Swedsecs regelverk
Swedsecs regelverk
ME D KO MMENTAR E R
2024-01-01
Innehållsförteckning
1 kap. Inledning och definitioner 2
3 kap. Personer som ska ha licens 6
4 kap. Krav för att få licens 10
5 kap. Årlig kunskapsuppdatering 12
6 kap. Vilandeförklaring, förfall och aktivering av licens 13
8 kap. Anslutna företags skyldigheter 16
9 kap. Licenshavares skyldigheter 19
10 kap. Disciplinpåföljder, vite och uteslutning av företag 20
15 kap. Sekretess och register 29
16 kap. Personuppgiftsbiträde 30
17 kap. Ändring av regelverket och meddelanden 35
1 kap. Inledning och definitioner
1 § Regelverket gäller Swedsec, anslutna företag och licenshavare.
2 § I kapitel 2-10 finns de bestämmelser som gäller för anslutna företag och licenshavare.
I kapitel 11-16 finns bestämmelser som främst rör hantering av ärenden och Swedsec Licensiering ABs (”Swedsec”) organisation m.m.
3 § I detta regelverk förstås med
Licens: licens som har erhållits enligt 4 kap. eller enligt vid var tid tillämpliga övergångsregler.
Aktiv licens: licens som inte är vilande.
Licenshavare: fysisk person som har licens, oavsett om licensen är aktiv eller vilande.
Kunskapsuppdatering: utbildning och kunskapskontroll enligt 5 kap. 1 §.
Dataskyddsregleringen: EU:s dataskyddsförordning 2016/679 (dataskyddsförordningen) och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Personuppgiftsincident: En säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs, lagrats eller på annat sätt behandlats i Swedsecs onlinetjänst.
2 kap. Företag som omfattas
1 § Företag får efter godkännande ansluta sig till Swedsec om de i Sverige bedriver någon av följande verk- samheter:
1. värdepappersrörelse enligt lagen (2007:528) om värdepappersmarknaden,
2. fondverksamhet enligt lagen (2004:46) om värdepappersfonder,
3. försäkringsrörelse enligt försäkringsrörelselagen (2010:2043) och tillhandahåller finansiell rådgivning eller förvaltar företagets egna finansiella instrument,
4. försäkringsförmedling enligt lagen (2018:1219) om försäkringsdistribution och tillhandahåller finansiell rådgivning avseende livförsäkringar med sparmoment,
5. förvaltning av specialfond eller diskretionär förvaltning av investeringsportföljer enligt lagen (2013:561) om förvaltare av alternativa investeringsfonder (AIF-förvaltare),
6. kreditgivning eller kreditförmedling av bostadskrediter till konsumenter som tillhandahålls av företag med tillstånd enligt lagen (2004:297) om bank- och finansieringsrörelse, eller
7. kreditgivning eller kreditförmedling av bostadskrediter till konsumenter enligt lagen (2016:1024) om verksamhet med bostadskrediter.
Svensk filial till utländskt företag som bedriver verksamheter motsvarande punkterna 1-7 får ansluta sig till Swedsec. Detsamma gäller för anknutet ombud, etablerat i Sverige, till utländskt företag som bedriver verk- samhet motsvarande punkten 1.
Godkännande av anslutning för företag som anges i första och andra stycket får ges om det finns skäl anta att företaget kommer att
1. följa detta regelverk,
2. bedriva sin verksamhet så att förtroendet för Swedsec upprätthålls,
3. ha en organisation och lämpliga riktlinjer som säkerställer kontroll av regelefterlevnaden hos licensha- vare som är anställda i företaget, och
4. ha licensierad personal.
Kommentar: Xxxxx en ansökan om anslutning kan godkännas av Swedsec ska ett informationsmöte ha ägt rum mellan det företag som ansöker om anslutning och Swedsec. Regelverket börjar gälla direkt efter det att Swedsec godkänt anslutningen (dvs. undertecknat avtalet). Företag bör därför överväga att avvakta en anslutning till dess att verksamheten faktiskt har startats, personal har anställts och utbildats m.m.
(p. 3 och 4) Begreppen ”finansiell rådgivning” och ”livförsäkringar med sparmoment” motsvarar samma be- grepp som återfinns i 1 § lagen (2003:862) om finansiell rådgivning till konsumenter. Vad som avses med ”livförsäkring med sparmoment” framgår av förarbetena (prop. 2003/04:109) till nyssnämnda lag. Förarbe- tena anger bl.a. att eftersom det är fråga om livförsäkringar med sparmoment, så är rena riskförsäkringar undantagna. Vidare anges: ”Huruvida en livförsäkring är en ren riskförsäkring eller inte beror på försäk- ringsavtalets villkor. I en försäkring med sparmoment är syftet att premierna som betalas in förr eller se- nare skall betalas ut, med tillägg för eventuell avkastning.”
(p. 5) Bestämmelsen avser endast att omfatta AIF-förvaltare som förvaltar specialfonder eller diskretionärt förvaltar investeringsportföljer. Förvaltare av ”andra AIF-fonder” såsom riskkapitalfonder och fastighetsfon- der kan således inte ansluta sig till Swedsec enligt denna punkt.
(p. 6) Bestämmelsen avser att omfatta banker och andra företag som lämnar eller förmedlar bostadskredi- ter med tillstånd enligt lagen (2004:297) om bank- och finansieringsrörelse.
(p. 7) Bestämmelsen avser svenskt aktiebolag eller svensk ekonomisk förening med tillstånd att bedriva kre- ditgivning eller kreditförmedling avseende bostadskrediter till konsument.
(tredje stycket) Bestämmelsen ställer krav på anslutna företag att kontrollera regelefterlevnaden hos sina licenshavare. Såväl egna anställda som anknutna ombud och anknutna försäkringsförmedlare samt beman- ningspersonal enligt 2 kap. 4 och 5 §§ betraktas som anställda hos det anslutna företaget. Detta för att det anslutna företaget ska ha förutsättningar för att kunna fullgöra sin anmälningsskyldighet enligt 8 kap. 8 §. Kravet gäller såväl vid tidpunkten för anslutning som därefter under anslutningen. Kontrollen av regelefter- levnaden hos licenshavare kan organiseras på olika sätt och kan utföras internt inom det anslutna företaget eller av uppdragstagare.
(tredje stycket 4) Ett anslutet företag ska enligt 8 kap. 1 § se till att ha licensierad personal för de befatt- ningar och arbetsuppgifter som anges 3 kap. 1 § första stycket (obligatorisk licens). Om det i ett anslutet företag inte bedrivs sådan verksamhet där det krävs obligatorisk licens måste företaget ändå ha licensierad personal i någon omfattning. Detta eftersom det skulle strida mot syftet med Swedsecs verksamhet att ett företag är anslutet utan att ha någon licensierad personal.
2 § I undantagsfall och efter godkännande av Swedsecs styrelse får andra aktörer som står under Finansin- spektionens tillsyn eller som bedriver en likartad verksamhet ansluta sig till Swedsec. Godkännande får ges om det finns skäl att anta att företaget kommer att
1. följa detta regelverk, och
2. bedriva sin verksamhet så att förtroendet för Swedsec upprätthålls.
Sådana aktörer ska i avtalet med Swedsec förbinda sig att
1. se till att endast anställda med licens har befattningar eller arbetsuppgifter som motsvarar dem som framgår av 3 kap. 1 § 1-23,
2. tillämpa för verksamheten relevanta regler och
3. ha en organisation och lämpliga riktlinjer som säkerställer kontrollen av regelefterlevnaden hos licens- havare som är anställda i företaget.
Kommentar: Det kan vara fråga om såväl svenska som utländska aktörer. Möjlighet till anslutning av såd- ana företag är dock liten. En licensiering av personal hos sådana aktörer måste framstå som meningsfull för att anslutning ska få ske. Swedsec bör i dessa fall bland annat överväga om företaget omfattas av externa regelverk och har interna regler m.m. som innebär att t.ex. disciplinförfarandet kan göras gällande. Det föl- jer av 3 kap. 1 § sista stycket att licensiering rör anställda med befattningar och arbetsuppgifter i Sverige. Se även 8 kap. 1 §.
Anknutna ombud och anknutna försäkringsförmedlare
3 § Endast anknutet ombud enligt lagen om värdepappersmarknaden, eller anknuten försäkringsför- medlare enligt lagen om försäkringsdistribution och som också är ett sådant företag som anges i 1 §, får vara direktanslutet till Swedsec.
Kommentar: I många fall kan anknutet ombud eller anknuten försäkringsförmedlare välja om företaget ska vara direktanslutet till Swedsec eller om de anställda ska licensieras som om de vore anställda i det bo- lag som företaget är anknutet ombud eller anknuten försäkringsförmedlare till, se 4 §. För att vara direktan- slutet krävs dock att företaget är t.ex. ett värdepappersbolag, fondbolag, försäkringsbolag eller försäkrings- förmedlare (se 1 §).
4 § Fysiska personer som är, eller är anställda hos, ett anknutet ombud eller en anknuten försäkringsför- medlare till ett anslutet företag kan licensieras genom det anslutna företaget om ombudet eller förmedla- ren inte bedriver annan tillståndspliktig verksamhet och inte är direktanslutet. Sådana personer betraktas vid tillämpningen av detta regelverk som anställda hos det anslutna företaget, såvitt avser ombudsverk- samheten.
Kommentar: Personal i ett företag som har eget tillstånd för t.ex. försäkringsförmedling och samtidigt är anknutet ombud till ett företag som är anslutet till Swedsec kan inte licensieras genom det anslutna företa- gets försorg. Sådana företag måste själva vara anslutna till Swedsec för att personal ska kunna licensieras. Om ett anknutet ombud vid tidpunkten för licensieringen inte bedrev någon annan tillståndspliktig verk- samhet men i ett senare skede får tillstånd till t.ex. försäkringsförmedling ska aktuella licenser vilandeför- klaras enligt 6 kap. 3 § andra stycket.
Som framgår av 8 kap. 1 § är anslutna företag skyldiga att hos anknutna ombud och anknutna försäkrings- förmedlare i Sverige som inte bedriver annan tillståndspliktig verksamhet bl.a. se till att endast anställda med aktiv licens har de befattningar och arbetsuppgifter som anges i 3 kap. 1 § första stycket.
Uppdragstagare
5 § En fysisk person som inte är anställd av ett anslutet företag men arbetar för ett enda anslutet företag, är bunden av det företagets interna regler i relevanta delar, och omfattas av företagets interna kontroller be- traktas vid tillämpningen av detta regelverk som anställd hos det anslutna företaget.
Kommentar: Swedsecs regelverk tar i första hand sikte på anslutna företag och deras anställda. Ett anslu- tet företag kan dock välja att organisera sin verksamhet så att vissa arbetsuppgifter utförs av personal som inte har ett anställningsförhållande till det anslutna företaget. Exempelvis personal anställd av ett beman- ningsföretag eller inhyrda konsulter. Sådan personal kan, liksom anställda, erhålla licens och en sådan li- censhavare behandlas i Swedsecs regelverk på samma sätt som om licenshavaren vore anställd, t.ex. vad gäller kunskapsuppdateringar, disciplinförfarande x.x. Xxxxxxx uppdragstagare enligt regelverkets definit- ion är dock snäv. Endast personer som arbetar med licenspliktig verksamhet i ett enda anslutet företag om- fattas. Personal på advokatbyråer eller i företag som anlitas för compliance- eller riskkontroll-tjänster till flera anslutna företag omfattas exempelvis inte. Vidare krävs att personerna i fråga omfattas av det an- slutna företagets interna regler för verksamheten, dvs. de regler som har ett naturligt samband med ar- betsuppgifterna t.ex. för hur rådgivning och kunders order ska hanteras och bestämmelser om anställdas egna affärer. Detta torde vara det normala, och följer av externa regler, när det gäller exempelvis personal inhyrd från bemanningsföretag. När det gäller företagets interna kontroller är det kontroller av regelefter- levnaden avseende de regler som har ett naturligt samband med arbetsuppgifterna som avses. Om ett an- slutet företag har outsourcat verksamhet till ett annat tillståndspliktigt företag och den personal som utför arbetet inte omfattas av uppdragsgivarens, utan uppdragstagarens interna regler kan dock inte denna per- sonal licensieras under uppdragsgivarens ansvar.
Anslutna företags bundenhet av regelverket
6 § Från det att avtal om anslutning träffats ska anslutna företag följa Swedsecs regelverk.
Kommentar: Anslutningen till Swedsec är frivillig. Anslutningen utgör dock en uppslutning bakom de vär- den och syften som utgör grunden för Swedsecs verksamhet och innebär att anslutna företag förutsätts lojalt följa regelverket. Bestämmelsen innebär att anslutna företag är bundna av regelverket från och med att anslutningsavtalet ingås och av de ändringar av regelverket som därefter sker enligt bestämmelserna i 17 kap.
Uppsägning av anslutningen
7 § Ett anslutet företag kan skriftligen säga upp sin anslutning till Swedsec. Avtalet, förutom skyldigheterna enligt 9 §, upphör att gälla när uppsägningen kommit Swedsec tillhanda.
Andra fall där anslutningen till Swedsec upphör
8 § Swedsec får besluta att anslutningen ska upphöra om Finansinspektionen, eller motsvarande utländsk myndighet, återkallar det anslutna företagets tillstånd att bedriva verksamhet.
Kommentar: Om återkallelsen i sak innebär att företaget upphör med en tillståndspliktig verksamhet och börjar bedriva en annan tillståndspliktig verksamhet, t.ex. om ett värdepappersbolag som bedriver mark- nadsplatsverksamhet blir börs, kan Swedsec besluta att anslutningen inte ska upphöra.
Uppsägningstider m.m.
9 § Om ett företags anslutning har upphört gäller företagets skyldigheter mot Swedsec enligt följande:
1. Skyldigheten att göra anmälningar enligt 8 kap. 8 § (licenshavares regelbrott m.m.) gäller licenshavares regelbrott fram till upphörandet.
2. Skyldigheten att lämna upplysningar till Swedsec i disciplinärenden och göra anmälningar enligt 8 kap. 8 § gäller under 36 månader efter upphörandet.
3. Skyldigheten att underkasta sig beslut som fattas enligt 10 kap. 11 § förhandlande eller underlåten- heter som skett under tiden företaget var anslutet fortsätter att gälla efter upphörandet. Likaså är före- taget skyldigt att iaktta tvistelösningsregleringen i 10 kap. 13 § och underkasta sig sådant avgörande även efter att anslutningen upphört att gälla.
4. Skyldigheten att vara personuppgiftsbiträde enligt 16 kap. upphör när det anslutna företaget inte längre har åtkomst till Swedsecs onlinetjänst.
5. Övriga skyldigheter gäller under 30 dagar efter upphörandet.
Kommentar: En konsekvens av den andra punkten är att en regelöverträdelse som skett en dag före upp- hörandet ska anmälas även om företaget upptäcker regelöverträdelsen upp till 36 månader därefter. En regelöverträdelse som sker efter uppsägningen ska dock inte anmälas, även om företaget upptäckt den omedelbart.
Beslut om vite kan således fattas efter företagets uppsägning men bara avse underlåtenheter fram till upp- hörandet.
3 kap. Personer som ska ha licens
1 § Anställda inom följande kategorier ska ha licens:
Ledning och kontrollfunktioner på värdepappersområdet - kategori A
1. verkställande direktör och vice verkställande direktör i
a. värdepappersinstitut vars verksamhet huvudsakligen är värdepappersrörelse,
b. fondbolag eller förvaltningsbolag,
c. juridisk person som inte är kreditinstitut, men som är försäkringsförmedlare,
d. AIF-förvaltare,
2. ansvariga för väsentliga delar av ett värdepappersinstituts värdepappersrörelse,
3. ansvariga för väsentliga delar av ett fondbolags eller förvaltningsbolags fond- eller kapitalförvaltning,
4. ansvariga för försäkringsbolags värdepappersförvaltning eller tillhandahållande av finansiell rådgiv- ning,
5. ansvariga för väsentliga delar av en AIF-förvaltares förvaltning eller investeringsrådgivning,
6. compliance officers eller motsvarande befattningshavare verksamma inom
a. värdepappersrörelsen i värdepappersinstitut,
b. fondbolag eller förvaltningsbolag,
c. värdepappersförvaltningen eller tillhandahållandet av finansiell rådgivning i försäkringsbolag,
d. försäkringsförmedlingen hos juridiska personer som inte är kreditinstitut,
e. AIF-förvaltare,
7. befattningshavare inom riskkontroll och andra väsentliga kontrollfunktioner som till 50 procent eller mer av arbetstiden är verksamma inom de områden som anges i punkterna 2 – 5,
Rådgivare - kategori B
8. den som arbetar med finansiell rådgivning till konsumenter eller investeringsrådgivning till kunder,
9. den som arbetar med försäkringsdistribution och tillhandahåller finansiell rådgivning avseende livför- säkringar med sparmoment,
Specialister - kategori C
10. den som arbetar med diskretionär portföljförvaltning av kunders tillgångar,
11. den som arbetar med förvaltning av värdepappersfonder eller specialfonder,
12. den vars arbetstid till 50 procent eller mer består av att
a. ta emot och vidarebefordra order från kunder, eller
b. utföra order på kunders uppdrag eller
c. utföra handel för det anslutna företagets egen räkning,
13. den som har behörighet att genomföra transaktioner i börsers, MTF:ers eller OTF:ers handelssystem,
14. den som utarbetar investeringsanalyser,
15. den som konstruerar investeringsprodukter och utvecklar investeringstjänster som riktar sig till en krets som kan omfatta icke-professionella kunder,
16. den som arbetar med rådgivning inom corporate finance-verksamheten,
17. den som tar emot och vidarebefordrar eller utför kunders order avseende ränteinstrument inom auto- matiserad orderdriven handel på börs, MTF, eller OTF under förutsättning av att dessa arbetsuppgifter huvudsakligen riktar sig till icke-professionella kunder,
Bolån - kategori D
18. verkställande direktören och vice verkställande direktören för kreditförmedlare med tillstånd enligt la- gen (2016:1024) om verksamhet med bostadskrediter,
19. ansvariga för bolåneverksamhet i kreditinstitut,
20. den som arbetar med rådgivning eller handläggning av bolån,
21. den som arbetar med att konstruera, utveckla eller sätta samman bolåneprodukter, eller den som arbe- tar med kreditbeslut avseende bolån.
Kravet på licensiering av anställda rör befattningshavare som är verksamma i Sverige och har arbetsuppgif- ter som utförs i Sverige.
Kommentar: Företag är organiserade på olika sätt och det är inte säkert att alla de i bestämmelsen angivna funktionerna finns eller passar in på företagets organisation. Utgångspunkten är dock att licenskravet ska tolkas extensivt, dvs. vid osäkerhet om en anställd omfattas av kravet bör företaget välja att licensiera per- sonen ifråga. Vilket eller vilka licensieringstest som den anställde ska genomföra beror på vilken eller vilka kategori/er som dennes befattning eller arbetsuppgifter faller under. Vid ny befattning eller ändrade ar- betsuppgifter till annan kategori kan således aktualiseras att nytt licensieringstest ska genomföras.
När det gäller t.ex. punkterna 2-5 får det anslutna företaget, utifrån sin egen organisation, göra en bedöm- ning av vem eller vilka som bör omfattas av licenskravet mot bakgrund av syftet med licensieringen. Be- stämmelsen omfattar inte ekonomichefer, IT-chefer, personalchefer, informationschefer eller andra chefer som inte är direkt verksamma i värdepappersrörelsen eller motsvarande. Dessa kan dock få frivillig licens enligt 3 §. Vid tveksamhet kan det finnas skäl att rådgöra med Swedsec. Bestämmelsen avser anställda och,
enligt 2 kap. 5 §, uppdragstagare med anställningsliknande uppdrag. Andra uppdragstagare, som t.ex. ad- vokater och revisorer kan inte erhålla licens. För anknutna ombud och anknutna försäkringsförmedlare gäl- ler dock 2 kap. 4 §.
Företagets storlek, verksamhet och organisation har också betydelse för vilket licensieringstest en anställd ska genomgå för sin licens. För VD (p. 1), compliance officers (p. 6) och riskansvariga m.fl. (p. 7) är licensie- ringstestet för ledning och kontrollfunktioner det som bäst stämmer överens med de kunskapskrav som bör ställas för sådana befattningar, och detta oavsett företagets storlek. Även chefer enligt punkterna 2-5 bör genomgå licensieringstestet för ledning och kontrollfunktioner. Om en anställd har sådana chefsupp- gifter som avses i punkterna 2-5 samtidigt som han eller hon också har arbetsuppgifter som specialist (p. 10-17) eller rådgivare eller arbetar med försäkringsdistribution (p. 8-9), är det upp till företaget att bedöma vilket eller vilka tester som är mest relevanta för personen i fråga. Chefer med arbetsuppgifter som träffas av punkterna 8-9, dvs. som arbetar med rådgivning, bör dock åtminstone genomgå licensieringstest avsett för rådgivare. I ett större företag bör chefer för affärsområden/divisioner eller motsvarande som rapporte- rar direkt till VD åtminstone genomgå licensieringstestet avsett för ledning och kontrollfunktioner, medan det för andra chefer ofta kan vara mer relevant att genomgå licensieringstestet avsett för specialister eller rådgivare, beroende på ansvarsområde. I ett mindre företag kan det saknas chefsnivåer mellan VD och t.ex. chefen för handlarbord eller en rådgivningsenhet. I dessa fall kan licensieringstestet för specialister eller rådgivare vara mest relevant. För vissa anställda kan det dock föreligga behov av att genomföra flera olika licensieringstester.
(p. 1 a) Som vägledning kan t.ex. omsättningen användas. Om 50 procent eller mer av omsättningen kom-
mer från värdepappersrörelsen får institutets verksamhet anses vara ”huvudsakligen” värdepappersrörelse.
(p. 1 b) Med förvaltningsbolag avses detsamma som i 1 kap. 1 § 13 lagen (2004:46) om värdepappersfonder,
d.v.s. ett utländskt företag med tillstånd att förvalta fonder (termen återkommer i punkterna 3 och 6 b). Ett sådant företag kan ha en filial i Sverige där personalen kan ha licens.
(p. 2-5) Det kan röra sig om de personer, inom t.ex. ett värdepappersinstitut, som är chefer för egenhandel, portföljförvaltning, kundhandel, analys, corporate finance och back office (värdepappersadministration).
Härmed avses t.ex. affärsområdeschefer med ansvar för väsentliga delar av affärsverksamheten. Däremot avses inte den som endast har ett gruppchefsansvar för t.ex. rådgivare.
(p. 6 och 7) När det gäller befattningarna compliance officer och risk controller så riktar sig bestämmelsen mot de personer som utför de arbetsuppgifter som typiskt sett omfattas av funktionerna för regelefterlev- nad och riskhantering. Det är alltså inte vilken titel vederbörande har som är avgörande för frågan om krav på licens föreligger. Det är endast sådana personer som är verksamma inom den del av det anslutna företa- gets verksamhet som rör värdepappersrörelse, fondverksamhet och rådgivning som omfattas. Exempelvis inom större banker och försäkringsbolag kan det finnas flera compliance officers med skilda uppgifter. Tan- ken är att de compliance officers som arbetar inom den eller de avdelningar eller enheter där värdepap- persaffärer, investeringsrådgivning, analys eller corporate finance utförs ska omfattas av kravet på licens.
Däremot omfattas inte sådana compliance officers som t.ex. endast sysslar med försäkringsbolags försäk- ringsrörelse. Inte heller centralt placerade jurister som inte är direkt involverade i den dagliga verksam- heten inom nämnda verksamhetsområden omfattas av kravet på licens.
(p. 8) Med ”investeringsrådgivning” avses tillhandahållande av personliga rekommendationer till en kund, i fråga om en eller flera transaktioner som avser finansiella instrument. Med kund menas såväl icke-profess- ionella kunder som andra kunder till anslutet företag såvitt gäller investeringsrådgivning. Personal som sysslar med finansiell rådgivning till konsumenter eller investeringsrådgivning kan finnas hos samtliga
företagskategorier som kan ansluta sig, d.v.s. hos värdepappersinstitut, fondbolag, förvaltningsbolag, för- säkringsbolag, försäkringsförmedlare och AIF-förvaltare.
(p. 9) Begreppen ”finansiell rådgivning” och ”livförsäkringar med sparmoment” behandlas i kommentaren till 2 kap. 1 § 4. Observera möjligheterna till dispens för den som enbart arbetar med försäkringsdistribut- ion och har genomgått test och är licensierad av någon annan organisation än Swedsec.
(p. 10) Bestämmelsen avser den som arbetar med diskretionär portföljförvaltning i värdepappersinstitut, fondbolag eller AIF-förvaltare.
(p.11) Bestämmelsen avser den som arbetar med förvaltning av värdepappersfonder i fondbolag och för- valtning av specialfonder i fondbolag eller AIF-förvaltare.
(p. 12) Sysselsättningsgraden är knuten till den enskildes arbetstid. Regeln innebär att den som t.ex. arbetar minst 50 procent av en heltidstjänst med angivna uppgifter ska ha licens.
(p. 14) Vid tillämpning av regeln avses sådana investeringsanalyser som angetts i Kommissionens delege- rade förordning (EU) 2017/565 av den 25 april 2016.
(p. 15) Bestämmelsen avser dels personer som t.ex. arbetar på den enhet inom företaget som tar fram strukturerade produkter, dels personer som utvecklar tjänster som robotrådgivning. Med utveckling av in- vesteringstjänster menas att utforma villkor och processer för investeringstjänsternas tillhandahållande. Kravet på licens omfattar således inte den personal som t.ex. arbetar enbart med utformning av marknads- föring, layout eller IT-utveckling (såsom programmering eller annan systemutveckling).
(p. 18) Bestämmelsen avser verkställande direktör och vice verkställande direktör för kreditförmedlare med tillstånd enligt lagen (2016:1024) om verksamhet med bostadskrediter.
(p. 19) Bestämmelsen avser ansvariga för bolåneverksamheten. Anslutna företag ska själva göra en bedöm- ning av vem eller vilka som bör omfattas av licenskravet mot bakgrund av syftet med licensieringen. Li- censkravet träffar endast ansvariga som direkt leder bolåneverksamheten.
(p. 20) Bestämmelsen avser rådgivare och handläggare som har kontakt med kund i samband med ansökan och inför beviljande eller förändringar av bolån. Bestämmelsen träffar inte personal som endast biträder rådgivare eller handläggare med uppgifter av rent administrativ natur.
(p. 21) Bestämmelsen avser t.ex. anställda som till kunden sätter samman de för kunden gällande kreditav- talsvillkoren och andra handlingar som ska ingå i det bindande erbjudandet och personal som deltar i att utforma det allmänna bolåneproduktutbudet. Bestämmelsen avser även anställda som enskilt eller i kom- mitté arbetar med kreditbeslut avseende bolån. Det innebär att personal som bereder kreditprövningen och anställda som enskilt eller i kommitté beslutar om att bevilja bolån omfattas.
Sista stycket: att någon är verksam i Sverige och har arbetsuppgifter som utförs i Sverige innebär att man fysiskt befinner sig i Sverige och att man utför arbete mot den svenska marknaden, t.ex. lämnar råd till kun- der i Sverige eller utför transaktioner på en svensk marknadsplats.
Undantag
2 § Kravet på licens enligt 1 § första stycket 2-5 och 12-16 gäller inte för den som enbart arbetar med ränte- eller valutarelaterade finansiella instrument. Kravet på licens enligt 1 § första stycket 8 gäller inte heller för den som enbart tillhandahåller investeringsrådgivning till kund som är näringsidkare avseende ränte- eller valutarelaterade finansiella instrument.
Kommentar: Den som arbetar med finansiell rådgivning till konsumenter eller investeringsrådgivning till konsumenter eller förvaltar fonder kan inte åberopa denna undantagsbestämmelse utan omfattas av kra- vet på licens.
Frivillig licens
3 § Andra anställda än de som räknas upp i 1 § första stycket 1-21 kan få licens, efter medgivande från före- taget. Sådant medgivande kan endast avse anställda som är verksamma i Sverige och har arbetsuppgifter som utförs i Sverige.
Kommentar: En person som får frivillig licens enligt denna bestämmelse omfattas av regelverket och kan därmed drabbas av disciplinpåföljd. Möjlighet till frivillig licens gäller även anställda i finansiellt koncernfö- retag (gäller endast företag som ingått s.k. koncernanslutning med Swedsec innan den 31 december 2019, se övergångsbestämmelse). Se vidare kommentaren till 9 kap. 2 §. Möjligheten till frivillig licens kan exem- pelvis användas av personal som inte lämnar investeringsrådgivning, men som lämnar information om fi- nansiella instrument och därför omfattas av kunskapskraven i 8 kap. 15 § lagen om värdepappersmark- naden, och 4 kap. Finansinspektionens föreskrifter (FFFS 2017:2) om värdepappersrörelse. Att någon är verksam i Sverige och har arbetsuppgifter som utförs i Sverige innebär att man fysiskt befinner sig i Sverige och att man utför arbete mot den svenska marknaden, t.ex. lämnar råd till kunder i Sverige eller utför trans- aktioner på en svensk marknadsplats.
4 kap. Krav för att få licens
1 § För att få licens måste sökanden:
1. vara anställd av ett anslutet företag,
2. vara lämplig att inneha licens, vilket ska prövas och intygas av det anslutna företaget,
3. avlägga godkänt licensieringstest, och om licensieringstest har avlagts tidigare än året innan det kalen- derår då licensen söks, genomföra närmast föregående års årliga kunskapsuppdatering enligt 5 kap. samt om licensansökan behandlas under december månad och licensieringstest avlagts tidigare än un- der innevarande kalenderår, genomföra innevarande års årliga kunskapsuppdatering och
4. förbinda sig att följa regelverket och underkasta sig Swedsecs och disciplinnämndens beslut.
Kommentar: (p. 1) Anställda hos ett anknutet ombud eller anknuten försäkringsförmedlare betraktas enligt 2 kap. 4 § som anställda i det anslutna företaget och detsamma gäller enligt 2 kap. 5 § vissa uppdragsta- gare.
(p. 2) Vad avser lämplighetsprövningen, se 8 kap. 4-5 §§.
(p. 3) Enligt tidigare övergångsregler kunde licens också erhållas utan godkänt licensieringstest, s.k. erfa- renhetslicens. Den tidigare regeln om att erfarenhetslicens förföll vid byte av arbetsgivare har tagits bort. Matrisen nedan åskådliggör vilka års årliga kunskapsuppdateringar som vid ansökan om licens ska genom- föras beroende på när godkänt licensieringstest avlagts.
Licensieringstest avlagt | Innevarande års årliga kun- skapsuppdatering | Närmast föregående års årliga kunskapsuppdatering |
Innevarande år | Behöver inte genomföras. | Behöver inte genomföras. |
Närmast föregående år | Genomförs senast den 30/11 om licens söks under januari – november. Genomförs före licensansökan om licensansökan behandlas i december. | Behöver inte genomföras. |
Tidigare år än ovan Notera att för ansökan om licens gäller ett godkänt licensieringstest i fem år, se 14 kap. 4 §. | Genomförs senast den 30/11 om licens söks under januari – november. Genomförs före licensansökan om licensansökan behandlas i december. | Genomförs före licensansökan. |
(p. 4) Det är inte förrän sökanden har förbundit sig att följa regelverket m.m. som han eller hon kan få li- cens. Det anslutna företaget måste därför se till att de anställda gör de godkännanden m.m. som krävs i onlinetjänsten. Om så inte sker har inte sökanden licens och företaget riskerar att bryta mot bestämmelsen i 3 kap. 1 § om att se till att ha endast licenshavare för vissa befattningar och arbetsuppgifter.
2 § Regelverket gäller för licenshavaren från den dag då han eller hon har blivit licensierad av Swedsec.
Kommentar: Från det att licenshavaren blivit licensierad gäller även regelverksändringar enligt 17 kap.
3 § Den vars licens har återkallats enligt 10 kap. 2 eller 3 § eller skulle ha återkallats om personen alltjämt varit licenshavare enligt 10 kap. 9 § kan inte erhålla ny licens förrän tre år har gått sedan licensen slutligt återkallades eller beslut enligt 10 kap. 9 § meddelades av disciplinnämnden. Om disciplinnämnden beslutat att återkallelsen ska vara eller skulle ha varit tillfällig gäller dock den tidsfrist som disciplinnämnden har be- stämt.
4 § Den vars licens har återkallats utan tidsbegränsning, måste genomföra nytt licensieringstest med god- känt resultat för att få licens.
5 § Beteckningen ”Swedsec-licensierad®” eller liknande får i förhållande till allmänheten och kunder använ-
das endast av licenshavare med aktiv licens.
Kommentar: ”Swedsec-licensierad®” är ett registrerat varumärke.
5 kap. Årlig kunskapsuppdatering
1 § Ett anslutet företag ska se till att licenshavare som är anställda i det anslutna företaget håller sina kun- skaper uppdaterade i enlighet med de kunskapskrav som fastställs enligt 13 kap. 2 §. Uppdateringen ska genomföras genom en elektronisk utbildning med avslutande test som visar att licenshavaren har tillgo- dogjort sig kunskaperna. Kravet gäller inte licenshavare med vilande licens.
Kommentar: Bestämmelsen ställer krav på den årliga kunskapsuppdaterings innehåll och form. Uppdate- ringen ska dels uppfylla de krav som fastställts av prövningsnämnden enligt 13 kap. 2 § och dels ske genom en elektronisk utbildning, t.ex. e-learning, som avslutas med kontrollfrågor. Vad det anslutna företaget rap- porterar in (enligt 4 §) är att licenshavarna har uppdaterat sina kunskaper inom relevanta områden och att detta gjorts på det sätt som regelverket kräver.
2 § Licenshavaren är skyldig att genomföra den årliga kunskapsuppdatering som det anslutna företaget kräver.
Kommentar: Licenshavaren ska genomföra den årliga kunskapsuppdateringen i enlighet med de kun- skapskrav som motsvarar de licensieringstester som ligger till grund för licensen och licenshavarens aktu- ella befattning och arbetsuppgifter. Detta innebär exempelvis att en licenshavare som har avlagt licensie- ringstesterna för rådgivare och bolån och har arbetsuppgifter som inkluderar bägge områden ska göra ÅKU enligt kunskapskraven för både rådgivare och bolån. Om licenshavaren har upphört att arbeta med t.ex. bolån och alltså enbart arbetar med rådgivning behöver han eller hon inte heller genomföra ÅKU för bolån utan bara genomföra ÅKU för rådgivare.
3 § Kravet på årlig kunskapsuppdatering gäller inte för den som har vilande licens. Ska den vilande licensen aktiveras krävs dock att licenshavaren före aktivering har genomgått närmast föregående års årliga kun- skapsuppdatering, såvitt inte licenshavaren meddelats dispens av Swedsec.
Kommentar: Innevarande års kunskapsuppdatering ska, såsom för övriga licenshavare med aktiv licens, genomföras och rapporteras in till Swedsec före utgången av november månad, se 5 kap. 4 §. Sker aktive- ring i december månad, ska årlig kunskapsuppdatering för såväl närmast föregående som innevarande år ha genomförts före aktiveringen. Licenshavare som beviljats licens (varmed inte avses aktivering av vilande licens) under föregående år och vars licens därefter vilandeförklarats behöver inte genomgå föregående års årliga kunskapsuppdatering före aktivering. Swedsec kan meddela dispens från kravet på årlig kun- skapsuppdatering om licenshavaren, till följd av att dennes arbetsuppgifter bytt inriktning, avlägger ett nytt licenseringstest enligt 6 kap. 8 §.
4 § Anslutna företag ska före utgången av november månad varje år till Swedsec rapportera in vilka av före- tagets licenshavare som har fullgjort kunskapsuppdatering. Inrapportering enligt första stycket ska göras via onlinetjänsten.
Kommentar: För att hinna samla in uppgifter om vilka licenshavare som har genomfört uppdateringen bör företagen internt sätta en tidigare frist än den 30 november.
5 § Om en licenshavare inte fullgör kunskapsuppdatering enligt regelverket kan Swedsec besluta att licen- sen ska förfalla, om inte licensen ska förklaras vilande enligt 6 kap. 4 §. Swedsec ska informera anslutet fö- retag innan beslut om förfall fattas.
Kommentar: Enligt 4 § ska företagen rapportera in vilka anställda som har genomfört sin kunskapsuppda- tering. Om det i en sådan rapport saknas uppgifter om någon licenshavare kontaktar Swedsec det anslutna företaget för att kontrollera om det skett av misstag eller om licensen ska vilandeförklaras. Först om företa- get meddelar att licenshavaren inte kommer att genomföra kunskapsuppdateringen och någon vilandeför- klaring inte är aktuell kan det bli fråga om beslut om att licensen ska förfalla.
6 kap. Vilandeförklaring, förfall och aktivering av licens
1 § För licenshavare med vilande licens gäller samma regler som för licenshavare med aktiv licens, med un- dantag för kravet på årlig kunskapsuppdatering i 5 kap. 1 §.
Vilande licens på grund av föräldraledighet, tjänstledighet m.m.
2 § Ett anslutet företag kan ansöka om att en licenshavares licens förklaras vilande om skäl till detta förelig- ger, t.ex. om licenshavaren ska vara föräldraledig, tjänstledig av annan anledning, arbetsbefriad eller byta arbetsuppgifter.
Ansökan enligt första stycket ska göras via onlinetjänsten.
Xxxxxxx licens på grund av att anställningen har upphört
3 § Upphör en licenshavares anställning i ett anslutet företag, ska licensen förklaras vilande på ansökan av det anslutna företaget.
Vad som anges i första stycket gäller också om ett anknutet ombud som avses i 2 kap 4 § börjar bedriva an- nan tillståndspliktig verksamhet.
Kommentar: För sådana uppdragstagare som avses i 2 kap. 5 § innebär första stycket att licensen vilande- förklaras när uppdraget i det anslutna företaget avslutas. Om licenshavaren får ett nytt uppdrag i ett anslu- tet företag, ska det företaget aktivera licensen igen om den anställde ska arbeta med licenspliktig verksam- het.
Vilande licens på grund av att årlig kunskapsuppdatering inte har genomförts
4 § Om en licenshavare på grund av sjukdom, föräldraledighet eller liknande, inte kan fullgöra sin årliga kunskapsuppdatering inom den tid som anges i 5 kap. 4 § ska licensen förklaras vilande på ansökan av det anslutna företaget.
Ansökan om vilandeförklaring ska göras via onlinetjänsten.
Xxxxxxx licens på grund av att arbetsgivarens anslutning till Swedsec har upphört
5 § Om ett företag upphör att vara anslutet till Swedsec ska licenserna för de anställda omgående förklaras vilande.
Kommentar: Motsvarande gäller för licenshavare som upphör att omfattas av bestämmelserna i 2 kap. 4 § till följd av att det anknutna ombudet eller den anknutna försäkringsförmedlaren upphör att vara anknutet ombud respektive anknuten försäkringsförmedlare.
Förfall av vilande licens
6 § Vilande licens förfaller sedan fem år har förflutit från den dag Swedsec har förklarat licensen vilande.
Aktivering av vilande licens
7 § En vilande licens kan aktiveras på ansökan av det anslutna företaget. En sådan ansökan ska göras ge- nom en ny licensansökan via onlinetjänsten.
Kommentar: När någon med vilande licens får nytt arbete är det inte säkert att den nya anställningen krä- ver licens. Det anslutna företaget får göra en bedömning mot bakgrund av bestämmelserna i 3 kap.
8 § För att en vilande licens ska kunna aktiveras krävs att licenshavaren genomför årlig kunskapsuppdate- ring enligt 5 kap. eller att licenshavaren har genomfört ett licenseringstest de senaste tolv månaderna.
Kommentar: För att en vilande licens ska kunna aktiveras krävs normalt att licenshavaren har genomfört närmast föregående års årliga kunskapsuppdatering, se 5 kap. 3 §.
Om licenshavarens arbetsuppgifter bytt inriktning och denne därför har genomfört ett licenseringstest un- der tolvmånadersperioden innan aktiveringen kan Swedsec bevilja licenshavaren dispens från kravet på år- lig kunskapsuppdatering.
9 § Vid aktivering av en vilande licens ska det anslutna företaget pröva om licenshavaren är lämplig för att ha licens och intyga detta i licensansökan i onlinetjänsten.
Kommentar: Angående lämplighetsprövningen se 8 kap. 4-5 §§.
7 kap. Dispens
Dispens från licensieringstest
1 § Swedsec får utfärda licens utan att sökanden avlagt licensieringstest om övriga förutsättningar enligt 4 kap. 1 § är uppfyllda och om synnerliga skäl föreligger.
Om Swedsec ingått avtal om ömsesidigt godtagande av annans test får Swedsec även utfärda licens enligt de förutsättningar som angetts i överenskommelsen.
Kommentar: (första stycket) Möjligheten att få licens utan att genomgå licensieringstest kan exempelvis tillämpas i fall då sökanden bedöms ha tillräcklig kompetens men särskilda omständigheter föranleder av- steg från kravet på licensieringstest. Bestämmelsen ska tillämpas restriktivt. Avsikten med bestämmelsen är inte att återinföra en möjlighet att kunna få licens grundad på lång erfarenhet.
Dispens från kravet på licens
2 § Om det föreligger särskilda skäl får Swedsec ge en tidsbegränsad dispens från kravet på att ha licens enligt 3 kap. 1 §.
Sådan dispens får också ges utan tidsbegränsning om synnerliga skäl föreligger.
Kommentar: (första stycket) En nyanställd befattningshavare ska enligt 8 kap. 1 §, senast inom sex måna- der vara licensierad. Den tidsfristen bör normalt räcka för att hinna studera och genomföra ett test. I un- dantagsfall kan det dock behövas längre tid och dispensregeln kan då tillämpas. Det kan också finnas andra situationer när sådan tidsbegränsad dispens kan komma ifråga. Den som inte omfattas av 50 pro- centkravet i 3 kap. 1 § första stycket 13 och som minskar sin arbetstid på grund av sjukdom, föräldraledig- het eller liknande men behåller sina arbetsuppgifter avseende t.ex. ordermottagning och därmed kommer över 50 procentgränsen ska kunna få dispens under en viss tidsperiod. Likaså kan den som bara ska arbeta en kort tid inom det licenspliktiga området få dispens enligt denna paragraf. Det kan t.ex. röra sig om en person som uppfyller motsvarande kunskapskrav i annat land och som under en begränsad tid ska utföra arbetsuppgifter i Sverige vilka kräver licens.
(andra stycket) Bestämmelsen kan tillämpas t.ex. när licenskravet grundas på regeln i 3 kap. 1 § första stycket 1-5 men där det faktiska ansvaret till följd av det anslutna företagets organisation delegerats till an- nan, som innehar licens. Bestämmelsen kan också tillämpas på anställda som enbart arbetar med försäk- ringsdistribution, enligt 3 kap. 1 § p. 9, och är licensierade av en annan organisation, för att undvika dubbla licenser. För att dispens ska bli aktuell i dessa fall krävs därutöver att licensieringssystemet i fråga motsva- rar Swedsecs system i väsentliga delar, personen i fråga ska exempelvis ha genomgått ett test hos den andra organisationen och licensen ska kunna återkallas vid regelöverträdelser.
Dispens från årlig kunskapsuppdatering
3 § Om det föreligger särskilda skäl får Swedsec ge tidsbegränsad dispens för att möjliggöra för sökanden att genomföra ej tidigare fullgjord kunskapsuppdatering.
Kommentar: Enligt 6 kap. 4 § kan licensen förklaras vilande om licenshavaren inte kan genomföra den år- liga kunskapsuppdateringen i tid på grund av sjukdom, föräldraledighet eller annan liknande orsak. Vilan- deförklaring innebär att licenshavaren inte kan utföra vissa arbetsuppgifter (se 3 kap. 1 § första stycket). Dispens enligt denna bestämmelse är i första hand till för licenshavare som är aktiva inom det licenspliktiga området och behöver ytterligare tid för att genomföra den årliga kunskapsuppdateringen. Dispensmöjlig- heten kan också användas av licenshavare som återkommer från en längre tjänstledighet eller som av andra skäl inte har haft aktiv licens under en längre period. Utan dispensmöjlighet skulle licenshavaren inte omedelbart kunna utföra sina arbetsuppgifter. Licenshavaren måste först uppdatera sina kunskaper innan licensen kan aktiveras. Detta kan leda till att licenshavaren under en eller flera dagar inte kan utföra sina ordinarie arbetsuppgifter. Bestämmelsen ger Swedsec en möjlighet att, om det finns särskilda skäl, lämna dispens under en begränsad tid så att licenshavaren kan utföra sina arbetsuppgifter tills kunskapsuppdate- ringen genomförts.
Dispensmöjligheten ska tillämpas restriktivt. Den dispens som kan komma ifråga bör vanligtvis inte över- stiga en vecka. Huvudregeln är således att licensen ska förklaras vilande.
Ansökan om dispens
4 § Ansökan om dispens enligt 1-3 §§ ska göras av det anslutna företaget.
Kommentar: Ansökan enligt 1 §, 2 § första stycket och 3 § ska göras via onlinetjänsten. I vissa fall kan dock krävas att ansökan kompletteras med bilaga/or, t ex intyg, som fysiskt ges in till Swedsec.
8 kap. Anslutna företags skyldigheter
Skyldigheter mot Swedsec, kunder och anställda
1 § Ett anslutet företag ska se till att endast anställda med aktiv licens, eller anställda med dispens från li- censkravet, har de befattningar eller arbetsuppgifter som anges i 3 kap. 1 § första stycket i Sverige.
Skyldigheten enligt första stycket inträder sex månader från det att företaget har anslutit sig till Swedsec.
Xxxxxxxxxxx ska ha aktiv licens inom sex månader från att den anställde fick den aktuella befattningen eller arbetsuppgifterna.
Kommentar: Alla anställda som anges i 3 kap. 1 § ska ha licens. Ett anslutet företags ansvar omfattar såväl egna anställda, som anställda hos anknutna ombud och anknutna försäkringsförmedlare som inte bedriver annan tillståndspliktig verksamhet, se 2 kap. 4 §. Det ankommer på det anslutna företaget att bedöma vilket eller vilka licensieringstest som anställda ska genomföra, se om de olika testen i kommentaren till 14 kap. 1
§. Detta gäller både vid nyanställning och vid byte av arbetsuppgifter. Dessa bedömningar ska göras på ett ansvarsfullt och omdömesgillt sätt.
När ett företag ansluter sig till Swedsec ska företaget så snart som möjligt, och senast inom sex månader ha licensierade befattningshavare på de befattningar som anges i 3 kap. 1 §. För nyanställda gäller samma frist på sex månader. Företagen måste bevaka att de anställda genomgår ett godkänt test innan fristen lö- per ut. I vissa fall finns det lagkrav på att ha avlagt ett godkänt kunskapstest innan man utför vissa arbets- uppgifter. Det gäller exempelvis för den som arbetar med investeringsrådgivning, försäkringsförmedling och bolån. Anställda som med sådana arbetsuppgifter måste således, oavsett fristerna i bestämmelsen, ge- nomföra test innan de självständigt kan utföra sådant arbete.
2 § Ett anslutet företag ska verka för att företagets kunder, när de begär det, ska få biträde av licenshavare med en aktiv licens.
Skyldigheter att lämna upplysningar, underrättelser, intyg m.m.
3 § Ett anslutet företag är skyldigt att på Swedsecs skriftliga begäran lämna de upplysningar till Swedsec som Swedsec begär och behöver för tillämpning av regelverket.
3 a § Ett anslutet företag är skyldigt att omgående underrätta Swedsec om företaget inte längre har till- stånd att bedriva verksamhet, eller om andra omständigheter som kan påverka företagets anslutning till Swedsec.
Kommentar: För företag med tillstånd till någon av de verksamheter som anges i 2 kap. 1 § gäller underrät- telseskyldigheten om företaget inte längre har tillstånd, antingen för att tillståndet har återkallats eller för att företaget självt har återlämnat tillståndet. För företag som har anslutits med stöd av undantagsregeln i 2 kap. 2 § avser underrättelseskyldigheten omständigheter som legat till grund för anslutningen, t.ex. verk- samhetens inriktning, ägarförhållanden m.m.
Lämplighetsprövning
4 § Ett anslutet företag är skyldigt att göra en allsidig lämplighetsprövning för en anställd som ska inneha licens.
Kommentar: Lämplighetsprövningen ska syfta till att minimera risken för att olämpliga personer blir licens- havare. Att det ställs höga krav på lämplighet och regelefterlevnad på den personal som ska vara licensie- rad är av stor vikt för allmänhetens förtroende för den verksamhet som de anslutna företagen bedriver.
Lämplighetsprövningen ska ge underlag för det anslutna företaget att göra en relevant bedömning av den anställdes eller det anknutna ombudets förutsättningar som licenshavare, oavsett om denne tidigare haft licens hos annat anslutet företag. Vid det anslutna företagets prövning ska hänsyn tas till den anställdes omdöme, integritet och självständighet etc. Hänsyn ska tas till om den anställde har dömts för brott som kan rubba förtroendet för den anställde, har meddelats näringsförbud, försatts i konkurs eller meddelats disciplinpåföljd av Swedsecs disciplinnämnd. Exempelvis kan personen i fråga inte arbeta med licenspliktig verksamhet om licensen har återkallats. Det bör observeras att varning och erinran innebär att disciplin- nämnden har ansett att licenshavaren kan fortsätta arbeta med licenspliktig verksamhet och innebär såle- des inte i sig att personen inte kan anses lämplig för licens. För den som har eller har haft licens från an- ställning i annat anslutet företag är det av vikt att det anslutna företaget kontrollerar registerutdraget en- ligt 7 §. Som hjälp vid de anslutna företagens lämplighetsbedömning finns en vägledning på Swedsecs webbplats.
5 § När ett anslutet företag ansöker om licens för en anställd ska det via onlinetjänsten dels intyga att sö- kanden är anställd i det anslutna företaget, dels intyga att en lämplighetsprövning enligt 4 § utförts samt att den anställde är lämplig att inneha licens.
6 § Ett anslutet företag ska senast inom tio bankdagar, via onlinetjänsten, underrätta Swedsec om en licens- havares anställning har upphört. Företaget ska vid underrättelsen ange om anställningens upphörande har haft eller inte har haft samband med en överträdelse enligt 8 §.
Kommentar: Om det anslutna företaget anger att anställningens upphörande har haft samband med över- trädelse innebär det att företaget fattat beslut om att anmäla regelöverträdelse till Swedsec. Jämför även bestämmelsen om skyldigheten att snarast anmäla regelöverträdelse i 8 §.
7 § Anställer ett anslutet företag en person som har licens bör företaget kontrollera registerutdraget som licenshavaren på begäran ska uppvisa, se 15 kap. 9 §.
Kommentar: Av registerutdraget framgår pågående disciplinärenden, beslutade disciplinpåföljder och om avslutandet av licenshavarens föregående anställning har haft samband med regelöverträdelse som har eller ska anmälas enligt 8 §. Exempelvis kan personen i fråga inte arbeta med licenspliktig verksamhet om
licensen har återkallats. Det bör observeras att varning och erinran innebär att disciplinnämnden har ansett att licenshavaren kan fortsätta att arbeta med licenspliktig verksamhet och innebär således inte i sig att personen inte kan anses lämplig för licens. Uppgifter om ett pågående disciplinärende eller att avslutandet av licenshavarens föregående anställning har haft samband med regelöverträdelse innebär i sak att frågan inte har avgjorts ännu. Förekomsten av en sådan uppgift bör inte i sig leda till någon annan åtgärd än att det anställande företaget tar en diskussion med licenshavaren om vad ärendet handlar om.
8 § Ett anslutet företag ska snarast skriftligen anmäla till Swedsec om en licenshavare under tiden som an- ställd i företaget har:
1. överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ och det finns skäl att anta att detta kan medföra disci- plinpåföljderna återkallelse av licens, tillfällig återkallelse av licens eller varning enligt 10 kap., eller
2. begått brott eller i övrigt utanför tjänsten agerat på ett sätt som innebär att licenshavaren på grund av sina personliga förhållanden inte kan anses lämplig att ha licens.
Anmälningsskyldigheten enligt första stycket gäller även om licenshavaren har slutat sin anställning när saken upptäcks.
Anmälan ska innehålla de uppgifter som anges i 12 kap. 3 §.
Kommentar: Skyldigheten att anmäla att licenshavaren begått brott förutsätter att anslutet företag har kännedom om brottet. Något krav på det anslutna företaget att anmäla ställs inte förrän licenshavaren ge- nom dom som vunnit laga kraft befunnits skyldig till brott. Skyldigheten att anmäla gäller även avseende anknutet ombud och anknuten försäkringsförmedlare samt tidigare anknutet ombud och tidigare anknuten försäkringsförmedlare i den mån överträdelsen har skett i ombudsverksamheten. Av sista stycket följer in- direkt att det anslutna företaget förutsätts göra en inledande utredning av vad som inträffat innan en even- tuell anmälan sker. En sådan utredning bör göras skyndsamt och en eventuell anmälan bör göras snarast efter det att tillräckliga uppgifter inhämtats.
En kontaktperson ska enligt 8 kap. 10 § anses vara behörig att för det anslutna företagets räkning inge an- mälan. Detta gäller även om kontaktpersonen är, eller vid tidpunkten för regelöverträdelsen var, externt organiserad, d.v.s. anställd vid ett annat företag än det anslutna företaget.
(andra stycket) I de fall då licenshavaren har bytt arbetsgivare är den tidigare arbetsgivaren skyldig att an- mäla till Swedsec om licenshavaren begått brott som har samband med verksamheten eller om denne bru- tit mot vad som sägs i 9 kap. 2 eller 3 §§ och det finns skäl att anta att detta kan medföra disciplinpåfölj- derna återkallelse, tillfällig återkallelse eller varning.
Det finns ingen bortre gräns för hur lång tid efter anställningens upphörande som det anslutna företaget har denna anmälningsskyldighet. Det kan dock uppkomma situationer när det dröjer avsevärd tid innan en överträdelse begången av en tidigare licenshavare upptäcks. Det kan inträffa att det har gått så lång tid att den begångna överträdelsen förlorar i relevans. Denna bedömning görs av det anslutna företaget som vid tveksamhet kan rådgöra med Swedsec.
Exempel på regelöverträdelser som lett till disciplinpåföljder och därför bör anmälas enligt denna bestäm- melse, finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats. Observera dock att tidigare praxis även innehåller beslut med regelöverträdelser som föranlett påföljden erinran som inte ska anmälas, dock att disciplinnämnden även fortsättningsvis vid sin prövning kan med- dela påföljden erinran (se 10 kap.).
9 § Om ett anslutet företag i efterhand upptäcker att en anmälan enligt 8 § inte borde ha skett, eller att upp- gifter i anmälan var felaktiga ska företaget skriftligen meddela Swedsec detta.
10 § Ett anslutet företag ska till Swedsec ange en person som ska ansvara för kontakterna med Swedsec. Han eller hon ska ha erforderlig kompetens i rättsliga frågor inom licensieringsområdet och vara väl förtro- gen med regelverket. Underrättelsen ska innehålla uppgifter avseende kontaktpersonens namn, person- nummer, telefonnummer och e-postadress.
Underrättelsen enligt första stycket görs på avtalet om anslutning till Swedsec.
Avtalsblanketten finns på Swedsecs webbplats. Ändrade uppgifter avseende kontaktpersonen ska göras via e-post till Swedsec.
Kontaktpersonen ska vara behörig att för det anslutna företagets räkning inge anmälan till Swedsec enligt 8 kap. 8 §.
Kommentar: I praktiken är det ofta compliance officer som tilldelas denna uppgift. Regeln innebär dock inte att en och samma person behöver sköta alla kontakter med Swedsec. Administrativa rutiner kring licen- sieringsförfarandet kan t.ex. delegeras till annan personal. Denna delegationsmöjlighet har markerats i re- geltexten genom att ange att personen ska ”ansvara för kontakterna”. Regeln innebär endast ett administ- rativt ansvar. Kontaktpersonen har alltså inget personligt ansvar för att anslutna företaget fullgör sina skyl- digheter enligt regelverket.
Avgifter
13 § Anslutna företag ska betala av Swedsec fastställda avgifter. Närmare bestämmelser om avgifternas storlek, betalning m.m. meddelas av Swedsec.
Kommentar: Aktuell prislista finns på Swedsecs webbplats.
9 kap. Licenshavares skyldigheter
1 § Licenshavaren ska på Swedsecs skriftliga begäran lämna de upplysningar till Swedsec som Swedsec be- gär och behöver för tillämpning av regelverket.
2 § Licenshavare ska följa de lagar och andra författningar samt god sed som gäller för verksamheten. Li- censhavare ska vidare följa Swedsecs regelverk och det egna företagets interna regler i den mån de grun- dar sig på lag, föreskrifter, andra författningar, allmänna råd eller branschrekommendationer samt även i övrigt agera på ett sätt som stämmer överens med de lämplighetskrav som ställs för att inneha licens.
Kommentar: Huvuddelen av de lagar, föreskrifter, allmänna råd och branschrekommendationer som gäller för de anslutna företagen är av näringsrättslig natur och riktar sig alltså inte direkt mot de anställda. För att de näringsrättsliga kraven ska uppfyllas fordras dock i förekommande fall att även de anställda är upp- märksamma på och följer de regler som gäller för verksamheten. De anställda måste alltså agera på ett sätt som överensstämmer med lag, föreskrifter, andra författningar, allmänna råd och
branschrekommendationer oavsett om detta träffar dem direkt eller endast indirekt. Detta gäller all den verksamhet som licenshavaren sysslar med, även verksamhet som inte omfattas av det licenspliktiga områ- det. Jämför även bestämmelsen om frivillig licens i 3 kap. 3 §.
3 § Licenshavare hos anslutet företag som avses i 2 kap. 2 § ska därutöver följa det egna anslutna företa- gets interna regler som grundar sig på åtagande i avtal med Swedsec.
4 § I samband med att licenshavaren påbörjar ny anställning hos annat anslutet företag ska licenshavaren på begäran av företaget uppvisa ett utdrag ur Swedsecs register enligt 15 kap. 9 §.
10 kap. Disciplinpåföljder, vite och uteslutning av företag
1 § För licenshavare finns följande disciplinpåföljder:
1. återkallelse av licens, 2 och 3 §§,
2. tillfällig återkallelse av licens, 4 §,
3. varning, 6 § och
4. erinran, 7 §.
För anslutna företag finns följande påföljder:
1. vite, 10-11 §§ och
2. uteslutning, 12 §.
Återkallelse
2 § Om en licenshavare allvarligt har överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ får disciplinnämn- den återkalla licensen.
Kommentar: Återkallelsegrunden knyter an till licenshavarens skyldigheter enligt 9 kap. 2 och 3 §§. Som angetts i kommentaren under 9 kap. 2 § riktar sig huvuddelen av lagarna och föreskrifterna på finansområ- det mot företagen och inte direkt mot de anställda. I många fall säkerställs ett riktigt agerande från den an- ställdes sida, genom företagets interna instruktioner och föreskrifter och överträdelse mot interna regler kan då innebära en överträdelse av skyldigheterna i 9 kap. 2 §. Det kan emellertid också förekomma situat- ioner där ett visst handlingsmönster ter sig självklart och naturligt i förhållande till vad som åligger företa- get t.ex. enligt den offentliga regleringen, utan att detta har uttryckligen angetts i någon skriftlig instrukt- ion. De anslutna företagens verksamhet är omfattande och det är omöjligt och ofta heller inte önskvärt att ge uttryckliga instruktioner för alla tänkbara situationer. Företaget är ofta hänvisat till att ange vissa riktlin- jer och principer för hur verksamheten ska bedrivas. För att det syfte som ligger bakom bestämmelsen ska kunna tillgodoses fullt ut kan en licens därför återkallas om en licenshavare inte har agerat på ett sätt som stämmer överens med de lämplighetskrav som ställs för att inneha licens även om detta inte uttryckligen har reglerats i interna eller externa regler riktade direkt till licenshavaren. Även brott av licenshavare som har samband med verksamheten, t.ex. förskingring av kunders medel, stöld från arbetsgivaren eller bedrä- geri mot arbetsgivaren utgör sådana allvarliga överträdelser att återkallelse av licensen kan aktualiseras.
Motsvarande resonemang bör kunna tillämpas på licenshavare hos ett anknutet ombud genom det ansvar som det anslutna företaget har för det anknutna ombudet såvitt gäller ombudsverksamheten.
Exempel från disciplinnämndens avgöranden där licensen har återkallats finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats.
3 § Om en licenshavare utanför tjänsten har begått brott eller i övrigt agerat på ett sätt som innebär att denne på grund av sina personliga förhållanden inte kan anses lämplig att ha licens får disciplinnämnden återkalla licensen.
Kommentar: Bestämmelsen svarar mot den lämplighetsprövning som anslutna företaget är skyldigt att göra i samband med att en anställd erhåller licens jfr. 8 kap. 4-5 §§. Om det anslutna företaget senare finner att en licenshavare inte längre är lämplig att inneha licens mot bakgrund av begånget brott eller dennes personliga förhållanden i övrigt åligger det företaget att underrätta Swedsec om detta. De brott som här aktualiseras har begåtts utanför arbetet. Den utredning som görs kommer att utföras av polis och åklagare. Det kan komma att dröja lång tid innan det anslutna företaget får reda på att licenshavaren är föremål för misstanke om eller dömts för brott. Skyldigheten att anmäla på grund av att licenshavaren begått brott för- utsätter att anslutet företag har kännedom om brottet och något krav på det anslutna företaget att anmäla ställs inte förrän licenshavaren genom dom som vunnit laga kraft befunnits skyldig. Det är främst ekono- miska brott, vilka som regel till sin karaktär är förtroendeskadliga, som kan bli aktuella. Även annan brotts- lighet kan, om den bedöms vara av förhållandevis allvarlig natur, ge anledning att ifrågasätta licenshava- rens lämplighet och därmed aktualisera återkallelse av licensen. Som framgår av disciplinnämndens beslut 2014:14 kan licens återkallas även för brott begångna innan licensen erhölls. Detta skiljer sig alltså från den situation då licenshavaren begår brott som har samband med verksamheten, t.ex. förskingring av kunders medel, stöld från arbetsgivaren eller bedrägeri mot arbetsgivaren. Då kan det anslutna företaget genom egen utredning klargöra de faktiska omständigheterna och det anslutna företaget kan anmäla saken till Swedsec i samband med att förhållandet upptäcks. I den situationen kan omständigheterna också vara såd- ana att disciplinnämnden kan avgöra ärendet innan brottet har prövats av domstol. Nämnden kan genom den utredning som det anslutna företaget förebringar, i stället för att använda återkallelsegrunden brott, efter en samlad bedömning av omständigheterna komma fram till att licenshavaren allvarligt brutit mot 9 kap. 2 eller 3 §§.
4 § Om det finns skäl för det, får disciplinnämnden besluta att återkallelsen ska vara tillfällig. Sådan återkal- lelse gäller under den tid disciplinnämnden bestämmer, dock högst under ett år.
För att en tillfälligt återkallad licens ska kunna bli gällande igen krävs att licenshavaren genomför årlig kun- skapsuppdatering enligt 5 kap.
Kommentar: (andra stycket) Det bör observeras att om kunskapsuppdatering inte genomförts, när återkal- lelsetiden har löpt ut, ska licensen förklaras vilande.
5 § Om Swedsec bedömer att det finns risker förenade med att en licenshavare innehar licens under tiden ett ärende utreds, kan licensen återkallas interimistiskt av Swedsec med omedelbar verkan. Sådan interim- istisk återkallelse ska omprövas av disciplinnämnden senast inom 30 dagar.
Kommentar: I praktiken torde vid allvarliga överträdelser det anslutna företaget omedelbart, när xxxxxx- xxx blivit känd, reagera genom att förbjuda licenshavaren att fortsätta sitt arbete. När händelsen anmäls till Swedsec föreligger därför i normalfallet inte fara i dröjsmål. Motivet till bestämmelsen är att ge Swedsec en möjlighet för de undantagsfall som skulle kunna uppkomma genom att det anslutna företaget inte
reagerar med tillbörlig snabbhet. Av rättssäkerhetsskäl ska disciplinnämnden ompröva utskottets beslut inom 30 dagar.
Varning
6 § Disciplinnämnden får meddela licenshavaren varning:
1. när det finns grund för återkallelse men det föreligger särskilda omständigheter som gör att varning är tillräckligt, eller
2. om överträdelsen inte är så allvarlig att det finns grund för återkallelse.
Kommentar: (p. 1) Med särskilda omständigheter avses t.ex. att lång tid har förflutit mellan det att överträ- delsen begicks och anmälan till Swedsec gjordes eller det finns andra särskilda omständigheter som gör att återkallelse framstår som en alltför ingripande åtgärd.
Exempel på disciplinärenden där licenshavare har fått varning finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats.
Erinran eller avstående från påföljd
7 § Om disciplinnämnden finner att licenshavarens överträdelse är ringa eller ursäktlig eller det annars före- ligger förmildrande omständigheter, kan disciplinnämnden meddela licenshavaren erinran eller helt avstå från påföljd.
Kommentar: Exempel på disciplinärenden där licenshavare fått en erinran finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats. Observera dock att överträdelser som kan antas medföra erinran inte ska anmälas, dock att disciplinnämnden vid sin prövning även fortsättnings- vis kan meddela påföljden erinran (jfr 8 kap. 8 §).
Beslut om att förklara licensen ogiltig
8 § Om licens har erhållits på felaktiga grunder kan disciplinnämnden förklara licensen ogiltig.
Kommentar: Om licensen har grundats på något fel eller misstag – felaktigt beräknade testresultat, sam- manblandning av personnummer eller dylikt - kan licensen ogiltigförklaras Om licens har erhållits på grund av t.ex. falska eller oriktiga uppgifter från licenshavarens sida t.ex. uppsåtligt fusk på licensieringstestet el- ler felaktiga uppgifter till underlag för lämplighetsprövningen, torde det normalt innebära att licenshavaren har agerat i strid med de lämplighetskrav som ställs för att ha licens. D.v.s. licenshavaren har överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ och någon av disciplinpåföljderna återkallelse, varning eller erinran kan bli aktuell.
Beslut i fall där licensen har förfallit
9 § Disciplinnämnden ska i ärende avseende den vars licens förfallit pröva om skäl för disciplinpåföljd före- legat och bestämma den påföljd som skulle ha meddelats om denne fortfarande hade varit licenshavare.
Kommentar: Regeln syftar till att en tidigare licenshavares regelöverträdelser ska kunna underkastas pröv- ning även om licensen förfallit eftersom en disciplinpåföljd påverkar möjligheten att få ny licens antingen
genom att en viss tid ska förflyta efter en återkallelse av licensen eller att en varning eller en erinran kan påverka den lämplighetsprövning som det anslutna företaget ska göra enligt 8 kap. 4-5 §§.
Vite mot anslutna företag
10 § Ett anslutet företag som uppsåtligen eller av oaktsamhet underlåter att fullgöra sina skyldigheter enligt 2-8 kap. kan komma att få betala vite om minst 25 000 kr och högst 5 000 000 kr till Swedsec.
Kommentar: Detta skulle t.ex. kunna vara fallet när anslutet företag, trots påpekande från Swedsec, inte licensierat den krets av anställda som företaget har åtagit sig att licensiera enligt regelverket. En av företa- gets skyldigheter är att skyndsamt anmäla disciplinärenden och lämna uppgifter i ett sådant ärende. Såd- ana ärenden ska handläggas skyndsamt och en utebliven eller felaktig uppgift kan bero på knapphändig utredning eller att nya omständigheter framkommer i ett senare skede. Det anslutna företaget ska dock inte behöva hamna i den situationen att i efterhand tvingas betala vite trots att det varit normalt aktsamt i samband med den utredning som gjorts innan anmälan till Swedsec skedde.
11 § Styrelsen för Swedsec beslutar om vite ska utgå samt vitets storlek.
Vid bestämmande av vitets storlek ska beaktas vilka konsekvenser eller vilka risker för konsekvenser det anslutna företagets handlande eller underlåtenhet har haft för licenshavare, Swedsec, andra anslutna före- tag eller förtroendet för finansmarknaden. Vidare ska företagets ekonomiska ställning beaktas.
Innan beslut fattas i ärendet ska Swedsec ge det anslutna företaget tillfälle att yttra sig. Beslut om vite ska ange de skäl varpå beslutet grundas.
Uteslutning av anslutna företag
12 § Om ett anslutet företag allvarligt har åsidosatt sina skyldigheter enligt regelverket eller inte längre uppfyller kraven för anslutning enligt 2 kap. 1 eller 2 § eller om förtroendet för det på annat sätt allvarligt har skadats kan Swedsecs styrelse besluta att företaget inte längre får vara ett anslutet företag (uteslut- ning). Innan beslut fattas i ärendet ska Swedsec ge det anslutna företaget tillfälle att yttra sig. Beslut om uteslutning ska ange de skäl varpå beslutet grundas.
Tvistlösning
13 § Tvister mellan Swedsec och ett anslutet företag som uppstår i anledning av detta regelverk ska slutligt avgöras genom skiljedom enligt Skiljedomsregler för Stockholms Handelskammares Skiljedomsinstitut.
Skiljenämnden ska bestå av tre skiljemän.
Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska och svensk lag ska till- lämpas på tvisten.
Kommentar: De tvister det skulle kunna bli fråga om är t.ex. tvist om ett företag är skyldigt att betala vite, eller om det förekommer grund för uteslutning. Skiljedomsreglerna för Stockholms Handelskammares Skil- jedomsinstitut ska tillämpas på förfarandet. Reglerna finns tillgängliga på handelskammarens webbplats.
11 kap. Disciplinnämnden
1 § För avgörande av frågor av disciplinär beskaffenhet och ogiltighet av licens enligt 10 kap. 8 § (disciplinä- renden) finns en disciplinnämnd. Bestämmelser om förfarandet inför disciplinnämnden framgår av 12 kap. 9-23 §§.
2 § Disciplinnämndens ordförande, vice ordförande samt övriga ledamöter utses av styrelsen för Swedsec.
3 § Ordföranden leder disciplinnämndens arbete. Ordföranden kan delegera detta arbete till vice ordfö- rande.
12 kap. Disciplinärenden
1 § Beredning och behandling av disciplinärenden ska ske rättssäkert och skyndsamt. Ett disciplinärende ska bli så utrett som dess beskaffenhet kräver.
Handläggningen av disciplinärenden hos Swedsec
2 § Ett disciplinärende kan inledas hos Swedsec genom en anmälan från ett anslutet företag eller på Swedsecs eget initiativ.
Kommentar: Det är upp till Swedsec att bedöma om ett disciplinärende ska inledas på Swedsecs initiativ. Det finns ingen bortre tidsgräns för när disciplinärende kan inledas på Swedsecs initiativ. Även andra än anslutna företag kan underrätta Swedsec om licenshavares regelbrott m.m.
3 § En anmälan av ett disciplinärende ska göras skriftligen och innehålla en redogörelse för de omständig- heter som ligger till grund för anmälan. De skriftliga handlingar som åberopas ska bifogas anmälan. Anmä- lan ska innehålla åtminstone:
1. en redogörelse för licenshavarens regelöverträdelse,
2. ett utdrag av de interna regler som licenshavaren påstås ha brutit mot och
3. en beskrivning av konsekvenserna av regelöverträdelsen, t.ex. ekonomisk skada för kunder eller företa- get.
Kommentar: För att disciplinförfarandet ska fungera krävs en utförlig anmälan från företaget som beskri- ver licenshavarens regelöverträdelser: när de skett, vilken omfattning och frekvens. För en skyndsam hand- läggning krävs att anmälan är så komplett som möjligt från början. Sedan det anslutna företaget anmält överträdelsen övertar Swedsec ansvaret för att saken utreds. Det innebär att Swedsec kan begära in kom- pletteringar av det anslutna företaget om anmälan är bristfällig eller om någon uppgift saknas som behövs för sakens prövning, se 4 §.
På Swedsecs webbplats finns en vägledning för anmälan av regelöverträdelser som löpande uppdateras. Vägledningen innehåller bl.a. information om vad en anmälan kan innehålla.
4 § Uppfyller en anmälan inte kraven i 3 § eller är den på annat sätt ofullständig ska Swedsec ge företaget en möjlighet att komplettera sin anmälan.
Swedsec får avvisa en anmälan:
1. om komplettering inte inkommer inom förelagd tid, eller
2. om anmälan, även efter inkommen komplettering, är så bristfällig att den inte kan läggas till grund för fortsatt handläggning av ärendet.
5 § När Swedsec ska besluta om ett ärende ska överlämnas till disciplinnämnden för prövning eller lämnas utan åtgärd samt besluta i frågor om interimistisk återkallelse av licens enligt 10 kap. 5 § får Swedsec biträ- das av ett disciplinutskott.
Styrelsen för Swedsec utser ledamöterna i disciplinutskottet.
6 § Det anslutna företaget och licenshavaren ska innan Swedsec fattar beslut som avses i 5 § få ta del av allt material av betydelse för beslutet och ges tillfälle att yttra sig över materialet om det inte är uppenbart onö- digt.
Kommentar: Handlingar kommuniceras endast med det anslutna företaget och licenshavaren, inte med andra som t.ex. har underrättat Swedsec om en överträdelse.
7 § När Swedsec har fattat sitt beslut, ska Swedsec meddela detta till det anslutna företaget och licenshava- ren. Om beslutet innebär att disciplinärendet ska överlämnas till disciplinnämnden ska ärendet skickas till disciplinnämndens ordförande.
Kommentar: Inte heller anmälan till disciplinnämnden kommuniceras med andra än licenshavaren och det anslutna företaget.
8 § Har Swedsec beslutat att lämna ett ärende utan åtgärd får det berörda anslutna företaget, hos disciplin- nämnden begära omprövning av beslutet. En begäran om omprövning ska vara skriftlig och ställd till disci- plinnämnden samt ska ha kommit in till Swedsec inom tre veckor från den dag då beslutet meddelades. Di- sciplinnämnden ska för sådant ärende tillämpa det förfarande som anges i 9-23 §§.
Har Swedsec beslutat att delvis lämna ett ärende utan åtgärd, får det berörda företaget på sätt som anges i första stycket begära omprövning av beslutet i den eller de delar som har lämnats utan åtgärd. I sådant fall ska dock skriftlig anmälan om att företaget avser att begära omprövning ha inkommit till Swedsec senast sju bankdagar från den dag beslutet meddelades.
Handläggningen av disciplinärenden i disciplinnämnden
9 § Disciplinärenden tas upp till prövning av disciplinnämnden efter överlämnande från Swedsec. Disciplinnämnden sammanträder på kallelse av ordföranden.
10 § De skriftliga handlingar som åberopas ska bifogas meddelandet enligt 7 §. Nämnden får kräva att handlingar i ärendet ska vara skrivna eller översatta till svenska.
11 § Om det material disciplinnämnden mottagit från Swedsec är ofullständigt ska disciplinnämnden ge Swedsec en möjlighet att komplettera. Nämnden får avvisa ärendet:
1. om komplettering inte inkommer inom förelagd tid, eller
2. om materialet är så bristfälligt att det inte kan läggas till grund för fortsatt handläggning.
12 § Disciplinnämnden får när det finns skäl till det inhämta ytterligare utredning.
13 § Förfarandet i disciplinnämnden är skriftligt. Swedsec och licenshavaren kan begära att få framföra sina synpunkter muntligt inför nämnden, vilket ska medges om inte nämndens ordförande beslutar att det är obehövligt.
På Swedsecs eller licenshavarens begäran får disciplinnämndens ordförande, om det krävs för sakens pröv- ning, kalla företaget som har gjort anmälan för att svara på frågor vid muntligt förfarande inför nämnden.
14 § Ett ärende får inte avgöras utan att Swedsec, det anmälande företaget och licenshavaren har fått kän- nedom om alla uppgifter i ärendet och har fått tillfälle att yttra sig över dessa, om det inte är uppenbart onödigt.
15 § Disciplinnämnden ska vid sin prövning av ärenden bestå av minst tre och högst fem ledamöter. Av dessa ska ordföranden vara lagfaren och ha erfarenhet som domare. Xxxxx en ledamot ska vara väl insatt i förhållandena på finansmarknaden. Ordföranden får ensam fatta beslut som inte innefattar en slutlig pröv- ning av ärendet.
Kommentar: Om ärendet är av principiell betydelse bör disciplinnämnden bestå av fem ledamöter, varvid utrymme finns för att minst två ledamöter är väl insatta i förhållandena på finansmarknaden.
16 § Som disciplinnämndens beslut gäller den mening som de flesta företräder. Vid lika röstetal har ordfö- randen utslagsröst. Föreligger vid överläggning till beslut skiljaktiga meningar ska omröstning ske. Då ska vad som sägs i 28 och 29 §§ förvaltningslagen (2017:900) gälla i tillämpliga delar.
17 § Disciplinnämndens beslut ska grundas på det som handlingarna innehåller och det som i övrigt har förekommit i ärendet. Beslutet ska vara skriftligt och ange de skäl som det grundas på.
18 § Beslutet ska utan dröjsmål sändas till Swedsec, licenshavaren och det anslutna företag där licenshava- ren är anställd, samt det företag som har gjort anmälan. Om det finns en skiljaktig mening ska den bifogas beslutet.
Kommentar: Andra kan ta del av beslutet genom Swedsecs offentliggörande. Är licenshavaren vid tidpunk- ten för disciplinnämndens beslut anställd av ett annat anslutet företag än det företag som har gjort anmä- lan, skickas beslutet i anonymiserad form tillsammans med uppgift om den licenshavare beslutet avser, till det företag där licenshavaren är anställd.
19 § Vid disciplinnämndens sammanträden ska protokoll föras. I protokollet ska antecknas disciplinnämn- dens ledamöter, Swedsec, licenshavare och anmälare, ärendets beskaffenhet, beslut och skiljaktig mening. Protokoll behöver dock inte upprättas om uppgifterna framgår av ett särskilt uppsatt beslut.
Offentliggörande
20 § När beslut om disciplinpåföljd meddelats kan Swedsec informera om beslutet genom ett pressmed- delande. Disciplinnämndens ordförande och det anslutna företaget ska ges möjlighet att lämna synpunkter på pressmeddelandet.
Beslut ska offentliggöras i anonymiserad form av Swedsec.
Ombud för licenshavare
21 § Licenshavare har i ett disciplinärende rätt att anlita ombud eller biträde. Kostnaden för ombudet/biträ- det ersätts till visst belopp av Swedsec enligt de närmare anvisningar som Swedsec meddelar. Begäran om ersättning (kostnadsräkning) ska ha kommit in till Swedsec inom 30 dagar från det att disciplinärendet slut- ligt avgjordes och innehålla en arbetsredogörelse samt uppgift om den tid som har lagts ned på uppdraget.
Kommentar: Anvisningar om ersättning till ombud finns på Swedsecs webbplats.
Jäv
22 § Den som ska handlägga ett ärende i disciplinnämnden eller disciplinutskottet är jävig
1. om saken angår honom själv eller hans maka, förälder, barn eller syskon eller någon annan närstående,
2. om ärendets utgång kan väntas medföra nytta eller skada för honom själv eller någon närstående,
3. om han eller någon närstående är ställföreträdare för den som saken angår eller för någon som kan vänta nytta eller skada av ärendets utgång,
4. om han har fört talan som ombud eller mot ersättning biträtt någon i saken, eller
5. om det i övrigt finns någon särskild omständighet som är ägnad att rubba förtroendet till hans opar- tiskhet i ärendet.
23 § Den som är jävig får inte handlägga ärendet om inte frågan om opartiskhet uppenbarligen saknar be- tydelse. Den som är jävig får dock vidta åtgärder som inte någon annan kan vidta utan olägligt uppskov.
Den som känner till en omständighet som kan antas utgöra jäv mot honom, ska självmant ge det till känna. Har det uppkommit en fråga om jäv mot någon och har någon annan inte trätt i dennes ställe, ska nämn- den eller utskottet snarast besluta i jävsfrågan. Den som jävet gäller får inte delta i prövningen av jävsfrå- gan.
13 kap. Prövningsnämnden
1 § Styrelsen för Swedsec utser en prövningsnämnd. Ledamöterna ska ha allsidig och djup kännedom om finansmarknaden.
2 § Prövningsnämnden ska bestämma vilka kunskapskrav som ska gälla för licensieringstesterna och de år- liga kunskapsuppdateringarna. Prövningsnämnden ska se till att kraven motsvarar finansmarknadens ut- veckling och att licensieringstesterna svarar mot kunskapskraven.
3 § Swedsec ska informera de anslutna företagen om kunskapskraven.
Kommentar: Kunskapskraven finns på Swedsecs webbplats.
14 kap. Licensieringstest
Licensieringstest
1 § Swedsec utformar licensieringstester samt rutiner för att genomföra och bedöma test.
Kommentar: Swedsec tillhandahåller olika tester för de olika personalkategorier som enligt 3 kap. 1 § ska ha licens.
Anställda som har de befattningar eller arbetsuppgifter som anges under kategori A i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för ledning och kontrollfunktioner eller Swedsecs licensieringstest för värdepappersmarknaden eller övergångsbestämmelsen enligt punkten 4.18 i Swedsecs regelverk 2001-07-01 (erfarenhetslicens).
Anställda som har de arbetsuppgifter som anges under kategori B i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för rådgivare eller Swedsecs licensieringstest för värdepappersmark- naden eller punkten 1 i övergångsbestämmelsen i 2013-års regelverk eller äldre övergångsbestämmelse (erfarenhetslicens). En person med licens grundad på Swedsecs licensieringstest för värdepappersmark- naden har inte därigenom genomfört kunskapstest som uppfyller kunskapskraven eller kraven på erfaren- het i Finansinspektionens föreskrifter och allmänna råd om försäkringsdistribution (4 kap. i FFFS 2018:10), varför en sådan licenshavare, inte enbart med stöd av sin licens, är behörig att förmedla försäkringar.
Anställda som har de arbetsuppgifter som anges under kategori C i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för specialister eller Swedsecs licensieringstest för värdepappers- marknaden eller äldre övergångsbestämmelse (erfarenhetslicens).
Anställda som har de befattningar eller arbetsuppgifter som anges under kategori D i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för bolån.
Verksamheten i olika företag skiljer sig dock åt, och det är upp till det enskilda företaget att bedöma vilket licensieringstest som är bäst stämmer överens med den enskilde anställdes arbetsuppgifter.
2 § Swedsec ska erbjuda tillfälle till licensieringstest i tillräcklig omfattning. Licensieringstesten ska äga rum på tid och plats som bestäms av Swedsec.
3 § På Swedsec webbplats ska det framgå när och var licensieringstest äger rum och vad som krävs för del- tagande.
4 § Bedömning av om licensieringstest är godkänt ska göras i enlighet med av Swedsec fastställda rutiner. För ansökan om licens gäller ett godkänt test i fem år.
Kommentar: Skriftligt intyg över godkänt licensieringstest kan hämtas via onlinetjänsten. Xxxxxxxx av licen- sieringstester sker i enlighet med Swedsecs vid var tid gällande principer.
15 kap. Sekretess och register
Sekretess
1 § Swedsec får inte obehörigen röja eller utnyttja information om anslutna företag, licenshavare eller nå- gon annans affärsförhållanden eller personliga förhållanden som Swedsec fått del av med anledning av full- görandet av sitt uppdrag enligt dessa regler.
Den som är eller varit knuten till Swedsec som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad denne i anställningen eller uppdraget har fått veta om anslutna företag, licenshavare eller nå- gon annans affärsförhållanden eller personliga förhållanden.
Swedsec ska se till att anställda och uppdragstagare undertecknar en sekretessförbindelse med det inne- håll som anges i andra stycket.
Kommentar: Bestämmelsen är likartad bestämmelserna om tystnadsplikt i 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse och 1 kap. 11 § lagen (2007:528) om värdepappersmarknaden, men täcker en vidare personkrets än dessa regler. Obehörighetsbegreppet ska tolkas på samma sätt som i bankrörel- selagstiftningen, dvs. lämnar Swedsec ut upplysningar på grund av att Swedsec enlig lag är skyldig att göra det, anses inte Swedsec handla obehörigt. Ett exempel är upplysningar till Finansinspektionen, som inspekt- ionen har begärt med stöd av 6 kap. 1 a § lagen (1991:980) om handel med finansiella instrument.
2 § Swedsec ska ha interna instruktioner för hur handlingar innehållande sekretessbelagd information som lämnas till Swedsec ska hanteras och förvaras.
Register
3 § Swedsec ska föra register över uppgifter om licenshavare och f.d. licenshavare.
Kommentar: Swedsec för register i onlinetjänsten. I onlinetjänsten sparas uppgifter t.ex. om vilket/vilka av Swedsecs tester som licenshavare har genomfört, årliga kunskapsuppdateringar, dispenser, vilandeförkla- rande av licens och disciplinpåföljder. Gallring av uppgifter i onlinetjänsten sker i enlighet med Swedsecs vid var tid gällande principer.
4 § Uppgifter om licenshavare, som har aktiv licens, avseende licenshavarens namn och anslutet företag ska vara offentliga på Swedsecs webbplats. Swedsec får även göra uppgifter om vad licensen grundas på of- fentliga på webbplatsen.
5 § Uppgifter om disciplinpåföljderna återkallelse, tillfällig återkallelse eller varning ska sparas i registret. Från den dag disciplinpåföljden beslutades sparas uppgift om återkallelse eller tillfällig återkallelse i tre år och uppgift om varning i två år.
Kommentar: Från och med 1 januari 2023 har anmälningsskyldigheten för överträdelser ändrats till att avse återkallelse, tillfällig återkallelse eller varning, dock att påföljden erinran fortfarande kan meddelas av disciplinnämnden. Mot bakgrund av att anmälan om överträdelse inte ska ske om överträdelsen kan antas leda till påföljden erinran gäller bestämmelsen om hur länge uppgifter ska sparas endast uppgifter om återkallelse, tillfällig återkallelse eller varning.
6 § Uppgifter om pågående disciplinärende ska sparas i registret från det att ärendet inleddes fram tills di- sciplinärendet avslutats.
Kommentar: Ett disciplinärende ska anses vara avslutat när disciplinnämnden fattat ett beslut i ärendet eller i fall när disciplinutskottet beslutat att lämna ärendet utan åtgärd när besvärsfristen, inom vilken det anmälande företaget kan begära omprövning, har löpt ut.
7 § Uppgift om att licenshavarens upphörda anställning har haft samband med överträdelse som har an- mälts eller ska anmälas enligt 8 kap. 8 § ska sparas i registret fram tills disciplinärende inleds, dock längst i tre år från den dag uppgiften lämnades.
8 § Uppgifter enligt 5-7 §§ är tillgängliga för licenshavaren själv.
9 § Licenshavare har rätt att få ett utdrag ur registret som visar disciplinpåföljder, pågående disciplinären- den och uppgift om att licenshavarens upphörda anställning har haft samband med överträdelse som har anmälts eller ska anmälas enligt 8 kap. 8 §. Licenshavaren kan skriva ut ett sådant utdrag i onlinetjänsten.
Kommentar: Uppgifter om disciplinpåföljder och pågående ärenden i sig är inte sådana känsliga uppgifter eller uppgifter om brott och brottspåföljder vars behandling är särskilt reglerad i dataskyddsregleringen. Däremot kan uppgifter i vissa beslut från disciplinnämnden vara det. Uppgifterna som ska finnas i registret är enbart uppgifter om disciplinpåföljderna återkallelse, tillfällig återkallelse eller varning som har beslutats, inte skälet till påföljden. Liksom andra personuppgifter måste det finnas ett syfte med registreringen. I detta fall är syftet dels att de anslutna företagen genom kontroll enligt 8 kap. 7 § ska få kännedom om på- följder, pågående ärenden eller om det finns en aktuell anmälan enligt 8 kap. 6 § om att anmälan om regel- överträdelse enligt 8 kap. 8 § har gjorts eller avses att göras, då detta ska beaktas i lämplighetsprövningen enligt 8 kap. 4 §, dels att Swedsec ska beakta tidigare disciplinpåföljder vid bedömningen av nya ärenden och kontrollera att sådant hinder att erhålla ny licens som följer av 4 kap. 3 § inte föreligger. Uppgifterna ska inte sparas längre än det är motiverat med hänsyn till syftet och högst tre år får anses vara en rimlig tid.
10 § Swedsec får göra rättelser i registret när det finns skäl till det.
16 kap. Personuppgiftsbiträde
Uppdrag som personuppgiftsbiträde
1 § Behandling av personuppgifter i onlinetjänsten omfattas av dataskyddsregleringen. Anslutet företag är i förhållande till Swedsec personuppgiftsbiträde vid genomförande av det anslutna företagets behandling av personuppgifter i onlinetjänsten. Behandlingen görs för att anslutet företag ska kunna fullgöra åtaganden enligt regelverket och avser licenshavare och andra personer som i onlinetjänsten är registrerade på företa- get. Anslutet företag ska följa dataskyddsregleringen.
Anslutet företag utfäster sig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa sitt rätta fullgörande av sina skyldigheter som personuppgiftsbiträde, vilka följer av
1. detta regelverk
2. dokumenterade instruktioner som Swedsec meddelat och
3. dataskyddsregleringen.
Kommentar: Ett syfte med bestämmelserna i detta 16 kap. ”Personuppgiftsbiträde” är att uppfylla de krav som följer av artikel 28 i dataskyddsförordningen. Omfattningen och karaktären på anslutet företags åta- ganden enligt bestämmelserna i detta kapitel i regelverket ska bedömas mot bakgrund av vad rollen som personuppgiftsbiträde faktiskt innebär. Dvs. att det rör sig om behandling av personuppgifter i en av Swedsec tillhandhållen onlinetjänst.
Av regelverket följer att anslutet företag har ett långtgående ansvar för att utföra administrativa åtgärder i onlinetjänsten, t.ex. vid ansökan om licens. Begreppet ”åtaganden” i bestämmelsen ska ges en bred tolk- ning och omfattar även icke obligatoriska åtgärder som anslutet företag har rätt att vidta enligt regelverket och som genomförs genom företagets åtgärd i onlinetjänsten, t.ex. licensansökan vid frivillig licensiering.
Personuppgifter avseende licenshavare och andra personer som i onlinetjänsten är registrerade på det an- slutna företaget ska vid var tid vara riktiga och hållas uppdaterade.
(andra stycket) Med dokumenterade instruktioner avses instruktioner avseende hur anslutet företag ska säkerställa ett tillräckligt dataskydd, som Swedsec vid var tid publicerat på för detta ändamål särskild plats i onlinetjänsten.
Se 1 kap. 3 § för definition av dataskyddsregleringen.
Krav på lämplig säkerhetsnivå
2 § Anslutet företag ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för att skydda personuppgifter som behandlas i onlinetjänsten. Anslutet företag ska vidta alla åtgärder som krävs enligt artikel 32 i dataskyddsförordningen.
Kommentar: Anslutet företag har således ett eget ansvar för att vidta lämpliga tekniska och organisato- riska åtgärder för att se till att säkerhetsnivån är tillräcklig. Vid bedömning av vad som är lämplig säkerhets- nivå ska dock beaktas att det är Swedsec som ansvarar för den tekniska driften av onlinetjänsten och att anslutet företags tillgång till onlinetjänsten normalt är begränsad till att med hjälp av dator med internet- uppkoppling ha tillgång till och kunna ändra vissa personuppgifter. Det är t.ex. nödvändigt att anslutet fö- retag har tillfredsställande rutiner för skydd av lösenord för inloggning till onlinetjänsten. Det anslutna före- taget ska följa Swedsecs vid var tid tillämpliga instruktioner på området. Se 1 § avseende skyldigheten att följa dokumenterade instruktioner.
Anslutet företags åtaganden enligt denna bestämmelse grundas på artikel 28.3 c) och artikel 32 i data- skyddsförordningen. Av artikel 32.1 följer bl.a. att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, varvid ska beaktas den senaste utvecklingen, genomförandekostnaderna och be- handlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Vidare anges i artikel 32.2 att vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Behandling endast inom EES
3 § Personuppgifter får inte utan Swedsecs skriftliga medgivande behandlas med utrustning som fysiskt är lokaliserad utanför EES-området och får heller inte föras över, t.ex. via e-post eller på annan teknisk väg, till länder utanför EES-området.
Fysiska personers hantering av personuppgifter
4 § Anslutet företag ska säkerställa att varje fysisk person som för det anslutna företagets räkning behand- lar personuppgifter i onlinetjänsten, gör detta i överensstämmelse med regelverket och av Swedsec medde- lade instruktioner.
Anslutet företag ska säkerställa att fysisk person som för det anslutna företagets räkning utför behandling av personuppgifter gör detta under sekretess, vilket innebär att denne inte obehörigen får röja eller ut- nyttja personuppgifterna.
Kommentar: (andra stycket) Instruktioner för administratörers behandling av personuppgifter finns i admi- nistratörsmanual i onlinetjänsten.
(tredje stycket) Behandling av personuppgifter ska ske under sekretess. Det finns dock situationer då ge- nombrott i sekretessen aktualiseras. T.ex. torde det i normalfallet vara tillåtet att, avseende anställda i det anslutna företaget, använda personuppgifter från onlinetjänsten i företagets personaladministrativa ar- bete.
Frågor från registrerade
5 § Anslutet företag ska vara Swedsec behjälpligt avseende Swedsecs fullgörande av sin skyldighet, att gentemot anslutet företagets licenshavare och andra personer som i onlinetjänsten är registrerade på före- taget, svara på sådana personers begäran om utövande av sina rättigheter grundade på dataskyddsregle- ringen.
Kommentar: Registrerades rättigheter enligt dataskyddsregleringen återfinns i Kapitel III i dataskyddsför- ordningen. Anslutet företags skyldighet att vara Swedsec behjälpligt enligt denna bestämmelse sträcker sig i normalfallet inte längre än till att hjälpa licenshavare och andra som i onlinetjänsten är registrerade på företaget med att etablera kontakt med Swedsec.
Rapportering till Swedsec i vissa fall
6 § Får anslutet företag vetskap om en personuppgiftsincident, ska företaget utan onödigt dröjsmål anmäla detta till Swedsec. En sådan anmälan ska innehålla en tillräcklig beskrivning av personuppgiftsincidenten till underlag för en anmälan av Swedsec om personuppgiftsincident i enlighet med artikel 33 dataskyddsför- ordningen. På Swedsecs förfrågan ska anslutet företag komplettera underlaget och även i övrigt vara be- hjälpligt i utredning av personuppgiftsincidenten.
Kommentar: Se 1 kap. 3 § för definition av personuppgiftsincident.
7 § Om anslutet företag anser att regelverket eller av Swedsec meddelade dokumenterade instruktioner strider mot dataskyddsregleringen eller andra dataskyddsregler, ska det anslutna företaget skriftligen un- derrätta Swedsec om detta.
Kommentar: Bestämmelsen tar sikte på och är således begränsad till anslutet företags roll som person- uppgiftsbiträde, dvs. avseende behandling av personuppgifter i onlinetjänsten.
Underbiträde
8 § Anslutet företag får anlita personuppgiftsbiträde, s.k. underbiträde, för behandling av personuppgifter. Anslutet företag ska med respektive underbiträde träffa avtal, som ska innehålla den eller de bestämmelser som Swedsec vid var tid anger. Anslutet företag ska underrätta Swedsec om sina planer på att anlita eller ersätta underbiträde. Swedsec har rätt att invända mot sådan anmäld förändring. Har Swedsec fog för sin invändning äger inte anslutet företag anlita eller ersätta ett underbiträde.
Kommentar: Ett underbiträde kan vara en konsult eller annan uppdragstagare. En fysisk person som är anställd av det anslutna företaget och inom ramen för sin anställning utför behandling av personuppgifter är inte att betrakta som underbiträde.
9 § Underbiträdet ska, såvitt avser sitt uppdrag som personuppgiftsbiträde, åläggas samma skyldigheter i fråga om dataskydd som det anslutna företaget har i sin egenskap av personuppgiftsbiträde. Vidare ska anslutet företag säkerställa att underbiträdet utfäster sig att vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla Dataskyddsregleringen. Fullgör inte underbiträdet sina skyldigheter i fråga om dataskydd är anslutet företag ansvarigt gentemot Swedsec för underbiträdets utförande av det anslutna företagets skyldigheter som personuppgiftsbiträde.
Kommentar: Av Swedsecs mall för anslutet företags avtal med underbiträde följer att underbiträdet åtar sig skyldigheterna enligt denna bestämmelse.
Swedsecs rätt till information
10 § Anslutet företag ska, på Swedsecs begäran, utan oskäligt dröjsmål tillhandahålla Swedsec, eller en revi- sor som Swedsec anlitat, sådan information som Swedsec anser är nödvändig för att kontrollera att anslutet företag efterlever sina förpliktelser som personuppgiftsbiträde. För detta ändamål ska anslutet företag till- låta att Swedsec genomför kontroller, vilket inbegriper inspektioner som får utföras av Swedsec eller av Swedsec bemyndigad revisor. Vid sådana kontroller ska anslutet företag ge den assistans som behövs för genomförandet.
Kommentar: Att en personuppgiftsansvarig ska ha denna rätt gentemot personuppgiftsbiträdet följer av artikel 28.3 h) dataskyddsförordningen. Bestämmelsens andra och tredje mening kan tyckas vara långtgå- ende och torde endast i undantagsfall komma att tillämpas.
Vidarebefordran av information från Swedsec
11 § Anslutet företag ska, på Swedsecs begäran, vidarebefordra information till det anslutna företagets li- censhavare och andra personer som i onlinetjänsten är registrerade på företaget.
Har personuppgiftsincident inträffat och bedömer Swedsec att licenshavare eller andra personer som i onli- netjänsten är registrerade på det anslutna företaget ska informeras om personuppgiftsincidenten, ska före- taget på Swedsecs begäran utan onödigt dröjsmål vidarebefordra information från Swedsec till berörda personer.
Kommentar: (andra stycket) Swedsec ansvarar som personuppgiftsansvarig för att informera om person- uppgiftsincidenter. Swedsec är dock i vissa fall beroende av att anslutet företag medverkar och vidarebe- fordrar informationen.
Konsekvensbedömning avseende dataskydd
12 § Om Swedsec skulle bedöma att en konsekvensbedömning avseende dataskydd som följer av artikel 35 dataskyddsförordningen ska genomföras, ska anslutet företag, med beaktande av typen av behandling och den information som företaget har att tillgå, bistå Swedsec med att se till att Swedsecs skyldigheter enligt artikeln fullgörs. Om en sådan konsekvensbedömning skulle leda till att Swedsec genomför förhandssam- råd med tillsynsmyndigheten för dataskyddsfrågor i enlighet med artikel 36 dataskyddsförordningen, ska anslutet företag, med beaktande av typen av behandling och den information som företaget har att tillgå, bistå Swedsec med att se till att Swedsecs skyldigheter enligt denna artikel fullgörs.
Kommentar: Att personuppgiftsbiträdet ska ha dessa skyldigheter att bistå Swedsec vid konsekvensbe- dömning (artikel 35) och förhandsamråd (artikel 36) följer av artikel 28.3 f). Av artikel 35 följer att om en be- handling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Av artikel 36 följer att den personuppgiftsansvarige ska sam- råda med Datainspektionen före behandlingen av personuppgifter, om en konsekvensbedömning enligt artikel 35 visar att behandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgär- der för att minska risken.
Radera kopior efter anslutningens upphörande
13 § Efter att ett företags skyldighet att vara personuppgiftsbiträde har upphört enligt 2 kap. 9 § p 4, ska företaget radera befintliga kopior av personuppgifter hämtade från onlinetjänsten. Till undvikande av oklar- het gäller detta inte för personuppgifter som företaget har laglig grund för att använda i sin verksamhet.
Kommentar: Efter att ett företags anslutning upphört krävs vissa avslutande åtgärder i onlinetjänsten in- nan Swedsec stänger företagets åtkomst till onlinetjänsten. Företaget upphör då att vara personuppgiftsbi- träde, se 2 kap. 9 § p 4.
Av artikel 28.3 g) dataskyddsförordningen följer att personuppgiftsbiträde vid uppdragets upphörande, be- roende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna personuppgifterna och ra- dera befintliga kopior. I och med att behandlingen i föreliggande fall sker i onlinetjänsten är återlämnande eller radering av personuppgifterna i onlinetjänsten inte aktuellt. Istället stänger Swedsec företagets åt- komst till onlinetjänst. Däremot kan bestämmelsen aktualiseras om företaget utanför onlinetjänsten har sparat kopior av personuppgifter. Bestämmelsen träffar dock inte situationen när företaget med stöd av laglig grund, t.ex. i sitt personaladministrativa arbete, använder samma uppgifter som också behandlats i onlinetjänsten.
17 kap. Ändring av regelverket och meddelanden
Ändring av regelverket
1 § Regelverket fastställs av styrelsen för Swedsec och omprövas, om inte särskilda omständigheter föranle- der annat, årligen. Beslut om ändring av regelverket tillkännages på Swedsecs webbplats. På webbplatsen anges också när en ny version av regelverket träder i kraft.
2 § Inför regeländringar ska Swedsec inhämta synpunkter från de anslutna företagen.
Kommentar: Detta sker normalt genom att föreslagna ändringar skickas ut på remiss till de anslutna före- tagen i god tid innan de eventuellt antas.
3 § Kommunikation – anmälningar, rapporter m.m. – enligt detta regelverk ska ske på det sätt Swedsec be- stämmer.
Huvudsakligen sker anslutna företags och licenshavares kommunikation med Swedsec via onlinetjänsten. Det är där man ansöker om licens anmäler sig för test, rapporterar in årliga kunskapsuppdateringar m.m.
Ikraftträdande
Regelverket träder i kraft den 1 januari 2024.
Övergångsbestämmelser
1. För företag som har anslutit sig i enlighet med reglerna om koncernanslutningar före den 31 december 2019 fortsätter de tidigare reglerna gällande koncernanslutning att gälla.
2. Licenshavare är skyldiga att självmant lämna in licensbevis till det anslutna företaget för förstörelse al- ternativt själva förstöra licensbeviset. I det fall licensbevis samlats in ska anslutna företag förstöra dessa.