Persónuverndarstefna

Persónuverndarstefna PricewaterhouseCoopers ehf. (PwC)

Stefna uppfærð 9. mars 2022

1. Tilgangur og markmið 

Persónuupplýsingar eru sérhverjar persónugreinanlegar upplýsingar um skráðan einstakling eða upplýsingar sem hægt er að nota til að persónugreina hann, beint eða óbeint, af upplýsingunum einum og sér eða með frekari gögnum, sem eru í vörslu okkar eða sem við getum auðveldlega nálgast. Viðkvæmar persónuupplýsingar teljast einnig til persónuupplýsinga, ásamt persónuupplýsingum þar sem beitt hefur verið gerviauðkenni. Hins vegar teljast nafnlausar upplýsingar ekki til persónuupplýsinga eða þegar tilvísun  til einstaklingsins hefur verið endanlega fjarlægð úr skrám. Persónuupplýsingar geta verið staðreyndir (t.d. nafn, tölvupóstur, staðsetningargögn eða fæðingardagur) eða skoðun á aðgerðum eða hegðun hins skráða. Dæmi um persónuupplýsingar eru nafn einstaklings, kennitala, heimilisfang, netauðkenni, starfskjör, viðskiptahegðun, einn eða fleiri þættir sem einkenna einstakling í líkamlegu, erfðafræðilegu, andlegu, efnalegu, menningarlegu eða félagslegu tilliti og aðrar sambærilegar upplýsingar, sem teljast til persónuupplýsinga samkvæmt persónuverndarlögum.

PwC hefur sett sér persónuverndarstefnu til samræmis við lög og reglur um persónuvernd.  

Tilgangurinn með stefnunni er að tryggja að til staðar sé heildstæð sýn á þær persónuupplýsingar sem PwC vinnur með hverju sinni og er stefnunni ætlað að treysta fylgni félagsins við lög og reglur þar að lútandi. 

Markmiðið er að starfsmenn, viðskiptavinir og aðrir viðsemjendur, séu upplýstir um hvernig PwC safnar og vinnur með persónuupplýsingar, hvort heldur sem er í hlutverki ábyrgðaraðila eða vinnsluaðila.

Persónuverndarstefnan gildir um allar þær persónuupplýsingar sem PwC vinnur með, óháð því á hvaða miðli upplýsingarnar eru geymdar og óháð því hvort þær tengjast starfsmönnum fyrirtækisins, viðskiptavinum eða öðrum viðsemjendum þess. Vönduð og lögmæt vinnsla persónuupplýsinga er órjúfanlegur hluti af starfsemi PwC og er starfsmenn fyrirtækisins beinir þátttakendur í persónuverndarstefnunni þar sem innleiddir hafa verið viðeigandi verkferlar, aðferðir, þjálfun, öryggisþættir eða aðrir þættir með það að markmiði að tryggja fylgni við persónuverndarstefnuna.

Öll hugtök í þessari persónuverndarstefnu eru í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. 

 

2. Söfnun persónuupplýsinga

Persónuupplýsingar skulu vera nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilgang vinnslunnar.

PwC er aðeins heimilt að afla persónuupplýsinga sem eru nauðsynlegar og ekki safna meiri upplýsingum en þörf er á. PwC gætir þess að allar persónuupplýsingar, sem safnað er, séu nægjanlegar og viðeigandi miðað við tilgang vinnslunnar. PwC leggur áherslu á að persónuupplýsingar sem félagið safnar séu fengnar með skýrum og lögmætum tilgangi.  Sem dæmi má nefnda öðlast félagið persónuupplýsingar um þig á eftirfarandi hátt:

  • Þegar þú notar vefsíður okkar og skoðar innihald þeirra
  • Þegar þú gerist áskrifandi að fréttabréfum eða öðru efni okkar
  • Þegar þú tekur þátt í notendakönnunum/þjónustukönnunum okkar
  • Þegar þú skráir þig á námskeið okkar
  • Þegar þú hefur samband við okkur í gegnum heimsíðu okkar eða með tölvupósti
  • Þegar þú heimsækir vefsíður okkar í gegnum samfélagsmiðla 
  • Með því að afhenda okkur nafnspjöld eða aðrar tengiliðaupplýsingar

Markmið okkar er ekki að sækja viðkvæmar persónuupplýsingar um þig í gegnum vefsíður okkar nema okkur sé skylt að gera slíkt samkvæmt lögum. Við óskum eftir því að þú afhendir okkur ekki slíkar viðkvæmar persónuupplýsingar nema þér sé það skylt samkvæmt lögum þegar þú notar vefsíður okkar.

Ef þú af einhverjum ástæðum ákveður að afhenda okkur slíkar upplýsingar hefur þú samþykkt, að því gefnu að samþykkis sé krafist samkvæmt lögum, að upplýsingarnar séu notaðar með þeim hætti sem getið er um í persónuverndarstefnu okkar. 

Við söfnum ekki upplýsingum um staðsetningu þeirra sem heimsækja vefsíður okkar. Ef þú ákveður að afhenda okkur upplýsingar um staðsetningu þína hefur þú samþykkt, að því gefnu að samþykkis sé krafist samkvæmt lögum, að upplýsingarnar séu notaðar með þeim hætti sem getið er í persónuverndarstefnu okkar. 

Markmið okkar er að óska aðeins eftir og safna þeim lágmarksupplýsingum sem við þurfum til að svara erindi þínu, sama hvers eðlis það kann að vera. Teljir þú að söfnun okkar á persónuupplýsingum, svo sem í gegnum vefsíðu okkar, sé umfram það sem nauðsynlegt er, biðjum við þig um að gera okkur viðvart. 

 

3. Notkun persónuupplýsinga

Vinnsla okkar á persónuupplýsingum fer fram til samræmis við persónuverndarstefnu okkar. Vinnsla telst vera sérhver athöfn þar sem persónuupplýsingar eru notaðar, þ.m.t. söfnun, skráning eða varðveisla upplýsinganna, ásamt sérhverri aðgerð eða röð aðgerða þar sem unnið er með upplýsingarnar, þ.m.t. flokkun, breyting, heimt, notkun, miðlun, eyðing eða eyðilegging, sem og miðlun upplýsinganna til þriðja aðila. Með vinnsluaðila er átt við aðila sem vinnur persónuupplýsingar á vegum ábyrgðaraðila en ábyrgðaraðili er sá aðili sem ákveður tilgangi og aðferðir við vinnslu persónuupplýsinga. 

Með vinnslu er meðal annars átt við:

  • Venjulega vefstjórn og annað það sem fylgir því að halda úti vefsíðu okkar
  • Að flokka og greina efni vefsíðunnar
  • Að gera samanburðargreiningar í tengslum við notkun vefsíðunnar
  • Að greina og tryggja að öryggisráðstafanir okkar virki sem skyldi
  • Aðra vinnslu sem þörf krefur hverju sinni og heimil er samkvæmt lögum eða persónuverndarstefnu þessari

 

4. Meginreglur um vinnslu persónuupplýsinga

Við vinnslu persónuupplýsinga er fylgt eftir meginreglum persónuverndarlaga. Grundvöllur þess að okkur er heimilt að vinna persónuupplýsingar er meðal annars þessi: 

  • Tilgangur sé lögmætur
  • Til að uppfylla lagaskyldur hverju sinni
  • Til að uppfylla skyldur okkar samkvæmt skilmálum í samningum okkar

Persónuupplýsingar skulu vera:

a)      Unnar með lögmætum, sanngjörnum og gagnsæjum hætti.

b)      Fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi.

c)       Nægilegar, viðeigandi og takmarkast við það sem nauðsynlegt er miðað við tilganginn með vinnslunni.

d)      Áreiðanlegar og uppfærðar (ef nauðsyn krefur).

e)       Varðveittar á því formi að ekki sé unnt að persónugreina skráða einstaklinga lengur en þörf er á miðað við tilgang vinnslunnar (þ.e. geymslutakmörkun).

f)        Unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, þ.m.t. vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með viðeigandi tæknilegum og skipulagslegum ráðstöfunum.

g)      Eingöngu miðlað til annarra landa ef fullnægjandi verndarráðstafanir eru til staðar.

h)      Gerðar aðgengilegar hinum skráð einstakling og honum gert kleift að beita rétti sínum hvað persónuupplýsingar hans varðar. 

PwC tryggir viðeigandi öryggi persónuupplýsinga, þ.m.t. með vernd gegn óleyfilegri eða ólögmætri vinnslu og gegn glötun, eyðileggingu eða tjóni fyrir slysni, með viðeigandi tæknilegum og skipulagslegum ráðstöfunum.

PwC hefur innleitt persónuverndarráðstafanir, sem eru hæfilegar miðað við stærð, eðli og starfsemi okkar, magn og eðli persónuupplýsinga, sem við eigum eða vinnum fyrir hönd annarra og áhættu (þ.m.t. með notkun dulkóðunar og gerviauðkenna þegar við á). Til að tryggja öryggi vinnslunnar, styðst PwC við viðeigandi ferla, sem eru prófaðir reglulega. 

Persónuverndarlög takmarka miðlun persónuupplýsinga út fyrir Evrópska efnahagssvæðið (EES) til þess að tryggja viðeigandi persónuvernd einstaklinga. Miðlun persónuupplýsinga yfir landamæri er talin eiga sér stað þegar persónuupplýsingar frá einu landi eru fluttar, sendar, skoðaðar eða með öðrum hætti eru gerðar aðgengilegar í öðru landi. Sé þess þörf, hefur PwC heimild til að deila upplýsingum um hinn skráða einstakling með öðrum aðildarfélögum PwC sé um að ræða fjölþjóðleg verkefni. Að auki kann PwC að flytja ákveðnar persónuupplýsingar út fyrir EES-svæðið til samstarfsfyrirtækja eða aðila sem annast þjónustu fyrir hönd félagsins, í samræmi við þann tilgang sem lýst er í þessari persónuverndaryfirlýsingu. Þá kann PwC að vista persónuupplýsingar utan EES-svæðisins. Að því marki sem um slíkan flutning eða geymslu gagna kann að vera að ræða munu upplýsingar hins skráða einstaklings áfram njóta fullrar verndar eins og fyrir er mælt í gildandi íslenskri persónuverndarlöggjöf. PwC mun ekki láta persónuupplýsingar skráðs einstaklings í té þriðja aðila í því skyni til afnota í markaðssetningu þeirra.

Að öðru leyti byggjum við vinnsluna á kröfum persónuverndarlaga og öflum samþykkis fyrir vinnslu persónuverndarupplýsinga þar sem þess er krafist í lögum. 

5. Lögmæti, sanngirni og gagnsæi

5.1. Lögmæti og sanngirni

Persónuupplýsingar skulu vera unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart skráðum einstakling. 

Einungis er heimilt að afla, vinna og deila persónuupplýsingum á sanngjarnan og lögmætan hátt og aðeins í sérstaklega tilgreindum tilgangi. Persónuverndarlög takmarka hvernig persónuupplýsingar skulu meðhöndlaðar. Þessar takmarkanir koma ekki í veg fyrir vinnslu persónuupplýsinga, heldur sjá þær til þess að PwC vinni með persónuupplýsingar á sanngjarnan hátt, án þess að vinnslan hafi neikvæð áhrif á hinn skráða einstakling.

Persónuverndarlög heimila aðeins vinnslu, ef a.m.k. eitt af eftirfarandi skilyrðum er uppfyllt:

a)      Skráður einstaklingur hefur gefið samþykki sitt fyrir vinnslunni;

b)      vinnslan er nauðsynleg vegna framkvæmdar samnings, sem skráður einstaklingur á aðild að;

c)       vinnslan er nauðsynleg til að uppfylla lagaskyldu, sem hvílir á PwC;

d)      vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða einstaklings eða

e)       vinnslan er nauðsynleg vegna lögmætra hagsmuna okkar og hagsmunir eða grundvallarréttindi og frelsi hins skráða, sem krefjast verndar persónuupplýsinga, vega ekki þyngra.

5.2. Samþykki

PwC sem ábyrgðaraðila er einungis heimilt að vinna persónuupplýsingar á grundvelli skýrra heimilda persónuverndarlaga, þ.m.t. á grundvelli samþykkis. Skráður einstaklingur er talinn samþykkja vinnslu persónuupplýsinga, ef hann gefur til kynna með skýrum hætti, með viljayfirlýsingu eða annarri athöfn, að hann samþykki vinnsluna. 

Samþykki þarfnast skýrrar athafnar og skráður einstaklingur hefur rétt til þess að draga samþykki sitt til baka hvenær sem er og skal PwC verða við slíkri beiðni eins fljótt og verða má.

Samþykki gæti þurft að endurnýja ef vinnsla persónuupplýsinganna er gerð í nýjum og ósamrýmanlegum tilgangi, sem ekki var tilgreindur þegar hinn skráði einstaklingur gaf upphaflegt samþykki sitt. 

5.3. Gagnsæi

Ábyrgðaraðili skal samkvæmt beiðni útskýra fyrir hinum skráða einstaklingi með ítarlegum hætti hvaðan persónuupplýsingum er safnað, m.a. hvort þeim hafi verið aflað frá hinum skráða einstaklingi eða frá þriðja aðila. 

6. Persónuvernd á þjónustusviðum PwC

Þjónustuframboð PwC er fjölþætt og tekur bæði til fyrirtækja og einstaklinga. Persónuvernd er höfð í heiðri en hana er víða að finna. Upplýsingar um þjónustuframboð PwC er að finna á heimasíðu félagsins www.pwc.com/is

 

Endurskoðunarþjónusta og fagleg aðstoð við gerð reikningsskila.

Við endurskoðun er litið á PwC sem ábyrgðaraðila persónuupplýsinga, sbr. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Vinnsla og meðferð PwC á persónuupplýsingum vegna endurskoðunarþjónustu er heimiluð í 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga, með vísun í lög um endurskoðendur nr. 94/2019, lög um bókhald nr. 145/1994 og lög um ársreikninga nr. 3/2006. Upplýsingar og gögn eru fengin frá viðskiptavinum, opinberum aðilum og úr opinberum kerfum. Öflun þessara upplýsinga fer eftir því hvaða gögn við þurfum vegna endurskoðunar ársreiknings, faglegrar aðstoðar við reikningsskil og/eða til að framkvæma umsamið verkefni. Við endurskoðun og við faglega aðstoð við gerð ársreikninga vinnur PwC með persónuupplýsingar á borð við ráðningarsamninga, fjárhagsupplýsingar, kennitölur og launaupplýsingar svo nokkuð sé nefnt.

Ýmis önnur þjónusta heyrir undir endurskoðunarsvið. Þar má nefna innri endurskoðun, upplýsingatæknimál, áhættustýringu, innra eftirlit og aðstoð við endurskoðunarnefndir. Ýmist er um að ræða staðfestingarvinnu eða ráðgjöf og ber að líta á PwC sem ábyrgðaraðila eða vinnsluaðila eftir eðli verkefnis og er það metið hverju sinni. Persónuupplýsingar sem PwC vinnur með undir framangreindri annarri þjónustu eru meðal annars kennitölur, upplýsingar um störf, fjárhagsupplýsingar, fjölskylduupplýsingar og upplýsingar um möguleg refsiverð athæfi.

PwC ber að varðveita gögn á öruggan hátt í samræmi við lög og reglur.

 

Lögfræðiþjónusta:

PwC veitir fyrirtækjum og einstaklingum fjölbreytta lögfræðiráðgjöf. Sem lögfræðiráðgjafi er að meginstefnu litið á PwC sem ábyrgðaraðila persónuupplýsinga. Er heimildina fyrir vinnslu persónuupplýsinga að finna í 9. gr. laga um persónuvernd nr. 90/2018.

Verkefnin sem lögfræðiþjónusta PwC vinnur geta falið í sér vinnslu persónuupplýsinga, m.a. kennitölur, upplýsingar um störf einstaklinga, fjárhagslegar upplýsingar, fjölskylduupplýsingar og upplýsingar um möguleg refsiverð athæfi. Upplýsingum er safnað frá viðskiptavinum, opinberum aðilum og úr opinberum skrám.

Í þeim tilvikum þar sem PwC er í hlutverki vinnsluaðila mun meðferð PwC á persónuupplýsingum fara eftir vinnslusamningi við viðskiptavininn.

 

Ráðgjafaþjónusta:

PwC veitir ýmis konar ráðgjafaþjónustu innan fyrirtækjaráðgjafar, rannsókna og greininga og námskeiðahalds. Í þeim tilvikum ber að líta á PwC sem annað hvort ábyrgðaraðila eða vinnsluaðila. Fer það eftir eðli verkefnisins og er það metið í hverju verkefni fyrir sig.

Almennt er PwC ábyrgðaraðili við fyrirtækjaráðgjöf, áreiðanleikakannanir, ráðgjöf um endurskipulagningu fyrirtækja og fasteignagreiningar. Byggir vinnslan þá aðallega á heimild í 9. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Í þessum verkefnum kann PwC að vinna persónuupplýsingar sem meðal annars fela í sér kennitölur, upplýsingar um störf, fjárhagsupplýsingar, fjölskylduupplýsingar og upplýsingar um möguleg refsiverð athæfi.

PwC getur einnig verið í hlutverki vinnsluaðila, til að mynda við fyrirtækjaráðgjöf, launagreiningar, markaðsrannsóknir, vinnustaðagreiningar o.fl. Í þeim tilvikum þar sem PwC er í hlutverki vinnsluaðila mun meðferð PwC á persónuupplýsingum fara eftir vinnslusamningi við viðskiptavininn.

 

Bókhald og laun:

PwC tekur að sér bókhaldsþjónustu og launavinnslu að hluta til eða að fullu fyrir viðskiptavini. Persónuupplýsingar sem PwC vinnur í tengslum við slík verkefni eru t.d. nöfn, kennitölur, launa- og frádráttarupplýsingar. Upplýsingarnar fær PwC frá viðskiptavinum og í sumum tilvikum frá opinberum aðilum.

Í þessum tilvikum ber að líta á PwC sem vinnsluaðila og mun meðferð PwC á persónuupplýsingum fara eftir vinnslusamningi við viðskiptavininn. 

 

7. Öryggisráðstafanir

PwC er með allar nauðsynlegar öryggisráðstafanir til verndar tölvuárásum, ólögmætri eyðingu eða breytingu á persónuupplýsingum. Aðgangsstýringar eru á öllum persónuupplýsingum og eru þeir aðilar sem aðgang hafa að upplýsingunum bundnir trúnaðar- og þagnarskyldu.  

PwC yfirfer reglulega alla öryggisferla til að tryggja að aðgangsstýringar að upplýsingum séu réttar. Við leggjum okkur fram við að varðveita tryggilega allar þær upplýsingar sem við söfnum, geymum og/eða flytjum á milli aðila. 

 

8.Varðveisla persónuupplýsinga

Persónuupplýsingar skulu varðveittar á því formi að ekki sé unnt að persónugreina skráða einstaklinga lengur en þörf krefur, miðað við tilganginn með vinnslu upplýsinganna.

PwC er óheimilt að varðveita persónuupplýsingar á formi þar sem unnt er að persónugreina skráða einstaklinga lengur en þörf er á miðað við upphaflegan tilgang vinnslunnar.

Við gætum þess að hinum skráða einstaklingi sé tilkynnt um hversu lengi upplýsingar eru geymdar og hvernig lengd þess tíma er ákveðin.

Markmið okkar er að geyma persónuupplýsingar einungis eins lengi og nauðsynlegt er miðað við tilgang varðeislunnar, sem og vinnslu þeirra og ákvæði samninga, nema lög krefjist þess að slíkar upplýsingar séu varðveittar í lengri tíma Þá eru gerðar viðeigandi ráðstafanir til að eyða öllum persónuupplýsingum, sem ekki er lengur þörf á í samræmi við viðeigandi lög, verkferla og stefnu PwC. Tengiliðaupplýsingar (til dæmis í póstlistum) eru geymdar þar til viðkomandi hefur afskráð sig af póstlistanum eða óskar eftir því að við eyðum tengiliðaupplýsingunum. Starfsumsóknum og ferilskrám er eytt um leið og þær eru ekki lengur til skoðunar vegna ráðningar í störf. 

 

9. Markaðsmál og markpóstur

Þegar okkur er skylt samkvæmt lögum að óska eftir samþykki þínu til að geta afhent þér markaðsefni, munum við aðeins afhenda þér markaðsefnið hafir þú veitt okkur slíkt samþykki.

Gerist þú áskrifandi að efni okkar færðu sjálfkrafa tölvupóst þegar við höfum birt efnið á heimasíðu eða í fréttabréfum.  

Þú getur hvenær sem er óskað eftir afskráningu af póstlistum okkar.  

 

10. Aðgangur að upplýsingum

Okkur ber skylda til að geyma upplýsingar sem við söfnum um þig á skipulagðan hátt. Þá ber okkur einnig skylda til að leiðrétta rangar upplýsingar ef við verðum þeirra vör.

Engin kerfisbundin yfirferð er til staðar á því hvort allar upplýsingar, sem safnast í gegnum vefsíður okkar, séu á hverjum tíma réttar. Ef upplýsingar skyldu reynast rangar tökum við ekki ábyrgð á því. 

Ef þú hefur spurningar um upplýsingarnar sem við geymum um þig eða vilt að við leiðréttum eftir atvikum rangar eða úr sér gengnar upplýsingar, vinsamlegast hafðu þá samband við okkur. Við munum verða við beiðni þinni, að því gefnu að uppfyllt séu öll lagaskilyrði og engin lögbundin undantekningarregla eigi við. 

Þú gætir átt rétt á, séu lagaskilyrði uppfyllt:

  • Að óska eftir afriti af gögnum okkar um þig
  • Að óska eftir að við uppfærum upplýsingar um þig eða leiðréttum ófullkomnar eða rangar upplýsingar um þig
  • Að óska eftir að við deilum upplýsingunum um þig eða takmörkum vinnslu þeirra
  • Að mótmæla vinnslu okkar á upplýsingunum, eða
  • Að afturkalla samþykki þitt fyrir vinnslu okkar á persónuupplýsingum, svo lengi sem vinnslan er ekki byggð á lagagrundvelli og/eða samningsbundnum ákvæðum. 

Óskir þú eftir að nýta rétt þinn til ofangreinds, vinsamlegast hafðu samband við okkur í gegnum tölvupóst eins og lýst er hér að neðan. Við áskiljum okkur rétt til að taka þóknun fyrir því að verða við beiðni frá þér, sé slíkt heimilt í gildandi lögum. 

Einstaklingar hafa jafnframt rétt á því að andmæla vinnslu og leggja fram kvörtun til Persónuverndar. 

 

11. Börn

PwC gerir sér grein fyrir mikilvægi þess að börn séu sérstaklega vernduð í persónuverndarlögum, sér í lagi á netinu. Vefsíður okkar eru ekki hannaðar sérstaklega fyrir börn og efni okkar beinist ekki sérstaklega að þeim. 

 

12. Ábyrgð og hlutverk

Hafir þú fram að færa spurningar eða kvartanir sem varða persónuverndarstefnu þessa og/eða varða vinnslu persónuupplýsinga, vinsamlegast hafðu samband við PwC í gegnum eftirfarandi tölvupóstfang: personuvernd (hjá) pwc.com

 

PricewaterhouseCoopers ehf.

Skógarhlíð 12, 105 Reykjavík.

 

Persónustefna PwC gildir frá 15. júlí 2018. PwC áskilur sér rétt til að uppfæra persónuverndarstefnu þessa eftir þörfum.  Til þess að notendur geri sér grein fyrir gildandi stefnu, verður dagsetning nýjustu uppfærslunnar ávallt sjáanleg efst á síðunni.  

Fylgstu með okkur

Contact us

Ljósbrá Baldursdóttir

Ljósbrá Baldursdóttir

Forstjóri, PwC Iceland

Sími 550 5216

Hide