Dataskydd
Med dataskydd avses att databehandlingskraven för personuppgifter beaktas för att trygga privatpersoners rättigheter vid insamlingen av personuppgifter och under databehandlingens hela livscykel. Närmare information om dataskydd finns på webbplatsen för dataombudsmannens byrå.
Den personuppgiftsansvariges namn och kontaktuppgifter samt kontaktuppgifter för dataskyddsombudet
Finansinspektionen
FO-nummer: 0202248–1
PL 103
00101 Helsingfors
E-post: kirjaamo(at)finanssivalvonta.fi
Tfn: 09 183 51 (växeln)
Kontaktuppgifter för dataskyddsombudet:
E-post: tietosuoja(at)bof.fi
Tfn: 09 1831 (växeln)
Behandling av personuppgifter hos Finansinspektionen
Finansinspektionen behandlar personuppgifter huvudsakligen för att sköta sina lagstadgade myndighetsuppgifter. Vid behandlingen av personuppgifter följer Finansinspektionen EU:s allmänna dataskyddsförordning (GDPR) och bestämmelserna i den nationella dataskyddslagen. Finansinspektionens dataskyddsbeskrivningar innehåller noggrannare information om på vilket sätt Finansinspektionen behandlar personuppgifter. Dataskyddsbeskrivningarna finns i menyn nedan.
Dataskyddsbeskrivningar
Dataskyddsbeskrivning för behandlingen av personuppgifter i tillsynen över värdepappersmarknaden
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter när den utövar tillsyn över värdepappersmarknaden och vilka rättigheter den registrerade har.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Uppgifterna behandlas för att Finansinspektionen ska kunna observera och undersöka eventuella fall av marknadsmissbruk, följa upp att verksamheten på marknaden är jämlik och välfungerande och utöva tillsyn över tillhandahållarna av investeringstjänster.
Grunden för behandlingen av personuppgifter är ett behov av att behandla uppgifter för fullgörande av Finansinspektionens lagstadgade uppgifter:
- Behandlingen av anmälningar om ägar- och röstandelar (flaggningsanmälningar) som rapporterats till Finansinspektionen grundar sig på 9 kap. 5 § i värdepappersmarknadslagen.
- Behandlingen av prospekt (inkl. basinformationsdokument) och erbjudandehandlingar grundar sig på kapitel 3 och 11 i värdepappersmarknadslagen.
- Behandlingen av anmälningar om transaktioner med finansiella instrument utförda av börsbolagens ledning och med dem närstående personer grundar sig på artikel 19 i förordningen om marknadsmissbruk (EU) nr 596/2014 (MAR).
- Behandlingen av anmälningar om blankning grundar sig på artikel 5 och 6 i Europaparlamentets och rådets förordning (EU) nr 236/2012 om blankning och vissa aspekter av kreditswappar.
- Behandlingen av uppgifter om transaktionsrapportering och order grundar sig på artikel 25 och 26 i förordningen om marknader för finansiella instrument (EU) nr 600/2014 (MiFIR).
- Behandlingen av insiderförteckningar grundar sig på artikel 18 i MAR.
- Begärda tilläggsuppgifter behandlas med stöd av tillsynsbefogenheterna i 3 kap. i lagen om Finansinspektionen.
Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Flaggningsskyldiga fysiska personer
- Personer som är ansvariga för prospektet och rådgivare, medlemmarna i emittentens förvaltnings- och övervakningsorgan och högsta ledning, andra personer i ledande ställning, närstående och huvudansvarig revisor samt emittentens största aktieägare
- Personer som ansvarar för erbjudandehandlingar, rådgivare och personer som gör köpeanbud, personer som står i ett förhållande till dem enligt 11 kap. 5 § i värdepappersmarknadslagen samt medlemmar i förvaltnings- och övervakningsorgan, andra personer i högsta ledningen och huvudansvarig revisor i det bolag som är föremål för budet samt bolagets största aktieägare
- Innehavare av blankningspositioner (om fysisk person)
- Kunder som omfattas av transaktionsrapportering, personer som fattat ett investeringsbeslut och personer som ansvarar för att verkställa beslutet
- Personer som har tillgång till insiderinformation och som arbetar för emittenter eller handlar på deras vägnar eller för deras räkning genom anställningskontrakt eller på annat vis utför uppgifter genom vilka de har tillgång till insiderinformation, såsom rådgivare, bokförare eller kreditvärderingsinstitut
- Kunder som gett en order, personer som fattat ett investeringsbeslut och personer som är ansvariga för utförandet av ordern
- Brottsmisstänkta
- Personer som rapporterar till Finansinspektionen
Kategorier av personuppgifter samt datakällor:
- Flaggningsuppgifterna innehåller personuppgifter, t.ex. namn, hemort, hemstat, kontaktuppgifter och eventuella andra uppgifter som ges i flaggningsanmälan. Uppgifterna fås av den registrerade själv eller av den som handlar på dennas vägnar.
- Prospekten innehåller personuppgifter, t.ex. namn, ställning i företaget, adress, familjerelationer, arbetsadress, intressekonflikter. Uppgifterna fås från prospektet, som fås av emittenten eller av den som handlar på dennas vägnar, eller från ett prospekt som godkänts av en behörig myndighet i en annan EES-stat och i fråga om vilken myndigheten underrättat Finansinspektionen om att den godkänt prospektet.
- Erbjudandehandlingarna innehåller personuppgifter, t.ex. namn, ställning i företaget, adress och hemort. Uppgifterna fås av anbudsgivaren själv eller av den som handlar på dennas vägnar.
- Transaktioner utförda av personer i ledande ställning innehåller personuppgifter, t.ex. namn, ställning och transaktionsuppgifter. Uppgifterna fås av den registrerade själv eller av emittenten.
- Om innehavare av blankningspositioner insamlas personuppgifter, t.ex. namn, adress, kontaktpersonens namn, telefonnummer, faxnummer, e-postadress, uppgifter om blankningspositionen. Uppgifterna fås av den registrerade själv eller av den som handlar på dennas vägnar.
- Transaktionsuppgifterna innehåller personuppgifter t.ex. namn, födelsetid, nationalitet, personbeteckning och transaktionsuppgifter. Uppgifterna fås av den tillhandahållare av investeringstjänster som genomfört transaktionen, tillhandahållaren av rapporteringstjänsten eller av tillsynsmyndigheter i andra EU-/EES-länder. Namnet på de personer som registrerats i handelsregistret, deras personbeteckningar och födelsetider samt uppgifter om deras roll i företaget fås även från Patent- och registerstyrelsens (PRH) handelsregister och information vem som är insider (namn, födelsetid och personbeteckning) från Myndigheten för digitalisering och befolkningsdata.
- De uppgifter som behandlas i insiderförteckningen innehåller personuppgifter t.ex. namn, personbeteckning, födelsetid, tidigare släktnamn, telefonnummer, uppgift, hemadress och uppgifter om registrering som insider. Uppgifterna fås av emittenten eller den som handlar för dennes räkning eller på dennes vägnar då Finansinspektionen begär uppgifterna.
- Uppgifter om ordern innehåller personuppgifter, t.ex. namn, födelsetid, nationalitet, personbeteckning och uppgifter om ordern. Uppgifter kan fås från den handelsplats dit ordern har skickats för att genomföras, av en godtagbar tjänsteproducent som handlar på handelsplatsens vägnar, av den tillhandahållare av investeringstjänster som skickat ordern eller av en tillsynsmyndighet i en annan EU/EES-stat.
- Uppgifter om ett misstänkt brott och förundersökningen, t.ex. den misstänkta personens namn och behandlingsuppgifter från åklagarmyndigheten. Uppgifter fås av den registrerade, av emittenten (eller den som handlar på dennes vägnar), av värdepappersföretaget (eller den som handlar på dennes vägnar), av tillsynsmyndigheterna i andra EU/EES-stater, av andra aktörer eller offentliga källor.
- Uppgifter om påförande av administrativa påföljder.
- Eventuell kommunikation med den registrerade.
- Namnet på de personer som rapporterar uppgifter till Finansinspektionen, deras e-postadress och telefonnummer samt identifikations- och fullmaktsuppgifter (se även Dataskyddsbeskrivning för behandlingen av personuppgifter om dem som hör till intressegrupperna och om dem som lämnar in en upp-giftsbegäran eller annan begäran). Vid användning av Suomi.fi-identifikation fås identifikations- och fullmaktsuppgifterna från Myndigheten för digitalisering och befolkningsdata som också samlar in logguppgifter om hur tjänsten använts. Andra uppgifter fås av den registrerade själv eller av det företag som den registrerade företräder.
Vid övervakning av marknadsmissbruk kan personuppgifter användas för att profilera den registrerade värdepappershandeln. Inga som helst personuppgifter används för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Finansinspektionen skickar transaktionsrapporter och erbjudandehandlingar som innehåller personuppgifter till behöriga myndigheter i andra EU-/EES-länder.
De innehavare av blankningspositioner som har ett innehav på över 0,5 procent av hela aktiestocken publiceras på Finansinspektionens webbplats. Det publiceras inga uppgifter om dem för vilka innehavet av blankningspositioner är med mindre än 0,5 procent.
På Finansinspektionens webbplats publiceras prospekt för erbjudande och notering av de värdepapper som Finansinspektionen godkänner samt erbjudandehandlingarna för offentliga uppköpserbjudanden.
Finansinspektionen ska utan dröjsmål underrätta polisen om det i tillsynsverksamheten observeras eller misstänks brottsligt förfarande. De administrativa påföljder som Finansinspektionen påför anmäls till Europeiska värdepappers- och marknadsmyndigheten (Esma). Därtill anmäls sammanfattad information om undersökningsbegäran och administrativa påföljder som gäller regleringen om marknadsmissbruk och regleringen om investeringstjänster till Esma en gång om året.
Personuppgifter kan i övrigt lämnas ut i samband med eventuella uppgiftsbegäran till den del som uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet eller den som begär uppgifter i övrigt har rätt att få uppgifterna.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Personuppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer. Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
Finansinspektionen är avtalspart i det avtal som ingicks mellan Europeiska värdepappers- och marknadsmyndigheten (Esma) och myndigheterna i tredjeländer den 19 juni 2019 enligt artikel 46.3 i dataskyddsförordningen, enligt vilken personuppgifter kan överföras till de myndigheter i tredjeländer som är avtalsparter
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifterna förvaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att fullgöra de rättsliga förpliktelserna. Till den del personuppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, förvaras uppgifterna i arkivet permanent.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas och att
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten
Rätt att begära tillgång till uppgifter som rör en själv föreligger emellertid inte om utlämnande av uppgifterna skulle kunna skada skötseln av Finansinspektionens lagstadgade uppgifter eller försvåra förebyggande eller utredande av brott mot bestämmelserna om finansmarknaden eller av annan grund som uttryckligen föreskrivs i lagen.
Eftersom Finansinspektionen ska behandla personuppgifter för att fullgöra sina lagstadgade förpliktelser, har den registrerade inte rätt att radera, att överföra uppgifterna från ett system till ett annat (dataportalitet) eller att invända mot att personuppgifterna behandlas i enlighet med denna dataskyddsbeskrivning.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Personer i ledande ställning hos en emittent samt närstående personer till dem är i enlighet med artikel 19 i förordningen om marknadsmissbruk skyldiga att underrätta emittenten och Finansinspektionen om sina transaktioner. För försummelse att rapportera om transaktioner till Finansinspektionen ska det enligt 15 kap. 2 § i värdepappersmarknadslagen påföras en påföljdsavgift.
Innehavare av blankningspositioner är enligt Europaparlamentets och rådets förordning (EU) 236/2012 skyldiga att lämna in uppgifter om blankningspositioner till Finansinspektionen. För försummelse att rapportera om positioner till Finansinspektionen ska det enligt 15 kap. 2 § i värdepappersmarknadslagen påföras en påföljdsavgift.
Aktieägare är enligt 9 kap. 5, 6, 6 a, 6 b och 9 § skyldiga att göra anmälan till Finansinspektionen om betydande ägar- och röstandelar. För försummelse att iaktta anmälningsskyldighet ska det påföras en påföljdsavgift enligt 15 kap. 2 § i värdepappersmarknadslagen.
Finansinspektionens tillsynsobjekt, andra aktörer och personer som verkar på finansmarknaden är skyldiga att lämna in de uppgifter som begärs för Finansinspektionens tillsynsverksamhet. Enligt 33 a § i lagen om Finansinspektionen kan Finansinspektionen vid vite ålägga tillsynsobjekten eller andra finansmarknadsaktörer att fullgöra sin skyldighet, om försummelsen inte är obetydlig.
Dataskyddsbeskrivning – Kundkontakter och andra rådgivningsärenden
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om tillsynsobjektens och andra finansmarknadsaktörers kunder och andra personer som kontaktar Finansinspektionen för att be om rådgivning samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Personuppgifter behandlas för att svara på kontakttaganden och för utredning av ett ärende. Behandlingen grundar sig på Finansinspektionens behov av att behandla personuppgifter för att kunna utföra sin tillsyns- och rådgivningsuppgift som gäller ett allmänt intresse. Eventuell behandling av personuppgifter som hör till särskilda personuppgiftskategorier beror direkt på de tillsynsuppgifter som föreskrivs Finansinspektionen i lagen om Finansinspektionen.
Personuppgifter kan även behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
De registrerade är kunder hos Finansinspektionens tillsynsobjekt och hos andra finansmarknadsaktörer samt andra personer som ber om rådgivning och som är i kontakt med Finansinspektionen.
Finansinspektionen behandlar följande uppgifter:
- namnet på och kontaktuppgifter till den som tog kontakt
- kontaktens innehåll och annan kommunikation med den som tog kontakt
- uppgifter som fåtts i ärendet av det tillsynsobjekt eller annan finansmarknadsaktör som nämns i kontakttagandet
- andra uppgifter för behandlingen av ärendet
- logguppgifter, språkval och automatiska meddelanden, om den registrerade använder i Finansinspektionens e-tjänster
- identifieringsuppgifter, om den registrerade som använder e-tjänster identifieras med Suomi.fi-identifikation.
Personuppgifter fås av den registrerade själv och av tillsynsobjektet eller annan finansmarknadsaktör som ärendet gäller. Då Suomi.fi-identifikation används får Finansinspektionen identifikationsuppgifterna från Myndigheten för digitalisering och befolkningsdata, som också själv samlar in logguppgifter om hur tjänsten används.
Personuppgifterna används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Kundens personuppgifter lämnas ut till det tillsynsobjekt eller annan finansmarknadsaktör som ärendet gäller, såvida Finansinspektionen anser att det är nödvändigt att lämna ut uppgifterna för behandling av ärendet.
Personuppgifter kan lämnas ut i samband med eventuella uppgiftsbegäran till den del uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet.
Uppgifter kan lämnas ut till andra myndigheter, om lagstiftningen förpliktar det.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer. Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att fullgöra de rättsliga förpliktelserna.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller raderas eller att behandlingen begränsas.
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Underlåtenhet att lämna personuppgifter kan leda till att det ärende som behandlas hos Finansinspektionen avbryts.
Dataskyddsbeskrivning för behandlingen av personuppgifter om medlemmar i arbetslöshetskassor
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om dem som ansökt om förmåner hos en arbetslöshetskassa och för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Behandlingen av de registrerade personuppgifterna grundar sig på Finansinspektionens skyldighet enligt lagen om utkomstskydd för arbetslösa att upprätthålla ett register över förmånstagare. Registret över förmånstagare fungerar som basregister för förmåner som arbetslöshetskassorna betalar ut.
De uppgifter som insamlats för registret över förmånstagare används för följande syften:
- tillsynen över arbetslöshetskassorna
- statistikföring av förmåner som arbetslöshetskassorna har utbetalat
- utredning av missbruk i anslutning till förmåner som arbetslöshetskassorna har utbetalat, samt
- beredning och uppföljning av lagstiftningen.
Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Personer som ansökt om förmån hos en arbetslöshetskassa
Kategorier av personuppgifter:
- Den förmånssökandes personbeteckning och bakgrundsuppgifter, t.ex. postnummer, beskattningskommun och yrke
- Uppgifter om medlemskap i arbetslöshetskassa
- Uppgifter om utbetalda förmåner och när de utbetalats samt uppgifter om faktorer som inverkar på fastställandet av förmånerna
- Uppgifter om arbetslöshetskassans beslut och behandlingen av ansökningar om en arbetslöshetsförmån
Uppgifter om de registrerade fås från arbetslöshetskassorna.
Uppgifterna används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Personuppgifter om de registrerade lämnas regelbundet ut till social- och hälsovårdsministeriet (beredning och uppföljning av lagstiftningen), Statistikcentralen (lagstadgad statistikföring), Folkpensionsanstalten (statistiskt samarbete), Sysselsättningsfonden (utlämnande av uppgifter som grundar sig på lagen om finansiering av arbetslöshetsförmåner) och Pensionsskyddscentralen (för bedömning och fastställande av Sysselsättningsfondens försäkringspremier samt för uppskattning av pensionsutgifter).
Personuppgifter lämnas också ut för forskningsändamål.
Personuppgifter kan också lämnas ut i samband med eventuella uppgiftsbegäran till den del uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till en internationell organisation. Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna. Till den del uppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, bevaras uppgifterna i arkivet permanent.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
Dataskyddsbeskrivning för lämplighetsbedömningar
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om tillsynsobjektens och andra finansmarknadsaktörers verkställande ledning och betydande ägare, dem som deltar i försäkringsdistribution samt om näringsidkare som finns upptagna i Finansinspektionens register vid genomförande av lämplighetsbedömningar (Fit & Proper) och ägarkontroll samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Finansinspektionen behandlar personuppgifter om tillsynsobjektens verkställande ledning och betydande ägare för genomförande av lämplighetsbedömningar (Fit & Proper) och ägarkontroll.
Ändamålet med lämplighetsbedömningarna (Fit & Proper) är att bedöma lämpligheten och tillförlitligheten hos ledamöter i verkställande organ, verkställande ledningen och ledande befattningshavare samt hos betydande ägare och grundare i Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer. Lämplighetsbedömningarna ansluter sig till bedömningen av huruvida tillsynsobjekten och andra finansmarknadsaktörer uppfyller förutsättningarna för auktorisation och registrering samt till den fortlöpande tillsynen.
Genomförandet av lämplighetsbedömningar grundar sig på EU-lagstiftningen och den nationella lagstiftningen, såsom på
- kreditinstitutslagen
- försäkringsbolagslagen
- kommissionens delegerade förordning (EU) 2015/35 (Solvens II)
- lagen om arbetspensionsförsäkringsbolag
- lagen om försäkringskassor
- lagen om pensionsstiftelser och pensionskassor
- lagen om tilläggspensionsstiftelser och tilläggspensionskassor
- lagen om pension för lantbrukare
- lagen om sjömanspensioner
- lagen om arbetslöshetskassor
- lagen om försäkringsföreningar
- lagen om investeringstjänster
- lagen om placeringsfonder
- lagen om förvaltare av alternativa investeringsfonder
- gräsrotsfinansieringsförordningen (EU) 2020/1503
- lagen om ombud för obligationsinnehavare
- lagen om betalningsinstitut
- lagen om försäkringsdistribution
- lagen om förmedlare av konsumentkrediter som har samband med bostadsegendom
- förordningen om värdepapperscentraler (EU) 909/2014
- lagen om handel med finansiella instrument
- lagen om tillhandahållare av virtuella valutor och
- lagen om registrering av vissa kreditgivare och kreditförmedlare.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Personer i ledande ställning i Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer (bl.a. styrelseledamöter och eventuella förvaltningsrådsledamöter/direktionsmedlemmar samt deras ersättare, verkställande direktören och ställföreträdaren för verkställande direktören, den verkställande ledningen och ledande befattningshavare, t.ex. direktörerna för revision, compliance och riskhantering).
- Betydande ägare och grundare i Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer till den del lagstiftningen förutsätter en lämplighetsbedömning av ägarna.
- Fysiska personer och privata näringsidkare som hör till Finansinspektionens tillsynsobjekt eller är andra finansmarknadsaktörer
- Personer som deltar i försäkringsdistribution.
Kategorier av personuppgifter är (det finns vissa aktörspecifika skillnader i kategorierna av personuppgifter):
- Personens grundläggande uppgifter (bl.a. namn, personbeteckning eller födelsetid, nationalitet, adress och andra kontaktuppgifter, information om tidigare arbetserfarenhet och utbildning)
- En utredning om uppdraget och tidsanvändningen i anslutning till uppdraget
- En utredning om att personen inte är försatt i konkurs och att hen råder över sig själv och sin egendom; uppgifterna i förmyndarregistret; uppgifterna i Rättsregistercentralens skuldsaneringsregister samt näringsförbudsregister; uppgifterna i konkurs- och företagssaneringsregistret; uppgifter om personen har betalningsanmärkningar och uppgifter om utsökning; uppgifter om företag som personen eventuellt har bestämmande inflytande i samt om andra bindningar; fullgöranderapporten, uppgifterna i brotts- och bötesregistren; uppgifter om sanktioner och anmärkningar som Finansinspektionen ställt eller gett; eventuella motsvarande uppgifter som kan fås från myndigheterna i en annan stat
- Andra uppgifter som personen själv lämnat in,
- Uppgifter om behandlingen av ärendet.
Uppgifter om den registrerade fås i huvudsak
- Av den registrerade själv
- Av Finansinspektionens tillsynsobjekt eller annan finansmarknadsaktör
- Ur offentliga register och informationstjänster samt ur andra offentliga källor (bl.a. justitieförvaltningens register, medier)
- Ur andra myndigheters register (bl.a. de finländska myndigheternas register, register som upprätthålls av myndigheterna i andra länder samt av ECB och de europeiska finansiella tillsynsmyndigheterna).
Uppgifterna används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Finansinspektionen lämnar ut personuppgifter i anslutning till lämplighetsbedömningar av ledamöter i ledningsorganen hos systemviktiga tillsynsobjekt (s.k. SI-tillsynsobjekt) till Europeiska centralbanken för bedömningen av dessa personers lämplighet och tillförlitlighet. Europeiska centralbanken följer sina egna dataskydds- och datasäkerhetsförfaranden vid behandlingen av personuppgifter i anslutning till lämplighetsbedömningarna i sina system.
Finansinspektionen kan lämna ut lämplighetsbedömningar till myndigheter i andra länder, Europeiska centralbanken och de europeiska finansiella tillsynsmyndigheterna.
I övrigt kan personuppgifter lämnas ut i samband med eventuella uppgiftsbegäran till den del uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer. Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
Finansinspektionen är avtalspart i det avtal som ingicks mellan Europeiska värdepappers- och marknadsmyndigheten (ESMA) och myndigheterna i tredjeländer den 19 juni 2019 enligt artikel 46.3 i dataskyddsförordningen, enligt vilken personuppgifter kan överföras till de myndigheter i tredjeländer som är avtalsparter.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Uppgifterna bevaras tills de åtgärder som lämplighetsbedömningen och därtill eventuellt hörande fortsatta processer har genomförts.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas och att
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
Rätt att begära tillgång till uppgifter som rör en själv föreligger emellertid inte om utlämnande av uppgifterna skulle kunna skada skötseln av Finansinspektionens lagstadgade uppgifter eller försvåra förebyggande eller utredande av brott mot bestämmelserna om finansmarknaden.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Underlåtenhet att lämna personuppgifter kan leda till att det ärende som behandlas hos Finansinspektionen (t.ex. en anmälan eller ansökan) avbryts eller leder till ett avslagsbeslut.
Dataskyddsbeskrivning för behandlingen av personuppgifter om dem som hör till intressegrupperna och om dem som lämnar in en upp-giftsbegäran eller annan begäran
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om dem som hör till intressegrupperna och om dem som lämnar in en uppgiftsbegäran eller annan begäran samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Finansinspektionen behandlar personuppgifter som gäller intressegrupper, t.ex. representanter för myndigheter, organisationer och företag i syfte att möjliggöra Finansinspektionens intressegruppsarbete. Finansinspektionen behandlar uppgifter om dem som lämnar in en uppgiftsbegäran eller annan begäran för att kunna svara på begäran.
Intressegruppsarbete är t.ex. evenemang, meddelanden, nyhetsbrev svar till responsgivarna, kommunikation på sociala medier, tillhandahållande av webbtjänster, intressegruppsundersökningar och andra enkäter samt samarbete med myndigheter, internationella organ och organisationer.
Uppgifter om de personer som bjuds in till, som anmält sig till och som deltar i Finansinspektionens evenemang och möten behandlas för administrering av evenemangen och mötena.
Uppgifter om dem som beställer meddelanden och nyhetsbrev behandlas för att kunna skicka nyhetsbrev och meddelanden.
Uppgifter om responsgivarna behandlas för att kunna svara på responsen.
Uppgifter om dem som besöker Finansinspektionens webbtjänst samlas in med kakor för att föra statistik över besökarna och för att genomföra webbtjänstens funktioner.
Vid användningen av sociala mediekanaler behandlar Finansinspektionen om andra användare av sociala medier som också innehåller personuppgifter, eftersom en väsentlig del av de sociala medierna består i att där publiceras innehåll och att det är möjligt att reagera på innehållet. De sociala medieanvändarnas personuppgifter behandlas för analys av Finansinspektionens synlighet i sociala medier, fram gången i publikationerna på sociala medier, genomslaget för Finansinspektionens huvudbudskap samt omfattning, karaktär och nivå för de diskussioner som förs om Finansinspektionen på sociala medier. Analyserna utnyttjas vid kommunikationen för att skapa en lägesbild, utveckla kommunikationen och som stöd för åtgärdsrekommendationer/beslutsfattande för ledningen och avdelningarna. Grunden för behandlingen av sociala medieanvändares personuppgifter för ovannämnda syften är att kommunikationen på sociala medier och utvärderingen av kommunikationen behövs för att utföra Finansinspektionens uppgifter relaterade till allmänna intressen.
Personuppgifter om myndigheter, internationella organ och organisationer behandlas för genomförande av samarbete.
Därtill behandlas uppgifter om intressegrupper för planering och utveckling av Finansinspektionens verksamhet.
Grunden för behandlingen av uppgifter är behovet av att behandla uppgifter för genomförande av den personuppgiftsansvariges uppgifter som gäller ett allmänt intresse. Grunden för behandling är emellertid ett godkännande, då den registrerade är en beställare av nyhetsbrev eller meddelanden eller de uppgifter som behandlas är icke-nödvändiga kakor. Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
De registrerade är de som lämnat en uppgiftsbegäran eller annan begäran samt de personer som hör till Finansinspektionens intressegrupper, vilka är till exempel:
- Representanter för myndigheter och internationella organ
- Representanter för organisationer
- Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer och deras representanter
- Representanter för börsbolag
- Representanter för revisionssammanslutningar
- Representanter för medierna
- Personer som bjudits in till/anmält sig till/deltagit i Finansinspektionens evenemang och möten
- Finansinspektionens tidigare arbetstagare
- Beställare av Finansinspektionens nyhetsbrev
- Personer som besöker Finansinspektionens webbtjänst och responsgivare
- Personer som följer Finansinspektionens sociala mediekonton och som delar och kommenterar på publikationer på Finansinspektion och som taggar Finansinspektionen i sina publikationer eller använder hashtags som Finansinspektionen följer.
Kategorier av personuppgifter:
- Den registrerades namn, titel eller uppgift samt vid behov tilläggsinformation till dessa, organisation
- Datum när en tidigare anställds tjänsteförhållande upphör, uppgift och avdelning eller enhet
- Den registrerades kontaktuppgifter (e-postadress, telefonnummer och eventuell annan kontaktinformation) och eventuella kommunikationsförbud
- Kommunikation med den registrerade (t.ex. e-postkommunikation, webbtjänstens responsblankett, svar på intressegruppsundersökningar eller andra enkäter, uppgiftsbegäran eller andra begäran, svar på begäran, eventuellt beslut i ett ärende, uppgifter om behandlingen av begäran)
- Fotografier och videoinspelningar från evenemang och möten (deltagarna informeras separat om eventuell videoinspelning och fotografering)
- Mötesuppgifter samt uppgifter om inbjudan, anmälan och deltagande i evenemangen
- Vid behov specialkost
- Uppgifter som insamlas med kakor (närmare information om användningen av kakor finns på Kakor - Beskrivningar och riktlinjer - www.finanssivalvonta.fi)
- Uppgifter om uppföljningen av Finansinspektionens sociala mediekanaler, om delningen och kommenteringen av Finansinspektionens publikationer samt om delningen och kommenteringen av andra publikationer som gäller Finansinspektionen och publikationer som innehåller Finansinspektionens hashtags.
Uppgifter om de registrerade fås i regel av de registrerade själva och av de organisationer som de registrerade representerar. Finansinspektionen samlar också in uppgifter från offentliga källor, t.ex. från organisationers webbplatser. Uppgifter om tidigare anställda fås från Finlands Bank. Uppgifter om representanter för medierna fås även från Taloustoimittajat ry:s register samt från STT Infos mediaregister.
Uppgifter som de som hör till intressegrupperna och de som begär uppgifter används inte för automatiskt beslutsfattande.
3. Gemensamma personuppgiftansvariga
Finansinspektionen är gemensamt personuppgiftsansvarig med LinkedIn Ireland Unlimited Company (”LinkedIn”) i fråga om organisationssidan på LinkedIn. När en användare på LinkedIn besöker, följer, kommenterar eller på annat sätt reagerar på Finansinspektionens LinkedIn-sida, behandlar Finansinspektionen och LinkedIn personuppgifter gemensamt för utveckling av LinkedIn-sidan och tjänsterna. För det gemensamma registret har det uppgjorts ett tillägg (LinkedIn Pages Joint Controller Addendum), där Finansinspektionen och LinkedIns ansvar för att efterleva skyldigheterna enligt dataskyddsförordningen fastställs. I tillägget avtalas det att LinkedIn ansvarar för efterlevnaden av skyldigheterna enligt EU:s dataskyddsförordning inklusive för information till LinkedIns användare och fullföljandet av de registrerades rättigheter. Vidare information om hur LinkedIn använder personuppgifter och de sätt på vilka den registrerade kan utöva sina rättigheter finns på adressen: https://www.linkedin.com/legal/privacy-policy.
4. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Personuppgifter kan lämnas ut i samband med eventuella uppgiftsbegäran till den del som uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet eller den som begär uppgifter i övrigt har rätt att få uppgifterna.
Fotografier och videoinspelningar av evenemang och möten kan publiceras i Finansinspektionens webbtjänst och i sociala mediekanaler, förutsatt att de personer som tydligt kan kännas igen på bilderna har gett sitt samtycke till att fotografiet eller videoinspelningen publiceras. Fotografier kan även lämnas ut till pressen för nyhetsrapportering och andra icke-kommersiella syften.
Finansinspektionen lämnar ut personuppgifter om de personer som anmält sig och som deltar i evenemang till Finlands Bank eller till annan organiserande aktör, om det är fråga om ett evenemang som ordnas gemensamt. Om evenemanget inkluderar servering, kan uppgifter lämnas ut till den som ordnar serveringen till den del det är nödvändigt.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
5. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs inte utanför EU eller EES eller till en internationell organisation.
6. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att fullgöra de rättsliga förpliktelserna. Till den del uppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, bevaras uppgifterna i arkivet permanent.
7. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
8. Den registrerades rättigheter
Den registrerade har rätt att:
- Av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller raderas eller att behandlingen begränsas.
- Återkalla sitt samtycke när som helst utan att det påverkar lagligheten av behandling som grundar sig på samtycket, innan detta återkallas samt rätt till dataportalitet, om behandlingen av personuppgifter grundar sig på samtycke. Beställare av nyhetsbrev kan annullera sin beställning när som helst via den länk som finns i nyhetsbrevet.
- Överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
9. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Om en person som hör till en intressegrupp inte ger sina kontaktuppgifter eller de inte finns offentligt tillgängliga, kan Finansinspektionen inte rikta sitt intressegruppsarbete till personen i fråga.
Om den som lämnar respons via webbtjänsten önskar få svar på sin respons, ska responsgivaren uppge sin e-postadress på responsblanketten.
Om beställaren av nyhetsbrev eller meddelande inte uppger sin e-postadress, kan nyhetsbrevet eller meddelandet inte skickas.
Uppgiftsbegäran som gäller ett offentligt dokument behöver inte motiveras och den som begär dokumentet behöver inte ge sina personuppgifter. Om uppgiftsbegäran däremot gäller ett sekretessbelagt dokument eller sådan information som endast kan lämnas ut under vissa förutsättningar, ska den registrerade lämna nödvändiga uppgifter till Finansinspektionen.
Om den som lämnar en annan begäran än en uppgiftsbegäran inte lämnar de uppgifter som behövs för att behandla begäran (t.ex. de uppgifter som behövs för att specificera och identifiera den som gör en begäran), kan begäran inte behandlas.
Dataskyddsbeskrivning för behandlingen av personuppgifter om representanter för befintliga och potentiella avtalsparter
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om sina befintliga och potentiella avtalsparter samt om deras ansvarspersoner, representanter, ägare och verkliga förmånstagare samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Finansinspektionen behandlar personuppgifter
- för planering och genomförande av upphandlingar
- för beredning och verkställande av avtal, och
- för planering och utvecklande av Finansinspektionens verksamhet.
Grunden för behandlingen av personuppgifter är iakttagande av Finansinspektionens lagstadgade skyldigheter när uppgifter behandlas
- för uppfyllande av skyldigheterna i lagen om offentlig upphandling och koncession, lagen om offentlig försvars- och säkerhetsupphandling eller lagen om beställarens utredningsskyldighet och ansvar vid anlitande av utomstående arbetskraft
- för iakttagande av den internationella sanktionsregleringen
- för uppfyllande av skyldigheterna i anslutning till redovisning, upprättande av bokslut och revision, eller
- för uppfyllande av skyldigheterna i lagen om informationshantering inom den offentliga förvaltningen.
I den övriga behandlingen av personuppgifter är behandlingsgrunden genomförandet av Finansinspektionens uppgifter som gäller ett allmänt intresse, förberedning och verkställande av avtal eller samtycke.
Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Anbudssökande, anbudsgivare eller potentiella underleverantörer som deltar i anbudsförfarandet eller en ledamot i anbudssökandens, anbudsgivarens eller underleverantörens förvaltnings-, styrelse- eller kontrollorgan, arbetstagare, ägare, verkliga förmånstagare, representanter och personer som är registrerade i handelsregistret eller i ett motsvarande utländskt företags- och organisationsregister
- Referens-/kontaktpersoner som meddelats av anbudssökande och anbudsgivare som deltar i anbudsförfaranden.
- Representanter för anbudsgivare och andra potentiella avtals- eller samarbetspartners som kallas till marknadskartläggningar.
- Ledamöter i samarbetspartnernas samt potentiella underleverantörers förvaltnings-, styrelse- eller kontrollorgan, arbetstagare, ägare, verkliga förmånstagare, representanter och personer som är registrerade i handelsregistret eller i ett motsvarande utländskt företags- och organisationsregister.
- Anbudssökande och anbudsgivare som deltar i anbudsförfaranden samt avtalspartners och deras underleverantörer som är fysiska personer eller firmor.
Kategorier av personuppgifter:
- Namn, den organisation som representeras och ställning i organisationen inkl. namnteckningsrätt
- Kontaktuppgifter
- Personuppgifter som ingår i den representerade organisationens registerutdrag
- Födelsetid
- Sanktionsuppgifter (anbudsgivarnas och avtalsparternas ledning, ägare och verkliga förmånstagare i den omfattning som sanktionsregleringen förutsätter)
- Uppgifter i straffregister och affärsanknytningar (anbudssökande och anbudsgivare som deltar i anbudsförfaranden och ledamöter i deras förvaltnings-, styrelse- eller kontrollorgan eller som är behöriga att företräda, fatta beslut om eller kontrollera anbudssökanden eller anbudsgivaren; straffregisterutdrag bevaras inte, utan det lagras endast information om vems uppgifter som har kontrollerats i straffregistret och tidpunkten för när uppgifterna har kontrollerats)
- Den registrerades godtycke om att det görs en personsäkerhetsutredning och de uppgifter som behövs för den samt resultaten av säkerhetsutredningen (om det görs en säkerhetsutredning)
- Uppgifter som eventuellt fåtts via en företagssäkerhetsutredning
- Personreserveringsansökningar till försvarsmakten samt beslut om reservering, såvida den registrerade arbetar i en uppgift i fråga om vilken det är motiverat att göra en reserveringsansökan
- Personintervjuer och personutvärderingar
- Uppgifter om utbildning och yrkeskompetens samt om erfarenhet och andra betydande egenskaper med beaktande av föremålet för anskaffningen (de som deltar i anbudsutvärderingen, personintervjuer och personutvärderingar)
- Eventuella avtal med den registrerade och den registrerades förbindelser
- Faktureringsuppgifter
- Uppgifter för behandlingen av avtalsärendet samt för förhandling och ifyllande av avtalet
- Uppgifter som fåtts i samband med uppföljningen av ekonomisk ställning och risker hos de avtalsparter som valts genom anbudsförfarande (t.ex. skatteskuldsintyg)
- Besöksuppgifter
- Kommunikation med den registrerade
Uppgifterna fås i huvudsak av den registrerade själv eller av den organisation som den registrerade företräder. Finansinspektionen får också uppgifter ur allmänna källor såsom ur handelsregistret som upprätthålls av Patent- och registerstyrelsen, från tjänsten Pålitlig Partner som upprätthålls av Vastuu Group Oy, från Rakentamisen Laatu RALA ry:s tjänst för företagssökning och kompetensregister, ur Suomen Asiakastieto Oy:s kreditupplysningsregister och från organisationernas webbplatser. Uppgifter kan även fås från andra upphandlingsenheters offentliga anbudshandlingar. Kontaktuppgifter fås även från de gemensamma upphandlande enheterna som Finansinspektionen använder. Resultaten av säkerhetsutredningar fås från Skyddspolisen.
Uppgifterna om de registrerade används inte för automatiskt beslutsfattande.
4. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Finansinspektionen kan lämna ut personuppgifter till Finlands Bank eller annan aktör, om föremålet för anbudet även kommer att stå till Finlands Banks eller en annan aktörs förfogande eller Finlands Bank eller en annan aktör har option att ansluta sig till anbudsförhandlingarnas slutresultat.
I övrigt lämnar Finansinspektionen normalt inte ut personuppgifter vidare.
Personuppgifter kan emellertid lämnas ut i samband med eventuella uppgiftsbegäran till den del som uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet eller den som begär uppgifter i övrigt har rätt att få uppgifterna (t.ex. till Konkurrens- och konsumentverket och dess tillsynsuppgifter).
I eventuellt tvisteärende eller i samband med överklagande av ett anbud kan uppgifter lämnas ut till den domstol som behandlar ärendet.
Uppgifter kan även lämnas ut till revisorer till den del som de anser att uppgifterna är nödvändiga för att genomföra revision.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- leverantörer av IT-system och -tillämpningar
- IT-konsulter
- tillhandahållare av kommunikationstjänster
- producenter av ekonomiförvaltningstjänster
- Handi-portalen för leverantörer av fakturerings- och beställningssystem
- externa konsulter som anlitas vid anbudsförfarandet
- tillhandahållare av anbudstjänster som används vid anbudsförfarandet
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Personuppgifter överförs i regel inte utanför EU-eller EES-området. Om uppgifter överförs utanför EU-eller EES-området, ombesörjs det för ett tillräckligt skydd av personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter, t.ex. genom att använda de standardavtalsklausuler som Europeiska kommissionen använder, och så att behandlingen av personuppgifter sker i enlighet med denna dataskyddsbeskrivning.
Om en behörig anbudssökande eller anbudsgivare utanför EU/EES-området deltar i anbudsförfarandet, kan Finansinspektionen bli tvungen att lämna ut personuppgifter till en sådan anbudsgivare i samband med delgivning, beslut och beslutsmotiveringar i anslutning till anbudsförfarandet, uppgiftsbegäran samt i samband med eventuella omprövningsbegäran och rättelseyrkandeprocesser.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att fullgöra de rättsliga förpliktelserna. Till den del uppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, bevaras uppgifterna i arkivet permanent.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- Av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller raderas eller att behandlingen begränsas, att invända mot att personuppgifterna behandlas samt till dataportalite.
- Till den del som behandlingen av personuppgifterna grundar sig på samtycke, rätt att återkalla sitt samtycke när som helst utan att det påverkar lagligheten av behandling som grundar sig på samtycket, innan detta återkallas.
- Överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Om den registrerade inte lämnar nödvändiga uppgifter, kan avtal inte ingås eller planerat samarbete genomföras, och man kan bli tvungen att upphäva ett redan ingått avtal eller påbörjat samarbete.
Dataskyddsbeskrivning för behandling av personuppgifter i samband med Finansinspektionens tillsyn och inspektionsverksamhet
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter i samband med att den fullgör sina lagstadgade skyldigheter och använder sina behörigheter samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Personuppgifter behandlas för skötseln av Finansinspektionens lagstadgade uppgifter bland annat i samband med den fortlöpande tillsynen, inspektionsverksamheten och rapporteringsskyldigheterna som gäller tillsynsobjekt, andra finansmarknadsaktörer och revisorer.
Behandlingen av uppgifter grundar sig på lagen om Finansinspektionen, på de allmänna EU-regelverken och den nationella lagstiftningen inom sektorn som tillämpas på Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer. Under Finansinspektionens tillsyn står bland annat banker, försäkrings- och pensionsbolag samt andra aktörer inom försäkringsbranschen, värdepappersföretag, fondbolag och börsen. Närmare upplysningar om regelverk per sektor finns på: Regelverk per sektor - Regelverk - www.finanssivalvonta.fi.
Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- tillsynsobjektens och andra finansmarknadsaktörernas
- personal (inkl. ledning och medlemmar i organ)
- närstående
- kunder
- borgenärer, säkerhetsställare
- revisorer
- samarbetspartners (t.ex. konsulter, anknutna ombud, producenter av utlagda tjänster)
- motparter
- verkliga förmånstagare
- Andra personer som användningen av tillsynsbefogenheterna riktas mot.
De personuppgifter som ska behandlas kan vara bland annat:
- Namn, ställning, organisation
- Uppgifter om kundrelationen (t.ex. konto- och transaktionsuppgifter, kredituppgifter, uppgifter om inkomster och förmögenhet, uppgifter om investeringserfarenhet, -kunskaper och -mål) i den omfattningen som de ges i enskilda tillsyns- eller inspektionsmaterial eller i de uppgifter som regelbundet ska rapporteras till Finansinspektionen. Mer detaljerad information om vilka uppgifter som företagen under tillsyn regelbundet ska rapportera till Finansinspektionen finns under Rapportering - www.finanssivalvonta.fi
- Krediter och med dem jämförbar annan finansiering som beviljats kreditinstitutens närmaste krets
- Uppgifter om avtal mellan företag under tillsyn/andra finansmarknadsaktörer och deras kunder, motparter och tjänsteleverantörer i den omfattning som enskilda tillsyns- eller inspektionsmaterial innehåller avtal. Uppgifter om motparter ingår också i den regelbundna rapporteringen, om vilken det finns noggrannare information under Rapportering - www.finanssivalvonta.fi
- Personuppgifter som ingår i mötesprotokoll och andra av tillsynsobjektets handlingar
- Kommunikation mellan tillsynsobjektet och kunden (t.ex. kommunikation per e-post)
- Administrativa påföljder
- Uppgifter om misstanke om missbruk
- Uppgifter om det misstänkta brottet och förundersökningen, såsom den misstänkta personens namn och behandlingsinformationen som fåtts från åklagarmyndigheten
- Uppgifter för kundkontroll och uppgifter i anknytning till rapporter om tvivelaktiga transaktioner
- Uppgifter om behandlingen av ärenden.
Då det inte behövs direkta identifieringsuppgifter i inspektions- och tillsynsfunktionen, såsom namn, födelsetid eller personbeteckning, ska tillsynsobjektet eller annan finansmarknadsaktör skicka materialet utan dessa uppgifter.
Uppgifter om de registrerade fås av
- Finansinspektionens tillsynsobjekt eller andra finansmarknadsaktörer
- Andra sammanslutningar och personer (t.ex. av revisorer och andra aktörer som användningen av tillsynsbehörigheterna riktar sig till)
- Ur offentliga register och informationstjänster samt ur andra offentliga källor (bl.a. justitieförvaltningens register, medier, webbplatser)
- Av finska och andra länders myndigheter, särskilt av ECB, av de europeiska tillsynsmyndigheterna och av de nationella tillsynsmyndigheterna i Europa
- Uppgifter fås eventuellt även av den registrerade själv.
Uppgifterna om de registrerade används inte för automatiskt beslutsfattande.
3. Gemensamma personuppgiftsansvariga
Finansinspektionen är avtalspart i ett arrangemang som gäller ett gemensamt register mellan Europeiska bankmyndigheten (EBA) och de europeiska nationella tillsynsmyndigheterna enligt artikel 9 a i Europaparlamentets och rådets förordning (EU) nr 1093/2010, på grundval av vilket personuppgifter kan överföras till den gemensamma myndighetsdatabasen (den s.k. EuReCa-databasen).
De europeiska nationella finanstillsynsmyndigheterna ska till EuReCa-databasen rapportera om sina iakttagelser om väsentliga brister och allvarliga risker i de enskilda finansiella institutens system, processer och administrativa arrangemang för att förhindra penningtvätt och finansiering av terrorism. Dessutom rapporterar de nationella tillsynsmyndigheterna till systemet om de åtgärder som de har ålagt de finansiella instituten att vidta för att åtgärda svagheter.
Parterna i samarbetsarrangemanget ska bistå varandra i behandlingen av de registrerades begäranden om personuppgifter som behandlats i EuReCA. Om någon annan part i arrangemanget än EBA mottar en begäran från en registrerad, ska denna utan dröjsmål vidarebefordra begäran (eller en del av den som rör personuppgifter som behandlas via EuReCA) till EBA:s e-postlåda eure-ca@eba.europa.eu. Om EBA mottar en begäran från en registrerad, ansvarar EBA för att hantera de registrerades förfrågningar i samarbete med de andra parterna i samarbetsarrangemanget. Den part i samarbetsarrangemanget som fått begäran är skyldig att svara på den registrerades begäran utifrån de uppgifter som EBA förmedlar. Parterna ska också samarbeta vid personuppgiftsincidenter mot EuReCA och informera EBA samt, i förekommande fall, behöriga dataskyddsmyndigheter och registrerade.
Ytterligare information finns i EuReCa-databasen: EuReCA The EBA’s AML/CFT Database (europa.eu) och EuReCa-databasens dataskyddsbeskrivning: Data protection no-tice for EuReCA.
4. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Inom EU-lagstiftningen har ECB tilldelats uppgifter i anslutning till bankernas stabilitetstillsyn, vilka Finansinspektionen sköter i samarbete med ECB, de europeiska tillsynsmyndigheterna och de nationella tillsynsmyndigheterna i Europa.
Finansinspektionen samarbetar i tillsynsfrågor med ECB, de europeiska tillsynsmyndigheterna, de nationella tillsynsmyndigheterna i Europa samt med myndigheterna i andra länder samt lämnar ut personuppgifter för detta tillsynssamarbete. Finansinspektionen kan till exempel i anknytning till arrangemanget med ett gemensamt register som nämns ovan i punkt 3 lämna ut uppgifter till Europeiska bankmyndigheten EBA i myndigheternas gemensamma EuReCa-databas.
Finansinspektionen är skyldig att lämna ut uppgifter till finansministeriet, Finlands Bank och Finansinspektionen för skötseln av dessa lagstadgade uppgifter. De uppgifter som ska lämnas ut kan även innehålla personuppgifter.
Finansinspektionen kan lämna ut uppgifter till åklagar- och förundersökningsmyndigheten och till Centralen för utredning av penningtvätt i syfte att förebygga, avvärja och utreda brott.
Personuppgifter kan även lämnas ut i samband med eventuella uppgiftsbegäran till den del som uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet eller den som begär uppgifter i övrigt har rätt att få uppgifterna.
Personuppgifter som ingår i uppgifter om administrativa påföljder och andra beslut kan publiceras på Finansinspektionens webbplats.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
5. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer. Om uppgifter överförs utanför EU och EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
Finansinspektionen är avtalspart i det avtal som ingicks mellan Europeiska värdepappers- och marknadsmyndigheten (ESMA) och myndigheterna i tredjeländer den 19 juni 2019 enligt artikel 46.3 i dataskyddsförordningen, enligt vilken personuppgifter kan överföras till de myndigheter i tredjeländer som är avtalsparter.
6. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att fullgöra de rättsliga förpliktelserna. Till den del uppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, bevaras uppgifterna i arkivet permanent.
7. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
8. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas, och att
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
Rätt att begära tillgång till uppgifter som rör en själv föreligger emellertid inte om utlämnande av uppgifterna skulle kunna skada skötseln av Finansinspektionens lagstadgade uppgifter eller försvåra förebyggande eller utredande av brott mot bestämmelserna om finansmarknaden.
Dataskyddsbeskrivning för behandlingen av personuppgifter om tillsynsobjektens och andra finansmarknadsaktörers ledning, ledande befattningshavare, ägare och kontaktpersoner
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om tillsynsobjektens och andra finansmarknadsaktörers ledning, ledande befattningshavare, ägare och kontaktpersoner samt om den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Personuppgifter behandlas för skötseln av Finansinspektionens lagstadgade uppgifter, bland annat i samband med den fortlöpande tillsynen, inspektionsverksamheten och rapporteringsskyldigheterna i tillsynsobjekten och andra finansmarknadsaktörer.
Behandlingen av uppgifter grundar sig på lagen om Finansinspektionen och på de EU-regelverk och den nationella lagstiftningen inom sektorn som tillämpas på tillsynsobjekten och andra finansmarknadsaktörer. Under Finansinspektionens tillsyn står bland annat banker, försäkrings- och pensionsbolag samt andra aktörer inom försäkringsbranschen, värdepappersföretag, fondbolag och börsen. Närmare information om regelverken per sektor finns på: Regelverk per sektor - Regelverk - www.finanssivalvonta.fi.
Behandlingen grundar sig delvis på behovet att behandla personuppgifter i syfte att genomföra Finansinspektionens uppgifter som gäller ett allmänt intresse.
Personuppgifter kan också behandlas för arkivändamål av allmänt intresse.
Personuppgifter om verkställande ledning, ägare och kontaktpersoner hos Finansinspektionens tillsynsobjekt och andra finansmarknadsaktörer behandlas också inom tillsynen över värdepappersmarknaden, i intressegruppsarbetet, vid inspektioner och tillsyn samt vid genomförandet av lämplighetsbedömningar (Fit & Proper), om lagstiftningen förutsätter att det görs en lämplighetsbedömning. Information om behandlingen av personuppgifter för dessa ändamål finns i Finansinspektionens dataskyddsbeskrivningar om behandlingen av personuppgifter inom tillsynen över värdepappersmarknaden, om behandlingen av personuppgifter om personer i intressegrupperna samt om personer som lämnar uppgiftsbegäran eller andra begäran, personuppgifter som behandlas i samband med Finansinspektionens tillsyn och inspektionsverksamhet samt lämplighetsbedömningar.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
De registrerade är
- ledamöter i ledningsorgan och ledningen (bl.a. styrelseledamöter och eventuella förvaltningsrådsledamöter samt deras ersättare, verkställande direktören och ställföreträdaren för verkställande direktören, den verkställande ledningen och ledande befattningshavare, revisorer)
- betydande ägare och grundare
- rapportörer och
- andra kontaktpersoner hos Finansinspektionens tillsynsobjekt och hos andra finansmarknadsaktörer.
Registrerade är även privata näringsidkare som verkar på finansmarknaden.
Kategorier av personuppgifter:
- Namn, telefonnummer, e-postadress, företag, personens roll/ansvar samt anställningens begynnelse- och slutdatum, eventuella andra uppgifter som fåtts av den registrerade eller den organisation som hen representerar, fullmakter att sköta ärenden för den företrädda organisationens räkning
- Vad gäller medlemmar i tillsynsobjektens och andra finansmarknadsaktörers organ och ledning samt firmor kan Finansinspektionen därtill behandla följande uppgifter: personbeteckning eller födelsetid, bosättningsort eller adress, nationalitet, kontaktspråk
- Identifierings- och logguppgifter, eventuella användarnamn och lösenord, språkval och automatiska meddelanden då den registrerade använder elektroniska tjänster (t.ex. e-tjänster eller rapporteringssystemet)
- Vad gäller personer som laddat ner Finansinspektionens applikationer behandlas även information om godkända koncessioner och applikationernas installationspaket samt om inloggningskoder för de rapportörer som rapporterar via applikationerna
- Uppgifter om behandlingen av ansökningar och anmälningar
- Kommunikation med den registrerade och eventuella lösenord som använts i kommunikationen
- Uppgifter i anslutning till faktureringen av tillsyns- och åtgärdsavgifter.
Uppgifterna fås av den registrerade själv eller av Finansinspektionens tillsynsobjekt eller annan finansmarknadsaktör. Vid användning av Suomi.fi-identifikation fås identifierings- och fullmaktsuppgifterna emellertid från Myndigheten för digitalisering och befolkningsdata, som också samlar in logguppgifter om hur tjänsten använts.
Uppgifterna används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
På Finansinspektionens webbplats finns en förteckning över Finansinspektionens tillsynsobjekt, försäkringsförmedlarregistret och registret över anknutna ombud. Då det gäller bostadskreditförmedlare, förmedlare av gräsrotsfinansiering, ombud för obligationsinnehavare, tillhandahållare av virtuella valutor och försäkringsförmedlare innehåller förteckningen över tillsynsobjekt eller försäkringsförmedlarregistret även ansvarspersonernas namn och ställning.
Var och en har rätt att få ett registerutdrag av de anteckningar som gjorts i registret över pensionsstiftelser och försäkringskassor och i registret över arbetslöshetskassor.
Uppgifter som registrerats i Finansinspektionens register med basuppgifter om företag och nödvändiga uppgifter för fakturering av tillsyns- och åtgärdsavgifter lämnas ut till Finlands Bank.
Finansinspektionen kan också lämna ut uppgifter till Verket för finansiell stabilitet för att verket ska kunna sköta sina uppgifter i anslutning till resolution, försörjningsberedskap och insättningsgaranti.
Personuppgifter kan i övrigt lämnas ut i samband med eventuella uppgiftsbegäran till den del som uppgifterna är offentliga med stöd av lagen om offentlighet i myndigheternas verksamhet eller den som begär uppgifter i övrigt har rätt att få uppgifterna.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av ekonomiförvaltningstjänster
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer. Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna eller för att följa de rättsliga förpliktelserna. Till den del uppgifterna ingår i ett material som ska arkiveras i enlighet med Nationalarkivets beslut, bevaras uppgifterna i arkivet permanent.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller raderas eller att behandlingen begränsas
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Om de uppgifter som förutsätts i lagen inte lämnas in till Finansinspektionen om den sökande fysiska personen, privata näringsidkaren eller medlemmarna i det sökande samfundets organ och ledning samt ledande beslutsfattare, kan auktorisation inte beviljas eller registrering göras i Finansinspektionens register.
Finansinspektionens elektroniska tjänster, rapporteringssystem och andra applikationer kan inte användas, om den registrerade inte ger de uppgifter som behövs för inloggning.
Dataskyddsbeskrivning för anmälningar om misstanke om överträdelse
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter i samband med rapporter om misstanke om missbruk som avses i 71 a § i lagen om Finansinspektionen och i 7 kap. 9 § i lagen om förhindrande av penningtvätt och om finansiering av terrorism och i samband med anmälningar enligt lagen om skydd av personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (anmälarsskyddslagen), samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Finansinspektionen behandlar personuppgifter som avses i denna dataskyddsbeskrivning i samband med rapporter om misstanke om misbruk som avses i 71 a § i lagen om Finansinspektionen och i 7 kap. 9 § i lagen om förhindrande av penningtvätt och om finansiering av terrorism och i samband med anmälningar enligt anmälarskyddslagen. Rättsgrunden för behandlingen är iakttagandet av den lagstadgade skyldigheten.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Rapportörer
- Privatpersoner som är föremål för en rapport eller de anställda i bolaget som är föremål för en rapport (t.ex. ledningen för det bolag som rapporten gäller)
- Eventuella andra personer som nämns i rapporterna om misstanke om misbruk.
Kategorier av personuppgifter:
- Den registrerades namn, organisation (uppgiften behandlas inte i fråga om rapportören, om rapporten lämnas anonymt)
- Den registrerades kontaktuppgifter (e-postadress, telefonnummer och eventuell annan kontaktinformation)
- Rapportens uppgifter, utredningar med anledning av rapporten och uppgifter om behandlingen av ärendet
- Kommunikationen med den registrerade (t.ex. kommunikation per e-post)
Uppgifter om de registrerade fås i huvudsak:
- Av rapportören
- Av de aktörer som rapporten riktar sig till
- Offentliga källor
- Andra myndigheter
Uppgifterna används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Personuppgifter om rapportören och den som är föremål för rapporten är sekretessbelagda.
Finansinspektionen kan emellertid lämna ut uppgifter till åklagar- och förundersökningsmyndigheten och till Centralen för utredning av penningtvätt i syfte att förebygga, avvärja och utreda brott.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- Leverantörer av IT-system och -tillämpningar
- IT-konsulter
- Tillhandahållare av kommunikationstjänster.
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Uppgifter överförs i regel inte utanför EU eller EES eller till internationella organisationer.
Uppgifter kan emellertid lämnas ut till tillsynsmyndigheterna i ett annat land, om misstanken om överträdelse är kopplat till en annan stat.
Om uppgifter överförs utanför EU eller EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifterna bevaras 5 år efter att rapporten lämnades. Uppgifterna raderas efter att bevaringstiden upphört, om den inte fortfarande behövs för en brottsutredning, en pågående rättegång eller en myndighetsundersökning eller för att trygga rättigheterna för rapportören eller den som är föremål för rapporten.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- ta del av de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas och att
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
Den registrerade har emellertid inte rätt att ta del av uppgifterna,
- om utlämnande av information skulle kunna skada utredningen eller
- det är nödvändigt och proportionerligt att begränsa tillgången till uppgifterna för att säkra utredningen av om rapporten är sanningsenlig eller för att skydda rapportörens identitet.
8. Lagstadgat eller avtalsenligt krav att lämna personuppgifter och eventuella följder av att uppgifter inte lämnas
Rapporten om misstanke om överträdelse kan vara anonym. En anonym rapport kan försvåra utredningen av ett misstänkt fall av överträdelse, då närmare information inte kan begäras av rapportören. En anonym anmälan kan emellertid innehålla tillräckliga uppgifter för att utreda ärendet.
Dataskyddsbeskrivning – Livförsäkringens dödlighetsundersökning 2024
I dataskyddsbeskrivningen redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter inom livförsäkringens dödlighetsundersökning och vilka rättigheter den registrerade har.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
I beräkningen av livförsäkringsbolagens försäkringstekniska avsättningar är det väsentligt att antagandena om dödligheten är av hög kvalitet. De personuppgifter som samlas in i samband med livförsäkringens dödlighetsundersökning behandlas för att ta fram information om utvecklingen av de försäkrades dödlighet, dvs. aggregerade tidsserier för dödlighet. Finansinspektionen använder tidsserier för dödlighet i sitt tillsynsarbete till exempel när den uppskattar livförsäkringsbolagens dödlighetsantaganden samt i prognoserna av dödlighetsutvecklingen inom livförsäkringen.
Det är nödvändigt att behandla personuppgifter för genomförandet av Finansinspektionens uppgift som gäller ett allmänt intresse. Finansinspektionens uppgifter grundar sig på lagen om Finansinspektionen, försäkringsbolagslagen samt kommissionens delegerade förordning (EU) 215/35 (Solvens II).
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Registrerade är de försäkrade i de finländska livförsäkringsbolagen vad gäller affärsverksamheten i Finland.
Kategorier av personuppgifter:
- Den försäkrades födelsedatum och eventuellt dödsdatum
- Den försäkrades kön
- Den försäkrades kundnummer eller annan beteckning (dock inte personbeteckning eller namn)
- Datum när försäkringen trätt i kraft och eventuellt slutdatum
- Försäkringens produktgrupp och tariff (normal eller förhöjd tariff)
Uppgifter om de registrerade fås från livförsäkringsbolagen.
Uppgifterna om de registrerade används inte för automatiskt beslutsfattande.
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Personuppgifter lämnas inte ut till andra.
Finansinspektionen har lagt ut behandlingen av personuppgifter till följande tjänsteproducenter som behandlar personuppgifter för Finansinspektionens räkning:
- till leverantörer av IT-system och -tillämpningar
- till IT-konsulter
- till tillhandahållare av kommunikationstjänster
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Personuppgifter överförs inte utanför EU eller EES eller till internationella organisationer.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Personuppgifter bevaras så länge som detta är nödvändigt för att behandla personuppgifterna, dock högst två år.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Manuellt material förvaras i lokaler dit obehöriga inte har tillträde. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna samt rätt att begära att de egna uppgifterna rättas eller att behandlingen begränsas samt att invända mot att personuppgifterna behandlas och
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.
Dataskyddsbeskrivning – Uppgifterna i det positiva kreditupplysnings-registret
I denna dataskyddsbeskrivning redogörs i enlighet med EU:s allmänna dataskyddsförordning (EU) 2016/679 för hur Finansinspektionen behandlar personuppgifter om de gäldenärer och borgensmän som är registrerade i det positiva kreditupplysningsregistret som upprätthålls av Skatteförvaltningen samt för den registrerades rättigheter.
1. Ändamål med behandlingen av personuppgifter och rättslig grund
Finansinspektionen behandlar uppgifterna i det positiva kreditupplysningsregistret för skötseln av följande uppgifter som fastställs i lagen om Finansinspektionen:
- utöva tillsyn över finansmarknadsaktörernas verksamhet samt därtill främja goda förfaranden på finansmarknaden och allmänhetens kunskaper om finansmarknaden
- bevilja finansmarknadsaktörer verksamhetstillstånd, registrera finansmarknadsaktörer och fastställa stadgarna för deras verksamhet
- övervaka att finansmarknadsaktörerna iakttar de på dem tillämpliga bestämmelserna om finansmarknaden och med stöd av dem utfärdade föreskrifter, villkoren i sina verksamhetstillstånd och stadgarna som gäller deras verksamhet
- meddela behövliga föreskrifter om tillämpningen av lagen
- följa och analysera utvecklingen på finansmarknaden och av finansmarknadsaktörernas verksamhetsmiljö och allmänna verksamhetsförutsättningar i övrigt
- ta initiativ till utveckling av lagstiftningen om finansmarknaden och till andra behövliga åtgärder och delta i beredningen av lagstiftning
- främja tillförlitligheten i de finansmarknadsaktörers styr- och övervakningssystem vars ekonomiska ställning Finansinspektionen övervakar
- samla och regelbundet på ett jämförbart sätt publicera uppgifter om finansmarknadsaktörernas ekonomiska ställning samt över huvud taget främja tillgången på informationsmaterial om finansiella tjänster och finansmarknadens funktionssätt
- delta i det samarbete inom Europeiska unionen som sker inom ramen för det europeiska systemet för finansiell tillsyn och i annat internationellt myndighetssamarbete
- delta i verksamheten i den gemensamma tillsynsmekanismen och bistå Europeiska centralbanken, nedan ECB, i den gemensamma tillsynsmekanismen
- i samråd med finansministeriet och Finlands Bank förbereda åtgärder som behövs för att säkerställa stabiliteten inom det finansiella systemet i dess helhet samt besluta om dessa åtgärder så som särskilt föreskrivs i lag.
Finansinspektionen behandlar därtill uppgifterna i det positiva kreditupplysningsregistret för den tillsyn av anmälningsskyldigheten som föreskrivs i 28 § i lagen om ett positivt kreditupplysningsregister.
Grunden för behandling av personuppgifter enligt dataskyddsförordningen är således att behandlingen av personuppgifter är nödvändig för genomförande av Finansinspektionens uppgifter som gäller ett allmänt intresse.
2. Kategorier av registrerade, kategorier av personuppgifter samt datakällor
Kategorier av registrerade:
- Gäldenärer som registrerats i det positiva kreditupplysningsregistret
- Borgensmän som registrerats i det positiva kreditupplysningsregistret
Kategorier av personuppgifter:
- basuppgifter om gäldenärens konsumentkrediter samt om leasingavtal som kan jämställas med konsumentkrediter och om krediter som förmedlas gäldenären av förmedlare av person-till-person-lån (bl.a. uppgifter om kreditgivare, det nummer som identifierar krediten, antal gäldenärer, datum för ingående av kreditavtal, typ av kredit, krediternas valutor, engångskostnader som betalas i samband med ingåendet av kreditavtalen, beloppet av engångskrediter, användningsändamål och betalningsplaner, kreditlimiter för fortlöpande krediter, datum för ingående av leasingsavtal, månatliga betalningsposter och slutliga köpesummor)
- uppgifter om FPA:s borgensfordran på studielån
- ränteuppgifter (bl.a. totalränta, marginalränta, typ av ränta, effektiv ränta vid avtalstidpunkten, eventuella övre och nedre gränser för räntekorridorer, eventuella räntetak och slutdatum för eventuella ränteskydd)
- uppgifter om säkerheter (eventuella typer av säkerheter, borgensmännens indentifierare)
- uppgifter om amorteringar och amorteringsfria perioder (bl.a. betalda amorteringar, räntor och andra kreditkostnader, betalningsdagar, engångskrediters återstående saldo och det belopp som använts av fortlöpande krediter)
- betalningsdröjsmål och uppsägningar av krediter (obetalt belopp, ursprunglig förfallodag och datum då krediten har sagts upp)
- uppgifter om skuldsanering och företagssanering
- inkomstuppgifter (brutto- och nettoinkomster som utretts vid kreditgivningen och brutto- och nettoinkomster enligt inkomstregistret)
- uppgifter om avslutande och överföring av krediter
Uppgifterna fås pseudonymiserade från det positiva kreditupplysningsregistret som Skatteförvaltningen upprätthåller, dvs. utan namn, kontaktuppgifter, personbeteckningar eller kreditnummer, utifrån vilka Finansinspektionen skulle kunna identifiera enskilda gäldenärer och borgensmän. Närmare upplysningar om kreditupplysningsregistret fås på: Till privatpersoner – Det positiva kreditupplysningsregistret (vero.fi)
3. Mottagare eller kategorier av mottagare till vilka personuppgifter lämnas
Finansinspektionen lämnar inte ut personuppgifter till tredjeparter.
Personuppgifter behandlas av följande
- IT-tjänsteleverantörer
- tillhandahållare av kommunikationstjänster
4. Information om eventuell överföring av personuppgifter till ett tredjeland eller en internationell organisation
Personuppgifter överförs i regel inte utanför EU-eller EES-området. De som behandlar personuppgifter kan emellertid i enskilda fall ha tillgång till personuppgifter utanför EU- och EES-området i samband med stöd- och underhållsåtgärder. Om uppgifter överförs utanför EU och EES, skyddas personuppgifterna på det sätt som dataskyddslagstiftningen förutsätter, t.ex. genom att överföra uppgifterna till ett sådant land, där det garanteras en tillräcklig dataskyddsnivå i enlighet med Europeiska kommissionens beslut eller genom att använda de standardavtalsklausuler som Europeiska kommissionen godkänt.
5. Period under vilken personuppgifterna bevaras eller de kriterier som används för att fastställa denna period
Finansinspektionen har fastställt att uppgifterna i det positiva kreditupplysningsregistret bevaras i 40 år, eftersom hushållen under sin livscykel typiskt i stället för ett enskilt lån har flera lån med lång amorteringstid, och således är den naturliga granskningstiden inte den längsta möjliga amorteringstiden, utan hushållets livscykel.
På bevaringstidens längd inverkar också det att Finansinspektionens makrotillsynsarbete som omfattar hela den finansiella sektorn görs i nära samarbete med Finlands Bank, och att det för att garantera ett effektivt myndighetssamarbete är motiverat att Finlands Bank och Finansinspektionen tillämpar samma bevaringstider.
6. Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder
För att skydda personuppgifter från obehörig åtkomst, utlämnande, förstöring eller annan olaglig behandling behandlas personuppgifterna i system som är skyddade med lämpliga tekniska dataskyddsåtgärder med beaktande av riskerna. Enbart de arbetstagare som behöver behandla personuppgifter för att sköta sina arbetsuppgifter har tillgång till de personuppgifter som ska behandlas.
7. Den registrerades rättigheter
Den registrerade har rätt att:
- av den personuppgiftsansvarige begära tillgång till de egna personuppgifterna och att begära att de egna uppgifterna rättas eller att behandlingen begränsas eller att invända mot att personuppgifterna behandlas, och
- överklaga behandlingen av personuppgifter hos tillsynsmyndigheten.