INSTRUKTION FÖR INTEGRITETSHANTERING
INSTRUKTION FÖR INTEGRITETSHANTERING
Fastställd av | VD Spiltan Fonder AB |
Fastställd datum | 2023-02-06 |
Ersätter tidigare version fastställd | 2022-12-14 |
Internt dokumentansvarig | Ansvarig för Operations |
1. Inledning och syfte
Spiltan Fonder AB (”Bolaget”) värnar om din personliga integritet och eftersträvar alltid en hög nivå av dataskydd. Denna instruktion för integritetshantering förklarar hur vi samlar in och använder din personliga information i vår verksamhet enligt reglerna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016, GDPR, om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Den beskriver också dina rättigheter och hur du kan göra dem gällande.
2. Terminologi och definitioner
I denna instruktion används följande begrepp med den nedan angivna innebörden:
Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. till exempel kan bilder och ljudupptagningar som behandlas elektroniskt vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (till exempel IP-nummer) är personuppgifter ifall de kan kopplas till fysiska personer.
Med behandling av personuppgifter avses allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller ej. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, överföring och radering.
Med den registrerade avses den som personuppgift härleds från.
3. Vilka personuppgifter samlar vi in och för vilket ändamål?
Bolaget samlar in och behandlar personuppgifter inom de områden och funktioner som listas nedan. Behandling sker av de kategorier av personuppgifter som anges nedan, för de ändamål och med stöd av de lagliga grunder som anges i förhållande till respektive behandling.
3.1 Kunder och potentiella kunder
Vilken är den lagliga grunden för behandlingen?
Bolaget behandlar personuppgifter avseende andelsägare i Bolagets fonder samt potentiella andelsägare. Avseende privatpersoner som investerar i Bolagets fonder genom Fondab får Bolaget tillgång till personuppgifter via insynsfullmakt från kunden. Utöver den behandling som sker för Fondabs räkning kan Bolaget komma att behandla personuppgifter rörande dessa kunder baserat på en intresseavvägning i syfte att vårda kundrelationen.
I samband med att en juridisk person blir kund hos oss behandlar vi personuppgifter avseende kundens företrädare för att uppfylla rättsliga skyldigheter, för att fullgöra avtal med kund eller med stöd av en intresseavvägning.
Vilka personuppgifter behandlas och vem är mottagare?
Bolaget behandlar personuppgifter avseende andelsägare, kunder eller företrädare för kunder som Bolaget antingen har eller avser att ingå avtal med alternativt med vilka Bolaget har en annan kommersiell koppling till. Personuppgifter som Bolaget behandlar är huvudsakligen namn, adress, personnummer, kopia av ID-handling, e-post, telefonnummer, uppgifter om innehav samt historik rörande innehav samt bankkontouppgifter.
De som kan komma i kontakt med personuppgifterna är Bolagets anställda såsom personal inom funktionerna för administration, marknad och ekonomi. Då Bolaget har anlitat externa leverantörer av system för administration av fondandelsägarregister, bokföringstjänster, IT-tjänster samt system för att inhämta vissa underlag för kundkännedom kan även dessa externa aktörer komma att ta del av Bolagets kunders personuppgifter. Även Bolagets kontrollfunktioner kan vara mottagare av personuppgifter, liksom behöriga myndigheter t ex. Skatteverket och Finansinspektionen.
För vilka ändamål behandlas personuppgifterna?
Personuppgifterna behandlas för följande ändamål: hantera kundrelationen, tillhandahålla och administrera tillgång till produkter och tjänster, administrera kundregister, skicka ut rapporter och månadsbrev, samt i övrigt i syfte att fullfölja avtal med kund.
Personuppgifter kan även behandlas för ändamålet att via e-post skicka marknadsföringsmaterial, inbjudningar till event, nyhetsbrev samt annan information om Bolaget och Bolagets tjänster och produkter. Den registrerade har alltid rätt att invända mot behandling för direktmarknadsföring.
Hur länge lagras uppgifterna?
Bolaget lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bolaget genomför därför regelbundna gallringar bland personuppgifter och tar bort de uppgifter som inte längre behövs. För att uppfylla sina åtaganden enligt lag behöver Bolaget spara vissa uppgifter även efter en avslutad kundrelation. Exempelvis måste uppgifter sparas för att uppfylla rättsliga skyldigheter enligt penningtvättsregelverket samt avseende beskattning, bokföring eller för att försvara rättsliga anspråk. I dessa fall lagras uppgifterna i 7 år (avseende bokföring) respektive 10 år.
Personuppgifter avseende potentiella kunder eller kundföreträdare för potentiella kundbolag tas bort när dialogen med kunden upphört, under förutsättning att ingen kundrelation inletts.
Personuppgifter som behandlas i marknadsföringssyfte lagras så länge kunden inte invänt mot behandlingen.
Vilken är den lagliga grunden för behandlingen?
För att Bolaget ska kunna hantera ansökningar som den registrerade skickat in, genomföra intervjuer och fatta beslut i ett rekryteringsförfarande måste Bolaget behandla vissa personuppgifter. Grunden för denna behandling är intresseavvägning, alternativt för att fullgöra eller ingå avtal. När Bolaget lagrar personuppgifter för framtida rekryteringar i sin kandidatdatabas inhämtas samtycke.
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas av Bolaget är namn, personnummer, adress, information om erfarenhet och färdigheter samt eventuellt fotografi.
De som kan komma i kontakt med uppgifterna är huvudsakligen rekryteringsansvariga inom Bolaget. I dagsläget anlitar inte Bolaget rekryteringsfirmor för ändamålet, men om det blir aktuellt kommer alltid personuppgiftsbiträdesavtal att upprättas med den externa aktören.
För vilka ändamål behandlas personuppgifterna?
För att Xxxxxxx ska kunna hantera ansökningar, intervjuer och beslutsfattande i ett rekryteringsförfarande samlar Bolaget in och behandlar personuppgifter. Bolaget kan även komma att spara personuppgifterna i sin kandidatdatabas i syfte att kontakta den sökande vid framtida rekryteringar. Behandling av personuppgifter sker även i de fall en registrerad översänt en ansökan om anställning till Bolaget utan att Bolaget särskilt utlyst en tjänst (spontanansökan).
Hur länge lagras personuppgifterna?
Bolaget lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bolaget genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs. Bolaget kan dock behöva lagra personuppgifterna efter det att rekryteringsförfarandet är avslutat om Xxxxxxx bedömer det nödvändigt att spara dem för att hantera rättsliga krav som kan tänkas riktas mot Bolaget. Lagringsperioden är för dessa fall 2 år.
Bolaget kan också komma att spara ansökningar från kandidater som är intressanta för framtida rekryteringar i sin kandidatdatabas. I sådana fall sparas uppgifterna i maximalt 2 år. Den registrerade har dock alltid möjlighet att motsätta sig sådan framtida kontakt genom att återkalla sitt samtycke.
Vilken är den lagliga grunden för behandlingen?
För att kunna ingå och fullgöra avtal med leverantörer behandlar Bolaget personuppgifter tillhörande personer som är företrädare för leverantörerna. Vissa personuppgifter kan också behandlas med stöd av en intresseavvägning eller på grund av att Bolaget har en rättslig skyldighet till det, exempelvis personuppgifter på fakturor till följd av bokföringsskyldighet.
Vilka personuppgifter behandlas och vem är mottagare?
Bolaget behandlar personuppgifter avseende företrädare för leverantörer som Bolaget har eller avser att ingå avtal med. Personuppgifter som behandlas kan bland annat vara namn, telefonnummer, e- post, adress och yrkestitel.
De som kan komma i kontakt med uppgifterna är huvudsakligen Bolagets ledning, ekonomifunktion samt administration. Även Bolagets externa leverantör av bokföringstjänster kan komma att ta del av uppgifterna.
För vilka ändamål behandlas personuppgifterna?
Bolaget behandlar personuppgifterna för att generellt kunna administrera avtal, hantera fakturor och för att kunna ställa frågor till leverantören som Bolaget kan ha avseende de varor eller tjänster som Bolaget köper.
Hur länge lagras personuppgifterna?
Bolaget lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bolaget genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs efter det att avtalsrelationen upphört.
Bolaget kan dock behöva lagra personuppgifterna efter det att avtalsrelationen upphört, bland annat för att hantera rättsliga krav som kan tänkas riktas mot Bolaget, för att säkerställa uppfyllelse av legala skyldigheter, exempelvis avseende beskattning eller bokföring. I dessa fall sparas därför personuppgifter i 7 år (bokföring) respektive 10 år från avtalsförhållandets upphörande.
3.4 Registrerade mottagare av nyhetsbrev mm
Vilken är den lagliga grunden för behandlingen?
Personuppgifter kan även behandlas i syfte att via e-post skicka inbjudan till event, nyheter samt annan information om Bolaget och Bolagets tjänster och produkter. Grunden för denna behandling är intresseavvägning alternativt inhämtande av samtycke som inhämtas vid registrering genom formulär på Bolagets hemsida eller i annat sammanhang. Den registrerade har alltid rätt att invända mot behandling för direktmarknadsföring samt rätt att återkalla avgivet samtycke.
Vilka personuppgifter behandlas och vem är mottagare?
Personuppgifter som behandlas av Bolaget är e-postadress och i vissa fall allergier och kostpreferenser (främst vid seminarier och liknande event).
De som kan komma i kontakt med uppgifterna är huvudsakligen Bolagets marknadsfunktion.
För vilka ändamål behandlas personuppgifterna?
Personuppgifterna behandlas för att göra utskick per e-post av nyhetsbrev innehållande information, erbjudanden, inbjudningar etc. i syfte att marknadsföra Bolaget och Bolagets produkter och tjänster.
Hur länge lagras personuppgifterna?
Bolaget lagrar aldrig uppgifter längre än nödvändigt med hänsyn till ändamålen med behandlingen. Bolaget genomför därför regelbundna gallringar bland lagrade personuppgifter och tar bort de uppgifter som inte längre behövs. Personuppgifter som behandlas i marknadsföringssyfte lagras så länge den registrerade inte invänt mot behandlingen eller återkallat sitt samtycke.
4. Vår behandling av personuppgifter
När Bolaget samlar in, behandlar och lagrar personuppgifter ska detta i varje fall ske på ett lagligt, korrekt, öppet och ändamålsenligt sätt och endast i den mån Bolaget bedömer det nödvändigt. Bolaget ska genomgående behandla personuppgifter på ett sätt som undviker att kränka den registrerades personliga integritet. I samtliga fall av personuppgiftsbehandling är Bolaget mycket noga med att personuppgifterna skyddas av lämpliga säkerhetsåtgärder.
I flera fall när Xxxxxxx begär in personuppgifter gör Bolaget det, som nämnts ovan, i syfte att uppfylla lagstadgade eller avtalsenliga krav eller krav som är nödvändiga för att ingå ett avtal. I fall den registrerade inte tillhandahåller de uppgifter som Bolaget begär kan det i vissa fall medföra att Bolaget inte kan ingå ett avtal eller fullgöra sina förpliktelser i ett avtal med den registrerade.
4.2 Utlämning av uppgifter till extern part
Bolaget kan, från tid till annan, behöva överlämna information till relevant tredje man (inklusive, men inte begränsat till, situationer där Xxxxxxx har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att dina personuppgifter behandlas på ett tryggt och säkert sätt har Bolaget som rutin att upprätta avtal (biträdesavtal eller dylikt) med varje extern part som behandlar personuppgifter för Bolagets räkning. I sådana avtal anges alltid föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade samt Bolagets skyldigheter och rättigheter som personuppgiftsansvarig. Vidare ger Bolaget alltid dokumenterade instruktioner till personuppgiftsbiträdet som personuppgiftsbiträdet är skyldigt att följa.
Bolaget kan även komma att dela dina personuppgifter med företag som är självständigt personuppgiftsansvariga. Att företaget är självständigt personuppgiftsansvarig innebär att det inte är Bolaget som styr hur informationen som lämnas till företaget ska behandlas. Självständiga personuppgiftsansvariga som Bolaget kan komma att dela dina personuppgifter med är tex finansiella och juridiska konsulter samt revisorer. När dina personuppgifter delas med ett företag som är självständigt personuppgiftsansvarig gäller det företagets integritetspolicy och principer för personuppgiftshantering.
4.3 Överföring till tredje land
Bolaget behandlar personuppgifter endast inom EU/EES.
4.4 Behandling av personnummer
Bolaget kommer bara att behandla ditt personnummer när det är klart motiverat med hänsyn till ändamålet, nödvändigt för säker identifiering eller om det finns något annat beaktansvärt skäl.
4.5 Behandling av känsliga personuppgifter
Med känsliga uppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, personliga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Bolaget behandlar inte denna typ av personuppgifter med undantaget eventuella allergier, och därmed önskan om specialkost, som uppges i samband med anmälan till av Bolaget anordnat event. Uppgifterna sparas inte längre än nödvändigt för att uppfylla kundens önskemål.
5. Användningen av cookies
Cookies är en liten textfil bestående av bokstäver och siffror som skickas från Bolagets webbserver och sparas på din webbläsare eller enhet. På xxx.xxxxxxxxxxxxx.xx använder Bolaget permanenta cookies och session cookies. De cookies Bolaget använder förbättrar normalt sett de tjänster Bolaget erbjuder. Några av Xxxxxxxx tjänster behöver cookies för att fungera korrekt, medan andra förbättrar tjänsterna för dig. Bolaget använder cookies för övergripande analytisk information avseende din användning av Bolagets tjänster och för att spara funktionella inställningar så som språk och andra uppgifter.
Du kan läsa mer om cookies specifikt för Bolaget på xxx.xxxxxxxxxxxxx.xx.
Som besökare på Bolagets webbplats kan du samtycka till att cookies används och lagras. Du kan när som helst återkalla ditt samtycke till att cookies används för ovan angivna ändamål. Det gör du genom att ange i webbläsarens inställningar att du inte vill tillåta cookies. Om du väljer att inte tillåta cookies kan du ändå använda Bolagets webbplats, men användningen av vissa funktioner och delar av Bolagets webbplats kan vara begränsad.
6. Den registrerades rättigheter
6.1 Rätt till tillgång (s.k. registerutdrag)
Den registrerade har rätt att vända sig till Xxxxxxx i egenskap av personuppgiftsansvarig och begära tillgång till de personuppgifter som Bolaget behandlar och även informeras om bland annat ändamålen med behandlingen och vilka som mottagit personuppgifterna.
Bolaget ska i egenskap av personuppgiftsansvarig förse den registrerade med kostnadsfri kopia på de personuppgifter som behandlas. Vid eventuella extra kopior kan Xxxxxxx komma att ta ut en administrationsavgift.
6.2 Rätt till rättelse, radering eller begränsning
Den registrerade har rätt att utan onödigt dröjsmål få sina personuppgifter rättade eller, under vissa förutsättningar, begränsade eller raderade. Om den registrerade anser att Bolaget behandlar personuppgifter om denne som är felaktiga eller ofullständiga kan den registrerade kräva att få dessa rättade eller kompletterade.
Den registrerade har även rätt att få sina uppgifter raderade bland annat i fall att de inte längre är nödvändiga eller om behandlingen baseras på samtycke och detta har återkallats.
6.3 Rätt att göra invändningar mot viss typ av behandling
Den registrerade har rätt att när som helst invända mot behandling av dennes personuppgifter om den lagliga grunden för behandlingen utgörs av ett allmänintresse eller intresseavvägning enligt artikel 6.1
(e) och (f) GDPR.
Den registrerade har även rätt att när som helst invända mot behandling av dennes personuppgifter om dessa behandlas för direkt marknadsföring.
6.4 Rätt till dataportabilitet
Den registrerade har rätt till att få ut de personuppgifter som denne tillhandahållit den personuppgiftsansvarige och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förutsättning att det:
a) är tekniskt möjligt och
b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.
6.5 Rätt att återkalla samtycke
Om personuppgiftsbehandlingen grundar sig på den registrerades samtycke har denne rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.
7. Hur skyddas dina personuppgifter?
Bolaget använder IT-system för att skydda sekretessen, integriteten och tillgången till personuppgifter. Bolaget har vidtagit särskilda säkerhetsåtgärder för att skydda dina personuppgifter mot olovlig eller obehörig behandling (såsom olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som
faktiskt behöver behandla dina personuppgifter för att Bolaget ska kunna uppfylla Bolagets angivna ändamål har tillgång till dem.
8. Personuppgiftsincident
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Vid en personuppgiftsincident ska Bolaget utan onödigt dröjsmål och, om så är möjligt, inte senare än
72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY), såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.
Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi även utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
9. Kontakta oss
Personuppgiftsansvarig för behandling av dina personuppgifter är Spiltan Fonder AB, org. nr 556614– 2906, med adress Xxxxxxxxxxx 00, 000 00 Xxxxxxxxx. Om du har frågor eller synpunkter kring behandlingen av personuppgifter kan du kontakta Bolaget enligt nedan. Detsamma gäller om du vill utöva dina rättigheter (se ovan).
Kontaktuppgifter Spiltan Fonder AB
Telefonnummer: 00-000 000 00
E-postadress: xxxxxxxxx@xxxxxxxxxxxxx.xx
Du har alltid rätt att kontakta Integritetsskyddsmyndigheten (IMY) om du har synpunkter på Bolagets behandling av dina personuppgifter.
Kontaktuppgifter IMY
Telefonnummer: 00-000 00 00 E-postadress: xxx@xxx.xx
10. Ändringar av instruktionen
Bolaget förbehåller sig rätten att ändra och uppdatera instruktionen. Vid materiella ändringar i instruktionen eller om befintlig information ska behandlas på annat sätt än vad som anges instruktionen, kommer Xxxxxxx att informera om detta på lämpligt sätt.