Meny

GDPR Policy

Styrelsen i Ambrosia Asset Management har fastställt GDPR Policy för bolaget.

Inledning
Europaparlamentets och rådets förordning (EU) 2016/679, allmänna dataskyddsförordningen (”GDPR”), är en europeisk förordning som ska stärka och harmonisera skyddet av personuppgifter i EU. I Sverige ersätts personuppgiftslagen och dataskyddsdirektivet. Den nya lagen träder i kraft 25 maj 2018.

Syftet med denna policy är att säkerställa att Ambrosia Asset Management AB, nedan kallat Bolaget, hanterar personuppgifter i enlighet med GDPR.  Policyn omfattar alla behandlingar där personuppgifter hanteras och omfattar såväl strukturerad som ostrukturerad data.

Policyn beskriver insamling av personuppgifter, hur dessa hanteras samt påvisar att rättslig grund för detta finns. Lagen är subsidiär så all information Bolaget behöver lagra enligt andra lagar och regler såsom exemplevis efterlevnad av Lagen om åtgärder mot penningtvätt  och finansiering av terrorism (SFS 2017:630) eller Bokföringslagen (SFS 1999) går före GDPR.

Tillämpning och revidering
Bolagets styrelse ansvarar för att behandlingen av personuppgifter följer denna policy. Policyn ska fastställas av styrelsen årligen och uppdateras vid behov.

Bolagets personuppgiftsansvarige är ansvarig för processen kring årlig uppdatering av policyn till följd av nya och förändrade regelverk.

Denna policy är tillämplig för företagets styrelseledamöter, VD, medarbetare samt uppdragstagare som berörs av Bolagets verksamhet.

Organisation och ansvar
VD har det övergripande ansvaret för innehållet i denna policy samt att den implementeras och efterlevs av verksamheten. VD får delegera ansvaret och implementationen till lämplig person på företaget. VD har delegerat implementering av denna policy till Bolagets personuppgiftsansvarige, Jacob Werkell.

Allmänt om GDPR
Bolaget har rätt att samla in uppgifter när rättslig grund finns enligt de viktigaste principerna nedan:
- Rättslig förpliktelse
- Avtal
- Samtycke
- Intresseavvägning

När personuppgifter samlas in om en person måste personen i fråga informeras. Detta ska kunden få information om:
- Vem i Bolaget som är ansvarig för hur personuppgifterna hanteras
- Varför uppgifterna samlas in
- Vilken den rättsliga grunden är
- Hur länga uppgifterna kommer att sparas
- Om Bolaget har angett samtycke som den rättsliga grunden (det kan till exempel vara för att kunna skicka marknadsföring till personen), då måste Bolaget också informera om att personen alltid har rätt att dra tillbaka sitt samtycke, vilket innebär att Bolaget då måste sluta skicka marknadsföring till personen
- Att personen vars uppgifter Bolaget registrerar har rätt att begära ut ett registerutdrag
- Att Bolaget är skyldiga att rätta uppgifter som är felaktiga, ofullständiga eller missvisande

Begreppet personuppgifter är väldigt brett. Detta är personuppgifter:
- Personnummer
- Namn
- Adress
- Telefonnummer
- Mejladress
- Kundnummer
- Bankuppgifter
- Foto
- Inspelning
- Biometri
- Position
- Profildata
- IP-adress
- Cookies
- Köpvanor
 
Register
Bolaget samlar in personuppgifter, förnamn, efternamn, e-postadress, personnummer, adress, kontaktuppgifter och uppgifter om bankkontonummer, andelsägarinformation från köpare och säljare i samband med att de använder Bolagets tjänster.

Uppgifterna kan användas av Bolaget för information och leverans av tjänster samt som underlag för statistik i vissa fall där det är nödvändigt för Bolaget.

Uppgifterna kan analyseras och grupperas inför urval, prioritering och planering av kontakter med kunden/användaren.

Personuppgifter kan lämnas ut till Bolagets samarbetspartners i de fall detta krävs för att de ska kunna fullfölja sitt åtagande.  Personuppgifter lämnas ut till myndighet endast där så krävs med stöd av lag eller myndighetsbeslut.

ISEC andelsägarregister
Bolaget har outsourcat hantering av andelsägarregister till ISEC Services AB (”ISEC”). ISEC har således erforderliga uppgifter kring alla kunder som krävs för teckning i fonden. Bolaget har ett specifikt avtal med ISEC som hanterar GDPR och Bolaget har även säkerställt att ISEC har en policy och rutiner för att hantera GDPR.

Ambrosias andelsägarregister
För investerare som är direktinvesterade i fonden hanterar Bolaget kundidentifikationsprocessen (”KYC”) samt håller andelsägarregister. Alla uppgifter som krävs för teckning sparas.

o KYC
Varje anmälan för att investera i fonden kräver att kundens identitet styrks. Därför sparas tillsammans med anmälningsblanketten en vidimerad kopia av en identitetshandling eller om kunden signerat med BankID en bekräftelsekopia. I Bolagets riktlinjer avseende åtgärder mot penningtvätt och finansiering av terrorism fastställs också regler för Bolagets kontroll av samtliga investerare. Dessa uppgifter sparas med anmälningsblanketten.

o Vid varje månadsskifte sammanställer Bolaget en lista med samtliga transaktioner i respektive feederfond. Sammanställningen innehåller kundnummer, namn och email.

o Ambrosia CRM system
Bolaget för register över samtliga kunder samt personer som anmält intresse för månatlig uppdatering om fondens resultat samt CIOs tankar kring fondens utveckling.

o Lista med potentiella nya kunder
Denna lista innehåller endast namn på stiftelser och företag, således inga personuppgifter.

E-mail
Bolaget använder sig av e-post för både intern och extern kommunikation. Då e-postadressen i sig är en personuppgift samt att eposten ofta innehåller personuppgifter träffas dessa av GDPR. E-post som innehåller för Bolaget okända personuppgifter som ej har rättsligt stöd för sparande raderas därför efter läsning. När e-post skickas till flera olika mottagare samtidigt är det viktigt att personuppgifter inte sprids, dessa skickas därför med dold kopia.

Inspelade telefonsamtal
Bolaget använder sk Enterprise Voice lösning (Microsoft Lync 365) som fungerar som telefonväxel för extern kommunikation samt chatt, telefoni, skärmdelning och videokonferens applikation internt/externt. Samtal spelas in och sparas enligt Bolagets riktlinjer.

Bolagets anställda samt styrelse 
Bolaget för register på styrelseledamöters och anställdas namn, personnummer, adress, e-mail, telefonnummer samt bankkontouppgifter för att kunna betala lön, skatt, sociala avgifter mm. Porträttbild finns på hemsidan på alla anställda med tillhörande telefonnummer och e-mail för att underlätta kontakt för kunder och intressenter.

Cookies hemsida

Bolaget använder sig av cookies. Cookies är små textfiler som lagras på besökarens dator och används för att följa vad denne gör på webbplatsen. Det finns två typer av cookies; permanenta cookies och session cookies.

Permanenta cookies
En permanent cookie ligger kvar på besökarens dator under en bestämd tid. På Ambrosia fonders webbplats används dessa för att förbättra webbplatsen genom att få statistik hur en besökare använder webbplatsen, till exempel vilka artiklar som läses mest och hur användare rör sig i navigeringen.

Session cookies
En session cookie lagras tillfälligt i datorns minne un¬der tiden en besökare är inne på en webbsida. Session cookies försvinner när du stänger din webbläsare. På Ambrosia fonders webbplats används session cookies för att hantera information som du lämnar när du använder Ambrosia fonders tjänster.

Om du inte accepterar att cookies används kan du stänga av cookies i din webbläsares säkerhetsinställningar. Du kan även ställa in webbläsaren så att du får en fråga varje gång webbplatsen försöker placera en cookie på din dator. Genom webbläsaren kan också tidigare lagrade cookies raderas, se webbläsarens hjälpsidor för mer information.

Andra Excel- eller Worddokument på lokala filareor 
Bolaget arbetar aktivt via utbildning och uppföljning att ingen enskild anställd ska ha ett register sparat lokalt på sin dator. Om detta mot förmodan skulle förekomma är det lätt att söka fram vid eventuell förfrågan för att klargöra att inget otillbörligt finns sparat lokalt. 

Fortlöpande uppföljning
Bolaget vidtar via personuppgiftsansvarig lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i enlighet med GDPR och dataskyddslagens regleringar.
Bolaget har en särskild policy upprättad för hanteringen av informationssäkerhet i detta hänseende.

Bevarande av register
Personuppgifter sparas under den tid man har en pågående avtalsrelation och en tid därefter, eller i enlighet med lämnat samtycke samt i den mån andra regelverk kräver att personuppgifter sparas. Samtycket är giltigt till dess användaren själv säger upp det, och upphör inte om tjänsten inte nyttjas. Samtycket är heller inte beroende av eventuella köp av produkter.

Bolaget bevarar användarnas personuppgifter för bokföringsändamål i sju år enligt de krav som följer av bokföringslagen.

Personuppgifter gallras/avpersonifieras när uppgifterna inte längre behöver bevaras. Från denna huvudregel undantas personuppgifter för användarkonton med pågående aktivitet och/eller saldo.

Användningen av personuppgifter under bevarandetiden begränsas med hänsyn till ändamålen med behandlingen. Gallringen kan inte återkallas/återskapas och när gallringen utförts kan inte någon person längre associeras med användarkontot.

Rutin kring utlämnanden av uppgifter på begäran 
Bolaget ska inom 72 timmar efter förfrågan har inkommit kunna lämna ut samtliga sparade personuppgifter till den som efterfrågar samt radera dessa ur alla system.

För att säkerställa att uppgifter som lämnas ut inte hamnar i orätta händer kräver Ambrosia att förfrågan ska komma in skriftligen med vidimerad kopia på legitimation.

Alla Bolagets kunder har rätt att skriftligen utan kostnad återkalla samtycke, begära ett registerutdrag eller rättelse/radering av eventuellt felaktiga uppgifter.

Om du vill begära ett registerutdrag, återkalla ett samtycke eller rätta/radera en uppgift ber vi dig att vända dig till Bolagets personuppgiftsansvarige:

Ambrosia Asset Management AB
Att: Jacob Werkell
Birger Jarlsgatan 32B
114 29 Stockholm

Rapportering av felaktigheter
Vid en personuppgiftsincident ska Bolaget via personuppgiftsansvarig inom 72 timmar efter att överträdelsens har upptäckts göra en anmälan till Datainspektionen. Dessa anmäls via Datainspektionens e-tjänst på: www.datainspektionen.se. Om detta inte fungerar ska information enligt Bilaga 1 skickas till Datainspektionen. Bolaget kommer även att informera drabbade personer. 

Personuppgiftsansvarig 
VD har utsett Jacob Werkell till personuppgiftsansvarig för frågor avseende GDPR. Det åligger personuppgiftsansvarig att utgöra ett centralt stöd i frågor som rör GDPR. Personuppgiftsansvarig har därutöver ett övergripande ansvar för att kontrollsystem, arbetsrutiner, besluts- och rapporteringsrutiner samt utbildningsprogram tillämpas i organisationen. Personuppgiftsansvarig ansvarar även för rapportering till styrelsen.

Det åligger personuppgiftsansvarig att löpande hålla sig uppdaterad om nyheter och trender inom området. Så kan exempelvis ske genom att personuppgiftsansvarig prenumererar på nyhetsbrev och pressmeddelanden rörande ämnet.

Utbildning av anställda
Alla anställda som hanterar personuppgifter skall genomgå utbildning i frågor som rör GDPR. Bolaget ska säkerställa att anställda inom relevanta verksamhetsområden utbildas och löpande informeras om ändringar i regelverk.

Periodicitet:                    
1 gång per år för Bolagets anställda.
1 gång per år för Bolagets styrelse.

Omfattning:                     

Genomgång av gällande regelverk. Specifikt kring ändringar/nyheter i gällande regelverk.                                     Redovisning och erfarenhetsutbyte avseende granskade fall sedan föregående utbildning.                               Redovisning av till Datainspektionen anmälda fall.

Agenda för utbildningen, utbildningsmaterial och deltagarförteckning skall dokumenteras och arkiveras.

Bolaget är skyldigt att ha effektiva informations- och kommunikationssystem eller rutiner för intern information. Detta gäller i synnerhet för att säkerställa att relevant kunskap som Bolaget får vid granskning löpande förmedlas till relevanta verksamhetsområden inom företaget. Informationen kan exempelvis röra ny lagstiftning, något nytt rättsfall, något nytt avgörande från Datainspektionen som de anställda har behov av att känna till.

Bolaget har få anställda. Information enligt vad som anges ovan kan därför lämnas snabbt och enkelt såväl muntligt som genom e-post. Informationen ska lämnas av dataskyddsombudet och lämnas till samtliga anställda.




“Det finns en stark intressegemenskap mellan förvaltarna och externa investerare genom att förvaltarna investerar det mesta av sina egna medel i fonderna”