäran om att få ut personuppgifter för att använda dem på annat håll anmäls till info@amlradgivning.se.

En begäran om dataportabilitet kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.7 Rätt att göra invändningar

En enskild har i vissa fall rätt att invända mot den personuppgiftsansvariges behandling av dennes personuppgifter. Denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering.

En framställan om invändning mot behandling av personuppgifter skickas till info@amlradgivning.se.

En framställan om invändning kommer att hanteras med utgångspunkt i regelverket om behandling av personuppgifter och i enlighet med företagets rutin för att hantera sådan begäran.

4.8 Klagomål

Klagomål avseende AAAA:s behandling av personuppgifter skickas till info@amlradgivning.se.

Inkomna klagomål kommer att utredas i enlighet med företagets rutin för hantering av klagomål.

Den vars personuppgifter behandlas har därtill rätt att anmäla klagomål till Datainspektionen. Vi hänvisar till vidare information om detta på Datainspektionens hemsida.

Bilaga 1

Grundläggande principer för personuppgiftsbehandling hos AAAA.

Laglighet, korrekthet och öppenhet

Personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt så att den registrerade förstår hur hans eller hennes uppgifter behandlas och varför.

Förutsättningar för en laglig och korrekt behandling av personuppgifter är att AAAA:s medarbetare har kunskap om vilka krav som gäller, stöd genom vägledande dokumentation och tillgång till medarbetare med kunskap avseende regleringen av personuppgiftsbehandling för besvarande av frågor.

Principen om öppenhet innebär att de registrerade har tillgång till information om hur och varför deras personuppgifter behandlas. AAAA:s medarbetare ska också via företagets intranät ha tillgång till information om hur företaget behandlar personuppgifter.

Ändamålsbegränsning

Principen om ändamålsbegränsning innebär att personuppgifter endast får behandlas för tydligt angivna ändamål och att de inte i ett senare skede får behandlas för något annat oförenligt ändamål.

Utgångspunkten för AAAA:s efterlevnad av ändamålsbegräsningar är att medarbetarna vid behandling av personuppgifter har kunskap om ändamålen för behandling av personuppgifter och förbudet mot att behandla personuppgifter för oförenliga ändamål samt att dessa ändamål dokumenteras. Härigenom ges medarbetarna möjlighet att efterleva samt verka för att principen om ändamålsbegränsning efterlevs vid behandlingen av personuppgifter.

Uppgiftsminimering

Principen om uppgiftsminimering innebär att fler eller känsligare personuppgifter än vad som behövs för att uppfylla ändamålet inte får behandlas.

Utgångspunkten för AAAA:s efterlevnad avseende uppgiftsminimering är att medarbetarna har kunskap om principen om uppgiftsminimering. Härigenom ges medarbetarna möjlighet att begränsa KPMG:s användning av personuppgifter för att inte avse annat än vad som behövs för att uppfylla ändamålet med behandlingen av personuppgifterna.

Härtill innefattar AAAA:s vägledningar rekommendationer till medarbetarna avseende minimering av personuppgifter, till exempel vid användande av e-post och vid bevarande av uppdragsdokumentation.

Korrekthet

Principen om korrekthet innebär att de personuppgifter som företaget behandlar ska vara korrekta och om nödvändigt uppdaterade.

Utgångspunkten för AAAA:s efterlevnad av principen om korrekthet är att medarbetarna har kunskap om principen om kravet på korrekthet och möjlighet att korrigera eventuella felaktigheter eller verka för att eventuella felaktigheter korrigeras genom företagets rutiner.

Lagringsminimering

Principen om lagringsminimering innebär att personuppgifter inte får sparas i identifierbart skick under en längre tid än vad som är nödvändigt för ändamålet med behandlingen.

AAAA:s efterlevnad av principen om lagringsminimering sker genom fastställande av interna regler för lagring, vilka bland annat innefattar tidsfrister för radering på olika områden.

Integritet och konfidentialitet

Principen om integritet och konfidentialitet innebär att personuppgifterna ska skyddas med lämpliga tekniska och organisatoriska åtgärder så att de inte blir åtkomliga för obehöriga, förstörs eller oavsiktligt raderas.

KPMG:s efterlevnad av principen om integritet och konfidentialitet sker genom fastställande av interna rutiner för informationssäkerhet samt reglering av tystnadsplikt med samtliga anställda och övriga fysiska och juridiska personer.

Ansvarsskyldighet

Principen om ansvarsskyldighet innebär att den personuppgiftsansvarige ska ansvara för och kunna visa att principerna för personuppgiftsbehandling efterlevs.

AAAA visar att de grundläggande principerna om personuppgiftsbehandling genom att bland annat:

- informera om företagets regler och rutiner för hantering av personuppgifter.

- fastställa och uppdatera strategi för dataskydd.

- dokumentera rutiner för dataskydd.

- genomföra konsekvensbedömningar vid behov.

Inbyggt dataskydd och dataskydd som standard

Härtill gäller att företagets vägledningar och rutiner baseras på ”inbyggt dataskydd” samt ”dataskydd som standard”.

”Inbyggt dataskydd” innebär att:

- företaget före och vid behandling av personuppgifter vidtar lämpliga åtgärder som främjar uppfyllandet av dataskyddsprinciperna och integrerar nödvändiga säkerhetsåtgärder, och att

- företaget vid behandling av personuppgifter använder tekniska och organisatoriska åtgärder med beaktande av den senaste tekniska utvecklingen, kostnader, behandlingens art, omfattning, sammanhang och ändamål samt riskerna med personuppgiftsbehandlingen.

”Dataskydd som standard” innebär att:

- företaget verkar för att medarbetarna ska hantera personuppgifter på ett integritetssäkert sätt, och att

- företaget vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast uppgifter som är nödvändiga för ändamålet behandlas med beaktande av mängden uppgifter, behandlingens omfattning, lagringstid och tillgänglighet.

Kontakta oss
ch@amlradgivning.se
+46 768 204 300
Ta del av våra
Allmänna villkor
Integritetspolicy
Aktiebolag med styrelsesäte i Stockholm, Sverige.
Organisationsnummer: 559271-5329, Momsnummer (VAT no): SE559271532901.