I det här integritetsmeddelandet förklarar vi hur AP-fondernas etikråd samlar in, använder, lämnar ut och lagrar dina personuppgifter samt hur vi i övrigt säkerställer att dina personuppgifter behandlas enligt gällande regelverk. Integritetspolicyn gäller för dig som kontaktperson, extern förvaltare, motpart, leverantör, jobbsökande, praktikant, konsult eller annan intressent i förhållande till oss.
Personuppgiftsansvar
AP-fondernas etikråd är juridiskt en del av AP3 som därmed är personuppgiftsansvarig för dina personuppgifter. Om du har frågor om AP3:s personuppgiftsbehandling eller vill komma i kontakt med AP3:s dataskyddsombud eller kan du vända dig till fondens Head of Compliance.
Namn: AP3
Kontaktperson: Head of Compliance
Adress: Vasagatan 16, 111 20 Stockholm
Postadress: PO Box 1176, 111 91 Stockholm
Mailadress: info@councilonethics.org
Dataskyddsombud
Namn: Caroline Mitteregger, Apriori Advokatbyrå
Adress: Nybrogatan 7, 114 34 Stockholm
Tel.nr: 08-403 777 10
E-postadress: info@apriorilaw.se
Insamling och behandling av personuppgifter
De flesta av de personuppgifter som AP3 behandlar om dig har du själv lämnat till AP3, antingen som privatperson eller som företrädare för en organisation. Vissa uppgifter kan också ha hämtats från tredje part, till exempel från din arbetsgivare när AP3 har en affärsförbindelse med denna.
Personuppgifterna använder vi för att utföra vårt uppdrag, för att informera om vår verksamhet och för att kommunicera och interagera med dig.
Vi använder personuppgifter för följande ändamål:
| Fullgörande av vårt uppdrag att förvalta pensionskapital | |
|---|---|
| Ändamål | Kategorier av personuppgifter |
| För att kunna utföra vårt uppdrag att förvalta svenska folkets pensionskapital.För att kunna investera kapital som genererar en hög avkastning över tid.För att bidra till en stabil utveckling av det statliga inkomstpensionssystemet.För att upprätta och hantera avtal för fondens räkning.För att upprätta och hantera löpande dokumentation såsom projektplaner, analyser och presentationer tillsammans med externa förvaltare.För att kommunicera med dig. | Namn, yrkestitel, adress, e-post, telefonnummer, signatur |
| Laglig grund: Behandlingen är nödvändig för att AP3 ska kunna utföra en uppgift av allmänt intresse, det vill säga för at kunna utföra vårt uppdrag som statlig myndighet. | |
| Lagringsperiod: Som statlig myndighet är utgångspunkten enligt arkivlagstiftningen att myndigheten ska bevara allmänna handlingar. AP3 har att följa dessa regler om bevarande och gallrar allmänna handlingar i enlighet med gällande gallringsregler och beslut. Uppgifter av ringa eller tillfällig betydelse gallras löpande. | |
| Mottagare: Personuppgiftsbiträden med underbiträden för hantering av våra system.Myndigheter som AP3 har en skyldighet, antingen löpande eller vid begäran, att lämna ut personuppgifter till såsom Skatteverket, Riksrevisionen och regeringen. |
| Leverantörers och andra samarbetsparters kontaktpersoner | |
|---|---|
| Ändamål | Kategorier av personuppgifter |
| För att upprätta och hantera avtal för fondens räkning. För att kunna kommunicera och hantera nödvändiga kontakter i avtals- eller leverantörsrelationer. | Namn, yrkestitel, adress, e-post, telefonnummer, signatur |
| Laglig grund: Behandlingen är nödvändig för att AP3 ska kunna utföra en uppgift av allmänt intresse, det vill säga för at kunna utföra vårt uppdrag som statlig myndighet. | |
| Lagringsperiod: Som statlig myndighet är utgångspunkten enligt arkivlagstiftningen att myndigheten ska bevara allmänna handlingar. AP3 har att följa dessa regler om bevarande och gallrar allmänna handlingar i enlighet med gällande gallringsregler och beslut. Uppgifter av ringa eller tillfällig betydelse gallras löpande. | |
| Mottagare: Personuppgiftsbiträden med underbiträden för hantering av våra system.Myndigheter som AP3 har en skyldighet, antingen löpande eller vid begäran, att lämna ut personuppgifter till såsom Skatteverket, Riksrevisionen och regeringen. |
| Genomföra offentlig upphandling | |
|---|---|
| Ändamål | Kategorier av personuppgifter |
| För att administrera inkomna anbud och kommunicera med anbudsgivare. | Namn, yrkestitel, e-post, telefonnummer, signatur, CV-uppgifter |
| Laglig grund: Behandlingen är nödvändig för att AP3 ska kunna utföra en uppgift av allmänt intresse, det vill säga för at kunna utföra vårt uppdrag som statlig myndighet. | |
| Lagringsperiod: Antagna anbud bevaras enligt arkivlagstiftningen. Ej antagna anbud bevaras i fyra år. | |
| Mottagare: Personuppgiftsbiträden med underbiträden för hantering av våra system. Myndigheter som AP3 har en skyldighet, antingen löpande eller vid begäran, att lämna ut personuppgifter till såsom Skatteverket, Riksrevisionen och regeringen. |
| Inspelning av samtal vid telefonhandel | |
|---|---|
| Ändamål | Kategorier av personuppgifter |
| För att verifiera att handel som undantagsvis utförs via telefon spelas in för att säkerställa att handeln skett lagligt. För verifikation för bokföring/avstämning av affärsvillkor. | Ljudinspelning, telefonnummer |
| Laglig grund: Behandlingen är nödvändig för att AP3 ska kunna fullgöra en rättslig förpliktelse som vi som myndighet är bunden av. | |
| Lagringsperiod: Uppgifterna lagras utifrån marknadsmissbruksförordningen i fem år och för bokföring i sju år. | |
| Mottagare: Ingen mottagare |
| In- och utpassering | |
|---|---|
| Ändamål | Kategorier av personuppgifter |
| För att verifiera vilka personer som befinner sig i fondens lokaler. | Namn, titel, organisation |
| Laglig grund: Behandlingen är nödvändig för AP3:s berättigade intresse av att veta vem som befinner sig i lokalen. Vill du veta mer om hur vi gjort denna intresseavvägning kan du kontakta oss. | |
| Lagringsperiod: Gallras automatiskt efter 1 år. | |
| Mottagare: Ingen mottagare |
Hantering av personuppgifter i delade kanaler och samarbetsrum
Samarbetsrum, delade kanaler och Microsoft 365
AP3 använder sig bl.a. av Microsoft 365 vilket inkluderar Teams, SharePoint och OneDrive. AP3 använder sig av tjänsten för att exempelvis samla in information, kommunicera, planera, arbeta med dokument och spara filer. Ytterligare funktioner inom Microsoft 365 kan över tid komma att användas av AP3.
Hantering av personuppgifter
I de fall inloggning krävs för att använda Microsoft 365 behöver vi behandla dina personuppgifter för att ge dig tillgång till tjänsten. Personuppgifter som krävs kan vara namn, telefonnummer, titel, e-postadress. Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i AP3 myndighetsutövning.
Om du i samarbetsrum, delande kanaler eller i övriga tjänster som tillhandahålls av AP3 lägger in, förändrar, raderar, delar information eller dokument som innehåller personuppgifter behandlas även dessa uppgifter. Tänk därför på att begränsa din användning, delning och annan behandling av personuppgifter, så att personuppgiftsbehandling endast sker i den omfattning det är nödvändigt för de specifika ändamål som tjänsterna är avsedda att användas för.
Dina personuppgifter raderas när det inte längre finns behov för dig att delta i ett samarbetsrum eller använda en annan tjänst inom Microsoft 365 såvida AP3 inte är skyldig att bevara personuppgifterna den längre tid som följer av allmänna regler om arkivering för statliga myndigheter.
Känsliga personuppgifter
Undvik helt att dela känsliga personuppgifter. Känsliga personuppgifter kan till exempel vara hälsotillstånd, facklig tillhörighet, etniska ursprung och politiska åsikter. För att känsliga personuppgifter ska få behandlas krävs att behandlingen omfattas av ett undantag från förbudet i artikel 9 GDPR och att de undantagsvis får föras utanför EU/EES.
Offentlighetsprincipen
Notera att AP3 är en statlig myndighet och att information som delas och/eller tillgängliggörs i AP3 delade kanaler kan utgöra allmänna handlingar enligt offentlighetsprincipen. En tredje part kan därför begära att få ta del av dem.
Säkerhet
Säkerhet
AP3 har vidtagit ett flertal säkerhetsåtgärder i enlighet med dataskyddsförordningen för att skydda dina personuppgifter mot otillbörlig åtkomst, förändring och radering. Om det skulle ske en säkerhetsincident som kan påverka dig och dina personuppgifter på ett negativt sätt kommer AP3 att kontakta dig med information om vad vi gör, och vad du kan göra, för att minska risken för negativa konsekvenser.
Automatiserat beslutsfattande, profilering och direktmarknadsföring
Automatiserat beslutsfattande, profilering och direktmarknadsföring
AP3 använder inte dina personuppgifter för automatiserat beslutsfattande, profilering eller direktmarknadsföring. AP3 kommer inte heller att sälja dina personuppgifter till någon annan.
Överföring av uppgifter till tredje part
Överföring inom EU/EES
AP3 överför endast uppgifter till tredje part om det är nödvändigt för backup, på grund av en rättslig förpliktelse eller när det är nödvändigt för bedrivandet av AP3 verksamhet. Innan uppgifter överförs till ett personuppgiftsbiträde tecknas ett personuppgiftsbiträdesavtal mellan AP3 och biträdet för att skydda dina uppgifter. För att ta del av vilka personuppgiftsbiträden som anlitats av AP3, vänligen kontakta Head of Compliance.
Överföring till tredjeland
Om personuppgifter behöver överföras till en mottagare i ett land utanför EU/EES kommer AP3 se till att personuppgifterna fortsätter att vara skyddade och att överföringen sker på ett lagligt sett. Detta görs bland annat genom en jämförelse mot EU-kommissionens lista över länder med en ”adekvat skyddsnivå” eller genom att EU-kommissionens standardavtalsklausuler tecknas med motparten. Om det är nödvändigt genomförs också en due diligence av motpartens hantering av personuppgifter. AP3 överför inte dina personuppgifter till tredjeland om det skulle strida mot bestämmelserna i kapitel V i dataskyddsförordningen.
Dina rättigheter
Dina rättigheter
I egenskap av personuppgiftsansvarig ansvarar vi för att dina personuppgifter behandlas i enlighet med lag och att du kan utöva dina rättigheter. Du kan när som helst kontakta oss om du vill utöva dina rättigheter. Om du vill utnyttja någon av dina rättigheter vänligen kontakta Head of Compliance via e-post, se kontaktuppgifter under rubriken Personuppgiftsansvarig.
Vi har en skyldighet att svara på din begäran om att utöva dina rättigheter inom en månad från mottagandet av din begäran. Om din begäran är komplex eller om vi har mottagit många förfrågningar har vi rätt att förlänga denna tidsfrist med ytterligare två månader. Om vi inte kan vidta den åtgärd du begär inom en månad kommer vi att informera dig om orsaken till förseningen och om din rätt att lämna in ett klagomål till en tillsynsmyndighet och att begära rättslig prövning.
Du kommer inte att debiteras för någon information, kommunikation eller åtgärder som vi genomför. Om din begäran är uppenbart ogrundad eller orimlig kan vi dock ta ut en administrativ avgift för att tillhandahålla informationen eller vidta den begärda åtgärden eller helt och hållet vägra att tillmötesgå din begäran.
Du har rätt att begära:
Tillgång till dina personuppgifter. Det innebär att du har rätt att begära tillgång till de personuppgifter som vi har om dig. Du har också rätt att utan kostnad få information om vilka personuppgifter vi behandlar om dig. Vi har rätt att ta ut en rimlig administrationsavgift om du begär ytterligare kopior. Om du gör en begäran på elektronisk väg, t.ex. via e-post, kommer vi att förse dig med informationen i ett vanligt förekommande elektroniskt format.
Rättelse av dina personuppgifter. På din begäran eller på eget initiativ kommer vi att rätta, anonymisera, radera eller komplettera uppgifter som vi vet är felaktiga, ofullständiga eller missvisande. Du har också rätt att komplettera ofullständiga personuppgifter om något relevant saknas.
Radering av dina personuppgifter. Du kan i vissa fall få dina personuppgifter raderade. När dina personuppgifter behövs för att vi ska kunna fullgöra vårt uppdrag eller framgår av en allmän handling har vi ingen möjlighet att radera uppgifterna. Personuppgifter kan raderas om:
- vi behandlar dina uppgifter baserat på samtycke från dig och du återkallar ditt samtycke,
- du invänder mot att vi behandlar dina uppgifter efter en bedömning av berättigat intresse och vi inte har något tvingande intresse som väger tyngre än dina intressen och rättigheter
- vi har behandlat personuppgifterna på ett olagligt sätt, eller
- vi har en rättslig skyldighet att radera personuppgifterna.
Rätt att begränsa behandlingen. Detta innebär att vi tillfälligt begränsar behandlingen av dina uppgifter. Du har rätt att begära begränsning när:
- du anser att dina uppgifter är felaktiga och du har begärt rättelse enligt ovn, medan vi fastställer uppgifternas riktighet,
- behandlingen är olaglig och du inte vill att uppgifterna ska raderas,
- vi som personuppgiftsansvarig inte längre behöver personuppgifterna för våra behandlingsändamål, men du behöver dem för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk, eller
- du har invänt mot behandling enligt ovan, medan du väntar på att vi ska överväga om våra legitima intressen åsidosätter dina.
Vi kommer att vidta alla rimliga åtgärder för att underrätta alla som har mottagit personuppgifter enligt ovan om vi har rättat, raderat eller begränsat tillgången till dina personuppgifter efter att du har begärt att vi ska göra det.
Om du begär information om mottagare av dina personuppgifter kommer vi att informera dig om mottagarna.
Din rätt att invända mot behandlingen. Du har rätt att invända mot behandlingen av dina personuppgifter om vår behandling grundar sig på berättigade intressen eller en offentlig uppgift. Om du invänder mot sådan behandling kommer vi endast att fortsätta att behandla dina uppgifter om vi har tvingande skäl för att göra det som åsidosätter dina intressen.
Din rätt till dataportabilitet. Det innebär att du har rätt att få ut dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och att begära att dessa uppgifter överförs till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller endast när behandlingen utförs automatiserat och vår lagliga grund för att behandla dina uppgifter är ditt samtycke eller för att fullgöra ett avtal mellan dig och oss.
Rätt att lämna klagomål. Om du har synpunkter på behandlingen av dina personuppgifter har du rätt att lämna klagomål till integritetsskyddsmyndigheten. Vi hoppas att du hör av dig till oss först, så att vi får en chans att försöka rätta till eventuella problem.
Läs mer om dina rättigheter på Integritetsskyddsmyndighetens hemsida www.imy.se.
Övriga frågor
Om du har frågor om integritetsinformationen eller om AP3 behandling av personuppgifter i övrigt är du varmt välkommen att kontakta Head of Compliance på AP3. Se kontaktuppgifter under rubriken Personuppgiftsansvarig.