FI behandlar personuppgifter som en del vårt arbete med att utföra de uppdrag vi fått av riksdagen och regeringen. Här berättar vi hur vi arbetar för att värna skyddet av personuppgifter och vilka rättigheter du har.
Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person (en registrerad). Några exempel är namn, personnummer, postadress och mejladress.
Finansinspektionen (FI), är personuppgiftsansvarig och ansvarar för att personuppgifter behandlas i enlighet med de regler för dataskydd som finns genom EU:s dataskyddsförordning, lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning samt övriga gällande författningar.
FI är en statlig myndighet med ansvar för tillsyn av finansiella företag och marknader och utför därigenom uppdrag av allmänt intresse. FI är personuppgiftsansvarig för de behandlingar av personuppgifter som vi ser att vi behöver göra för att utföra vårt uppdrag.
När FI behandlar personuppgifter ser vi till att skydda den personliga integriteten för de registrerade i enlighet med reglerna för dataskydd. Det innebär bland annat att vi inte samlar in fler personuppgifter än vad som behövs för att fullgöra vårt uppdrag och att uppgifterna inte lagras längre än nödvändigt eller än vad andra regelverk kräver.
FI behandlar aldrig personuppgifter för direkt marknadsföring. FI säljer inga adress- och kontaktuppgifter.
Som statlig myndighet omfattas FI av offentlighetsprincipen. Det innebär bland annat att meddelanden som skickas till oss blir allmänna handlingar och kan komma att lämnas ut. I vissa fall kan sekretessbestämmelser leda till att uppgifter inte lämnas ut.
För att FI ska få hantera personuppgifter krävs ett rättsligt stöd. En sådan rättslig grund finns när vi som tillsynsmyndighet utför uppgifter av allmänt intresse eller när behandlingen av personuppgifter är ett led i vår myndighetsutövning. Ett annat exempel är när det är nödvändigt för att kunna fullgöra en rättslig förpliktelse eller ett avtal. I vissa fall – som med prenumerationer på nyheter – grundas behandlingen på samtycke från den som vill bli prenumerant.
I FI:s verksamhetssystem, diarium och andra register registreras personuppgifter i ärenden och frågor som handläggs på myndigheten. De flesta uppgifter är sådana som FI hämtar in eller får in som en del av vårt uppdrag som tillsynsmyndighet och huvudsakligen från de företag som står under vår tillsyn. FI hämtar också in personuppgifter direkt från den registrerade, exempelvis enligt insiderlagstiftningen.
Personuppgifter som till exempel behövs för att kunna prenumerera på FI:s nyheter,
pressmeddelanden, anmäla sig till utbildningar och konferenser eller liknande inhämtas med samtycke.
När FI behandlar personuppgifter är det endast de personer som behöver just dessa uppgifter för sitt arbete som får ta del av dem. FI hindrar obehöriga från att få tillgång till personuppgifter genom exempelvis identitets- och behörighetskontroll för datasystem, brandväggar och nätsäkerhet.
För vissa personuppgifter gäller sekretess enligt offentlighets- och sekretesslagen (2009:400).
FI lagrar inte personuppgifter längre än vad som är nödvändig för respektive behandling eller vad som följer av de regler som finns i till exempel arkivlagen och bokföringslagen.
Enligt offentlighetsprincipen måste FI i vissa fall lämna ut personuppgifter till
den som begär ut dem. FI kan också behöva lämna ut personuppgifter till andra myndigheter, såväl internationellt som nationellt, för att fullgöra vårt uppdrag. FI kan även ha en skyldighet enligt lag eller förordning att lämna vissa personuppgifter till andra myndigheter och även att offentliggöra vissa personuppgifter.
FI tecknar alltid ett så kallat personuppgiftsbiträdesavtal med leverantörer som behandlar personuppgifter för att kunna utföra en tjänst på uppdrag åt FI (personuppgiftsbiträden). Avtalet beskriver hur personuppgifter får hanteras och personuppgiftsbiträdet måste naturligtvis också följa lagen.
Utbyte av personuppgifter med myndigheter utanför EU/EES inom värdepappersområdet
FI utbyter ibland personuppgifter med myndigheter i länder utanför EU/EES inom ramen för internationella samarbeten. På värdepappersområdet har FI ingått en multilateral överenskommelse för utbyte av personuppgifter mellan myndigheter inom och utom EU/EES (Administrative Arrangement for the transfer of personal data between EEA Authorities and non-EEA Authorities – förkortat "AA". Ett utbyte av personuppgifter mellan FI och en motsvarande myndighet utanför EU/EES kan exempelvis vara nödvändigt i tillståndsprövningar.
De myndigheter som är parter i överenskommelsen garanterar att de uppfyller de krav på skydd av personuppgifter som finns i överenskommelsen.
Om dina personuppgifter har överlämnats till eller från FI med stöd av AA och du anser att uppgifterna inte har behandlats i enlighet med överenskommelsen kan du lämna in ett klagomål till Integritetsskyddsmyndigheten. Du kan även kontakta FI:s dataskyddsombud.
De personuppgifter som FI behandlar ska vara korrekta. Om FI upptäcker eller
uppmärksammas på att någon personuppgift är felaktig ska den rättas. Som registrerad har du också rätt att begära att FI rättar felaktiga personuppgifter.
Som registrerad har du i vissa fall rätt att begära att dina personuppgifter raderas. Det är dock inte möjligt när uppgifterna behövs för att FI ska kunna fullgöra sitt uppdrag eller om de finns i en allmän handling eller om de är nödvändiga för att tillgodose andra viktiga rättigheter.
Som registrerad har du i vissa fall rätt att kräva att behandlingen av dina personuppgifter begränsas.
Som registrerad har du också rätt att i visa fall invända mot att dina personuppgifter behandlas. Om FI inte kan visa att det finns tvingande och berättigade skäl måste vi upphöra med behandlingen.
I vissa fall har du möjlighet att få ut och flytta personuppgifter som rör dig för att använda dessa på annat håll. Du kan exempelvis vilja överföra uppgifterna till en annan personuppgiftsansvarig. Denna rätt gäller uppgifter som du själv har lämnat till den personuppgiftsansvariga och som hanteras (behandlas) på grund av samtycke eller avtal. Om det är tekniskt möjligt har du rätt att få uppgifterna överförda direkt.
Rätten till dataportabilitet är ofta begränsad när det gäller personuppgiftsbehandlingar som FI utför eftersom myndigheten i de allra flesta fall behandlar uppgifter med stöd av andra rättsliga grunder än samtycke och avtal.
Som registrerad har du rätt att få information från FI om vilka personuppgifter om dig som myndigheten behandlar, ett så kallat registerutdrag. Du har då också rätt att få information om ändamålen med behandlingen. FI skickar utdraget till din folkbokföringsadress.
FI rapporterar eventuella personuppgiftsincidenter till Integritetsskyddsmyndigheten enligt de regler som gäller. En personuppgiftsincident är en säkerhetsincident som leder till en oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas eller till ett obehörigt röjande av eller en obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
FI ska informera den registrerade om incidenten om det är sannolikt att den leder till en hög risk för att den registrerade personers rättigheter och friheter inte kan garanteras.
FI använder sig av sociala medier, exempelvis Twitter, Linkedin och Youtube. När du kommunicerar med FI via sociala medier väljer du själv vilka personuppgifter du vill dela med dig av.
Om du anser att dina personuppgifter behandlas i strid med dataskyddsförordningen, kan du lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) som är ansvarig för att övervaka tillämpningen av lagstiftningen.
Integritetsskyddsmyndigheten,
Box 814, 104 20 Stockholm,
e-post: imy@imy.se
www.imy.se
FI har ett dataskyddsombud som ska övervaka att dataskyddförordningens bestämmelser om behandling av personuppgifter efterlevs. Om du vill kontakta dataskyddsombudet kan du mejla dso@fi.se eller skriva till FI på adress Finansinspektionen, att. Dataskyddsombudet, Box 7821, 103 97 Stockholm.
Typ av behandling | Personuppgifter |
Nödvändig behandling för att fullgöra FI:s uppdrag som tillsynsmyndighet när det gäller finansiella företag och marknader enligt tillämpliga rättsliga regelverk i lagar, förordningar och EU-rätt (till exempel lagen om bank och finansieringsrörelse, tillsynsförordningen, lagen om värdepappersmarknaden, lagen om värdepappersfonder, försäkringsrörelselagen, lagen om betaltjänster). |
|
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet. |
Typ av behandling | Personuppgifter |
Nödvändig behandling för att fullgöra uppdrag som behörig myndighet enligt EU:s marknadsmissbruksförordning, t.ex. hantering av anmälningar från personer i ledande ställning av transaktioner med aktier eller skuldinstrument, förande av insynsregister, övervakning av att marknadsmissbruksförordningen följs och ingripanden mot överträdelser. |
|
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet. |
Typ av behandling | Personuppgifter |
Nödvändig hantering för att uppfylla FI:s uppdrag och rättsliga förpliktelser i övrigt enligt lag, förordning, regleringsbrev eller myndighetsbeslut (till exempel bokföringslagen, offentlighetsprincipen, arkivlagen, lagen om offentlig upphandling). |
|
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet. |
Typ av behandling | Personuppgifter |
Nödvändig hantering för att uppfylla FI:s uppdrag och rättsliga förpliktelser i övrigt enligt lag, förordning, regleringsbrev eller myndighetsbeslut (till exempel bokföringslagen, offentlighetsprincipen, arkivlagen, lagen om offentlig upphandling). |
|
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet. |
Typ av behandling | Personuppgifter |
Administration av prenumerationer och utskick av meddelanden som går att prenumera på. |
|
Laglig grund: Samtycke |
Typ av behandling | Personuppgifter |
Mottagande av bokningar, om- och avbokningar, utskick av bokningsbekräftelser och kommunikation kring arrangemang anordnade av FI. |
|
Laglig grund: Samtycke och uppgift av allmänt intresse. |
Typ av behandling | Personuppgifter |
Administration och hantering av ansökningar och tillsättningar av till tjänster. |
|
Laglig grund: Samtycke, uppgift av allmänt intresse och myndighetsutövning. |
Typ av behandling | Personuppgifter |
Kommunikation och besvarande av frågor till myndigheten. |
|
Laglig grund: Rättsliga förpliktelser och uppgift av allmänt intresse. |