Dataskydd och behandling av personuppgifter på FI

FI behandlar personuppgifter som en del vårt arbete med att utföra de uppdrag vi fått av riksdagen och regeringen. Här berättar vi hur vi arbetar för att värna skyddet av personuppgifter och vilka rättigheter du har.

Vad är personuppgifter?

Personuppgifter är all slags information som direkt eller indirekt kan kopplas till en fysisk person (en registrerad). Några exempel är namn, personnummer, postadress och mejladress.

Personuppgiftsansvarig

Finansinspektionen (FI), är personuppgiftsansvarig och ansvarar för att personuppgifter behandlas i enlighet med de regler för dataskydd som finns genom EU:s dataskyddsförordning, lagen (2018:218) om kompletterande bestämmelser till EU:s dataskyddsförordning samt övriga gällande författningar.

FI är en statlig myndighet med ansvar för tillsyn av finansiella företag och marknader och utför därigenom uppdrag av allmänt intresse. FI är personuppgiftsansvarig för de behandlingar av personuppgifter som vi ser att vi behöver göra för att utföra vårt uppdrag.

Allmänt

När FI behandlar personuppgifter ser vi till att skydda den personliga integriteten för de registrerade i enlighet med reglerna för dataskydd. Det innebär bland annat att vi inte samlar in fler personuppgifter än vad som behövs för att fullgöra vårt uppdrag och att uppgifterna inte lagras längre än nödvändigt eller än vad andra regelverk kräver.

FI behandlar aldrig personuppgifter för direkt marknadsföring. FI säljer inga adress- och kontaktuppgifter.

Offentlighetsprincipen

Som statlig myndighet omfattas FI av offentlighetsprincipen. Det innebär bland annat att meddelanden som skickas till oss blir allmänna handlingar och kan komma att lämnas ut. I vissa fall kan sekretessbestämmelser leda till att uppgifter inte lämnas ut.

Rättsliga grunder för FI:s behandling av personuppgifter

För att FI ska få hantera personuppgifter krävs ett rättsligt stöd. En sådan rättslig grund finns när vi som tillsynsmyndighet utför uppgifter av allmänt intresse eller när behandlingen av personuppgifter är ett led i vår myndighetsutövning. Ett annat exempel är när det är nödvändigt för att kunna fullgöra en rättslig förpliktelse eller ett avtal. I vissa fall – som med prenumerationer på nyheter – grundas behandlingen på samtycke från den som vill bli prenumerant.

Insamling av personuppgifter

I FI:s verksamhetssystem, diarium och andra register registreras personuppgifter i ärenden och frågor som handläggs på myndigheten. De flesta uppgifter är sådana som FI hämtar in eller får in som en del av vårt uppdrag som tillsynsmyndighet och huvudsakligen från de företag som står under vår tillsyn. FI hämtar också in personuppgifter direkt från den registrerade, exempelvis enligt insiderlagstiftningen.

Personuppgifter som till exempel behövs för att kunna prenumerera på FI:s nyheter,
pressmeddelanden, anmäla sig till utbildningar och konferenser eller liknande inhämtas med samtycke.

Skydd av personuppgifter

När FI behandlar personuppgifter är det endast de personer som behöver just dessa uppgifter för sitt arbete som får ta del av dem. FI hindrar obehöriga från att få tillgång till personuppgifter genom exempelvis identitets- och behörighetskontroll för datasystem, brandväggar och nätsäkerhet.

För vissa personuppgifter gäller sekretess enligt offentlighets- och sekretesslagen (2009:400).

Lagringstid

FI lagrar inte personuppgifter längre än vad som är nödvändig för respektive behandling eller vad som följer av de regler som finns i till exempel arkivlagen och bokföringslagen.

Delning av personuppgifter

Enligt offentlighetsprincipen måste FI i vissa fall lämna ut personuppgifter till
den som begär ut dem. FI kan också behöva lämna ut personuppgifter till andra myndigheter, såväl internationellt som nationellt, för att fullgöra vårt uppdrag. FI kan även ha en skyldighet enligt lag eller förordning att lämna vissa personuppgifter till andra myndigheter och även att offentliggöra vissa personuppgifter.

FI tecknar alltid ett så kallat personuppgiftsbiträdesavtal med leverantörer som behandlar personuppgifter för att kunna utföra en tjänst på uppdrag åt FI (personuppgiftsbiträden). Avtalet beskriver hur personuppgifter får hanteras och personuppgiftsbiträdet måste naturligtvis också följa lagen.

Utbyte av personuppgifter med myndigheter utanför EU/EES inom värdepappersområdet

FI utbyter ibland personuppgifter med myndigheter i länder utanför EU/EES inom ramen för internationella samarbeten. På värdepappersområdet har FI ingått en multilateral överenskommelse för utbyte av personuppgifter mellan myndigheter inom och utom EU/EES (Administrative Arrangement for the transfer of personal data between EEA Authorities and non-EEA Authorities – förkortat "AA". Ett utbyte av personuppgifter mellan FI och en motsvarande myndighet utanför EU/EES kan exempelvis vara nödvändigt i tillståndsprövningar.

De myndigheter som är parter i överenskommelsen garanterar att de uppfyller de krav på skydd av personuppgifter som finns i överenskommelsen.

Om dina personuppgifter har överlämnats till eller från FI med stöd av AA och du anser att uppgifterna inte har behandlats i enlighet med överenskommelsen kan du lämna in ett klagomål till Integritetsskyddsmyndigheten. Du kan även kontakta FI:s dataskyddsombud.

Rättelse av personuppgifter

De personuppgifter som FI behandlar ska vara korrekta. Om FI upptäcker eller
uppmärksammas på att någon personuppgift är felaktig ska den rättas. Som registrerad har du också rätt att begära att FI rättar felaktiga personuppgifter.

Rätten att bli bortglömd 

Som registrerad har du i vissa fall rätt att begära att dina personuppgifter raderas. Det är dock inte möjligt när uppgifterna behövs för att FI ska kunna fullgöra sitt uppdrag eller om de finns i en allmän handling eller om de är nödvändiga för att tillgodose andra viktiga rättigheter.

Rätt att begränsa behandlingen av dina personuppgifter 

Som registrerad har du i vissa fall rätt att kräva att behandlingen av dina personuppgifter begränsas.

Rätt till invändning

Som registrerad har du också rätt att i visa fall invända mot att dina personuppgifter behandlas. Om FI inte kan visa att det finns tvingande och berättigade skäl måste vi upphöra med behandlingen.

Rätt till dataportabilitet

I vissa fall har du möjlighet att få ut och flytta personuppgifter som rör dig för att använda dessa på annat håll. Du kan exempelvis vilja överföra uppgifterna till en annan personuppgiftsansvarig. Denna rätt gäller uppgifter som du själv har lämnat till den personuppgiftsansvariga och som hanteras (behandlas) på grund av samtycke eller avtal. Om det är tekniskt möjligt har du rätt att få uppgifterna överförda direkt.

Rätten till dataportabilitet är ofta begränsad när det gäller personuppgiftsbehandlingar som FI utför eftersom myndigheten i de allra flesta fall behandlar uppgifter med stöd av andra rättsliga grunder än samtycke och avtal.

Rätt till tillgång 

Som registrerad har du rätt att få information från FI om vilka personuppgifter om dig som myndigheten behandlar, ett så kallat registerutdrag. Du har då också rätt att få information om ändamålen med behandlingen. FI skickar utdraget till din folkbokföringsadress.

Personuppgiftsincidenter

FI rapporterar eventuella personuppgiftsincidenter till Integritetsskyddsmyndigheten enligt de regler som gäller. En personuppgiftsincident är en säkerhetsincident som leder till en oavsiktlig eller olaglig förstöring, förlust eller ändring av de personuppgifter som behandlas eller till ett obehörigt röjande av eller en obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

FI ska informera den registrerade om incidenten om det är sannolikt att den leder till en hög risk för att den registrerade personers rättigheter och friheter inte kan garanteras.

Sociala medier

FI använder sig av sociala medier, exempelvis Twitter, Linkedin och Youtube. När du kommunicerar med FI via sociala medier väljer du själv vilka personuppgifter du vill dela med dig av.

Rätt att klaga

Om du anser att dina personuppgifter behandlas i strid med dataskyddsförordningen, kan du lämna in ett klagomål till Integritetsskyddsmyndigheten (IMY) som är ansvarig för att övervaka tillämpningen av lagstiftningen.

Integritetsskyddsmyndigheten,
Box 814, 104 20 Stockholm,
e-post: imy@imy.se
www.imy.se

FI:s dataskyddsombud

FI har ett dataskyddsombud som ska övervaka att dataskyddförordningens bestämmelser om behandling av personuppgifter efterlevs. Om du vill kontakta dataskyddsombudet kan du mejla dso@fi.se eller skriva till FI på adress Finansinspektionen, att. Dataskyddsombudet, Box 7821, 103 97 Stockholm.

Exempel på behandling av personuppgifter

Tillsyn och tillståndsprövning av finansiella företag och marknader
Typ av behandling Personuppgifter
Nödvändig behandling för att fullgöra FI:s uppdrag som tillsynsmyndighet när det gäller finansiella företag och marknader enligt tillämpliga rättsliga regelverk i lagar, förordningar och EU-rätt (till exempel lagen om bank och finansieringsrörelse, tillsynsförordningen, lagen om värdepappersmarknaden, lagen om värdepappersfonder, försäkringsrörelselagen, lagen om betaltjänster).
  • Namn
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Organisation
  • Arbetsuppgifter
  • Korrespondens
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet.
Övervakning och utredningar av marknadsmissbruk
Typ av behandling Personuppgifter
Nödvändig behandling för att fullgöra uppdrag som behörig myndighet enligt EU:s marknadsmissbruksförordning, t.ex. hantering av anmälningar från personer i ledande ställning av transaktioner med aktier eller skuldinstrument, förande av insynsregister, övervakning av att marknadsmissbruksförordningen följs och ingripanden mot överträdelser.
  • Namn
  • Transaktionsdata
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Organisation
  • Korrespondens
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet. 
Myndighetens uppdrag och rättsliga förpliktelser i övrigt
Typ av behandling Personuppgifter
Nödvändig hantering för att uppfylla FI:s uppdrag och rättsliga förpliktelser i övrigt enligt lag, förordning, regleringsbrev eller myndighetsbeslut (till exempel bokföringslagen, offentlighetsprincipen, arkivlagen, lagen om offentlig upphandling).
  • Namn
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Organisation
  • Korrespondens
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet.
Avtal
Typ av behandling Personuppgifter
Nödvändig hantering för att uppfylla FI:s uppdrag och rättsliga förpliktelser i övrigt enligt lag, förordning, regleringsbrev eller myndighetsbeslut (till exempel bokföringslagen, offentlighetsprincipen, arkivlagen, lagen om offentlig upphandling).
  • Namn
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Organisation
  • Korrespondens
Laglig grund: Uppgift av allmänt intresse, myndighetsutövning och rättslig skyldighet.
Prenumerationer via webbplatsen
Typ av behandling Personuppgifter
Administration av prenumerationer och utskick av meddelanden som går att prenumera på.
  • Mejladress
Laglig grund: Samtycke 
Anmälningar till FI-forum m.m.
Typ av behandling Personuppgifter
Mottagande av bokningar, om- och avbokningar, utskick av bokningsbekräftelser och kommunikation kring arrangemang anordnade av FI.
  • Titel
  • Namn
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Organisation
  • Ev kost
Laglig grund: Samtycke och uppgift av allmänt intresse.
Rekrytering
Typ av behandling Personuppgifter
Administration och hantering av ansökningar och tillsättningar av till tjänster.
  • Namn
  • Personnummer
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Korrespondens
Laglig grund: Samtycke, uppgift av allmänt intresse och myndighetsutövning.
Besvara och hantera kontakter med myndigheten
Typ av behandling Personuppgifter
Kommunikation och besvarande av frågor till myndigheten.
  • Namn
  • Kontaktuppgifter (mejladress, adress, telefonnummer)
  • Korrespondens
Laglig grund: Rättsliga förpliktelser och uppgift av allmänt intresse.

Läs mer


Senast granskad: 2022-01-05