Integritetspolicy

Integritet och skydd vid behandling av personuppgifter

Skyddet av personlig integritet är för oss väldigt viktigt. När vi hjälper våra kundföretag hanterar vi personuppgifter för kundföretagets räkning. I granskningsuppdrag kommer vi självständigt att hantera personuppgifter. Oberoende av uppdrag behöver vi hantera personuppgifter för vår egen administration och uppfylla olika regler, t.ex. för att utvärdera våra uppdrag och uppfylla kraven för kundkännedom.

Nedan beskrivs hur vi hanterar personuppgifter. Den här informationen har vi tagit fram för att belysa vilka personuppgifter vi hanterar, vilken rättslig grund vi har för att hantera dem och vad vi gör med uppgifterna. Vi vill också informera om vårt ansvar för att skydda dina rättigheter och din integritet.

Hur använder vi personuppgifter och med vilken grund?

Beroende på vilka tjänster som vi tillhandahåller till ett kundföretag hanteras olika personuppgifter, även syftet med behandlingen varierar. Vi behandlar enbart personuppgifter för att fullgöra de tjänster vi erbjuder våra kunder. Därutöver behöver vi hantera vissa personuppgifter får vår utvärdering och administration av uppdragen. Vilka personuppgifter som behandlas beror på vilket uppdrag vi har i det enskilda kunduppdraget.

Vad är en personuppgift?

En personuppgift är varje uppgift som gör att det går att identifiera en levande fysisk person. Exempel på personuppgifter är namn, adress och personnummer. Men även alla uppgifter som gör en person identifierbar anses vara personuppgifter, det kan t.ex. röra sig om kundnummer, inloggningsuppgifter, bankkontonummer, telefonnummer, fastighetsbeteckningar, registreringsnummer på ett fordon eller foto. Uppgifter som rör personer i ett företag är personuppgifter. Detsamma gäller uppgifter som rör enskilda näringsidkare. Företag och andra juridiska personer anses inte vara personuppgifter, det gäller även om det ingår ett personnamn i bolagsnamnet.

Vad är särskilt känsliga personuppgifter?

Särskilt känsliga personuppgifter kan t.ex. vara uppgifter om hälsa, religiös åskådning eller fackföreningstillhörighet. Denna typ av uppgifter måste vi kunna hantera eftersom de kan påverka löner, redovisning och skatt. Vi behöver också hantera personnummer i vissa sammanhang för att säkert kunna identifiera en viss person och för rapportering till bl.a. olika myndigheter och försäkringsbolag m.fl.

Med vilken grund behandlar vi personuppgifter?

När vi hjälper till med t.ex. redovisning, löner, deklarationer och annan rådgivning behöver personuppgifter hanteras för att kunna fullgöra de tjänster som vi åtagit oss att leverera till våra kundföretag. I dessa fall är byrån personuppgiftsbiträde. Detta innebär att ansvaret för hantering av personuppgifter ligger på kundföretaget och byrån ska följa dess instruktioner när uppdraget fullgörs. Mellan kundföretaget och byrån har ingåtts ett personuppgiftsbiträdesavtal som reglerar respektive parts ansvar och uppgifter vad gäller hantering av personuppgifter. Till detta avtal finns instruktioner som anger vilka hur personuppgifterna hanteras. De olika tjänsterna innebär att personuppgifter hanteras för att kunna tillhandahålla följande tjänster:

Lönehantering

Bearbetning av tid, frånvaro och utlägg m.m. för att framställa underlag för löneutbetalningar och rapportering till myndigheter och försäkringsbolag m.fl. samt underlag till bokföring.

Löpande redovisning

Redovisningstjänster som innefattar behandling av verifikationer och reskontror och hantering av betalningar.

Bokslut

Löpande redovisning sammanställs i period- och årsbokslut, budget och analyser och uppföljning av företagets ekonomiska utveckling, innefattande bransch- och konkurrentjämförelser.

Skatt

Upprätta eller kontrollera deklarationer, innefattande inkomstdeklarationer inkl. beräkningsbilagor och inkomstdeklarationer för bolagets ägare och dess närstående, skattedeklarationer, arbetsgivardeklarationer och periodiska sammanställningar samt skatteberäkningar.

Rådgivning

Ge råd i löne-, redovisnings-, skatte- och bolagsrättsliga frågor som föranleds av de uppdrag som byrån åtagit sig.

Uppgiftslämnande

Registreringsärenden och statistik till försäkringsbolag inkl. Fora, Bolagsverket, Skatteverket, Försäkringskassan, Arbetsförmedlingen, SCB och andra myndigheter.

De lagliga grunderna

De lagliga grunderna för att hantera personuppgifter är för att fullgöra de tjänster som kundföretaget nyttjar hos byrån. Vi hanterar också personuppgifter för att fullgöra de rättsliga förpliktelser som bl.a. framgår av redovisnings- och skattelagstiftning samt arbetsrätt och kollektivavtal.

Kundkännedom

Enligt lagen (2017:630) om åtgärder mot penning- tvätt och finansiering av terrorism måste vi göra en riskbedömning av alla kunder och uppdrag. För dessa ändamål måste vi hantera personuppgifter om ett företags företrädare, ägare och närstående till dessa. Vi kan också behöva hantera personuppgifter inom ramen för kvalitetskontroller av utfört arbete samt för att hantera eventuella krav eller klagomål. Hantering av personuppgifter för detta ändamål grundas på en rättslig förpliktelse och byråns berättigade intresse att kunna uppfylla professionella krav.

Vår planering och egen administration

Vi behöver hantera personuppgifter för att kunna planera och administrera uppdragen, i detta ingår t.ex. att planera när och på vilket sätt uppdraget ska utföras samt redovisa vilka uppdrag som utförs som grund för vår dokumentation över utfört arbete och som underlag för fakturering och byråns egen redovisning m.m. Vi hanterar även inloggningsuppgifter när användare hos kundföretag har tillgång till olika system och lagringsutrymmen. Vi kan också informera om nya tjänster, produkter och aktiviteter som byrån anordnar. Grunden för att hantera personuppgifter är för att fullgöra de tjänster som erbjuds mellan kundföretaget och byrån. Dokumentationskrav styrs av rättsliga förpliktelser som regleras i myndighetsföreskrifter och professionella standarder. I övrigt grundas byråns hantering av personuppgifter på det berättigade intresset för att kunna fullgöra och följa upp uppdragen.

Gemensamt för alla uppdrag

Vi eftersträvar hela tiden att hantera så få personuppgifter som möjligt. Vilka uppgifter som hanteras beror på det precisa uppdraget för varje kund. I tabellen nedan anges vilka typer av personuppgifter som vi kan behöva hantera i olika typer av uppdrag:

Kategorier av personuppgifterLönerLöpande redovisningBokslutSkatteärendenUppgiftslämnandeKundkännedomEgen administration
Kontaktuppgifter: Namn, adress, telefon, e-post och funktionxxxxxxx
Kopior av ID-handlingar m.m.x
Inloggnings- och behörighetsuppgifter: Använ- dare, IP-nummer, lösenord, koder och signatu- rer som t.ex. kan ange vem som utfört vad på uppdragetxxxxxxx
Person- och samordningsnummer, när det är nödvändigt för säkert kunna identifiera en viss personxxxxxxx
Beteckningar som knyter en viss person till en organisation eller funktion, t.ex. anställnings-, kund- och leverantörsnummer, befattning, yrkeskod och kategori av kategorixxxx
Avtal, t.ex. anställningsavtal, uppdragsavtal och avtal med kunder och leverantörerxxxxxx
Uppgifter om hälsa och frånvaro, t.ex. läkarin- tyg, sjukfrånvaro, tjänstledighet och föräldra- ledighetxxxxx
Uppgifter om civilstånd, barn och nära anhöriga och deras engagemang i företagxxxxx
Uppgifter om lön, pension, förmåner och semesterxxxxxx
Facklig tillhörighet samt avtalstillhörighetxxxx
Ekonomiska uppgifter såsom kontonummer, inkomst-, försäkrings-, fordons- och kontrolluppgifterxxxxxx
Exekutiva åtgärder såsom löneutmätningxxxx
Innehav av värdepapper, fastigheter, andra tillgångar och skulder samt säkerheterxxxx
Uppgifter om inkomstslagen kapital, närings- verksamhet och tjänst samt delägarskap i fåmansföretagxxxx
Medlemskap i Svenska kyrkan eller annan religiös sammanslutningxx
Beslut från Skatteverketxxxxxxx

Hur lagrar vi personuppgifter?

Lagring av personuppgifter

Personuppgifter kommer inte att lagras under längre tid än vad som är nödvändigt. Byrån lagrar normalt personuppgifter som hanterats i olika uppdrag som byrån tillhandahåller i upp till 10 år efter utgången av det räkenskapsår när vi behandlat dem. Grunden för lagring är de rättsliga och professionella standarder som vi arbetar efter. Personuppgifter i byråns egen redovisning lagras till utgången av det kalenderår som inträffar sju år efter utgången av bolagets räkenskapsår, vilket är enligt bokföringslagens regler.

Efter lagringstiden gallras uppgifterna bort eller anonymiseras. Personuppgifter lagras också i byråns system för säkerhetskopiering (Back-up). Säkerhetskopior kan innefatta uppgifter som gallrats bort eller anonymiserats, i de undantagsfall när återställning av filer sker från en säkerhetskopia kommer radering eller anonymisering att ske av de återställda filerna som tidigare gallrats bort eller anonymiserats.

Samarbete kring personuppgifter

Personuppgifter erhåller vi från kundföretaget och till detta närstående företag när så är tillämpligt, företagets redovisning inkl. verifikationer och annan dokumentation av affärshändelser och från företagets företrädare. Vi använder också personuppgifter som kommer från allmänt tillgängliga källor som vi erhåller från Creditsafe, Bisnode samt olika myndigheter såsom Bolagsverket och Skatteverket. Vi kan också erhålla personuppgifter i engagemangsbesked från t.ex. banker och saldoförfrågningar m.m.

Byrån säljer aldrig personuppgifter eller överlåter dem till tredje part för marknadsföringsändamål. Vi kan dock behöva använda underbiträden för hantering av personuppgifter och som inhämtar personuppgifter från andra. Vi kan behöva lämna ut personuppgifter till följande kategorier av mottagare:

  • Leverantörer, både inom och utanför EU/EES, som t ex tillhandahåller IT-tjänster, program- varor och andra tjänster när det är nödvändigt för de tjänster som vi beskrivit ovan.
  • Leverantörer för byråns egen administration av uppdragen, t.ex. redovisning, tid- och utläggshantering, fakturahantering, eventuella krav och kreditupplysningar för byråns räkning.
  • Redovisningskonsulter och andra rådgivare och leverantörer som kunden anlitar när det ingår i byråns uppdrag att lämna ut eller hämta in information från dessa.
  • Banker, försäkringsbolag eller myndigheter för att fullgöra uppgiftslämnande eller tillhandahålla tjänster som beskrivits ovan.
  • Annan som anlitas av byrån i syfte att kontrollera eller upprätthålla etiska krav, utföra kvalitetskontroller och hantera eventuella krav och reklamationer samt tillvarata byråns rättsliga intressen.
  • Andra mottagare när det följer av lagkrav, annan författning eller myndighetsbeslut.

Mottagare som hanterar personuppgifter för byråns räkning ingås ett personuppgiftsbiträdesavtal med oss i syfte att vi ska kunna säkerställa att personuppgifter hanteras på ett korrekt och säkert sätt. Normalt använder vi endast leverantörer i Sverige eller inom EU/EES-området. Om vi eller våra leverantörer använder underleverantörer som hanterar personuppgifter för vår räkning utanför EU/EES, vidtar vi särskilda skyddsåtgärder, t ex tecknar avtal som inkluderar de standardiserade modellklausuler för dataöverföring som antagits av EU-kommissionen och som finns tillgängliga på EU-kommissionens webbplats.

När personuppgifter delas med en mottagare som är självständigt personuppgiftsansvarig, t ex en bank, ett försäkringsbolag eller en myndighet, gäller mottagarens integritetspolicy och information om personuppgiftshantering.

Säkerhet kring personuppgifter

Byrån ansvarar enligt gällande rätt för att de personuppgifter som behandlas skyddas genom erforderliga tekniska och organisatoriska säkerhetsåtgärder med beaktande av vad som är lämpligt i förhållande till personuppgifternas karaktär och känslighet. Detta innebär att vi har rutiner och regler kring dataskydd och säkerhetskopiering. Byråns system och organisation är ordnade så att obehöriga personer inte har tillgång till de personuppgifter som behandlas med anledning av uppdraget.

Dataöverföring via internet (t.ex. kommunikation via e-post) utgör dock en säkerhetsrisk. Därför kan ett komplett skydd mot tredjepartsåtkomst till överförda uppgifter inte garanteras. Vi rekommenderar därför att personuppgifter som är känsliga eller har förhöjd sekretessnivå inte skickas till oss via okrypterad e-post, portabla lagringsmedier eller molntjänster som inte har tillräckligt dataskydd.

Byrån vidtar olika säkerhetsåtgärder och använder kommunikationssätt för att minska riskerna, särskilt vid överföring av känsliga personuppgifter.

Dina rättigheter

Du har ett antal rättigheter enligt dataskyddslagstiftningen som vi naturligtvis kommer att följa. Om du vill nyttja någon av dina rättigheter kan du kontakta oss via kontaktuppgifterna som anges under kontakt på denna hemsida.

  • Tillgång till dina personuppgifter – du har rätt att få en bekräftelse på om vi behandlar dina personuppgifter och ett utdrag över vilka uppgifter som behandlas. Rätten till utdrag av personuppgifter omfattar dock inte minnesanteckningar i form av dokumentation eller uppgifter som omfattas av sekretess.
  • Begära rättelse – du har rätt att få felaktiga uppgifter rättade. Uppgifter som ingår i vår uppdragsdokumentation får dock i flertalet fall enligt professionella regler inte ändras i efterhand. Av detta skäl är det inte alltid möjligt att tillmötesgå ett önskemål om att rätta uppgifter.
  • Begära att raderas – du har rätt att under vissa omständigheter få dina uppgifter borttagna. Uppgifter som ingår i vår uppdragsdokumentation måste dock bevaras och får inte raderas inom den lagringstid som angivits ovan.
  • Invända mot behandling som stödjer sig på vårt berättigade intresse och mot behandling för direktmarknadsföring – du har rätt att invända mot behandlingen av dina personuppgifter eller att behandlingen begränsas
  • Rätt till dataportabilitet – du har rätt att kräva att personuppgifter flyttas från oss till ett annat företag, myndighet eller organisation. Denna rättighet är begränsad till uppgifter som du själv tillhandahållit oss och där den rättsliga grunden för vår hantering är samtycke eller avtal där den registrerade är part.

Varje begäran om åtkomst, rättelse eller radering måste göras skriftligen till den kontaktadress till byrån som anges under kontaktuppgifter på denna hemsida.

Tillsynsmyndighet i frågor som rör dataskydd är Datainspektionen. Om du anser att vi har behandlat dina personuppgifter i strid med denna integritetspolicy eller tillämpliga lagar och förordningar har du rätt att lämna in ett klagomål hos Datainspektionen.

Ändringar av vår integritetspolicy m.m.

Byrån kan komma att göra ändringar i denna integritetspolicy från tid till annan. Ändringar meddelas via uppdateringar på vår hemsida. Vi rekommenderar att du regelbundet besöker vår hemsida för att säkerställa att du samtycker till eventuella ändringar eller tillägg.

Om du har kommentarer eller frågor om denna integritetspolicy eller vår användning av dina personuppgifter, eller vill göra en förfrågan, vänligen kontakta oss.