Almennir viðskiptaskilmálar KPMG
Þessir almennu viðskiptaskilmálar gilda um þjónustu sem KPMG veitir viðskiptavin samkvæmt verksamningi (hér eftir „verksamningurinn“).
Skilgreiningar
Eftirfarandi skilgreiningar gilda um þessa almennu viðskiptaskilmála og verksamninginn:
KPMG: KPMG ehf. og KPMG Law ehf. á Íslandi. Ekki er átt við KPMG International („KPMGI“) eða nokkurt annað aðildarfyrirtæki KPMG.
KPMG-aðilar: KPMG ehf. og KPMG Law ehf. á Íslandi og hver og einn hluthafi, stjórnarmaður eða starfsmaður, eftir því sem við á, og hver sú lögpersóna sem KPMG ræður yfir eða á. Einnig KPMGI eða annað aðildarfyrirtæki KPMGI, sem og hver og einn félagi þess aðila, hluthafi, meðlimur, stjórnarmaður, starfsmaður eða umboðsmaður.
Þjónusta og skyldur KPMG
1. Í verksamningnum er skilgreind sú þjónusta sem um er samið á milli KPMG og verkkaupa. Komi fram misræmi milli verksamningsins og almennra viðskiptaskilmála skal verksamningurinn gilda.
2. Hver liður eða skilmáli í verksamningnum og almennu viðskipta-skilmálunum er aðskilið og sjálfstætt ákvæði. Verði eitthvert ákvæði dæmt ógilt eða óframkvæmanlegt skulu önnur ákvæði halda fullu gildi og virkni að því marki sem landslög framast leyfa.
3. Þjónustan verður innt af hendi svo vel og vandlega sem eðlilegt er að krefjast. Þjónustan er í formi ráðgjafar, s.s. framsetningu valkosta, en KPMG tekur ekki ákvarðanir fyrir hönd stjórnenda viðskiptavinarins nema sérstaklega sé samið um slíkt og það stríði ekki gegn reglum sem gilda um óhæði endurskoðenda og hagsmunaárekstra að öðru leyti.
4. Ef einstakir starfsmenn eru nefndir í verksamningnum mun KPMG leitast við að tryggja að þeir vinni viðkomandi störf eftir því sem unnt er. KPMG áskilur sér þó rétt til að fela verkið öðrum jafnhæfum eða sambærilega hæfum starfsmönnum.
5. Við framkvæmd verksins kann KPMG að verða áskynja um upplýsingar sem eru viðkvæmar fyrir starfsemi eða málefni verkkaupa („trúnaðarupplýsingar“). Við meðferð slíkra trúnaðarupplýsinga mun KPMG fylgja landslögum, stjórnvaldsreglum og öðrum ákvæðum um meðferð trúnaðarupplýsinga sem KPMG ber að fylgja.
Framangreind trúnaðarskylda á ekki við um upplýsingar sem löglega eru á almannavitorði eða sem skylt er að láta uppi samkvæmt lögum, stjórnvaldsreglum eða dómsúrskurði. KPMG er heimilt að láta uppi trúnaðarupplýsingar þegar nauðsyn krefur gagnvart vátryggingafélagi eða ráðgjöfum í tengslum við starfsábyrgðartryggingar KPMG, en það yrði einungis gert í trúnaði. Jafnframt kann að vera nauðsynlegt að láta trúnaðarupplýsingar í té öðrum KPMG-aðilum í tengslum við veitingu þjónustunnar samkvæmt verksamningnum.
KPMG er heimilt að nota og veita trúnaðarupplýsingar eftir því sem þörf krefur til annarra KPMG-aðila í því skyni að framkvæma innri áhættuathuganir á viðskiptavin og verkefni, s.s. í tengslum við könnun á óhæði endurskoðanda eða mögulegum hagsmunaárekstrum, og í tengslum við gæðamál og skyldubundið gæðaeftirlit.
KPMG hlítir lögum og reglum um vernd gagna og persónuupplýsinga í öllum viðeigandi lögsagnarumdæmum. Að öðru jöfnu telst KPMG ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem á sér stað í tengslum við ráðgjafarverkefni, nema annað leiði af verksamningi eða eðli máls.
KPMG er heimilt að nýta upplýsingar um verkkaupa og verkefnið til að uppfæra samskiptaskrár KPMG og samskiptagrunna um starfsmenn verkkaupa í þeim tilgangi að auðvelda samskipti við þá starfsmenn sem verkefnið varðar.
Rafræn vinnsla og varðveisla gagna er meðal annars í skýjalausnum staðsettum innan Evrópusambandsins og fer fram með þeim hætti að KPMG uppfyllir allar viðeigandi trúnaðarskyldur og gerir ráðstafanir til að lágmarka áhættu á óheimiluðum aðgangi eða notkun á upplýsingum og gögnum og/eða tap eða eyðileggingu á slíkum gögnum.
Við vinnslu verkefnis kunna upplýsingar um verkkaupa að fara á milli KPMG ehf. og KPMG Law ehf., en bæði félögin lúta sömu reglum hvað varðar trúnað og meðferð persónuupplýsinga.
6. Í tengslum við markaðssetningu, auglýsingu eða sölu á þjónustu kann KPMG að vilja skýra frá því með almennum hætti að KPMG hafi unnið fyrir verkkaupa. Ekki yrði greint frá trúnaðarupplýsingum í því samhengi.
7. Afurðir verkefnisins eru skilgreindar í verksamningnum og eru aðeins gerðar í þágu verkkaupa nema samið sé sérstaklega um annað. Ef verkkaupi hyggst treysta á munnlega ráðgjöf sem kann að hafa verið veitt er það á hans ábyrgð nema KPMG veiti skriflega staðfestingu á viðkomandi ráðgjöf. Ekki ber heldur að treysta á drög að ráðgjöf, minnisblaði, greinargerð eða skýrslu eins og um lokaafurð væri að ræða.
8. KPMG er ekki skylt að uppfæra ráðgjöf, skýrslu eða aðrar afurðir þjónustunnar eftir verklok nema samið sé um slíkt sérstaklega.
9. Ef KPMG lætur í té ráðgjöf, mat eða spá sem hluta þjónustunnar felur það ekki í sér neins konar ábyrgð KPMG á spám, ágiskunum eða mati á líkindum er varða atvik eða aðstæður í framtíðinni.
Hugverka- og eignarréttur
10. Höfundarréttur og allur annar hugverkaréttur að afurðum þjónustunnar, hvort sem hún er veitt munnlega eða í efnislegu formi, skal haldast í eigu KPMG, svo og eignarréttur að vinnuskjölum KPMG. Verkkaupi öðlast eignarrétt að afurð þjónustunnar í efnislegu formi við greiðslu til KPMG fyrir afurðina. Í því skyni að veita verkkaupa og öðrum viðskiptavinum þjónustu er KPMG og öðrum KPMG-aðilum heimilt að nota, þróa og skiptast á þekkingu, reynslu og verkkunnáttu sem orðið hefur til við veitingu þjónustunnar. KPMG er heimilt að nýta almennar upplýsingar úr verkefninu í gagnagrunna sem KPMG á aðild að. Slíkar upplýsingar eru þó aldrei rekjanlegar til einstakra viðskiptavina.
11. Verkkaupa er ekki heimilt að afrita einkennismerki KPMG (logo) í nokkru formi eða með nokkrum miðli nema að fengnu fyrirfram samþykki KPMG.
12. Ef verkkaupi fer fram á að KPMG noti við veitingu þjónustunnar tæki, búnað eða aðrar eignir í eigu verkkaupa, ber verkkaupi ábyrgð á að notkun þeirra brjóti ekki í bága við hugverkaréttindi eða önnur réttindi þriðja aðila.
Greiðslur til KPMG
13. KPMG mun gefa út reikninga vegna þjónustunnar er samanstanda af þóknun, lögbundnum sköttum og eftir atvikum útlögðum kostnaði, sbr. nánari ákvæði í verksamningnum. Greiðslur til KPMG kunna að verða aðrar en áætlað hefur verið eða gefið upp í verksamningnum, t.d. ef viðbótarþóknun eða útlagður kostnaður stafa af því að KPMG hefur ekki fengið nauðsynlegar upplýsingar til að láta þjónustuna í té.
14. Verkkaupa ber að greiða framlagða reikninga KPMG án frádráttar eða skuldajafnaðar, nema lög heimili annað. Gjalddagi reiknings er tilgreindur á reikningi og eindagi er 12 dögum eftir gjalddaga, nema um annað sé samið í verksamningnum.
15. Ef reikningur er ekki greiddur á eindaga leggjast við ógreiddar fjárhæðir dráttarvextir samkvæmt ákvörðun Seðlabanka Íslands á grundvelli laga nr. 38/2001 um vexti og verðtryggingu.
16. Ef verksamningnum er sagt upp eða hann felldur úr gildi tímabundið á KPMG rétt á að fá útlagðan kostnað fram að þeim tíma greiddan, sem og þóknun fyrir unna vinnu ásamt virðisaukaskatti, eftir því sem við á.
17. Ef fleiri en einn aðili er verkkaupi samkvæmt verksamningnum ber hver verkkaupi um sig óskipta ábyrgð á greiðslum til KPMG nema kveðið sé á um annað í verksamningnum.
18. Berist KPMG beiðni um gögn eða upplýsingar frá opinberum eftirlitsaðilum eða í tengslum við væntanlegt eða yfirstandandi dómsmál sem tengist þjónustunni og sem KPMG er ekki aðili að, greiðir verkkaupi KPMG kostnað sem hlýst af viðbótarvinnu KPMG samkvæmt gildandi gjaldskrá.
Skyldur verkkaupa
19. Verkkaupi ber ábyrgð á stjórn, starfsemi og rekstri fyrirtækis síns, sem og ákvörðunum um hvernig skuli nýta ráðgjöf og afurðir þeirrar þjónustu sem KPMG veitir og að hvaða marki verkkaupi vill byggja á þeim eða framkvæma þær. Einnig ber verkkaupi ábyrgð á ákvörðunum sínum sem hafa áhrif á þjónustuna, afurðir þjónustunnar og hagsmuni verkkaupa að öðru leyti.
Einn liður í að samþykkja nýja viðskiptavini og verkefni hjá KPMG er áreiðanleikakönnun sem nýir viðskiptavinir þurfa að fylla út. Jafnframt eru viðskiptavinir áhættumetnir með reglulegu millibili. Röng eða misvísandi upplýsingagjöf viðskiptavinar kann að leiða til endurmats á fyrra áhættumati eða slita á viðskiptasambandi. Þjónustuveiting KPMG er með fyrirvara um framkvæmt áhættumat á viðskiptavini. Standist viðskiptavinur ekki áhættumat falla úr gildi samningar um veitta þjónustu.
20. Þegar verkkaupi fer fram á það eða þegar þjónustan er þess eðlis að hagkvæmara má telja að unnið verði í húsnæði og rafrænu umhverfi verkkaupa, ber honum að gera fullnægjandi ráðstafanir varðandi aðgang, öryggi og vírusvarnir, og að aðstaða, leyfi og samþykki liggi fyrir eins og þörf kann að vera á, KPMG að kostnaðarlausu.
Í því getur falist að starfsmenn KPMG sem sinna verkefni fyrir verkkaupa fái aðgang að kerfis- og hugbúnaðarlausnum verkkaupa, þar með talið þeim lausnum sem hýstar eru af þriðja aðila, s.s. skýjalausnum, eftir því sem við á.
Verkkaupi skal eftir því sem við á veita hverjum starfsmanni KPMG sem sinnir þjónustu samkvæmt samningi þessum, persónugreinanlegan aðgang sem notaður er til að tengjast netkerfi og þeim kerfis- og hugbúnaðarlausnum sem um ræðir.
Þegar verkefni er lokið skal verkkaupi gera aðgang starfsmanns KPMG óvirkan. Verkkaupi samþykkir þá áhættu sem slíkum tengingum og aðgangsveitingu kann að fylgja.
21. Verkkaupa er ekki heimilt dreifa afurð KPMG í breyttri eða styttri mynd nema að fengnu skriflegu samþykki KPMG. Ef verkkaupi lætur af hendi einhverja afurð þjónustunnar, að hluta eða öllu leyti, til þriðja aðila, ber honum að tilkynna viðkomandi aðila skriflega eftirfarandi, nema sambærilegir fyrirvarar komi fram í afurðinni:
· Að vinna KPMG hafi verið unnin fyrir verkkaupa og eingöngu í hans þágu í samræmi við ákvæði verksamnings.
· Afurðin hafi ekki verið ætluð til afnota fyrir aðra og að því marki sem lög framast leyfa taki KPMG enga fjárhagslega eða aðra ábyrgð gagnvart þriðja aðila í tengslum við þjónustuna eða afurðir hennar.
Upplýsingar
22. Í því skyni að unnt verði að veita þjónustuna skal verkkaupi veita KPMG allar upplýsingar og aðstoð og fullan aðgang að gögnum í hans eigu, umsjá eða umráðum, svo og að starfsfólki sem hann hefur yfir að segja. Verkkaupi skal af fremsta megni leitast við að útvega framangreint þótt það sé ekki í hans eigu, umsjón eða yfirráðum. Verkkaupi skal láta KPMG í té vitneskju og skýra frá atvikum sem hann kann að verða áskynja um og kunna að varða þjónustuna. Verkkaupi skal jafnframt veita KPMG þær upplýsingar sem óskað kann að verða eftir í því skyni að KPMG geti fullnægt skyldum sínum samkvæmt lögum um skýrslugjöf til yfirvalda varðandi peningaþvætti eða önnur lögbrot sem KPMG kann að verða áskynja um þegar þjónustan er veitt og kunna trúnaðarupplýsingar að vera þar á meðal.
23. Ef verkkaupi eða einhver af dótturfélögum eða öðrum tengdum aðilum verkkaupa, hafa fjárhagslega hagsmuni eða viðveru í einhverju aðildarríki Evrópusambandsins (ESB), kann verkkaupi að eiga í tilkynningarskyldum viðskiptum sem falla undir reglur ESB um tilkynningarskyld viðskipti („EU Mandatory Disclosure Requirements for Intermediaries and Taxpayers”). Verkkaupa er bent á að leita lögfræði- eða skattaráðgjafar hjá sérfræðingum í þessum reglum. Tekið skal fram að KPMG mun ekki geta veitt verkkaupa neina vissu um að hann hafi fylgt framangreindum reglum um tilkynningarskyld viðskipti. Ef verkefnið felur í sér aðkomu KPMG aðildarfélags sem starfar innan ESB, beint eða í gegnum samning við KPMG á Íslandi, kann því KPMG félagi að vera skylt að upplýsa viðkomandi skattayfirvöld um einstök atriði ráðgjafar eða afurðar verkefnis sem KPMG hefur unnið samkvæmt framangreindum reglum. Að svo miklu leyti sem lög leyfa ber KPMG enga ábyrgð gagnvart verkkaupa á afleiðingum, tjóni, kröfum, álagi, sektum, aðgerðum eða kvörtunum sem kunna að vera afleiðing af, vera tilefni til eða á annan hátt tengjast slíkri upplýsingagjöf.
24. KPMG er heimilt að byggja á munnlegum eða skriflegum fyrirmælum, beiðnum, tilkynningum og upplýsingum frá hverjum þeim sem KPMG veit eða hefur rökstudda ástæðu til að ætla að hafi heimild verkkaupa til að eiga samskipti við KPMG í tengslum við þjónustuna.
25. Samskipti og gagnaskil KPMG og verkkaupa geta farið fram í gegnum tölvupóst eða önnur samskipta- og gagnavörslukerfi, svo fremi að verkkaupi sætti sig við að bera ábyrgð á þeirri áhættu sem slíkum samskiptum fylgir og að því tilskildu að verkkaupi viðhafi fullnægjandi varnir, svo sem vírusvarnir og öryggisviðbætur. Verkkaupi ber ábyrgð á öryggi upplýsinga í vörslu hans, þar á meðal á gögnum í hans vörslu sem stafa frá KPMG.
26. Svo sem lög framast leyfa ber KPMG ekki ábyrgð gagnvart verkkaupa á tapi eða tjóni hans sem stafar af sviksamlegu atferli, rangfærslum, þögn eða aðgerðarleysi varðandi atriði sem varða þjónustuna eða öðrum ágöllum á veittum upplýsingum, hvort sem þeir eru sök verkkaupa eða annarra upplýsingagjafa, nema hið sviksamlega atferli, rangfærslan, þögnin eða ágallinn hafi verið bersýnilega augljós KPMG án frekari athugunar.
27. Aðgreining er milli verkefnateyma og takmörkun á aðgangi að gögnum um verkefni hjá KPMG. Verkkaupi skal ekki ætlast til þess af verkefnahópnum að hann nýti sér eða skýri verkkaupa frá neinum þeim upplýsingum sem trúnaður ríkir um gagnvart öðrum viðskiptavinum, hvort sem þær eru kunnar þeim sem hann skipa eða öðrum verkefnahópum eða KPMG-aðilum.
28. KPMG kann að veita þjónustu, eða vera beðið um að veita þjónustu, öðrum aðila eða aðilum sem hafa hagsmuna að gæta eða keppa við hagsmuni verkkaupa eða eru þeim andstæðir. KPMG er og skal áfram vera frjálst að veita andstæðum aðilum þjónustu, en séu hagsmunir andstæðs aðila sérstaklega og beinlínis andstæðir hagsmunum verkkaupa hvað snertir efni þjónustunnar skal verkefnahópurinn ekki veita andstæða aðilanum þá þjónustu. Aðrir verkefnahópar eða KPMG-aðilar skulu aðeins veita andstæðum aðila þjónustu ef viðeigandi aðgreining er til staðar, s.s. með aðskilnaði verkefnahópa og aðgangsstýringu gagna. Aðgreining skal fela í sér að fullnægjandi ráðstafanir séu gerðar til að fyrirbyggja raunhæfa hættu á að trúnaðarskylda KPMG gagnvart verkkaupa verði brotin.
Eftirgjöf, framsal og undirverktaka
29. Ef eitthvert þeirra sem fellur undir skilgreiningu á KPMG eða KPMG-aðila neytir eða beitir ekki rétti sem hann á, skal það ekki talið fela í sér eftirgjöf á neinum rétti þeirra.
30. Hvorki KPMG né verkkaupi mega framselja til annars aðila þau réttindi eða þær skyldur sem af verksamningnum leiða nema hinn aðilinn hafi veitt til þess skriflegt samþykki.
31. KPMG kann að telja þörf á að tilnefna undirverktaka til aðstoðar við að veita þjónustuna. Fjalla ber um slíka undirverktöku í verksamningnum eða viðauka við hann, hvort sem undirverktaki er KPMG-aðili eða ekki. Þegar undirverktaki kemur að verkefninu í hvaða tilgangi sem er skal litið svo á að verk undirverktakans sé hluti þjónustunnar samkvæmt verksamningnum.
Takmörkun ábyrgðar
32. Svo sem landslög framast leyfa skal heildarábyrgð hvers KPMG-aðila sem tekur þátt í veitingu þjónustunnar og þeirra allra gagnvart verkkaupa og öðrum rétthöfum, hvernig sem hún er til komin eða á hvaða grundvelli sem er, á hverju því beina eða óbeina tjóni sem verkkaupi verður fyrir af þjónustunni eða í tengslum við hana, vera takmörkuð við fjárhæð sem nemur tvöfaldri þeirri þóknun sem greiða ber KPMG samkvæmt verksamningnum. Takmörkun á ábyrgð á þó ekki við um tjón sem KPMG kann að valda af ásetningi eða stórkostlegu gáleysi. Ef aðilar verksamningsins og aðrir sem rétt kunna að eiga á afurð þjónustunnar eru fleiri en einn skulu þeir skipta á milli sín þeirri takmörkuðu bótafjárhæð sem fallist er á í þessum lið.
33. Þrátt fyrir ákvæði liðar 32 skal þó ábyrgð KPMG aðila aldrei nema hærri fjárhæð en þeim hluta heildartaps eða heildartjóns sem sanngjarnt er og eðlilegt að KPMG-aðili beri, að teknu tilliti til mögulegrar eigin sakar verkkaupa eða annarra rétthafa þjónustu samkvæmt verksamningnum, ef um það er að ræða, og með hliðsjón af því að hvaða marki KPMG-aðilum verður um viðkomandi tap eða tjón kennt og að hvaða marki aðrir aðilar eru einnig eða kunna að vera ábyrgir gagnvart verkkaupa eða öðrum rétthöfum fyrir sama tapi eða tjóni.
34. Verkkaupi og aðrir rétthafar skulu ekki hafa uppi kröfur gegn neinum öðrum KPMG-aðila en viðsemjanda samkvæmt verksamningnum vegna taps eða tjóns verkkaupa eða annars rétthafa sem stafar af þjónustunni eða stendur í tengslum við hana.
35. Ábyrgð KPMG gagnvart verkkaupa eða öðrum rétthafa fellur niður ef tjón stafar af sviksemi, blekkingum eða öðru sambærilegu af hálfu verkkaupa eða starfsmanna hans.
36. Verkkaupa ber að halda KPMG og öðrum KPMG-aðilum skaðlausum og bæta, endurgreiða og vernda gegn hverju því tapi, tjóni, útgjöldum eða ábyrgð sem þessir aðilar verða fyrir, sem verður vegna eða í tengslum við eftirfarandi aðstæður:
· Hvers konar brot verkkaupa gegn skyldum sínum samkvæmt verksamningnum og hvers kyns kröfur sem þriðji aðili eða annar rétthafi gerir eða hótar að gera og leiða af, orsakast af eða tengjast slíku broti, eða
· hvers konar afhendingu verkkaupa á afurðum þjónustu KPMG, í hluta eða heild, til þriðja aðila án þess að getið hafi verið um þá fyrirvara sem fjallað er um í lið 21 í þessum viðskiptaskilmálum, að því er varðar ráðgjöf sem eingöngu er veitt í þágu verkkaupa.
Réttindi þriðju aðila
37. Með verksamningnum er ekki stofnað til eða stefnt að því að stofna til nokkurra réttinda til handa þriðja aðila, þ. á m. móðurfélags verkkaupa þegar það á við. Að því marki sem lög leyfa á þriðji aðili engan rétt til að framfylgja eða byggja á neinu ákvæði verk-samningsins sem berum orðum eða samkvæmt túlkun þess veitir eða kann að veita þriðja aðila einhvern rétt eða réttindi, beint eða óbeint. Enginn KPMG-aðili telst vera þriðji aðili í skilningi þessa liðar.
Tímamörk krafna
38. Krafa verkkaupa eða annars rétthafa vegna taps eða tjóns er orsakast eða leiðir af verksamningnum eða tengist honum, skal sett fram án ástæðulauss dráttar og innan þeirra marka sem tilgreind eru í lögum um fyrningu kröfuréttinda nr. 150/2007.
Uppsögn, riftun o.fl.
39. Sérhver aðili verksamningsins getur hvenær sem er sagt honum upp með fyrirframgefinni skriflegri tilkynningu til hins aðilans með 30 daga fyrirvara. Aðili verksamningsins getur rift samningnum fyrirvaralaust ef sýnt er fram á verulegar vanefndir á samningnum eða ef aðili uppfyllir ekki skyldur sínar og verður ekki við áskorun um að bæta úr innan þriggja daga. Riftun er einnig heimil ef breytingar verða á lögum, reglum eða stöðlum sem leiða til þess að KPMG er óheimilt að veita þjónustuna. Uppsögn eða riftun samkvæmt þessum lið hefur ekki áhrif á nein réttindi sem aðili kann að hafa öðlast áður en uppsögnin eða riftunin á sér stað, og allt það fé sem greiða ber KPMG samkvæmt verksamningnum skal að fullu verða gjaldkræft þegar uppsögn eða riftun kemur til framkvæmdar.
40. Að því marki sem landslög framast leyfa skulu ákvæði þessara almennu viðskiptaskilmála gilda áfram þó verksamningur renni út, honum er sagt upp eða rift.
Force Majeure
41. Hvorugur aðili skal talinn hafa vanefnt verksamning eða bera ábyrgð á töfum tengdum skyldum aðilanna við framkvæmd þjónustunnar samkvæmt verksamningnum vegna óviðráðanlegra ytri atvika sem þeim verður af sanngirni ekki kennt um. Hvor aðili um sig skal þó tilkynna hinum án tafar um slík atvik og gera það sem í hans valdi stendur til að sjá til þess að staðið verði við ákvæði verksamningsins.
Umboð
42. Verkkaupi samþykkir og fellst á ákvæði verksamningsins og almennu viðskiptaskilmálanna fyrir sína hönd og annarra rétthafa eftir því sem við getur átt. Verkkaupi ábyrgist að sá sem undirritar verksamning fyrir hans hönd hafi umboð til þess að skuldbinda verkkaupa.
43. Sá sem undirritar verksamninginn fyrir hönd KPMG ber ábyrgð á samskiptum við verkkaupa varðandi framkvæmd þjónustunnar.
Lögsaga og varnarþing
44. Verksamningurinn eða almennu viðskiptaskilmálarnir skulu ekki í neinum atriðum hefta KPMG eða endurskoðanda sem starfar hjá KPMG við að uppfylla hvers konar skyldur eða skuldbindingar sem kveðið er á um í íslenskum lögum um endurskoðendur.
45. Um verksamninginn og almennu viðskiptaskilmálana gilda íslensk lög og skal vísa ágreiningi þeim tengdum til Héraðsdóms Reykjavíkur náist ekki samkomulag milli aðila.
Skilmálar KPMG varðandi vinnslu persónuupplýsinga
Skilmálar þessir varðandi vinnslu persónuupplýsinga eiga við um vinnslu KPMG ehf. og KPMG Law ehf. („KPMG“) á persónuupplýsingum í tengslum við þjónustu sem KPMG veitir viðskiptavini („verkkaupa“) og eru til viðbótar skilmálum verksamnings, þjónustusamnings, og almennra viðskiptaskilmála KPMG, nema öðru vísi hafi verið um samið milli KPMG og verkkaupa.
Skilgreiningar
Skilgreiningar sem fram koma í almennum viðskiptaskilmálum KPMG gilda einnig um skilmála þessa. Ef ekki er annað tekið fram, skulu hugtök sem fram koma í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/679 („GDPR-reglugerðin“) hafa sömu merkingu í skilmálum þessum.
Hlutverk KPMG við vinnslu persónuupplýsinga
1. KPMG er endurskoðunarfyrirtæki samkvæmt lögum um endurskoðendur og endurskoðun nr. 94/2019. Við endurskoðun er KPMG bundið af fyrirmælum laga um endurskoðendur og annarrar löggjafar, auk alþjóðlegra staðla um endurskoðun og siðareglna fyrir endurskoðendur. Endurskoðanda ber að vera óháður í störfum sínum og því ákvarðar KPMG tilgang og aðferðir við vinnslu persónuupplýsinga sem mótteknar hafa verið frá verkkaupa í tengslum við endurskoðun eða aðrar lagaskyldur endurskoðanda. Af því leiðir að KPMG telst ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem kann að fara fram í tengslum við endurskoðunarverkefni eða hliðstæð lögbundin verkefni. Að öðru jöfnu telst KPMG einnig ábyrgðaraðili í tengslum við ráðgjafarverkefni, nema öðru vísi sé kveðið á í samningi.
KPMG Law ehf. er lögmannsstofa og starfar samkvæmt lögum um lögmenn nr. 77/1998. Við vinnslu persónuupplýsinga í tengslum við lögfræðiráðgjöf og önnur lögmannsstörf teljast KPMG Law ehf. að öðru jöfnu ábyrgðaraðilar.
2. Í öðrum tilvikum kann þjónusta KPMG að felast, að hluta eða öllu leyti, í vinnslu persónuupplýsinga í afmörkuðum tilgangi eftir fyrirmælum verkkaupa, og telst KPMG þá vinnsluaðili viðkomandi persónuupplýsinga. Verkefni á borð við launavinnslu, bókhaldsþjónustu og framtalsgerð falla almennt í þennan flokk.
Skyldur KPMG sem ábyrgðaraðila
3. Í þeim tilvikum þar sem KPMG er ábyrgðaraðili vinnslu ber fyrirtækinu að fylgja fyrirmælum gildandi persónuverndar-löggjafar á hverjum tíma og sjá til þess að vinnsla persónu-upplýsinga sé í samræmi við persónuverndaryfirlýsingu KPMG.
Skyldur verkkaupa sem ábyrgðaraðila
4. Að því marki sem verkkaupi telst ábyrgðaraðili þeirrar vinnslu sem fram fer í tengslum við tiltekið verkefni ber verkkaupa að uppfylla allar þær lagaskyldur sem gildandi persónu-verndarlöggjöf á hverjum tíma leggur á herðar ábyrgðaraðila.
Umfang vinnslu KPMG á persónuupplýsingum fyrir hönd verkkaupa
5. Í þeim tilvikum þar sem KPMG er vinnsluaðili kann vinnsla persónuupplýsinga að ná til nafna, kennitalna, símanúmera, netfanga og starfsheita starfsmanna og/eða viðskiptavina verkkaupa. Umfang, eðli og tímalengd vinnslunnar ræðst af verksamningi aðila og, eftir því sem við getur átt, lagafyrirmælum og samkomulagi aðila.
Skyldur KPMG sem vinnsluaðila
6. Í þeim tilvikum þar sem KPMG er vinnsluaðili persónuupplýsinga verkkaupa, ber KPMG að:
· vinna persónuupplýsingar í samræmi við þær skyldur sem hvíla á vinnsluaðila samkvæmt gildandi persónuverndar-löggjöf á hverjum tíma;
· vinna persónuupplýsingar eingöngu samkvæmt skjalfestum fyrirmælum verkkaupa í verksamningi eða samkvæmt síðara samkomulagi, nema lagafyrirmæli bjóði annað. Telji KPMG að fyrirmæli verkkaupa fari í bága við lög skal KPMG tilkynna verkkaupa um það skriflega;
· tryggja að starfsmenn sem koma að vinnslu persónuupplýsinga hafi gengist undir trúnaðarskyldu;
· framkvæma þær tæknilegu og skipulagslegu ráðstafanir sem KPMG telur viðeigandi til að tryggja viðunandi öryggi vinnslu með hliðsjón af áhættu;
· aðstoða verkkaupa með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, að því marki sem hægt er, við að uppfylla skyldu verkkaupa til að svara beiðnum um að skráðir einstaklingar fái neytt réttar síns samkvæmt ákvæðum persónuverndarlöggjafar;
· aðstoða verkkaupa við að tryggja að skyldur verkkaupa samkvæmt 32.–36. gr. GDPR-reglugerðarinnar séu uppfylltar, að teknu tilliti til eðlis vinnslu og þeirra upplýsinga sem KPMG eru tiltækar. KPMG áskilur sér rétt til að krefja verkkaupa um greiðslu eðlilegs kostnaðar við að veita slíka aðstoð;
· samkvæmt beiðni verkkaupa og að vali hans, eyða eða skila verkkaupa öllum persónuupplýsingum við lok þess verks sem vinnsla lýtur að. Jafnframt ber KPMG að eyða öllum afritum gagna nema mælt sé fyrir um vörslu þeirra í lögum, stjórnvaldsreglum eða faglegum reglum sem KPMG er bundið af;
· láta verkkaupa í té allar þær upplýsingar sem nauðsynlegar eru til að sýna fram á að skilmálum þessa ákvæðis hafi verið fylgt, samkvæmt beiðni verkkaupa og innan eðlilegs tímafrests;
· tilkynna verkkaupa án ástæðulauss dráttar ef vart verður við öryggisbrest við meðferð þeirra persónuupplýsinga sem verkið lýtur að.
Úttektir
7. Í þeim tilvikum þar sem KPMG er vinnsluaðili skal verkkaupa gefinn kostur á að framkvæma úttektir samkvæmt gagnkvæmu samkomulagi aðila og með eðlilegum fyrirvara, að því marki sem slíkt fer ekki í bága við faglega trúnaðar- og þagnarskyldu KPMG, og skal KPMG leggja sitt af mörkum til slíkra úttekta. Sé úttekt unnin af þriðja aðila í umboði verkkaupa er skilyrði að sá aðili sé ekki beinn samkeppnisaðili KPMG. Úttektir geta falist í könnun og yfirferð á upplýsingaöryggisstefnu vinnsluaðila og öðrum viðeigandi gögnum sem taka til öryggisráðstafana tengdum persónuupplýsingum og/eða í viðræðum, um upplýsingaöryggi og öryggisráðstafanir, við þá starfsmenn vinnsluaðila sem bera ábyrgð á upplýsingaöryggi, meðferð gagna og framkvæmd verkefnis.
Viðbótarvinnsluaðilar
8. Í þeim tilvikum þar sem KPMG er vinnsluaðili heimilar verkkaupi að KPMG nýti sér þjónustu viðbótarvinnsluaðila við vinnslu persónuupplýsinga, að því tilskildu að slíkir viðbótarvinnsluaðilar starfi samkvæmt skilmálum sem séu efnislega sambærilegir því sem fram kemur í skilmálum þessum og starfi að öðru leyti í samræmi við ákvæði gildandi persónuverndarlöggjafar.
Áður en ætlaðar breytingar taka gildi, bæði þegar bætt er við viðbótarvinnsluaðila og þegar gerðar eru breytingar á þeim viðbótarvinnsluaðilum sem þegar eru notaðir, eða þegar um er að ræða viðbætur eða breytingu á gildandi fyrirkomulagi vinnsluaðgerða, skal vinnsluaðili upplýsa ábyrgðaraðila skriflega um breytingarnar. Þar skal sérstaklega taka fram hvaða vinnsluaðgerðir viðbótarvinnsluaðilinn hyggst taka að sér, nafn og samskiptaupplýsingar viðbótarvinnslu-aðilans ásamt dagsetningu samnings. Ábyrgðaraðili hefur 14 virka daga frá þeim degi sem hann móttekur upplýsingar um breytingu á notkun á viðbótarvinnsluaðila til að andmæla því. Notkun á viðbótarvinnsluaðila er eingöngu heimil þegar ábyrgðaraðili hefur ekki andmælt því innan tímamarkanna.
Flutningur persónuupplýsinga
9. Í þeim tilvikum þar sem KPMG er vinnsluaðili skal KPMG ekki flytja persónuupplýsingar til landa utan Evrópska efnahags-svæðisins nema um sé að ræða flutning sem styðst við heimild á grundvelli ákvörðunar sem fellur undir 16. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, eða á grundvelli annarra heimilda til flutnings sem mælt er fyrir um í gildandi persónuverndarlöggjöf á hverjum tíma.
Önnur skilyrði fyrir vinnslu persónuupplýsinga
10. Verkkaupi er upplýstur um að mögulega kann hann, starfsfólk hans eða aðrir tengdir aðilar að þurfa að samþykkja sérstaklega aðra skilmála, notkunarreglur eða persónuverndarreglur af hálfu KPMG (eða annarra KPMG-fyrirtækja) til að geta nýtt sér tiltekna virðisaukandi þjónustuþætti (t.d. vefviðmót eða kerfislausnir sem auðvelda veitingu þjónustu) sem í boði er á hverjum tíma.
Ábyrgð
11. Skilmálar verksamnings, þjónustusamnings, bréfs um endurskoðun og almennra viðskiptaskilmála KPMG um ábyrgð og takmörkun hennar eiga einnig við um þessa skilmála varðandi vinnslu persónuupplýsinga. Þrátt fyrir framangreint skulu KPMG og verkkaupi, hvor fyrir sig, einir bera ábyrgð á þeim stjórnvaldssektum eða öðrum viðurlögum sem á hvorn aðila kunna að vera lögð af þeim yfirvöldum sem fara með framkvæmd persónuverndarlöggjafar í hvaða landi sem er, ef slík yfirvöld hafa komist að bindandi niðurstöðu um að sá aðili hafi brotið gegn skyldum sínum samkvæmt gildandi persónuverndarlöggjöf.
Forgangur
12. Ef misræmi reynist vera milli þessara skilmála og almennra viðskiptaskilmála KPMG ganga þessir skilmálar framar.