Information om personuppgiftspolicy

Bakgrund

Den 25 maj 2018 började Dataskyddsförordningen, General Data Protection Regulation (GDPR), att gälla i Sverige.

Förordningen gäller som lag inom EU:s alla medlemsländer och syftet är att förbättra skyddet för den enskilda individen vid behandling av personuppgifter. Den innehåller bl.a. regler om vilka rättigheter till information och tillgång till personuppgifter du har, regler om rättelse av felaktiga personuppgifter samt möjligheter att i vissa fall begränsa behandling av personuppgifter.

Lannebo har en personuppgiftspolicy som är uppdaterad till följd av GDPR. Nedan beskriver vi huvuddragen i vår policy.

Principer för behandling av personuppgifter

Lannebos verksamhet består av förvaltning av fonder och diskretionära mandat. Vi ska enbart behandla personuppgifter då det utgör ett naturligt led i att driva denna verksamhet.

Lannebo är personuppgiftsansvarig och vi värnar skyddet av dina enskilda rättigheter och personuppgifter.

Vi behandlar personuppgifter på ett lagligt, korrekt och öppet sätt. Kravet på att behandlingen av personuppgifter ska vara laglig innebär bl.a. att det måste finnas en rättslig grund för varje behandling. Att personuppgifter ska behandlas på ett öppet sätt innebär bl.a. att det ska vara klart och tydligt hur personuppgifter samlas in och i övrigt behandlas.

Personuppgifter ska bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Det innebär att vi ska ha ändamålen klara för oss redan innan insamlingen av personuppgifter börjar. Personuppgifterna får sedan inte behandlas på ett sätt som är oförenligt med dessa ändamål.

Vi ska följa principen om uppgiftsminimering, vilket innebär att personuppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Vi samlar med andra ord inte in personuppgifter för obestämda framtida behov. Insamlade personuppgifter får inte heller behandlas om de till exempel är så gamla att de inte längre är relevanta för de ursprungliga ändamålen.

Personuppgifterna ska vara korrekta och uppdaterade. Vi vidtar alla rimliga åtgärder för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål. Om det krävs för ändamålen ska personuppgifterna dessutom vara uppdaterade.

Vi ska följa principen om lagringsminimering som innebär att personuppgifter inte får sparas, d.v.s. förvaras i en form som möjliggör identifiering, under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. När personuppgifterna inte längre behövs för de ändamålen ska de raderas eller avidentifieras.

Personuppgifterna ska, enligt principen om integritet och konfidentialitet, skyddas bl.a. mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse.

Vi har en ansvarsskyldighet för att principerna om personuppgiftsbehandling följs. Vi ska kunna visa på vilket sätt principerna följs. För vår del sker detta i första hand genom denna policy samt de åtgärder som vidtas utifrån policyn.

Kategorier av personuppgifter och varifrån uppgifterna samlas in

Behandling av personuppgifter ska i huvudsak ske avseende kunder och potentiella kunder, inklusive företrädare och verkliga huvudmän, och företrädare för företag och organisationer, som vi har eller kan komma att ha en affärsrelation med, samt myndigheter.

De personuppgifter som vi behandlar kan delas in i följande kategorier:

  • Identifieringsuppgifter: exempelvis personnummer och namn
  • Kontaktuppgifter: exempelvis telefonnummer och adresser
  • Ekonomisk information: exempelvis transaktionsinformation
  • Uppgifter som krävs enligt lag: exempelvis uppgift om skattehemvist eller utländskt skatteregistreringsnummer, uppgifter som krävs för grundläggande kundkännedom och bekämpning av penningtvätt
  • Särskilda kategorier av personuppgifter: exempelvis vissa uppgifter om anställda

Personuppgifter ska, som utgångspunkt, samlas in direkt från dig eller genereras av dina aktiviteter med oss. Som ny kund ber vi dig till exempel om personuppgifter såsom namn, personnummer, e-postadress och telefonnummer. Skickar du mejl till oss så kan det innehålla personuppgifter som vi sådana fall behandlar.

I bland krävs dock att information samlas in från en tredje part. Exempelvis kan information behöva samlas in för att hålla uppgifter aktuella eller för att kontrollera uppgifterna som vi samlat in från den registrerade. Det kan röra sig om publika eller andra externt tillgängliga källor i form av register som förs av myndigheter (till exempel SPAR), sanktionslistor (hos EU och FN) och andra kommersiella informationsleverantörer av uppgifter om exempelvis verkliga huvudmän och personer i politiskt utsatt ställning. I samband med betalningar samlar vi in uppgifter från banker.

Ändamål och rättslig grund för behandling av personuppgifter

Vi kommer att använda dina personuppgifter för att uppfylla rättsliga förpliktelser och avtalsförpliktelser, samt för att ge dig information, erbjudanden och annan service.

De rättsliga grunderna för vår behandling av personuppgifter är följande:

  • Personuppgifter används för att för att fullgöra avtal.
  • Förutom för fullgörande av avtal behandlar vi personuppgifter för att uppfylla förpliktelser som finns i lag, andra författningar eller myndighetsbeslut.
  • Personuppgifter behandlas också efter en intresseavvägning i samband med marknadsföring och produkt- och kundanalyser. Syftet med den här behandlingen är dels marknadsföring, dels affärsutveckling. Vi gör detta för att förbättra vårt produktutbud och våra erbjudanden. Vi bedömer att såväl kunden som Lannebo har ett intresse av att personuppgifter används på detta sätt.
  • Det kan finnas tillfällen när vi ber om ditt samtycke till att behandla dina personuppgifter. Det kan till exempel vara fallet vid kundträffar eller om du väljer att prenumerera på information från oss. Om du har lämnat samtycke till behandling av dina personuppgifter kan du alltid återkalla samtycket.

Behandling för annat ändamål

Om vi avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades ska vi före denna ytterligare behandling ge dig information om detta andra syfte samt ytterligare relevant information.

Automatiserat beslutsfattande

Vi tillämpar inte att automatiserat beslutsfattande.

Mottagare av uppgifter

Vi kan dela dina personuppgifter med andra, till exempel myndigheter, leverantörer, och affärspartners. Innan vi delar sådana uppgifter säkerställer vi alltid att de sekretessförpliktelser som gäller för finanssektorn efterlevs. När vi utför tjänster och uppfyller avtal måste vi ibland lämna ut uppgifter om dig. Om du till exempel har bett oss att göra en överföring av ditt fondsparande måste vi lämna ut vissa uppgifter om dig för att kunna utföra den överföringen.

Personuppgiftsbiträden är den som behandlar personuppgifter för vår räkning. De biträden som vi anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i tillämplig lagstiftning och säkerställer att den registrerades rättigheter skyddas. Vi ska med samtliga personuppgiftsbiträden upprätta ett så kallat biträdesavtal. Ett personuppgiftsbiträde och dess personal får enbart behandla personuppgifter enligt instruktion från oss. Biträdet får inte anlita ett annat biträde utan att i förhand få ett skriftligt tillstånd av Lannebo.

Lannebo kan ingå avtal om så kallat joint controllership, vilket innebär att två eller flera personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen. Per april 2022 har Lannebo ett sådant avtal med Schibsted, i syfte att nå ut med relevant information till målgrupper till vilka det finns berättigat intresse och/eller samtycke. Båda parter är ensamt personuppgiftsansvariga för sin egen insamlade data. Det gemensamma kontrollen utövas vid matchning av Lannebos data med Schibsteds data samt vid skapandet av kundsegment för marknadsföring. Avtalet omfattar endast behandling av personuppgifter för vilka det finns ett berättigat intresse.

Överföring av uppgifter till tredje land

Vi överför inte dina personuppgifter till tredje land.

Dina rättigheter

Som registrerad person har du rättigheter i fråga om de personuppgifter vi har om dig.

  • Du har rätt att få åtkomst till de personuppgifter som vi har om dig. Din rätt till åtkomst kan emellertid begränsas av bl.a. lagstiftning.
  • Om personuppgifterna är felaktiga eller ofullständiga har du rätt att begära rättelse av uppgifterna, med de begränsningar som stipuleras i lag eller annan författning.
  • Du har, under vissa förutsättningar, rätt att begära att dina personuppgifter raderas. Till följd av lagstiftningen för finanssektorn är vi i många fall skyldiga att behålla personuppgifter om dig under den tid som du är kund hos oss, och även därefter för att till exempel fullgöra en laglig skyldighet eller hantera rättsliga anspråk.
  • Du har i vissa fall rätt att kräva att behandlingen av personuppgifter begränsas.
  • Du kan alltid invända mot behandlingen av personuppgifter som sker efter en intresseavvägning.
  • Du har rätt att få ut personuppgifter som du har lämnat till oss, i ett maskinläsbart format. Detta gäller endast personuppgifter som behandlas automatiserat med stöd av samtycke eller för att fullgöra ett avtal. Om det är säkert och tekniskt möjligt kan vi också föra över personuppgifterna till en annan personuppgiftsansvarig.

Vill du utöva dina rättigheter ska du skriftligen begära detta hos oss (dpo@lannebo.se eller Lannebo Fonder AB, Box 7854 103 99 Stockholm).

Din begäran om att utöva dina rättigheter ovan bedöms från fall till fall utifrån rådande omständigheter och utifrån de begränsningar som stipuleras i lag eller annan författning.

Rätt att dra tillbaka ett samtycke

Om en personuppgiftsbehandling bygger på att du gett ditt samtycke, kan du alltid återkalla detta.

Lagringstid

Vi sparar dina uppgifter så länge det behövs för de ändamål de samlades in och behandlades för eller så länge som krävs enligt lagar och andra författningar samt myndighetsbeslut. Detta innebär att vi sparar dina uppgifter så länge som det är nödvändigt för att fullgöra ett avtal och så länge det krävs enligt gällande minimikrav på lagringstider i lagar och andra författningar. I de fall där vi behåller dina uppgifter i annat syfte än för att fullgöra ett avtal, till exempel för krav gällande bekämpning av penningtvätt eller bokföring, behåller vi endast uppgifterna om det är nödvändigt och/eller krävs för ändamålet i fråga enligt vad som framgår av respektive lag eller annan författning eller myndighetsbeslut.

Skydd av personuppgifter

Att förvara dina personuppgifter på ett tryggt och säkert sätt är viktigt för oss. Vi har vidtagit lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda de uppgifter vi har mot förlust, missbruk och obehörig åtkomst, röjande, ändring och förstöring.

Konsekvensbedömning

Vi gör en konsekvensbedömning, om vår behandling av personuppgifter sannolikt leder till en hög risk för enskilda personers fri- och rättigheter.

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Vid en personuppgiftsincident ska vi utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Integritetsskyddsmyndigheten (IMY), såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till tillsynsmyndigheten inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska vi även utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

Personuppgiftsregister

Lannebo har ett register över sina behandlingar av personuppgifter. Vad som ska finnas med i registret framgår uttryckligen av GDPR, till exempel ändamålen med behandlingen, beskrivning av kategorierna av registrerade och kategorierna av personuppgifter, eventuella externa mottagare av personuppgifterna och om uppgifter förs över till tredjeland.

Uppgiftsskyldighet enligt avtal eller lag

De personuppgifter som samlas in från dig är i många fall dels sådana som krävs enligt lag, dels sådana som är avtalsenliga krav och dels sådana som är nödvändiga för att ingå ett avtal. Det innebär att vi kan vara förhindrade att ingå ett avtal med dig, om uppgifter inte lämnas.

Mejl

GDPR och denna policy gäller även för mejl som innehåller personuppgifter. Mejl innebär ofta att man behandlar personuppgifter. Själva mejladressen i sig är oftast en personuppgift och all annan information i meddelandet som kan kopplas till en enskild person är också personuppgifter.

Detta innebär bl.a. att vi måste ha en rättslig grund som tillåter behandlingen av personuppgifter. Det kan till exempel vara att vi har eller ska ingå ett avtal eller fullgör en rättslig förpliktelse. Inkommande mejl kan normalt sett behandlas efter en intresseavvägning. Det beror på innehållet om och hur länge ett mejl får sparas.

Följande principer ska gälla särskilt för mejl inom Lannebo:

1. Personuppgifter ska inte skickas via mejl i onödan.
2. Personuppgifter ska bara skickas till dem som behöver uppgifterna för sitt arbete.
3. Känsliga personuppgifter eller andra extra skyddsvärda personuppgifter ska – förutsatt att de måste skickas med mejl – inte skickas i oskyddade mejl.
4. Utifrån innehållet i ett mejl ska det avgöras om, och i sådana fall, hur länge det får sparas. Då mejlet inte längre får sparas, ska det raderas.
5. Mejl med personuppgifter ska inte sparas ”för att det kan vara bra att ha”.
6. Personuppgifter i mejl ska flyttas till andra system, om mejlsystemet inte är lämpligt för den fortsatta behandlingen av uppgifterna.
7. Det ska finnas lämpliga gallringsrutiner av gamla mejl.
8. Lämplig information ska lämnas till externa personer som har mejlkontakt med Lannebo om hur Lannebo behandlar personuppgifter.

Hur förändringar görs i personuppgiftspolicyn

Vi försöker hela tiden förbättra och utveckla oss, och därför kan innehållet i denna policy ändras över tid. Vi ser över policyn minst en gång per år. Om förändringarna är betydande meddelar vi detta på ett tydligt sätt. Läs gärna policyn emellanåt för att hålla dig uppdaterad om eventuella ändringar.

Dataskyddsombud

Lannebo har utsett ett dataskyddsombud som kan kontaktas via mejl (dpo@lannebo.se) eller genom brev (Lannebo Fonder AB, Att. DPO, Box 7854 103 99 Stockholm).

Rätten att lämna klagomål till Integritetsskyddsmyndigheten

Du kan lämna ett klagomål till eller kontakta Integritetsskyddsmyndigheten.