Integritetsplicy Optimized Prtfli Management Stckhlm AB (Blaget) Antagen av styrelsen den 22 maj 2018 1
1 Begrepp ch definitiner 1.1 Behandling: en åtgärd eller kmbinatin av åtgärder beträffande Persnuppgifter eller uppsättningar av Persnuppgifter, berende av m de utförs autmatiserat eller ej, såsm insamling, registrering, rganisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genm överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring, 1.2 Känsliga persnuppgifter: Känsliga Persnuppgifter är sådana sm avser ras eller etniskt ursprung, plitiska åsikter, religiös eller filsfisk övertygelse eller medlemskap i fackförening ch Behandling av genetiska uppgifter, bimetriska uppgifter för att entydigt identifiera en fysisk persn, uppgifter m hälsa eller uppgifter m sexualliv eller sexuell läggning. 1.3 Laglig grund: Behandling är endast laglig m den sker med Laglig grund. De grunder sm är relevanta för Blaget anges nedan. För att Blaget ska kunna Behandla Persnuppgifter krävs antingen den Registrerades samtycke/eller att Behandlingen är nödvändig för: - att fullgöra ett avtal sm den Registrerade är part i, - att fullgöra en rättslig förpliktelse sm åvilar den Persnuppgift sansvarige, - ändamål sm rör den Persnuppgiftsansvariges eller en tredje parts berättigade intressen, m inte den Registrerades intressen eller grundläggande rättigheter ch friheter väger tyngre ch kräver skydd av Persnuppgifter, särskilt när den Registrerade är barn. 1.4 Nödvändig: Behandling ska endast utföras i den utsträckning det är Nödvändigt för ett visst ändamål. Med Nödvändig ska under GDPR förstås att Behandlingen medför effektivitetsvinster. En Behandling ska därför inte anses vara Nödvändig m ändamålet kan uppnås lika enkelt ch billigt utan att Persnuppgifter Behandlas. 1.5 Persnuppgift: varje upplysning sm avser en identifierad eller identifierbar fysisk persn ( Registrerad ), varvid en identifierbarfysisk persn a r en persn sm direkt eller indirekt kan identifieras sa rskilt med ha nvisning till en identifierare sm ett namn, ett identifikatinsnummer, en lkaliseringsuppgift eller nlineidentifikatrer eller en eller flera faktrer sm a r specifika f r den fysiska persnens fysiska, fysilgiska, genetiska, psykiska, eknmiska, kulturella eller sciala identitet, 1.6 Persnuppgiftsansvarig: en fysisk eller juridisk persn, ffentlig myndighet, institutin eller annat rgan sm ensamt eller tillsammans med andra besta mmer a ndamålen ch medlen f r Behandlingen av Persnuppgifter; m a ndamålen ch medlen f r Behandlingen besta ms av uninsra tten eller medlemsstaternas natinella ra tt kan den Persnuppgiftsansvarige eller de sa rskilda kriterierna f r hur denne ska utses f reskrivas i uninsra tten eller i medlemsstaternas natinella ra tt, 2
1.7 Persnuppgiftsbiträde: Persnuppgiftsbitra de: en fysisk eller juridisk persn, ffentlig myndighet, institutin eller annat rgan sm Behandlar Persnuppgifter f r den Persnuppgiftsansvariges ra kning, 1.8 Persnuppgiftsbiträdesavtal: ett skriftligt avtal eller annan rättsakt sm är bindande för ett Persnuppgiftsbiträde gentemt en Persnuppgiftsansvarig ch sm upprättats enligt artikel 28 av GDPR. Persnuppgiftsbiträden ch Persnuppgiftsansvariga ska alltid ingå Persnuppgiftsbiträdesavtal. 1.9 Registrerad: den fysiska persn sm direkt eller indirekt kan identifieras genm en viss Persnuppgift. 2 Persnuppgiftsansvar 2.1 Optimized Prtfli Management Stckhlm AB ( Blaget ), rganisatinsnummer 556648-6832, Kungsgatan 4 A, 111 43 Stckhlm är huvudsakligen Persnuppgiftsansvariga men kan även agera sm Persnuppgiftsbiträde när Blaget Behandlar Registrerades Persnuppgifter. Blagets Behandling av Persnuppgifter f ljer den allma nna dataskyddsf rrdningen (EU) 2016/679 ( GDPR ). 2.2 Behandlingen av Persnuppgifter vid nyttjande av Blagets tjänster sker sm huvudregel efter att den Registrerade fått infrmatin m att hens Persnuppgifter kmmer att Behandlas. Blaget använder avtal, rättslig förpliktelse, berättigat intresse ch samtycke sm Lagliga grunder vid Behandling av den Registrerades Persnuppgifter. 3 Ändamålen med Behandlingen 3.1 Blaget Behandlar Persnuppgifter när detta är nödvändigt för att prestera enligt avtal med den Registrerade. Blaget Behandlar vidare Persnuppgifter i syfte att genmföra transaktiner ch för att förhindra bedrägerier ch liknande brttslighet. Att lämna Persnuppgifter till Blaget är därför en förutsättning för att ingå en avtalsrelatin med Blaget. Blaget kan inte tillhandahålla sina tjänster utan att behandla Persnuppgifter. 3.2 Blaget behandlar även Persnuppgifter för att uppfylla rättsliga skyldigheter, t.ex. enligt lagen (2009:62) m åtgärder mt penningtvätt ch finansiering av terrrism (penningtvättslagen) ch lagen (2010:751) m betaltjänster (betaltjänstlagen). Blaget har skyldighet att dkumentera i sin verksamhet enligt EU-regler riktade mt finansmarknaden, däribland MiFID II. 3.3 I undantagsfall behandlar Blaget kntaktuppgifter i marknadsföringssyfte ch för att bibehålla kntakt med den Registrerade. Sådana uppgifter tillhör persner inm möjliga samarbetsrganisatiner eller andra rganisatiner sm bedöms ha ett intresse av att kntaktas av Blaget. 3.4 Blaget samlar in följande typer av Persnuppgifter inm ramen för sin verksamhet: Förnamn ch efternamn, 3
e-pstadress, persnnummer, adress ch övriga kntaktuppgifter, uppgifter m bankkntnummer ch annan finansiell infrmatin, samt, IP-nummer från köpare ch säljare i samband med att de använder Blagets tjänster. Inspelning av telefnsamtal, ch Persnuppgifter sm förekmmer vid telefnsamtal. 3.5 Uppgifterna används av Blaget för fakturering, infrmatin ch leverans av prdukter ch utförande av tjänster, samt för kntakt med nuvarande kunder ch sm underlag för statistik ch prduktutveckling. 3.6 Persnuppgifter kan lämnas ut till Blagets samarbetspartners ch till betalningsförmedlare för att möjliggöra uppfyllandet av varje avtal. Persnuppgifter lämnas ut till myndighet endast där så krävs med stöd av lag eller myndighetsbeslut. 3.7 Persnuppgifter sm Blaget Behandlar samlas huvudsakligen in från den Registrerade. När så är nödvändigt, exempelvis för att uppfylla avtal med den Registrerade eller för att uppfylla rättsliga förpliktelser, kan kmpletterande uppgifter kmma att samlas in från myndigheter, allmänt tillgängliga källr ch andra rganisatiner. 4 Ckies, Lag (2003:389) m elektrnisk kmmunikatin 4.1 Blaget använder sig av ckies från Ggle Analytics vilket är ett verktyg för webbanalys, sm tillhandahålls av Ggle. Ggle Analytics möjliggör för Blaget att samla in ch analysera data. Blaget använder Ggle Analytics för ta emt infrmatin m hur användare hittar Blagets webbplats ch hur de använder den. Ggle Analytics hjälper Blaget att förbättra Blagets webbplats ch säkerställer att webbplatsen möter användarnas behv. 4.2 Ggle Analytics ger Blaget tillgång till annym infrmatin beträffande antal besökare på Blagets webbplats samt vilka sidr de besöker. Blaget lämnar inte ut någn persnlig identifierbar infrmatin gällande användningen av ckies till tredje part. Den enda infrmatin sm lämnas ut är infrmatin sm inte kan kpplas till enskilda användare utan kan exempelvis avse antalet besökare kpplade till en viss reklamkampanj. Den tid sm ckien lagras varierar från några dagar till ett drygt år, berende på hur fta användaren besöker Blagets webbplats. Pst- ch telestyrelsen är tillsynsmyndighet på mrådet, läs gärna mer m ckies på deras webbplats (www.pts.se). 5 Marknadsföring 5.1 Blagets kunder ch Registrerade användare kan samtycka till att kntaktas för marknadsföring via pst, telefn, eller e-pst ch sms samt andra digitala kanaler. Marknadsföring via e-pst ch sms 4
regleras i marknadsföringslagen, bland annat ska kunden få infrmatin m vart denne ska vända sig m den inte längre vill ha marknadsföringen. 5.2 Vid direktmarknadsföring kan Blaget kmma att använda berättigat intresse sm Laglig grund i enlighet med skäl 47 sista meningen i GDPR där det framgår att Behandling av Persnuppgifter för direktmarknadsföring kan betraktas sm ett berättigat intresse. 6 Bevarande av Persnuppgifter 6.1 Persnuppgifter sparas under den tid kunden ch Blaget har en pågående avtalsrelatin ch en tid därefter, eller i enlighet med lämnat samtycke. Samtycket är giltigt till dess användaren själv återkallar det, ch upphör inte m tjänsten inte nyttjas. Samtycket är heller inte berende av eventuella köp av prdukter. 6.2 Blaget bevarar användarnas Persnuppgifter för bkföringsändamål i sju år enligt de krav sm följer av bkföringslagen. Blaget följer även dkumentatinskrav riktade mt värdepappersmarknaden enligt MiFID II. Vissa Persnuppgifter kpplade till affärshändelser lagras i minst fem år i enlighet med det regelverket. 6.3 Uppgifter avseende kntaktpersner i samarbetsrganisatiner till Blaget bevaras av Blaget så länge persnen behåller sin anställning ch blagen har en kntakt, eller kntaktpersnen begär dem raderade. 7 Gallring av Persnuppgifter 7.1 Persnuppgifter gallras eller avpersnifieras när uppgifterna inte längre behöver bevaras. Med avpersnifieras menas att uppgifterna inte längre kan användas för att identifiera en persn. Från denna huvudregel undantas Persnuppgifter för användarkntn med pågående aktivitet ch/eller sald. 7.2 Användningen av Persnuppgifter under bevarandetiden begränsas med hänsyn till ändamålen med Behandlingen. Gallringen kan inte återkallas/återskapas ch när gallringen utförts kan inte någn persn längre asscieras med användarkntt. 8 It-säkerhet 8.1 Blaget vidtar sm Persnuppgiftsansvarig lämpliga tekniska ch rganisatriska åtgärder för att skydda de Persnuppgifter sm behandlas i enlighet med avsnitt 2 av den allmänna dataskyddsförrdningen. Blaget har en särskild plicy upprättad för hanteringen av infrmatinssäkerhet. 8.2 Blagets arbete för IT-säkerhet avser även till att uppfylla skyldigheter enligt regelverk riktade mt finansmarknaden. 5
9 Den Registrerades rättigheter 9.1 Blaget eftersträvar att vid var tillfälle ha ett registrerat Dataskyddsmbud. Det åligger den Persnuppgiftsansvarige, Blaget, att utse detta mbud. Dataskyddsmbudet är kntaktpersn för utövandet av rättigheter gentemt Blaget. Dataskyddsmbudets kntaktuppgifter anges nedan. 9.2 Alla sm finns Registrerade hs Blaget har rätt att utan kstnad återkalla Samtycke utan att detta påverkar lagligheten av Behandlingen innan återkallandet. Den Registrerade har även rätt att begära att Behandlingen begränsas till lagring ch att invända mt Behandlingen när Blaget behandlar uppgifter för marknadsföring. 9.3 Registrerade har även rätt att begära ett registerutdrag, i elektrniskt frmat eller på papper, ch rättelse/radering av sina Persnuppgifter. 9.4 Registrerade har alltid rätten att inge klagmål till Datainspektinen (under namnändring till Integritetskyddsmyndigheten). 9.5 Om du vill begära ett registerutdrag, återkalla ett samtycke eller rätta/radera en uppgift ber vi dig att vända dig till Blagets Dataskyddsmbud sm nås på: WETTERBERG Advkatbyrå AB, att: adv. Dag Wetterberg, Bx 16 422, 103 27 Stckhlm. 6