Läs mer om Cedras varumärke och nya hemsida här
Läs mer om Cedras varumärke och nya hemsida här
Denna information riktar sig till Cedras kunder och beskriver varför och hur vi behandlar personuppgifter i vår verksamhet.
Med “Cedra” avses det svenska aktiebolaget Cedra AB (org.nr 559443–0562) med vid var tid förekommande dotterbolag.
Med ”personuppgift” avses all information som kan hänföras till en enskild individ. När vi talar om ”behandling” eller ”personuppgiftsbehandling” kan det avse både hantering, insamling, lagring, bearbetning och/eller radering av personuppgifter.
Inom Cedra behandlas personuppgifter för en rad olika ändamål. Utgångspunkten i vår verksamhet är att all behandling ska vara transparent och att information ska kunna tillhandahållas till den registrerade om varför, när och hur denna behandling kan komma att ske.
Cedra i rollen som personuppgiftsansvarig
Cedra är personuppgiftsansvarig vid behandling av personuppgifter inom ramen för följande aktiviteter:
Vid utförande av lagstadgad eller avtalad granskning kan Cedra komma att behandla personuppgifter genom sin granskning av kundinformation. Det kan ske genom granskning av allt från lönefiler till styrelseprotokoll och andra dokument som rör kundens och dess eventuella koncernbolags verksamhet. De personuppgifter som är föremål för behandling kan vara sådana som hänför sig till kundens ägare och medarbetare, men även till andra personer såsom kundens kunder och leverantörer. Cedra kan även komma att behandla personuppgifter som erhålls från Skatteverket, Bolagsverket eller andra allmänt tillgängliga källor för att utföra och dokumentera uppdraget. Vilka personuppgifter som kan komma att behandlas beror på granskningens inriktning och således vilken information som är föremål för granskning.
Följande kategorier av personuppgifter kan komma att behandlas:
Den legala grunden för denna behandling är att den är nödvändig för att Cedra och i förekommande fall den personvalde revisorn ska kunna fullgöra sina förpliktelser enligt uppdragsavtal och tillämpliga lagar och regler samt god revisors- och revisionssed i Sverige. Personuppgifterna kommer att behandlas under den tid som behövs för att utföra granskningsuppdraget. Därefter sparas revisorns arbetspapper i elva (11) år från utgången av det år då granskningen avslutades. Lagringen är nödvändig för att Cedra ska uppfylla kraven i Revisonsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.
Registrering av kontaktuppgifter i Cedras kundregister och kontroll av kundens företrädare.
Inför och under ett uppdrag kommer Cedra att behandla namn och kontaktuppgifter till kundens företrädare i Cedras kundregister för att kunna administrera uppdraget. Vidare kommer Cedra att behandla personuppgifter hänförliga till kundens företrädare för att kunna göra oberoende- och penningtvättskontroller samt övriga riskhanteringskontroller.
Den legala grunden för behandlingen av personuppgifterna i kundregistret är att Cedra ska kunna fullgöra sina förpliktelser enligt uppdragsavtalet. Den legala grunden för oberoende- och penningtvättskontrollerna är att dessa är nödvändiga för att Cedra ska kunna fullgöra sina förpliktelser enligt lag; revisorslagen (2001:883) och lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
Den legala grunden för övriga riskhanteringskontroller är att Cedra vid en intresseavvägning har ett berättigat intresse av att få behandla uppgifterna i syftet att minimera riskerna i verksamheten. De uppgifter som kommer att behandlas är namn, personnummer/födelsedata, adress, telefonnummer och e-postadresser till arbetsplatsen och eventuella uppgifter om avdelningstillhörighet och befattning.
De personuppgifter i kundregistret som sparats endast för att kunna administrera uppdraget kommer att sparas för en tid av tolv (12) månader efter det att avtalet har upphört. Personuppgifter hänförliga till oberoende- och penningtvättskontroller kommer däremot att sparas i fem (5) år efter det att uppdragsavtalet upphört, i enlighet med lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Om det är fråga om en revisionskund kommer personuppgifterna hänförliga till oberoende- och penningtvättskontrollerna att sparas i revisorns arbetspapper i elva (11) år från utgången av det år då granskningen avslutades, i enlighet med Revisonsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.
Affärsuppföljning och statistik
Efter det att ett uppdrag har slutförts kommer Cedra att behandla namn och kontaktuppgifter till kundens företrädare för affärsuppföljning och framtagande av övergripande statistik. Den legala grunden för denna behandling är att Cedra vid en intresseavvägning får anses ha ett berättigat intresse av att få behandla personuppgifter för att kunna utvärdera kundnöjdhet. Behandlingen kommer att ske under avtalsförhållandet och för en tid av tolv (12) månader efter det att avtalsförhållandet upphört. Därefter kommer informationen att raderas.
Den framtagna statistiken kommer emellertid att vara utformad på ett sådant sätt att uppgifterna inte kommer att kunna hänföras till de registrerade. Anonymiseringen medför således att uppgifterna efter denna åtgärd inte längre kommer att utgöra personuppgifter. Den anonymiserade information kommer att sparas tills vidare.
Tillsyn och kvalitetskontroller
Cedra står, i egenskap av registrerat revisionsbolag, under tillsyn och är föremål för regelbundna kvalitetskontroller. Cedra är mot den bakgrunden skyldig att arkivera sina arbetspapper i uppdragen. Inom ramen för sådan tillsyn, kan personuppgifter som Cedra redan har erhållit och behandlat inom ramen för ett utfört uppdrag, komma att behandlas på nytt, men i syfte att kontrollera kvaliteten i utfört arbete. Den legala grunden för denna behandling är att den är nödvändig för att Cedra ska kunna fullgöra sina förpliktelser enligt revisorslagen (2001:883). Uppgifterna kommer att sparas i elva (11) år från utgången av det år då granskningen avslutades, i enlighet med Revisonsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.
Fastställa, göra gällande alternativt försvara sig mot rättsliga anspråk
Cedra arkiverar inte bara sina arbetspapper för att tillgodose lagenliga krav på tillsyn och kvalitetskontroller, utan även för att kunna fastställa, göra gällande och försvara sig mot rättsliga anspråk. Den legala grunden för arkiveringen är att Cedra vid en intresseavvägning har ett berättigat intresse av att få spara arbetspapper för att i ett eventuellt skadeärende eller vid en arvodestvist kunna fastställa, göra gällande eller försvara sig mot rättsliga anspråk. Personuppgifterna kommer att sparas i elva (11) år från utgången av det år då uppdraget avslutades.
Direktmarknadsföring baserad på en intresseavvägning
I syfte att tillhandahålla direktmarknadsföring om Cedras tjänsteutbud till både befintliga och potentiella kunder kan Cedra komma att behandla personuppgifter avseende kundernas företrädare.
Den legala grunden för behandlingen är en intresseavvägning för att tillgodose Cedras berättigade intresse av att under en begränsad tid och i en begränsad omfattning kunna informera om samt erbjuda olika marknadsaktiviteter till en utvald målgrupp. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning. Informationen och erbjudandet kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation.
I de fall det föreligger ett uppdragsavtal mellan den registrerades arbetsgivare och Cedra kommer behandlingen att ske under avtalsförhållandet och under en tid av tolv (12) månader efter det att avtalsförhållandet har upphört. I de fall ett sådant avtalsförhållande saknas kommer personuppgifterna att behandlas under en tid av tre (3) månader. Den registrerade har rätt att när som helst motsätta sig denna behandling.
Direktmarknadsföring baserad på samtycke
För det fall Cedra i marknadsföringssyfte vill fortsätta att behandla personuppgifter tillhörande företrädare för potentiella och tidigare kunder (äldre än tolv (12) månader efter det att avtalsförhållandet upphört) efter det att tre (3) månader har passerat krävs den registrerades samtycke.
Om den registrerade har tillhandahållit sådant samtycke utgör samtycket den legala grunden för en sådan behandling. Om den registrerade på frivillig väg har lämnat sina personuppgifter för ett visst ändamål och i samband därmed har informerats om behandlingen anses den registrerade ha samtyckt till behandlingen. De uppgifter som kan komma att behandlas är namn, adress, telefonnummer och e-postadresser till arbetsplatsen samt eventuella uppgifter om avdelningstillhörighet och befattning.
Information och erbjudanden om marknadsaktiviteter kan komma att lämnas per telefon, brev, e-post, SMS och/eller motsvarande kontaktvägar för kommunikation. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
Genomförande av marknadsaktivitet
Om den registrerade aktivt anmält sig till en marknadsaktivitet (event, föreläsning, seminarium eller liknande) kommer Cedra att behandla namn och kontaktuppgifter i syfte att kunna skicka ut kallelse, deltagarförteckning samt material inför och efter aktiviteten.
För det fall måltider kommer att serveras under aktiviteten kan uppgift om specialkost behöva behandlas. Den legala grunden för behandlingen är att den är nödvändig för att kunna genomföra aktiviteten.
Härutöver kan Cedra, efter det att aktiviteten genomförts, genom ansvariga för Cedras sälj- och marknadsaktiviteter komma att följa upp vilka som deltagit i aktiviteten genom att ta del av deltagarlistor och därigenom kunna rikta marknadsföringsåtgärder mot deltagarna. Den legala grunden för den sistnämnda behandlingen är en intresseavvägning för att tillgodose Cedras berättigade intresse av att få rikta erbjudande om Cedras tjänsteutbud till deltagarna. Deltagarlistan sparas för administration och uppföljning under en period av högst tolv (12) månader. Deltagarlistan kan även i förekommande fall komma att utgöra underlag vid Cedras redovisning i bokföringssammanhang av eventuell representation.
Medieproduktion för marknadsföring
I syfte att marknadsföra Cedra och sprida kunskap om Cedras verksamhet kan Cedra komma att behandla personuppgifter i form av bilder – både stillbilder och rörliga bilder – och ljudupptagningar. Denna behandling görs med stöd av ett uttryckligt och informerat samtycke från den registrerade. Behandlingen kommer att ske under den tid som samtycket inte har återkallats av den registrerade eller till dess att uppgifterna inte längre behövs för marknadsföringen. Den registrerade har rätt att när som helst motsätta sig denna behandling och därigenom återkalla sitt samtycke.
Webbplatsinteraktion
Vid besök på Cedras webbplatser kan information från webbläsare både hämtas och lagras, vanligtvis i form av cookies, i syfte att optimera både funktion och upplevelse av webbsidan. Informationen består i regel av webbplatsbesökarens preferenser samt information om från vilken enhet besöket sker. Däremot sker ingen identifiering av besökaren. Även om någon identifiering inte sker krävs ett uttryckligt och informerat samtycke från webbplatsbesökaren för att Cedra ska få använda sig av cookies. Om webbplatsbesökaren har tillhandahållit ett sådant samtycke utgör samtycket den legala grunden för behandlingen. Närmare information om vilka cookies som Cedra behandlar samt hur länge information från dessa sparas finns att ta del av på följande webbplats: https://www.cedra.se/cookies.
Fristående rådgivning och konsultuppdrag
Cedra är i regel ett personuppgiftsbiträde vid behandling av personuppgifter inom ramen för ett fristående rådgivnings- (fristående i förhållande till revisionsrådgivning) och konsultuppdrag. Det innebär att all behandling av personuppgifter sker på kundens uttryckliga instruktioner. Det är kunden som är personuppgiftsansvarig i förhållande till de registrerade individerna. Vilka personuppgifter som kan komma att behandlas beror på uppdragets karaktär och inriktning. I dessa uppdrag ska således ett personuppgiftsbiträdesavtal ingås som reglerar vilka kategorier av uppgifter som får behandlas, för vilka syfte och på vilket sätt.
Undantag från Cedras roll som personuppgiftsbiträde
Vid behandling av personuppgifter inom ramen för skatterådgivning, pensionsrådgivning och övriga näraliggande tjänster till privatpersoner är Cedra personuppgiftsansvarig. I dessa uppdrag erhåller Cedra, med hjälp av specifika system, personuppgifterna direkt från individerna. Information om Cedras behandling sker i anslutning därtill. Utifall Cedra skulle anlita en tredje part som behandlar dessa personuppgifter ska ett personuppgiftbiträdesavtal ingås.
Rätt till tillgång (s k registerutdrag)
Den registrerade har rätt att begära att få en bekräftelse från Cedra om Cedra behandlar personuppgifter som rör den registrerade, samt i sådant fall begära tillgång till de personuppgifterna i form av ett s.k. registerutdrag.
Rätt till rättelse
Om den registrerade anser att en uppgift som hänför sig till den registrerade är felaktig eller ofullständig, har den registrerade även rätt att begära rättelse.
Rätt att motsätta sig behandling baserad på samtycke
Är det fråga om behandling av den registrerades personuppgifter för direktmarknadsföringsändamål äger den registrerade rätt att, när som helst, motsätta sig den och begära att den registrerade avregistreras från fortsatta utskick genom att anmäla detta till Cedra, t.ex. genom att klicka på en avregistreringslänk i utskicket.
Rätt att motsätta sig behandling som stödjer sig på Cedras berättigade intresse
Utöver ovanstående rättigheter har den registrerade även, i den utsträckning som gällande dataskyddslagstiftning tillåter, rätt att motsätta sig behandlingar som stödjer sig på Cedras berättigade intresse. Cedra får dock fortsätta att behandla den registrerades personuppgifter, trots att denne har motsatt sig behandlingen, om Cedra har tvingande berättigade skäl för behandlingen som överväger integritetsintresset.
Rätt att begära begränsning eller radering, alternativt rätt att invända emot behandling samt dataportabilitet
Under vissa förutsättningar har den registrerade även rätt att begära begränsning eller radering av sina personuppgifter eller rätt att invända mot behandlingen. Exempel på sådana förutsättningar är om uppgifterna inte längre behövs för det ändamål de samlades in för eller om behandlingen grundar sig på den registrerades samtycke och samtycket återkallas. Därutöver har den registrerade även rätt att få ut de personuppgifter som rör den registrerade som denne lämnat till Cedra i ett strukturerat, allmänt använt och maskinläsbart format (dataportabilitet) för överföring till annan personuppgiftsansvarig.
Kontaktinformation till Cedras personuppgiftsansvarig
Den som vill begära en begränsning, rättning eller radering av sina personuppgifter, eller i övrigt har frågor om Cedras personuppgiftshantering, kan höra av sig till Cedra via kontakthemsidan Kontakt – Cedra.
En begäran om begränsning eller radering kommer att behandlas inom en månad från det att Cedra mottagit begäran, om det inte finns behov av en förlängning.
Cedra har i enlighet med lag (2021:890) om skydd för personer som rapporterar om missförhållanden infört ett system för rapportering av missförhållanden. Med anledning av samma lagstiftning har Cedra också antagit en så kallad visselblåsarpolicy. Systemet drivs av extern leverantör som mottar rapporterna och gör en initial bedömning av vilka rapporter som behöver vidarebefordras till Cedra AB.
Syftet med systemet är att uppfylla den lagstadgade skyldigheten att ha interna rapporteringskanaler där vissa i lagstiftningen utpekade personer ska kunna rapportera missförhållanden på vissa utpekade områden. Systemet är öppet för samtliga personer som är verksamma inom Cedra AB, samt för allmänheten.
Användare kan välja att vara anonyma, men systemet kan komma att behandla alla typer av personuppgifter, inklusive uppgifter om misstänkta och konstaterade lagöverträdelser som innefattar brott. Rapporterande person kan lämna samtycke till behandling av personuppgifter i de fall personen inte önskar vara anonym.
Målsättning
Cedras målsättning är att värna om skyddet för den personliga integriteten och att vidta alla de tekniska och organisatoriska åtgärder som krävs för att skydda personuppgifterna och säkerställa att behandlingarna sker i enlighet med gällande dataskyddslagstiftning och interna riktlinjer, policyer och rutiner för hantering av personuppgifter. Det innebär att endast de personer som behöver ha tillgång till uppgifterna för att utföra sina arbetsuppgifter har tillgång till dem. En närmare beskrivning av Cedras säkerhetsåtgärder kan erhållas genom en förfrågan till Cedra.
Överföring och utlämning av personuppgifter
För att uppfylla ändamålen med Cedras behandling av de personuppgifter som angivits ovan anlitar Cedra i förekommande fall tjänste- och systemleverantörer av IT, som behandlar personuppgifter på Cedras uppdrag. Dessa tjänste- och systemleverantörer får endast behandla personuppgifterna enligt Cedras uttryckliga instruktioner och får inte använda uppgifterna för egna ändamål. De är även skyldiga enligt lag och avtal att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgifterna. Cedra ingår personuppgiftsbiträdesavtal med tjänste- och systemleverantörerna.
Cedra kan i förekommande fall lämna ut personuppgifter även till andra mottagare än de som angivits ovan i syfte att följa tillämpliga lagar och regler, en begäran eller ett föreläggande från en behörig domstol eller myndighet, samt för att tillgodose Cedras berättigade intresse av att fastställa, göra gällande och försvara sig mot rättsliga anspråk.
Cedra kan också komma att överföra personuppgifter till mottagare som återfinns i länder utanför EU/EES-området och som inte har samma skyddsnivå för personuppgifter som EU. För att säkerställa att personuppgifterna är ändamålsenligt skyddade har Cedra ingått dataöverföringsavtal som inkluderar EU-kommissionens standardavtalsklausuler med mottagarna eller sett till att det finns andra lämpliga skyddsåtgärder på plats. Den registrerade har rätt att på begäran få en lista över vilka länder till vilka Cedra överför personuppgifter med angivande av kategori av mottagare samt få en kopia på EU:s standardavtalsklausuler genom att kontakta Cedra.