Integritetspolicy
Policy för hantering av personuppgifter
Case kapitalförvaltning AB (Bolaget) har mot bakgrund av bestämmelserna i dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) nr 2016/679, GDPR) fastställt denna policy 2025-11-19.
1. Syfte
Syftet med denna policy är att säkerställa att Case Kapitalförvaltning AB behandlar personuppgifter i enlighet med dataskyddsförordningen (GDPR) och annan tillämplig lagstiftning. Policyn beskriver hur bolaget samlar in, lagrar och skyddar personuppgifter samt hur registrerades rättigheter tillgodoses.
2. Omfattning
Policyn gäller för all behandling av personuppgifter inom Case Kapitalförvaltning AB, inklusive behandling som sker av anställda, konsulter, systemleverantörer och samarbetspartners.
Information till registrerade tillhandahålls via Case Kapitalförvaltnings webbplats, i kundavtal, samt via interna portalen för medarbetare. Vid väsentliga ändringar av denna policy eller tillhörande bilagor informeras berörda registrerade via e-post.
3. Laglig grund för behandling
Case behandlar personuppgifter med stöd av följande rättsliga grunder:
• Fullgörande av avtal med kunden.
• Uppfyllande av rättslig förpliktelse (t.ex. enligt penningtvättslag eller bokföringslag).
• Berättigat intresse (t.ex. marknadsföring av liknande produkter till befintliga kunder).
• Samtycke från den registrerade (t.ex. vid nyhetsbrev eller rekrytering).
4. Lagringstid och mottagare
Personuppgifter lagras endast så länge det är nödvändigt för de syften de samlats in för eller så länge som lagstadgade skyldigheter kräver. Efter att syftet upphört gallras eller anonymiseras uppgifterna i enlighet med bolagets gallringsrutin. Uppgifter kan delas med IT-leverantörer, myndigheter och samarbetspartners som är bundna av avtal om dataskydd.
5. Registrerades rättigheter
Du har enligt dataskyddsförordningen rätt att:
• Begära tillgång till de personuppgifter som Case behandlar om dig.
• Begära rättelse av felaktiga eller ofullständiga uppgifter.
• Begära radering när uppgifterna inte längre behövs för sitt syfte.
• Begära begränsning av behandling i vissa fall.
• Invända mot behandling som grundas på berättigat intresse.
• Begära dataportabilitet (överföring till annan personuppgiftsansvarig).
Begäran hanteras enligt Bilaga 1 – Rutin för hantering av begäranden från registrerade.
Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY) om du anser att Case behandlat dina personuppgifter felaktigt.
6. Säkerhet
Case vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, förlust, förstörelse eller ändring. Detta inkluderar åtkomstkontroller, kryptering och regelbundna säkerhetsgranskningar.
7. Kontakt
Frågor om denna policy eller om Case Kapitalförvaltnings behandling av personuppgifter kan ställas till:
Dataskyddsansvarig, Case Kapitalförvaltning AB
Norrlandsgatan 10, 111 43 Stockholm
E-post: oscar.andrassy@casefonder.se
Telefon: 08-662 06 90
Bilaga 1 – Rutin för hantering av begäranden från registrerade
Syfte:
Att säkerställa att Case hanterar begäranden enligt artiklarna 12–22 i GDPR på ett korrekt, spårbart och effektivt sätt.
Omfattning:
Gäller alla inkommande begäranden från kunder, anställda eller andra registrerade som rör deras personuppgifter.
Process och ansvar
|
Steg |
Aktivitet |
Ansvar |
Tidsfrist |
Dokumentation |
|
1 |
Begäran tas emot via oscar.andrassy@casefonder.se eller post. |
Reception / DSA |
Dag 0 |
Loggas i register över rättighetsärenden. |
|
2 |
Bekräftelse skickas till den registrerade. |
Dataskyddsansvarig |
Inom 3 arbetsdagar |
E-postbekräftelse sparas. |
|
3 |
Bedömning av begäran (tillgång, rättelse, radering etc.) |
Dataskyddsansvarig |
Inom 10 dagar |
Anteckning i logg. |
|
4 |
Samråd med ansvarig funktion (IT, HR, Compliance) |
DSA + berörd funktion |
- |
E-post eller mötesnotering. |
|
5 |
Beslut fattas och svar skickas till registrerad. |
Dataskyddsansvarig |
Senast 30 dagar |
Svarsbrev dokumenteras. |
|
6 |
Eventuell förlängning (max +2 mån) meddelas skriftligt. |
Dataskyddsansvarig |
Inom 30 dagar |
Notering i logg. |
|
7 |
Ärendet avslutas och arkiveras. |
Compliance |
Efter beslut |
Ärendeloggen sparas i 12 mån. |
Mall – Bekräftelsebrev till registrerad
Hej,
Vi bekräftar att vi mottagit din begäran avseende [tillgång/radering/rättelse etc.] den [datum].
Case Kapitalförvaltning AB kommer att behandla ärendet och återkomma med svar senast inom 30 dagar.
Med vänlig hälsning,
Dataskyddsansvarig
Case Kapitalförvaltning AB
oscar.andrassy@casefonder.se
För detaljerad processbeskrivning av hantering av personuppgiftsincidenter, se Bilaga 2 – Rutin för hantering av personuppgiftsincidenter.
Bilaga 2 – Rutin för hantering av personuppgiftsincidenter
Denna bilaga beskriver den interna processen för att identifiera, rapportera, utreda och dokumentera personuppgiftsincidenter inom Case Kapitalförvaltning AB. Rutinen gäller endast incidenter som uppstår inom bolaget – exempelvis intern felhantering, obehörig åtkomst eller felaktig kommunikation av personuppgifter. Leverantörsincidenter hanteras enligt respektive biträdesavtal och faller utanför denna rutin.
1. Översiktlig process
|
Steg |
Ansvar |
Tidsfrist |
Dokumentation |
|
1. Identifiering |
Alla medarbetare |
Omedelbart vid upptäckt |
Intern anmälan till Dataskyddsansvarig (DSA) |
|
2. Första bedömning |
Dataskyddsansvarig (DSA) |
Inom 24 timmar |
Registrering i incidentloggen |
|
3. Utredning |
DSA i samråd med berörd chef och Compliance |
Inom 48 timmar |
Bedömning av omfattning, risk och möjliga konsekvenser |
|
4. Rapportering till IMY (vid behov) |
DSA / Compliance |
Inom 72 timmar från upptäckt |
Formell rapport till IMY enligt artikel 33 GDPR |
|
5. Information till berörda registrerade |
DSA / VD |
Så snart som möjligt om högriskincident |
Kommunikationsmall och kopia till Compliance |
|
6. Avslut och uppföljning |
DSA / Compliance |
Efter åtgärd |
Slutrapport och åtgärdslogg i incidentregistret |
2. Definition av personuppgiftsincident
En personuppgiftsincident är en händelse som leder till oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt röjande av, eller åtkomst till personuppgifter. Exempel inkluderar:
• Felaktig sändning av e-post till fel mottagare
• Förlust av bärbar dator eller mobiltelefon med kunddata
• Felaktig registrering i systemet (t.ex. Cairo)
• Obehörig åtkomst av anställd till kunduppgifter
3. Incidentlogg och uppföljning
Alla incidenter ska registreras i ett internt register av Dataskyddsansvarig. Registret ska innehålla datum, beskrivning, åtgärder, ansvarig person och beslut.
4. Mall för incidentrapport
Nedan finns en mall som ska användas vid varje intern incidentanmälan.
|
Datum för upptäckt: |
|
|
Rapporterad av (namn/funktion): |
|
|
Beskrivning av incidenten: |
|
|
Berörda personuppgifter: |
|
|
Bedömd risknivå: |
|
|
Vidtagna åtgärder: |
|
|
Behov av rapportering till IMY: |
|
|
DSA signatur och datum: |
|
Denna mall sparas i den interna incidentloggen efter avslutad utredning. DSA ansvarar för att loggen hålls uppdaterad i minst fem (5) år efter avslutad hantering.
Bilaga 3 – Integritetsinformation till kunder
Syfte:
Att ge kunder information om vilka personuppgifter Case Kapitalförvaltning AB behandlar, med vilket syfte, rättslig grund, lagringstid och vilka rättigheter kunden har enligt GDPR.
Behandling av personuppgifter
Case behandlar följande kategorier av personuppgifter:
• Identitets- och kontaktuppgifter (namn, personnummer, adress, telefon, e-post)
• Kund- och avtalsinformation
• Bank- och transaktionsuppgifter
• Uppgifter om skattehemvist, PEP-status och medelursprung (enligt penningtvättslag)
• Korrespondens och kundmötesanteckningar
Syfte och rättslig grund
• Avtalsförpliktelse: för att uppfylla kundavtal och leverera tjänster.
• Rättslig förpliktelse: enligt bl.a. penningtvätts- och bokföringslag.
• Berättigat intresse: för kundanalys, service och marknadsföring av liknande produkter.
• Samtycke: för nyhetsbrev och annan frivillig kommunikation.
Lagringstid
Personuppgifter sparas i upp till 10 år efter avslutad kundrelation eller enligt tillämplig lag.
Rättigheter
Kunden har rätt att begära tillgång, rättelse, radering, begränsning, invända mot behandling samt begära dataportabilitet i enlighet med GDPR. Begäran hanteras enligt Bilaga 1.
Bilaga 4 – Integritetsinformation till anställda
Syfte:
Att informera anställda om hur Case Kapitalförvaltning AB behandlar personuppgifter i anställningsförhållandet.
Behandling av personuppgifter
Case behandlar följande personuppgifter om anställda:
• Namn, personnummer, adress, kontaktuppgifter
• Anställnings- och lönedata
• Skatteuppgifter och kontonummer
• Närvaroregistrering och frånvarodata
• Utbildning, utvecklingssamtal och behörighetsuppgifter
Syfte och rättslig grund
• Fullgörande av anställningsavtal och arbetsrättsliga skyldigheter.
• Rättslig förpliktelse: rapportering till Skatteverket, myndigheter och försäkringsbolag.
• Berättigat intresse: hantering av IT-säkerhet, behörigheter och intern administration.
Lagringstid
Uppgifter lagras så länge anställningen pågår samt därefter enligt lagstadgade krav (vanligen 7 år).
Rättigheter
Anställda har samma rättigheter som andra registrerade (se Bilaga 1). Frågor hanteras via HR eller Dataskyddsansvarig.
Bilaga 5 – Integritetsinformation till kandidater
Syfte:
Att informera arbetssökande om hur deras personuppgifter behandlas vid rekrytering.
Behandling av personuppgifter
Case behandlar följande uppgifter:
• Namn, kontaktuppgifter, CV och personligt brev
• Utbildning, yrkeserfarenhet och referenser
• Eventuella anteckningar från intervjuer
Syfte och rättslig grund
• Samtycke: när kandidaten frivilligt lämnar uppgifter i samband med ansökan.
• Berättigat intresse: att kunna genomföra en rättvis och effektiv rekryteringsprocess.
• Rättslig förpliktelse: vid rapportering enligt diskriminerings- eller arbetsrättslagstiftning.
Lagringstid
Uppgifter om kandidater lagras i högst 24 månader efter avslutad rekrytering, om inte samtycke till längre lagring inhämtas.
Rättigheter
Kandidater har rätt till tillgång, rättelse och radering av sina uppgifter samt att återkalla sitt samtycke. Begäran hanteras enligt Bilaga 1.