1 kap. Inledning och definitioner

1 §Regelverket gäller Swedsec, anslutna företag och licenshavare.

2 §I kapitel 2–10 finns de bestämmelser som gäller för anslutna företag och licenshavare.

I kapitel 11–16 finns bestämmelser som främst rör hantering av ärenden och Swedsec Licensiering ABs (Swedsec) organisation m.m.

3 §I detta regelverk förstås med

  • Licens: licens som har erhållits enligt 4 kap. eller enligt vid var tid tillämpliga övergångsregler.

  • Aktiv licens: licens som inte är vilande.

  • Licenshavare: fysisk person som har licens, oavsett om licensen är aktiv eller vilande.

  • Kunskapsuppdatering: utbildning och kunskapskontroll enligt 5 kap. 1 §.

  • Dataskyddsregleringen: EUs dataskyddsförordning (EU) 2016/679 (dataskyddsförordningen) och lagen (2018:218) med kompletterande bestämmelser till EUs dataskyddsförordning.

  • Personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust, eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförs, lagrats eller på annat sätt behandlats i Swedsecs onlinetjänst.

2 kap. Företag som omfattas

1 §Företag får efter godkännande ansluta sig till Swedsec om de i Sverige bedriver någon av följande verksamheter:

  1. värdepappersrörelse enligt lagen (2007:528) om värdepappersmarknaden,

  2. fondverksamhet enligt lagen (2004:46) om värdepappersfonder,

  3. försäkringsrörelse enligt försäkringsrörelselagen (2010:2043) och tillhandahåller finansiell rådgivning eller förvaltar företagets egna finansiella instrument,

  4. försäkringsförmedling enligt lagen (2018:1219) om försäkringsdistribution och tillhandahåller finansiell rådgivning avseende livförsäkringar med sparmoment,

  5. förvaltning av specialfond eller diskretionär förvaltning av investeringsportföljer enligt lagen (2013:561) om förvaltare av alternativa investeringsfonder (AIF-förvaltare),

  6. kreditgivning eller kreditförmedling av bostadskrediter till konsumenter som tillhandahålls av företag med tillstånd enligt lagen (2004:297) om bank- och finansieringsrörelse, eller

  7. kreditgivning eller kreditförmedling av bostadskrediter till konsumenter enligt lagen (2016:1024) om verksamhet med bostadskrediter.

Svensk filial till utländskt företag som bedriver verksamheter motsvarande punkterna 1–7 får ansluta sig till Swedsec. Detsamma gäller för anknutet ombud, etablerat i Sverige, till utländskt företag som bedriver verksamhet motsvarande punkten 1.

Godkännande av anslutning för företag som anges i första och andra styckena får ges om det finns skäl att anta att företaget kommer att

  1. följa detta regelverk,

  2. bedriva sin verksamhet så att förtroendet för Swedsec upprätthålls,

  3. ha en organisation och lämpliga riktlinjer som säkerställer kontroll av regelefterlevnaden hos licenshavare som är anställda i företaget, och

  4. ha licensierad personal.

Kommentar

Innan en ansökan om anslutning kan godkännas av Swedsec ska ett informationsmöte ha ägt rum mellan det företag som ansöker om anslutning och Swedsec. Regelverket börjar gälla direkt efter det att Swedsec godkänt anslutningen (dvs. undertecknat avtalet). Företag bör därför överväga att avvakta en anslutning till dess att verksamheten faktiskt har startats, personal har anställts och utbildats m.m.

Punkterna 3 och 4

Begreppen ”finansiell rådgivning” och ”livförsäkringar med sparmoment” motsvarar samma begrepp som återfinns i 1 § lagen (2003:862) om finansiell rådgivning till konsumenter. Vad som avses med ”livförsäkring med sparmoment” framgår av förarbetena (prop. 2003/04:109) till nyssnämnda lag. Förarbetena anger bl.a. att eftersom det är fråga om livförsäkringar med sparmoment, så är rena riskförsäkringar undantagna. Vidare anges: ”Huruvida en livförsäkring är en ren riskförsäkring eller inte beror på försäkringsavtalets villkor. I en försäkring med sparmoment är syftet att premierna som betalas in förr eller senare skall betalas ut, med tillägg för eventuell avkastning.”

Punkt 5

Bestämmelsen avser endast att omfatta AIF-förvaltare som förvaltar specialfonder eller diskretionärt förvaltar investeringsportföljer. Förvaltare av ”andra AIF-fonder” såsom riskkapitalfonder och fastighetsfonder kan således inte ansluta sig till Swedsec enligt denna punkt.

Punkt 6

Bestämmelsen avser att omfatta banker och andra företag som lämnar eller förmedlar bostadskrediter med tillstånd enligt lagen (2004:297) om bank- och finansieringsrörelse.

Punkt 7

Bestämmelsen avser svenskt aktiebolag eller svensk ekonomisk förening med tillstånd att bedriva kreditgivning eller kreditförmedling avseende bostadskrediter till konsument.

Tredje stycket

Bestämmelsen ställer krav på anslutna företag att kontrollera regelefterlevnaden hos sina licenshavare. Såväl egna anställda som anknutna ombud och anknutna försäkringsförmedlare samt bemanningspersonal enligt 2 kap. 4 och 5 §§ betraktas som anställda hos det anslutna företaget. Detta för att det anslutna företaget ska ha förutsättningar för att kunna fullgöra sin anmälningsskyldighet enligt 8 kap. 8 §. Kravet gäller såväl vid tidpunkten för anslutning som därefter under anslutningen. Kontrollen av regelefterlevnaden hos licenshavare kan organiseras på olika sätt och kan utföras internt inom det anslutna företaget eller av uppdragstagare.

Tredje stycket 4

Ett anslutet företag ska enligt 8 kap. 1 § se till att ha licensierad personal för de befattningar och arbetsuppgifter som anges 3 kap. 1 § första stycket (obligatorisk licens). Om det i ett anslutet företag inte bedrivs sådan verksamhet där det krävs obligatorisk licens måste företaget ändå ha licensierad personal i någon omfattning. Detta eftersom det skulle strida mot syftet med Swedsecs verksamhet att ett företag är anslutet utan att ha någon licensierad personal.

2 §I undantagsfall och efter godkännande av Swedsecs styrelse får andra aktörer som står under Finansinspektionens tillsyn eller som bedriver en likartad verksamhet ansluta sig till Swedsec. Godkännande får ges om det finns skäl att anta att företaget kommer att

  1. följa detta regelverk, och

  2. bedriva sin verksamhet så att förtroendet för Swedsec upprätthålls.

Sådana aktörer ska i avtalet med Swedsec förbinda sig att

  1. se till att endast anställda med licens har befattningar eller arbetsuppgifter som motsvarar dem som framgår av 3 kap. 1 § 1–23,

  2. tillämpa för verksamheten relevanta regler, och

  3. ha en organisation och lämpliga riktlinjer som säkerställer kontrollen av regelefterlevnaden hos licenshavare som är anställda i företaget.

Kommentar

Det kan vara fråga om såväl svenska som utländska aktörer. Möjlighet till anslutning av sådana företag är dock liten. En licensiering av personal hos sådana aktörer måste framstå som meningsfull för att anslutning ska få ske. Swedsec bör i dessa fall bland annat överväga om företaget omfattas av externa regelverk och har interna regler m.m. som innebär att t.ex. disciplinförfarandet kan göras gällande. Det följer av 3 kap. 1 § sista stycket att licensiering rör anställda med befattningar och arbetsuppgifter i Sverige. Se även 8 kap. 1 §.

Anknutna ombud och anknutna försäkringsförmedlare

3 §Endast anknutet ombud enligt lagen om värdepappersmarknaden, eller anknuten försäkringsförmedlare enligt lagen om försäkringsdistribution och som också är ett sådant företag som anges i 1 §, får vara direktanslutet till Swedsec.

Kommentar

I många fall kan anknutet ombud eller anknuten försäkringsförmedlare välja om företaget ska vara direktanslutet till Swedsec eller om de anställda ska licensieras som om de vore anställda i det bolag som företaget är anknutet ombud eller anknuten försäkringsförmedlare till, se 4 §. För att vara direktanslutet krävs dock att företaget är t.ex. ett värdepappersbolag, fondbolag, försäkringsbolag eller försäkringsförmedlare (se 1 §).

4 §Fysiska personer som är, eller är anställda hos, ett anknutet ombud eller en anknuten försäkringsförmedlare till ett anslutet företag kan licensieras genom det anslutna företaget om ombudet eller förmedlaren inte bedriver annan tillståndspliktig verksamhet och inte är direktanslutet. Sådana personer betraktas vid tillämpningen av detta regelverk som anställda hos det anslutna företaget, såvitt avser ombudsverksamheten.

Kommentar

Personal i ett företag som har eget tillstånd för t.ex. försäkringsförmedling och samtidigt är anknutet ombud till ett företag som är anslutet till Swedsec kan inte licensieras genom det anslutna företagets försorg. Sådana företag måste själva vara anslutna till Swedsec för att personal ska kunna licensieras. Om ett anknutet ombud vid tidpunkten för licensieringen inte bedrev någon annan tillståndspliktig verksamhet men i ett senare skede får tillstånd till t.ex. försäkringsförmedling ska aktuella licenser vilandeförklaras enligt 6 kap. 3 § andra stycket.

Som framgår av 8 kap. 1 § är anslutna företag skyldiga att hos anknutna ombud och anknutna försäkringsförmedlare i Sverige som inte bedriver annan tillståndspliktig verksamhet bl.a. se till att endast anställda med aktiv licens har de befattningar och arbetsuppgifter som anges i 3 kap. 1 § första stycket.

Uppdragstagare

5 §En fysisk person som inte är anställd av ett anslutet företag men arbetar för ett enda anslutet företag, är bunden av det företagets interna regler i relevanta delar, och omfattas av företagets interna kontroller betraktas vid tillämpningen av detta regelverk som anställd hos det anslutna företaget.

Kommentar

Swedsecs regelverk tar i första hand sikte på anslutna företag och deras anställda. Ett anslutet företag kan dock välja att organisera sin verksamhet så att vissa arbetsuppgifter utförs av personal som inte har ett anställningsförhållande till det anslutna företaget, exempelvis personal anställd av ett bemanningsföretag eller inhyrda konsulter. Sådan personal kan, liksom anställda, erhålla licens och en sådan licenshavare behandlas i Swedsecs regelverk på samma sätt som om licenshavaren vore anställd, t.ex. vad gäller kunskapsuppdateringar, disciplinförfarande m.m. Kretsen uppdragstagare enligt regelverkets definition är dock snäv. Endast personer som arbetar med licenspliktig verksamhet i ett enda anslutet företag omfattas. Personal på advokatbyråer eller i företag som anlitas för compliance- eller riskkontroll-tjänster till flera anslutna företag omfattas exempelvis inte. Vidare krävs att personerna i fråga omfattas av det anslutna företagets interna regler för verksamheten, dvs. de regler som har ett naturligt samband med arbetsuppgifterna t.ex. för hur rådgivning och kunders order ska hanteras och bestämmelser om anställdas egna affärer. Detta torde vara det normala, och följer av externa regler, när det gäller exempelvis personal inhyrd från bemanningsföretag. När det gäller företagets interna kontroller är det kontroller av regelefterlevnaden avseende de regler som har ett naturligt samband med arbetsuppgifterna som avses. Om ett anslutet företag har outsourcat verksamhet till ett annat tillståndspliktigt företag och den personal som utför arbetet inte omfattas av uppdragsgivarens, utan uppdragstagarens interna regler kan dock inte denna personal licensieras under uppdragsgivarens ansvar.

Anslutna företags bundenhet av regelverket

6 §Från det att avtal om anslutning träffats ska anslutna företag följa Swedsecs regelverk.

Kommentar

Anslutningen till Swedsec är frivillig. Anslutningen utgör dock en uppslutning bakom de värden och syften som utgör grunden för Swedsecs verksamhet och innebär att anslutna företag förutsätts lojalt följa regelverket. Bestämmelsen innebär att anslutna företag är bundna av regelverket från och med att anslutningsavtalet ingås och av de ändringar av regelverket som därefter sker enligt bestämmelserna i 17 kap.

Uppsägning av anslutningen

7 §Ett anslutet företag kan skriftligen säga upp sin anslutning till Swedsec. Avtalet, förutom skyldigheterna enligt 9 §, upphör att gälla när uppsägningen kommit Swedsec tillhanda.

Andra fall där anslutningen till Swedsec upphör

8 §Swedsec får besluta att anslutningen ska upphöra om Finansinspektionen, eller motsvarande utländsk myndighet, återkallar det anslutna företagets tillstånd att bedriva verksamhet.

Kommentar

Om återkallelsen i sak innebär att företaget upphör med en tillståndspliktig verksamhet och börjar bedriva en annan tillståndspliktig verksamhet, t.ex. om ett värdepappersbolag som bedriver marknadsplatsverksamhet blir börs, kan Swedsec besluta att anslutningen inte ska upphöra.

Uppsägningstider m.m.

9 §Om ett företags anslutning har upphört gäller företagets skyldigheter mot Swedsec enligt följande:

  1. Skyldigheten att göra anmälningar enligt 8 kap. 8 § (licenshavares regelbrott m.m.) gäller licenshavares regelbrott fram till upphörandet.

  2. Skyldigheten att lämna upplysningar till Swedsec i disciplinärenden och göra anmälningar enligt 8 kap. 8 § gäller under 36 månader efter upphörandet.

  3. Skyldigheten att underkasta sig beslut som fattas enligt 10 kap. 11 § för handlande eller underlåtenheter som skett under tiden företaget var anslutet fortsätter att gälla efter upphörandet. Likaså är företaget skyldigt att iaktta tvistelösningsregleringen i 10 kap. 13 § och underkasta sig sådant avgörande även efter att anslutningen upphört att gälla.

  4. Skyldigheten att vara personuppgiftsbiträde enligt 16 kap. upphör när det anslutna företaget inte längre har åtkomst till Swedsecs onlinetjänst.

  5. Övriga skyldigheter gäller under 30 dagar efter upphörandet.

Kommentar

En konsekvens av den andra punkten är att en regelöverträdelse som skett en dag före upphörandet ska anmälas även om företaget upptäcker regelöverträdelsen upp till 36 månader därefter. En regelöverträdelse som sker efter uppsägningen ska dock inte anmälas, även om företaget upptäckt den omedelbart.

Beslut om vite kan således fattas efter företagets uppsägning men bara avse underlåtenheter fram till upphörandet.

3 kap. Personer som ska ha licens

1 §Anställda inom följande kategorier ska ha licens:

Ledning och kontrollfunktioner på värdepappersområdet – kategori A

1.

verkställande direktör och vice verkställande direktör i

  1. värdepappersinstitut vars verksamhet huvudsakligen är värdepappersrörelse,

  2. fondbolag eller förvaltningsbolag,

  3. juridisk person som inte är kreditinstitut, men som är försäkringsförmedlare,

  4. AIF-förvaltare,

2.

ansvariga för väsentliga delar av ett värdepappersinstituts värdepappersrörelse,

3.

ansvariga för väsentliga delar av ett fondbolags eller förvaltningsbolags fond- eller kapitalförvaltning,

4.

ansvariga för försäkringsbolags värdepappersförvaltning eller tillhandahållande av finansiell rådgivning,

5.

ansvariga för väsentliga delar av en AIF-förvaltares förvaltning eller investeringsrådgivning,

6.

compliance officers eller motsvarande befattningshavare verksamma inom

  1. värdepappersrörelsen i värdepappersinstitut,

  2. fondbolag eller förvaltningsbolag,

  3. värdepappersförvaltningen eller tillhandahållandet av finansiell rådgivning i försäkringsbolag,

  4. försäkringsförmedlingen hos juridiska personer som inte är kreditinstitut,

  5. AIF-förvaltare,

7.

befattningshavare inom riskkontroll och andra väsentliga kontrollfunktioner som till 50 procent eller mer av arbetstiden är verksamma inom de områden som anges i punkterna 2–5,

Rådgivare – kategori B

8.

den som arbetar med finansiell rådgivning till konsumenter eller investeringsrådgivning till kunder,

9.

den som arbetar med försäkringsdistribution och tillhandahåller finansiell rådgivning avseende livförsäkringar med sparmoment,

Specialister – kategori C

10.

den som arbetar med diskretionär portföljförvaltning av kunders tillgångar,

11.

den som arbetar med förvaltning av värdepappersfonder eller specialfonder,

12.

den vars arbetstid till 50 procent eller mer består av att

  1. ta emot och vidarebefordra order från kunder, eller

  2. utföra order på kunders uppdrag, eller

  3. utföra handel för det anslutna företagets egen räkning,

13.

den som har behörighet att genomföra transaktioner i börsers, MTFers eller OTFers handelssystem,

14.

den som utarbetar investeringsanalyser,

15.

den som konstruerar investeringsprodukter och utvecklar investeringstjänster som riktar sig till en krets som kan omfatta icke-professionella kunder,

16.

den som arbetar med rådgivning inom corporate finance-verksamheten,

17.

den som tar emot och vidarebefordrar eller utför kunders order avseende ränteinstrument inom automatiserad orderdriven handel på börs, MTF eller OTF under förutsättning att dessa arbetsuppgifter huvudsakligen riktar sig till icke-professionella kunder,

Bolån – kategori D

18.

verkställande direktören och vice verkställande direktören för kreditförmedlare med tillstånd enligt lagen (2016:1024) om verksamhet med bostadskrediter,

19.

ansvariga för bolåneverksamhet i kreditinstitut,

20.

den som arbetar med rådgivning eller handläggning av bolån,

21.

den som arbetar med att konstruera, utveckla eller sätta samman bolåneprodukter, eller

22.

den som arbetar med kreditbeslut avseende bolån.

Kravet på licensiering av anställda rör befattningshavare som är verksamma i Sverige och har arbetsuppgifter som utförs i Sverige.

Kommentar

Företag är organiserade på olika sätt och det är inte säkert att alla de i bestämmelsen angivna funktionerna finns eller passar in på företagets organisation. Utgångspunkten är dock att licenskravet ska tolkas extensivt, dvs. vid osäkerhet om en anställd omfattas av kravet bör företaget välja att licensiera personen i fråga. Vilket eller vilka licensieringstest som den anställde ska genomföra beror på vilken eller vilka kategori/er som dennes befattning eller arbetsuppgifter faller under. Vid ny befattning eller ändrade arbetsuppgifter till annan kategori kan således aktualiseras att nytt licensieringstest ska genomföras.

När det gäller t.ex. punkterna 2–5 får det anslutna företaget, utifrån sin egen organisation, göra en bedömning av vem eller vilka som bör omfattas av licenskravet mot bakgrund av syftet med licensieringen. Bestämmelsen omfattar inte ekonomichefer, IT-chefer, personalchefer, informationschefer eller andra chefer som inte är direkt verksamma i värdepappersrörelsen eller motsvarande. Dessa kan dock få frivillig licens enligt 3 §. Vid tveksamhet kan det finnas skäl att rådgöra med Swedsec. Bestämmelsen avser anställda och, enligt 2 kap. 5 §, uppdragstagare med anställningsliknande uppdrag. Andra uppdragstagare, som t.ex. advokater och revisorer kan inte erhålla licens. För anknutna ombud och anknutna försäkringsförmedlare gäller dock 2 kap. 4 §.

Företagets storlek, verksamhet och organisation har också betydelse för vilket licensieringstest en anställd ska genomgå för sin licens. För VD (punkt 1), compliance officers (punkt 6) och riskansvariga m.fl. (punkt 7) är licensieringstestet för ledning och kontrollfunktioner det som bäst stämmer överens med de kunskapskrav som bör ställas för sådana befattningar, och detta oavsett företagets storlek. Även chefer enligt punkterna 2–5 bör genomgå licensieringstestet för ledning och kontrollfunktioner. Om en anställd har sådana chefsuppgifter som avses i punkterna 2–5 samtidigt som han eller hon också har arbetsuppgifter som specialist (punkterna 10–17) eller rådgivare eller arbetar med försäkringsdistribution (punkterna 8–9), är det upp till företaget att bedöma vilket eller vilka tester som är mest relevanta för personen i fråga. Chefer med arbetsuppgifter som träffas av punkterna 8–9, dvs. som arbetar med rådgivning, bör dock åtminstone genomgå licensieringstestet avsett för rådgivare. I ett större företag bör chefer för affärsområden/divisioner eller motsvarande som rapporterar direkt till VD åtminstone genomgå licensieringstestet avsett för ledning och kontrollfunktioner, medan det för andra chefer ofta kan vara mer relevant att genomgå licensieringstestet avsett för specialister eller rådgivare, beroende på ansvarsområde. I ett mindre företag kan det saknas chefsnivåer mellan VD och t.ex. chefen för handlarbord eller en rådgivningsenhet. I dessa fall kan licensieringstestet för specialister eller rådgivare vara mest relevant. För vissa anställda kan det dock föreligga behov av att genomföra flera olika licensieringstester.

Punkt 1 a

Som vägledning kan t.ex. omsättningen användas. Om 50 procent eller mer av omsättningen kommer från värdepappersrörelsen får institutets verksamhet anses vara ”huvudsakligen” värdepappersrörelse.

Punkt 1 b

Med förvaltningsbolag avses detsamma som i 1 kap. 1 § 13 lagen (2004:46) om värdepappersfonder, dvs. ett utländskt företag med tillstånd att förvalta fonder (termen återkommer i punkterna 3 och 6 b). Ett sådant företag kan ha en filial i Sverige där personalen kan ha licens.

Punkterna 2–5

Det kan röra sig om de personer, inom t.ex. ett värdepappersinstitut, som är chefer för egenhandel, portföljförvaltning, kundhandel, analys, corporate finance och back office (värdepappersadministration). Härmed avses t.ex. affärsområdeschefer med ansvar för väsentliga delar av affärsverksamheten. Däremot avses inte den som endast har ett gruppchefsansvar för t.ex. rådgivare.

Punkterna 6 och 7

När det gäller befattningarna compliance officer och risk controller så riktar sig bestämmelsen mot de personer som utför de arbetsuppgifter som typiskt sett omfattas av funktionerna för regelefterlevnad och riskhantering. Det är alltså inte vilken titel vederbörande har som är avgörande för frågan om krav på licens föreligger. Det är endast sådana personer som är verksamma inom den del av det anslutna företagets verksamhet som rör värdepappersrörelse, fondverksamhet och rådgivning som omfattas. Exempelvis inom större banker och försäkringsbolag kan det finnas flera compliance officers med skilda uppgifter. Tanken är att de compliance officers som arbetar inom den eller de avdelningar eller enheter där värdepappersaffärer, investeringsrådgivning, analys eller corporate finance utförs ska omfattas av kravet på licens. Däremot omfattas inte sådana compliance officers som t.ex. endast sysslar med försäkringsbolags försäkringsrörelse. Inte heller centralt placerade jurister som inte är direkt involverade i den dagliga verksamheten inom nämnda verksamhetsområden omfattas av kravet på licens.

Punkt 8

Med ”investeringsrådgivning” avses tillhandahållande av personliga rekommendationer till en kund, i fråga om en eller flera transaktioner som avser finansiella instrument. Med kund menas såväl icke-professionella kunder som andra kunder till anslutet företag såvitt gäller investeringsrådgivning. Personal som sysslar med finansiell rådgivning till konsumenter eller investeringsrådgivning kan finnas hos samtliga företagskategorier som kan ansluta sig, dvs. hos värdepappersinstitut, fondbolag, förvaltningsbolag, försäkringsbolag, försäkringsförmedlare och AIF-förvaltare.

Punkt 9

Begreppen ”finansiell rådgivning” och ”livförsäkringar med sparmoment” behandlas i kommentaren till 2 kap. 1 § 4. Observera möjligheterna till dispens för den som enbart arbetar med försäkringsdistribution och har genomgått test och är licensierad av någon annan organisation än Swedsec.

Punkt 10

Bestämmelsen avser den som arbetar med diskretionär portföljförvaltning i värdepappersinstitut, fondbolag eller AIF-förvaltare.

Punkt 11

Bestämmelsen avser den som arbetar med förvaltning av värdepappersfonder i fondbolag och förvaltning av specialfonder i fondbolag eller AIF-förvaltare.

Punkt 12

Sysselsättningsgraden är knuten till den enskildes arbetstid. Regeln innebär att den som t.ex. arbetar minst 50 procent av en heltidstjänst med angivna uppgifter ska ha licens.

Punkt 14

Vid tillämpning av regeln avses sådana investeringsanalyser som angetts i kommissionens delegerade förordning (EU) 2017/565 av den 25 april 2016.

Punkt 15

Bestämmelsen avser dels personer som t.ex. arbetar på den enhet inom företaget som tar fram strukturerade produkter, dels personer som utvecklar tjänster som robotrådgivning. Med utveckling av investeringstjänster menas att utforma villkor och processer för investeringstjänsternas tillhandahållande. Kravet på licens omfattar således inte den personal som t.ex. arbetar enbart med utformning av marknadsföring, layout eller IT-utveckling (såsom programmering eller annan systemutveckling).

Punkt 18

Bestämmelsen avser verkställande direktör och vice verkställande direktör för kreditförmedlare med tillstånd enligt lagen (2016:1024) om verksamhet med bostadskrediter.

Punkt 19

Bestämmelsen avser ansvariga för bolåneverksamheten. Anslutna företag ska själva göra en bedömning av vem eller vilka som bör omfattas av licenskravet mot bakgrund av syftet med licensieringen. Licenskravet träffar endast ansvariga som direkt leder bolåneverksamheten.

Punkt 20

Bestämmelsen avser rådgivare och handläggare som har kontakt med kund i samband med ansökan och inför beviljande eller förändringar av bolån. Bestämmelsen träffar inte personal som endast biträder rådgivare eller handläggare med uppgifter av rent administrativ natur.

Punkt 21

Bestämmelsen avser t.ex. anställda som till kunden sätter samman de för kunden gällande kreditavtalsvillkoren och andra handlingar som ska ingå i det bindande erbjudandet och personal som deltar i att utforma det allmänna bolåneproduktutbudet. Bestämmelsen avser även anställda som enskilt eller i kommitté arbetar med kreditbeslut avseende bolån. Det innebär att personal som bereder kreditprövningen och anställda som enskilt eller i kommitté beslutar om att bevilja bolån omfattas.

Sista stycket

Att någon är verksam i Sverige och har arbetsuppgifter som utförs i Sverige innebär att man fysiskt befinner sig i Sverige och att man utför arbete mot den svenska marknaden, t.ex. lämnar råd till kunder i Sverige eller utför transaktioner på en svensk marknadsplats.

Undantag

2 §Kravet på licens enligt 1 § första stycket 2–5 och 12–16 gäller inte för den som enbart arbetar med ränte- eller valutarelaterade finansiella instrument. Kravet på licens enligt 1 § första stycket 8 gäller inte heller för den som enbart tillhandahåller investeringsrådgivning till kund som är näringsidkare avseende ränte- eller valutarelaterade finansiella instrument.

Kommentar

Den som arbetar med finansiell rådgivning till konsumenter eller investeringsrådgivning till konsumenter eller förvaltar fonder kan inte åberopa denna undantagsbestämmelse utan omfattas av kravet på licens.

Frivillig licens

3 §Andra anställda än de som räknas upp i 1 § första stycket 1–21 kan få licens, efter medgivande från företaget. Sådant medgivande kan endast avse anställda som är verksamma i Sverige och har arbetsuppgifter som utförs i Sverige.

Kommentar

En person som får frivillig licens enligt denna bestämmelse omfattas av regelverket och kan därmed drabbas av disciplinpåföljd. Möjlighet till frivillig licens gäller även anställda i finansiellt koncernföretag (gäller endast företag som ingått s.k. koncernanslutning med Swedsec innan den 31 december 2019, se övergångsbestämmelse). Se vidare kommentaren till 9 kap. 2 §. Möjligheten till frivillig licens kan exempelvis användas av personal som inte lämnar investeringsrådgivning, men som lämnar information om finansiella instrument och därför omfattas av kunskapskraven i 8 kap. 15 § lagen om värdepappersmarknaden, och 4 kap. Finansinspektionens föreskrifter (FFFS 2017:2) om värdepappersrörelse. Att någon är verksam i Sverige och har arbetsuppgifter som utförs i Sverige innebär att man fysiskt befinner sig i Sverige och att man utför arbete mot den svenska marknaden, t.ex. lämnar råd till kunder i Sverige eller utför transaktioner på en svensk marknadsplats.

4 kap. Krav för att få licens

1 §För att få licens måste sökanden:

  1. vara anställd av ett anslutet företag,

  2. vara lämplig att inneha licens, vilket ska prövas och intygas av det anslutna företaget,

  3. avlägga godkänt licensieringstest, och om licensieringstest har avlagts tidigare än året innan det kalenderår då licensen söks, genomföra närmast föregående års årliga kunskapsuppdatering enligt 5 kap. samt om licensansökan behandlas under december månad och licensieringstest avlagts tidigare än under innevarande kalenderår, genomföra innevarande års årliga kunskapsuppdatering, och

  4. förbinda sig att följa regelverket och underkasta sig Swedsecs och disciplinnämndens beslut.

Kommentar

Punkt 1

Anställda hos ett anknutet ombud eller anknuten försäkringsförmedlare betraktas enligt 2 kap. 4 § som anställda i det anslutna företaget och detsamma gäller enligt 2 kap. 5 § vissa uppdragstagare.

Punkt 2

Vad avser lämplighetsprövningen, se 8 kap. 4–5 §§.

Punkt 3

Enligt tidigare övergångsregler kunde licens också erhållas utan godkänt licensieringstest, s.k. erfarenhetslicens. Den tidigare regeln om att erfarenhetslicens förföll vid byte av arbetsgivare har tagits bort.

Matrisen nedan åskådliggör vilka års årliga kunskapsuppdateringar som vid ansökan om licens ska genomföras beroende på när godkänt licensieringstest avlagts.

Licensieringstest avlagt

Innevarande års årliga kunskapsuppdatering

Närmast föregående års årliga kunskapsuppdatering

Innevarande år

Behöver inte genomföras.

Behöver inte genomföras.

Närmast föregående år

Genomförs senast den 30/11 om licens söks under januari–november.

Genomförs före licensansökan om licensansökan behandlas i december.

Behöver inte genomföras.

Tidigare år än ovan
Notera att för ansökan om licens gäller ett godkänt licensieringstest i fem år, se 14 kap. 4 §.

Genomförs senast den 30/11 om licens söks under januari–november.

Genomförs före licensansökan om licensansökan behandlas i december.

Genomförs före licensansökan.

Punkt 4

Det är inte förrän sökanden har förbundit sig att följa regelverket m.m. som han eller hon kan få licens. Det anslutna företaget måste därför se till att de anställda gör de godkännanden m.m. som krävs i onlinetjänsten. Om så inte sker har inte sökanden licens och företaget riskerar att bryta mot bestämmelsen i 3 kap. 1 § om att se till att ha endast licenshavare för vissa befattningar och arbetsuppgifter.

2 §Regelverket gäller för licenshavaren från den dag då han eller hon har blivit licensierad av Swedsec.

Kommentar

Från det att licenshavaren blivit licensierad gäller även regelverksändringar enligt 17 kap.

3 §Den vars licens har återkallats enligt 10 kap. 2 eller 3 § eller skulle ha återkallats om personen alltjämt varit licenshavare enligt 10 kap. 9 § kan inte erhålla ny licens förrän tre år har gått sedan licensen slutligt återkallades eller beslut enligt 10 kap. 9 § meddelades av disciplinnämnden. Om disciplinnämnden beslutat att återkallelsen ska vara eller skulle ha varit tillfällig gäller dock den tidsfrist som disciplinnämnden har bestämt.

4 §Den vars licens har återkallats utan tidsbegränsning, måste genomföra nytt licensieringstest med godkänt resultat för att få licens.

5 §Beteckningen ”Swedsec-licensierad®” eller liknande får i förhållande till allmänheten och kunder användas endast av licenshavare med aktiv licens.

Kommentar

”Swedsec-licensierad®” är ett registrerat varumärke.

5 kap. Årlig kunskapsuppdatering

1 §Ett anslutet företag ska se till att licenshavare som är anställda i det anslutna företaget håller sina kunskaper uppdaterade i enlighet med de kunskapskrav som fastställs enligt 13 kap. 2 §. Uppdateringen ska genomföras genom en elektronisk utbildning med avslutande test som visar att licenshavaren har tillgodogjort sig kunskaperna. Kravet gäller inte licenshavare med vilande licens.

Kommentar

Bestämmelsen ställer krav på den årliga kunskapsuppdateringens innehåll och form. Uppdateringen ska dels uppfylla de krav som fastställts av prövningsnämnden enligt 13 kap. 2 § och dels ske genom en elektronisk utbildning, t.ex. e-learning, som avslutas med kontrollfrågor. Vad det anslutna företaget rapporterar in (enligt 4 §) är att licenshavarna har uppdaterat sina kunskaper inom relevanta områden och att detta gjorts på det sätt som regelverket kräver.

2 §Licenshavaren är skyldig att genomföra den årliga kunskapsuppdatering som det anslutna företaget kräver.

Kommentar

Licenshavaren ska genomföra den årliga kunskapsuppdateringen i enlighet med de kunskapskrav som motsvarar de licensieringstester som ligger till grund för licensen och licenshavarens aktuella befattning och arbetsuppgifter. Detta innebär exempelvis att en licenshavare som har avlagt licensieringstesterna för rådgivare och bolån och har arbetsuppgifter som inkluderar bägge områden ska göra ÅKU enligt kunskapskraven för både rådgivare och bolån. Om licenshavaren har upphört att arbeta med t.ex. bolån och alltså enbart arbetar med rådgivning behöver han eller hon inte heller genomföra ÅKU för bolån utan bara genomföra ÅKU för rådgivare.

3 §Kravet på årlig kunskapsuppdatering gäller inte för den som har vilande licens. Ska den vilande licensen aktiveras krävs dock att licenshavaren före aktivering har genomgått närmast föregående års årliga kunskapsuppdatering, såvitt inte licenshavaren meddelats dispens av Swedsec.

Kommentar

Innevarande års kunskapsuppdatering ska, såsom för övriga licenshavare med aktiv licens, genomföras och rapporteras in till Swedsec före utgången av november månad, se 5 kap. 4 §. Sker aktivering i december månad, ska årlig kunskapsuppdatering för såväl närmast föregående som innevarande år ha genomförts före aktiveringen. Licenshavare som beviljats licens (varmed inte avses aktivering av vilande licens) under föregående år och vars licens därefter vilandeförklarats behöver inte genomgå föregående års årliga kunskapsuppdatering före aktivering. Swedsec kan meddela dispens från kravet på årlig kunskapsuppdatering om licenshavaren, till följd av att dennes arbetsuppgifter bytt inriktning, avlägger ett nytt licenseringstest enligt 6 kap. 8 §.

4 §Anslutna företag ska före utgången av november månad varje år till Swedsec rapportera in vilka av företagets licenshavare som har fullgjort kunskapsuppdatering.

Inrapportering enligt första stycket ska göras via onlinetjänsten.

Kommentar

För att hinna samla in uppgifter om vilka licenshavare som har genomfört uppdateringen bör företagen internt sätta en tidigare frist än den 30 november.

5 §Om en licenshavare inte fullgör kunskapsuppdatering enligt regelverket kan Swedsec besluta att licensen ska förfalla, om inte licensen ska förklaras vilande enligt 6 kap. 4 §. Swedsec ska informera anslutet företag innan beslut om förfall fattas.

Kommentar

Enligt 4 § ska företagen rapportera in vilka anställda som har genomfört sin kunskapsuppdatering. Om det i en sådan rapport saknas uppgifter om någon licenshavare kontaktar Swedsec det anslutna företaget för att kontrollera om det skett av misstag eller om licensen ska vilandeförklaras. Först om företaget meddelar att licenshavaren inte kommer att genomföra kunskapsuppdateringen och någon vilandeförklaring inte är aktuell kan det bli fråga om beslut om att licensen ska förfalla.

6 kap. Vilandeförklaring, förfall och aktivering av licens

1 §För licenshavare med vilande licens gäller samma regler som för licenshavare med aktiv licens, med undantag för kravet på årlig kunskapsuppdatering i 5 kap. 1 §.

Vilande licens på grund av föräldraledighet, tjänstledighet m.m.

2 §Ett anslutet företag kan ansöka om att en licenshavares licens förklaras vilande om skäl till detta föreligger, t.ex. om licenshavaren ska vara föräldraledig, tjänstledig av annan anledning, arbetsbefriad eller byta arbetsuppgifter.

Ansökan enligt första stycket ska göras via onlinetjänsten.

Vilande licens på grund av att anställningen har upphört

3 §Upphör en licenshavares anställning i ett anslutet företag, ska licensen förklaras vilande på ansökan av det anslutna företaget.

Vad som anges i första stycket gäller också om ett anknutet ombud som avses i 2 kap. 4 § börjar bedriva annan tillståndspliktig verksamhet.

Kommentar

För sådana uppdragstagare som avses i 2 kap. 5 § innebär första stycket att licensen vilandeförklaras när uppdraget i det anslutna företaget avslutas. Om licenshavaren får ett nytt uppdrag i ett anslutet företag, ska det företaget aktivera licensen igen om den anställde ska arbeta med licenspliktig verksamhet.

Vilande licens på grund av att årlig kunskapsuppdatering inte har genomförts

4 §Om en licenshavare på grund av sjukdom, föräldraledighet eller liknande, inte kan fullgöra sin årliga kunskapsuppdatering inom den tid som anges i 5 kap. 4 § ska licensen förklaras vilande på ansökan av det anslutna företaget.

Ansökan om vilandeförklaring ska göras via onlinetjänsten.

Vilande licens på grund av att arbetsgivarens anslutning till Swedsec har upphört

5 §Om ett företag upphör att vara anslutet till Swedsec ska licenserna för de anställda omgående förklaras vilande.

Kommentar

Motsvarande gäller för licenshavare som upphör att omfattas av bestämmelserna i 2 kap. 4 § till följd av att det anknutna ombudet eller den anknutna försäkringsförmedlaren upphör att vara anknutet ombud respektive anknuten försäkringsförmedlare.

Förfall av vilande licens

6 §Vilande licens förfaller sedan fem år har förflutit från den dag Swedsec har förklarat licensen vilande.

Aktivering av vilande licens

7 §En vilande licens kan aktiveras på ansökan av det anslutna företaget. En sådan ansökan ska göras genom en ny licensansökan via onlinetjänsten.

Kommentar

När någon med vilande licens får nytt arbete är det inte säkert att den nya anställningen kräver licens. Det anslutna företaget får göra en bedömning mot bakgrund av bestämmelserna i 3 kap.

8 §För att en vilande licens ska kunna aktiveras krävs att licenshavaren genomför årlig kunskapsuppdatering enligt 5 kap. eller att licenshavaren har genomfört ett licenseringstest de senaste tolv månaderna.

Kommentar:

För att en vilande licens ska kunna aktiveras krävs normalt att licenshavaren har genomfört närmast föregående års årliga kunskapsuppdatering, se 5 kap. 3 §.

Om licenshavarens arbetsuppgifter bytt inriktning och denne därför har genomfört ett licenseringstest under tolvmånadersperioden innan aktiveringen kan Swedsec bevilja licenshavaren dispens från kravet på årlig kunskapsuppdatering.

9 §Vid aktivering av en vilande licens ska det anslutna företaget pröva om licenshavaren är lämplig för att ha licens och intyga detta i licensansökan i onlinetjänsten.

Kommentar

Angående lämplighetsprövningen se 8 kap. 4–5 §§.

7 kap. Dispens

Dispens från licensieringstest

1 §Swedsec får utfärda licens utan att sökanden avlagt licensieringstest om övriga förutsättningar enligt 4 kap. 1 § är uppfyllda och om synnerliga skäl föreligger.

Om Swedsec ingått avtal om ömsesidigt godtagande av annans test får Swedsec även utfärda licens enligt de förutsättningar som angetts i överenskommelsen.

Kommentar
Första stycket

Möjligheten att få licens utan att genomgå licensieringstest kan exempelvis tillämpas i fall då sökanden bedöms ha tillräcklig kompetens men särskilda omständigheter föranleder avsteg från kravet på licensieringstest. Bestämmelsen ska tillämpas restriktivt. Avsikten med bestämmelsen är inte att återinföra en möjlighet att kunna få licens grundad på lång erfarenhet.

Dispens från kravet på licens

2 §Om det föreligger särskilda skäl får Swedsec ge en tidsbegränsad dispens från kravet på att ha licens enligt 3 kap. 1 §.

Sådan dispens får också ges utan tidsbegränsning om synnerliga skäl föreligger.

Kommentar
Första stycket

En nyanställd befattningshavare ska enligt 8 kap. 1 §, senast inom sex månader vara licensierad. Den tidsfristen bör normalt räcka för att hinna studera och genomföra ett test. I undantagsfall kan det dock behövas längre tid och dispensregeln kan då tillämpas. Det kan också finnas andra situationer när sådan tidsbegränsad dispens kan komma ifråga. Den som inte omfattas av 50 procentkravet i 3 kap. 1 § första stycket 13 och som minskar sin arbetstid på grund av sjukdom, föräldraledighet eller liknande men behåller sina arbetsuppgifter avseende t.ex. ordermottagning och därmed kommer över 50 procentgränsen ska kunna få dispens under en viss tidsperiod. Likaså kan den som bara ska arbeta en kort tid inom det licenspliktiga området få dispens enligt denna paragraf. Det kan t.ex. röra sig om en person som uppfyller motsvarande kunskapskrav i annat land och som under en begränsad tid ska utföra arbetsuppgifter i Sverige vilka kräver licens.

Andra stycket

Bestämmelsen kan tillämpas t.ex. när licenskravet grundas på regeln i 3 kap. 1 § första stycket 1–5 men där det faktiska ansvaret till följd av det anslutna företagets organisation delegerats till annan, som innehar licens. Bestämmelsen kan också tillämpas på anställda som enbart arbetar med försäkringsdistribution, enligt 3 kap. 1 § p. 9, och är licensierade av en annan organisation, för att undvika dubbla licenser. För att dispens ska bli aktuell i dessa fall krävs därutöver att licensieringssystemet i fråga motsvarar Swedsecs system i väsentliga delar. Personen i fråga ska exempelvis ha genomgått ett test hos den andra organisationen och licensen ska kunna återkallas vid regelöverträdelser.

Dispens från årlig kunskapsuppdatering

3 §Om det föreligger särskilda skäl får Swedsec ge tidsbegränsad dispens för att möjliggöra för sökanden att genomföra ej tidigare fullgjord kunskapsuppdatering.

Kommentar

Enligt 6 kap. 4 § kan licensen förklaras vilande om licenshavaren inte kan genomföra den årliga kunskapsuppdateringen i tid på grund av sjukdom, föräldraledighet eller annan liknande orsak. Vilandeförklaring innebär att licenshavaren inte kan utföra vissa arbetsuppgifter (se 3 kap. 1 § första stycket). Dispens enligt denna bestämmelse är i första hand till för licenshavare som är aktiva inom det licenspliktiga området och behöver ytterligare tid för att genomföra den årliga kunskapsuppdateringen. Dispensmöjligheten kan också användas av licenshavare som återkommer från en längre tjänstledighet eller som av andra skäl inte har haft aktiv licens under en längre period. Utan dispensmöjlighet skulle licenshavaren inte omedelbart kunna utföra sina arbetsuppgifter. Licenshavaren måste först uppdatera sina kunskaper innan licensen kan aktiveras. Detta kan leda till att licenshavaren under en eller flera dagar inte kan utföra sina ordinarie arbetsuppgifter. Bestämmelsen ger Swedsec en möjlighet att, om det finns särskilda skäl, lämna dispens under en begränsad tid så att licenshavaren kan utföra sina arbetsuppgifter tills kunskapsuppdateringen genomförts.

Dispensmöjligheten ska tillämpas restriktivt. Den dispens som kan komma ifråga bör vanligtvis inte överstiga en vecka. Huvudregeln är således att licensen ska förklaras vilande.

Ansökan om dispens

4 §Ansökan om dispens enligt 1–3 §§ ska göras av det anslutna företaget.

Kommentar

Ansökan enligt 1 §, 2 § första stycket och 3 § ska göras via onlinetjänsten. I vissa fall kan dock krävas att ansökan kompletteras med bilaga/or, t.ex. intyg, som fysiskt ges in till Swedsec.

8 kap. Anslutna företags skyldigheter

Skyldigheter mot Swedsec, kunder och anställda

1 §Ett anslutet företag ska se till att endast anställda med aktiv licens, eller anställda med dispens från licenskravet, har de befattningar eller arbetsuppgifter som anges i 3 kap. 1 § första stycket i Sverige.

Skyldigheten enligt första stycket inträder sex månader från det att företaget har anslutit sig till Swedsec.

Nyanställda ska ha aktiv licens inom sex månader från att den anställde fick den aktuella befattningen eller arbetsuppgifterna.

Kommentar

Alla anställda som anges i 3 kap. 1 § ska ha licens. Ett anslutet företags ansvar omfattar såväl egna anställda, som anställda hos anknutna ombud och anknutna försäkringsförmedlare som inte bedriver annan tillståndspliktig verksamhet, se 2 kap. 4 §. Det ankommer på det anslutna företaget att bedöma vilket eller vilka licensieringstest som anställda ska genomföra, se om de olika testen i kommentaren till 14 kap. 1 §. Detta gäller både vid nyanställning och vid byte av arbetsuppgifter. Dessa bedömningar ska göras på ett ansvarsfullt och omdömesgillt sätt.

När ett företag ansluter sig till Swedsec ska företaget så snart som möjligt, och senast inom sex månader ha licensierade befattningshavare på de befattningar som anges i 3 kap. 1 §. För nyanställda gäller samma frist på sex månader. Företagen måste bevaka att de anställda genomgår ett godkänt test innan fristen löper ut. I vissa fall finns det lagkrav på att ha avlagt ett godkänt kunskapstest innan man utför vissa arbetsuppgifter. Det gäller exempelvis för den som arbetar med investeringsrådgivning, försäkringsförmedling och bolån. Anställda med sådana arbetsuppgifter måste således, oavsett fristerna i bestämmelsen, genomföra test innan de självständigt kan utföra sådant arbete.

2 §Ett anslutet företag ska verka för att företagets kunder, när de begär det, ska få biträde av licenshavare med en aktiv licens.

Skyldigheter att lämna upplysningar, underrättelser, intyg m.m.

3 §Ett anslutet företag är skyldigt att på Swedsecs skriftliga begäran lämna de upplysningar till Swedsec som Swedsec begär och behöver för tillämpning av regelverket.

3 a §Ett anslutet företag är skyldigt att omgående underrätta Swedsec om företaget inte längre har tillstånd att bedriva verksamhet, eller om andra omständigheter som kan påverka företagets anslutning till Swedsec.

Kommentar

För företag med tillstånd till någon av de verksamheter som anges i 2 kap. 1 § gäller underrättelseskyldigheten om företaget inte längre har tillstånd, antingen för att tillståndet har återkallats eller för att företaget självt har återlämnat tillståndet. För företag som har anslutits med stöd av undantagsregeln i 2 kap. 2 § avser underrättelseskyldigheten omständigheter som legat till grund för anslutningen, t.ex. verksamhetens inriktning, ägarförhållanden m.m.

Lämplighetsprövning

4 §Ett anslutet företag är skyldigt att göra en allsidig lämplighetsprövning för en anställd som ska inneha licens.

Kommentar

Lämplighetsprövningen ska syfta till att minimera risken för att olämpliga personer blir licenshavare. Att det ställs höga krav på lämplighet och regelefterlevnad på den personal som ska vara licensierad är av stor vikt för allmänhetens förtroende för den verksamhet som de anslutna företagen bedriver. Lämplighetsprövningen ska ge underlag för det anslutna företaget att göra en relevant bedömning av den anställdes eller det anknutna ombudets förutsättningar som licenshavare, oavsett om denne tidigare haft licens hos annat anslutet företag. Vid det anslutna företagets prövning ska hänsyn tas till den anställdes omdöme, integritet och självständighet etc. Hänsyn ska tas till om den anställde har dömts för brott som kan rubba förtroendet för den anställde, har meddelats näringsförbud, försatts i konkurs eller meddelats disciplinpåföljd av Swedsecs disciplinnämnd. Exempelvis kan personen i fråga inte arbeta med licenspliktig verksamhet om licensen har återkallats. Det bör observeras att varning och erinran innebär att disciplinnämnden har ansett att licenshavaren kan fortsätta arbeta med licenspliktig verksamhet och innebär således inte i sig att personen inte kan anses lämplig för licens. För den som har eller har haft licens från anställning i annat anslutet företag är det av vikt att det anslutna företaget kontrollerar registerutdraget enligt 7 §. Som hjälp vid de anslutna företagens lämplighetsbedömning finns en vägledning på Swedsecs webbplats.

5 §När ett anslutet företag ansöker om licens för en anställd ska det via onlinetjänsten dels intyga att sökanden är anställd i det anslutna företaget, dels intyga att en lämplighetsprövning enligt 4 § utförts samt att den anställde är lämplig att inneha licens.

6 §Ett anslutet företag ska senast inom tio bankdagar, via onlinetjänsten, underrätta Swedsec om en licenshavares anställning har upphört. Företaget ska vid underrättelsen ange om anställningens upphörande har haft eller inte har haft samband med en överträdelse enligt 8 §.

Kommentar

Om det anslutna företaget anger att anställningens upphörande har haft samband med överträdelse innebär det att företaget fattat beslut om att anmäla regelöverträdelse till Swedsec. Jämför även bestämmelsen om skyldigheten att snarast anmäla regelöverträdelse i 8 §.

7 §Anställer ett anslutet företag en person som har licens bör företaget kontrollera registerutdraget som licenshavaren på begäran ska uppvisa, se 15 kap. 9 §.

Kommentar

Av registerutdraget framgår pågående disciplinärenden, beslutade disciplinpåföljder och om avslutandet av licenshavarens föregående anställning har haft samband med regelöverträdelse som har eller ska anmälas enligt 8 §. Exempelvis kan personen i fråga inte arbeta med licenspliktig verksamhet om licensen har återkallats. Det bör observeras att varning och erinran innebär att disciplinnämnden har ansett att licenshavaren kan fortsätta att arbeta med licenspliktig verksamhet och innebär således inte i sig att personen inte kan anses lämplig för licens. Uppgifter om ett pågående disciplinärende eller att avslutandet av licenshavarens föregående anställning har haft samband med regelöverträdelse innebär i sak att frågan inte har avgjorts ännu. Förekomsten av en sådan uppgift bör inte i sig leda till någon annan åtgärd än att det anställande företaget tar en diskussion med licenshavaren om vad ärendet handlar om.

8 §Ett anslutet företag ska snarast skriftligen anmäla till Swedsec om en licenshavare under tiden som anställd i företaget har:

  1. överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ och det finns skäl att anta att detta kan medföra disciplinpåföljderna återkallelse av licens, tillfällig återkallelse av licens eller varning enligt 10 kap., eller

  2. begått brott eller i övrigt utanför tjänsten agerat på ett sätt som innebär att licenshavaren på grund av sina personliga förhållanden inte kan anses lämplig att ha licens.

Anmälningsskyldigheten enligt första stycket gäller även om licenshavaren har slutat sin anställning när saken upptäcks.

Anmälan ska innehålla de uppgifter som anges i 12 kap. 3 §.

Kommentar

Skyldigheten att anmäla att licenshavaren begått brott förutsätter att anslutet företag har kännedom om brottet. Något krav på det anslutna företaget att anmäla ställs inte förrän licenshavaren genom dom som vunnit laga kraft befunnits skyldig till brott. Skyldigheten att anmäla gäller även avseende anknutet ombud och anknuten försäkringsförmedlare samt tidigare anknutet ombud och tidigare anknuten försäkringsförmedlare i den mån överträdelsen har skett i ombudsverksamheten. Av sista stycket följer indirekt att det anslutna företaget förutsätts göra en inledande utredning av vad som inträffat innan en eventuell anmälan sker. En sådan utredning bör göras skyndsamt och en eventuell anmälan bör göras snarast efter det att tillräckliga uppgifter inhämtats.

En kontaktperson ska enligt 8 kap. 10 § anses vara behörig att för det anslutna företagets räkning inge anmälan. Detta gäller även om kontaktpersonen är, eller vid tidpunkten för regelöverträdelsen var, externt organiserad, dvs. anställd vid ett annat företag än det anslutna företaget.

Andra stycket

I de fall då licenshavaren har bytt arbetsgivare är den tidigare arbetsgivaren skyldig att anmäla till Swedsec om licenshavaren begått brott som har samband med verksamheten eller om denne brutit mot vad som sägs i 9 kap. 2 eller 3 §§ och det finns skäl att anta att detta kan medföra disciplinpåföljderna återkallelse, tillfällig återkallelse eller varning.

Det finns ingen bortre gräns för hur lång tid efter anställningens upphörande som det anslutna företaget har denna anmälningsskyldighet. Det kan dock uppkomma situationer när det dröjer avsevärd tid innan en överträdelse begången av en tidigare licenshavare upptäcks. Det kan inträffa att det har gått så lång tid att den begångna överträdelsen förlorar i relevans. Denna bedömning görs av det anslutna företaget som vid tveksamhet kan rådgöra med Swedsec.

Exempel på regelöverträdelser som lett till disciplinpåföljder och därför bör anmälas enligt denna bestämmelse, finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats. Observera dock att tidigare praxis även innehåller beslut med regelöverträdelser som föranlett påföljden erinran som inte ska anmälas, dock att disciplinnämnden även fortsättningsvis vid sin prövning kan meddela påföljden erinran (se 10 kap.).

9 §Om ett anslutet företag i efterhand upptäcker att en anmälan enligt 8 § inte borde ha skett, eller att uppgifter i anmälan var felaktiga, ska företaget skriftligen meddela Swedsec detta.

10 §Ett anslutet företag ska till Swedsec ange en person som ska ansvara för kontakterna med Swedsec. Han eller hon ska ha erforderlig kompetens i rättsliga frågor inom licensieringsområdet och vara väl förtrogen med regelverket. Underrättelsen ska innehålla uppgifter avseende kontaktpersonens namn, personnummer, telefonnummer och e-postadress.

Underrättelsen enligt första stycket görs på avtalet om anslutning till Swedsec.

Avtalsblanketten finns på Swedsecs webbplats. Ändrade uppgifter avseende kontaktpersonen ska göras via e-post till Swedsec.

Kontaktpersonen ska vara behörig att för det anslutna företagets räkning inge anmälan till Swedsec enligt 8 kap. 8 §.

Kommentar

I praktiken är det ofta compliance officer som tilldelas denna uppgift. Regeln innebär dock inte att en och samma person behöver sköta alla kontakter med Swedsec. Administrativa rutiner kring licensieringsförfarandet kan t.ex. delegeras till annan personal. Denna delegationsmöjlighet har markerats i regeltexten genom att ange att personen ska ”ansvara för kontakterna”. Regeln innebär endast ett administrativt ansvar. Kontaktpersonen har alltså inget personligt ansvar för att det anslutna företaget fullgör sina skyldigheter enligt regelverket.

Avgifter

11 §Anslutna företag ska betala av Swedsec fastställda avgifter. Närmare bestämmelser om avgifternas storlek, betalning m.m. meddelas av Swedsec.

Kommentar

Aktuell prislista finns på Swedsecs webbplats.

9 kap. Licenshavares skyldigheter

1 §Licenshavaren ska på Swedsecs skriftliga begäran lämna de upplysningar till Swedsec som Swedsec begär och behöver för tillämpning av regelverket.

2 §Licenshavare ska följa de lagar och andra författningar samt god sed som gäller för verksamheten. Licenshavare ska vidare följa Swedsecs regelverk och det egna företagets interna regler i den mån de grundar sig på lag, föreskrifter, andra författningar, allmänna råd eller branschrekommendationer samt även i övrigt agera på ett sätt som stämmer överens med de lämplighetskrav som ställs för att inneha licens.

Kommentar

Huvuddelen av de lagar, föreskrifter, allmänna råd och branschrekommendationer som gäller för de anslutna företagen är av näringsrättslig natur och riktar sig alltså inte direkt mot de anställda. För att de näringsrättsliga kraven ska uppfyllas fordras dock i förekommande fall att även de anställda är uppmärksamma på och följer de regler som gäller för verksamheten. De anställda måste alltså agera på ett sätt som överensstämmer med lag, föreskrifter, andra författningar, allmänna råd och branschrekommendationer oavsett om detta träffar dem direkt eller endast indirekt. Detta gäller all den verksamhet som licenshavaren sysslar med, även verksamhet som inte omfattas av det licenspliktiga området. Jämför även bestämmelsen om frivillig licens i 3 kap. 3 §.

3 §Licenshavare hos anslutet företag som avses i 2 kap. 2 § ska därutöver följa det egna anslutna företagets interna regler som grundar sig på åtagande i avtal med Swedsec.

4 §I samband med att licenshavaren påbörjar ny anställning hos annat anslutet företag ska licenshavaren på begäran av företaget uppvisa ett utdrag ur Swedsecs register enligt 15 kap. 9 §.

10 kap. Disciplinpåföljder, vite och uteslutning av företag

1 §För licenshavare finns följande disciplinpåföljder:

  1. återkallelse av licens, 2 och 3 §§,

  2. tillfällig återkallelse av licens, 4 §,

  3. varning, 6 §, och

  4. erinran, 7 §.

För anslutna företag finns följande påföljder:

  1. vite, 10–11 §§, och

  2. uteslutning, 12 §.

Återkallelse

2 §Om en licenshavare allvarligt har överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ får disciplinnämnden återkalla licensen.

Kommentar

Återkallelsegrunden knyter an till licenshavarens skyldigheter enligt 9 kap. 2 och 3 §§. Som angetts i kommentaren under 9 kap. 2 § riktar sig huvuddelen av lagarna och föreskrifterna på finansområdet mot företagen och inte direkt mot de anställda. I många fall säkerställs ett riktigt agerande från den anställdes sida, genom företagets interna instruktioner och föreskrifter och överträdelse mot interna regler kan då innebära en överträdelse av skyldigheterna i 9 kap. 2 §. Det kan emellertid också förekomma situationer där ett visst handlingsmönster ter sig självklart och naturligt i förhållande till vad som åligger företaget t.ex. enligt den offentliga regleringen, utan att detta har uttryckligen angetts i någon skriftlig instruktion. De anslutna företagens verksamhet är omfattande och det är omöjligt och ofta heller inte önskvärt att ge uttryckliga instruktioner för alla tänkbara situationer. Företaget är ofta hänvisat till att ange vissa riktlinjer och principer för hur verksamheten ska bedrivas. För att det syfte som ligger bakom bestämmelsen ska kunna tillgodoses fullt ut kan en licens därför återkallas om en licenshavare inte har agerat på ett sätt som stämmer överens med de lämplighetskrav som ställs för att inneha licens även om detta inte uttryckligen har reglerats i interna eller externa regler riktade direkt till licenshavaren. Även brott av licenshavare som har samband med verksamheten, t.ex. förskingring av kunders medel, stöld från arbetsgivaren eller bedrägeri mot arbetsgivaren utgör sådana allvarliga överträdelser att återkallelse av licensen kan aktualiseras.

Motsvarande resonemang bör kunna tillämpas på licenshavare hos ett anknutet ombud genom det ansvar som det anslutna företaget har för det anknutna ombudet såvitt gäller ombudsverksamheten.

Exempel från disciplinnämndens avgöranden där licensen har återkallats finns i Swedsecs vägledning för anmälan av regelöverträdelser.

3 §Om en licenshavare utanför tjänsten har begått brott eller i övrigt agerat på ett sätt som innebär att denne på grund av sina personliga förhållanden inte kan anses lämplig att ha licens får disciplinnämnden återkalla licensen.

Kommentar

Bestämmelsen svarar mot den lämplighetsprövning som det anslutna företaget är skyldigt att göra i samband med att en anställd erhåller licens jfr 8 kap. 4–5 §§. Om det anslutna företaget senare finner att en licenshavare inte längre är lämplig att inneha licens mot bakgrund av begånget brott eller dennes personliga förhållanden i övrigt åligger det företaget att underrätta Swedsec om detta. De brott som här aktualiseras har begåtts utanför arbetet. Den utredning som görs kommer att utföras av polis och åklagare. Det kan komma att dröja lång tid innan det anslutna företaget får reda på att licenshavaren är föremål för misstanke om eller har dömts för brott. Skyldigheten att anmäla på grund av att licenshavaren begått brott förutsätter att anslutet företag har kännedom om brottet och något krav på det anslutna företaget att anmäla ställs inte förrän licenshavaren genom dom som vunnit laga kraft befunnits skyldig. Det är främst ekonomiska brott, vilka som regel till sin karaktär är förtroendeskadliga, som kan bli aktuella. Även annan brottslighet kan, om den bedöms vara av förhållandevis allvarlig natur, ge anledning att ifrågasätta licenshavarens lämplighet och därmed aktualisera återkallelse av licensen. Som framgår av disciplinnämndens beslut 2014:14 kan licens återkallas även för brott begångna innan licensen erhölls. Detta skiljer sig alltså från den situation då licenshavaren begår brott som har samband med verksamheten, t.ex. förskingring av kunders medel, stöld från arbetsgivaren eller bedrägeri mot arbetsgivaren. Då kan det anslutna företaget genom egen utredning klargöra de faktiska omständigheterna och det anslutna företaget kan anmäla saken till Swedsec i samband med att förhållandet upptäcks. I den situationen kan omständigheterna också vara sådana att disciplinnämnden kan avgöra ärendet innan brottet har prövats av domstol. Nämnden kan genom den utredning som det anslutna företaget förebringar, i stället för att använda återkallelsegrunden brott, efter en samlad bedömning av omständigheterna komma fram till att licenshavaren allvarligt brutit mot 9 kap. 2 eller 3 §.

4 §Om det finns skäl för det, får disciplinnämnden besluta att återkallelsen ska vara tillfällig. Sådan återkallelse gäller under den tid disciplinnämnden bestämmer, dock högst under ett år.

För att en tillfälligt återkallad licens ska kunna bli gällande igen krävs att licenshavaren genomför årlig kunskapsuppdatering enligt 5 kap.

Kommentar
Andra stycket

Det bör observeras att om kunskapsuppdatering inte genomförts, när återkallelsetiden har löpt ut, ska licensen förklaras vilande.

5 §Om Swedsec bedömer att det finns risker förenade med att en licenshavare innehar licens under tiden ett ärende utreds, kan licensen återkallas interimistiskt av Swedsec med omedelbar verkan. Sådan interimistisk återkallelse ska omprövas av disciplinnämnden senast inom 30 dagar.

Kommentar

I praktiken torde vid allvarliga överträdelser det anslutna företaget omedelbart, när händelsen blivit känd, reagera genom att förbjuda licenshavaren att fortsätta sitt arbete. När händelsen anmäls till Swedsec föreligger därför i normalfallet inte fara i dröjsmål. Motivet till bestämmelsen är att ge Swedsec en möjlighet för de undantagsfall som skulle kunna uppkomma genom att det anslutna företaget inte reagerar med tillbörlig snabbhet. Av rättssäkerhetsskäl ska disciplinnämnden ompröva utskottets beslut inom 30 dagar.

Varning

6 §Disciplinnämnden får meddela licenshavaren varning:

  1. när det finns grund för återkallelse men det föreligger särskilda omständigheter som gör att varning är tillräckligt, eller

  2. om överträdelsen inte är så allvarlig att det finns grund för återkallelse.

Kommentar
Punkt 1

Med särskilda omständigheter avses t.ex. att lång tid har förflutit mellan det att överträdelsen begicks och anmälan till Swedsec gjordes eller det finns andra särskilda omständigheter som gör att återkallelse framstår som en alltför ingripande åtgärd.

Exempel på disciplinärenden där licenshavare har fått varning finns i Swedsecs vägledning för anmälan av regelöverträdelser.

Erinran eller avstående från påföljd

7 §Om disciplinnämnden finner att licenshavarens överträdelse är ringa eller ursäktlig eller det annars föreligger förmildrande omständigheter, kan disciplinnämnden meddela licenshavaren erinran eller helt avstå från påföljd.

Kommentar

Exempel på disciplinärenden där licenshavare fått en erinran finns i Swedsecs vägledning för anmälan av regelöverträdelser, som finns på Swedsecs webbplats. Observera dock att överträdelser som kan antas medföra erinran inte ska anmälas, dock att disciplinnämnden vid sin prövning även fortsättningsvis kan meddela påföljden erinran (jfr 8 kap. 8 §).

Beslut om att förklara licensen ogiltig

8 §Om licens har erhållits på felaktiga grunder kan disciplinnämnden förklara licensen ogiltig.

Kommentar

Om licensen har grundats på något fel eller misstag – felaktigt beräknade testresultat, sammanblandning av personnummer eller dylikt – kan licensen ogiltigförklaras. Om licens har erhållits på grund av t.ex. falska eller oriktiga uppgifter från licenshavarens sida t.ex. uppsåtligt fusk på licensieringstestet eller felaktiga uppgifter till underlag för lämplighetsprövningen, torde det normalt innebära att licenshavaren har agerat i strid med de lämplighetskrav som ställs för att ha licens, dvs. licenshavaren har överträtt sina skyldigheter enligt 9 kap. 2 och 3 §§ och någon av disciplinpåföljderna återkallelse, varning eller erinran kan bli aktuell.

Beslut i fall där licensen har förfallit

9 §Disciplinnämnden ska i ärende avseende den vars licens förfallit pröva om skäl för disciplinpåföljd förelegat och bestämma den påföljd som skulle ha meddelats om denne fortfarande hade varit licenshavare.

Kommentar

Regeln syftar till att en tidigare licenshavares regelöverträdelser ska kunna underkastas prövning även om licensen förfallit eftersom en disciplinpåföljd påverkar möjligheten att få ny licens antingen genom att en viss tid ska förflyta efter en återkallelse av licensen eller att en varning eller en erinran kan påverka den lämplighetsprövning som det anslutna företaget ska göra enligt 8 kap. 4–5 §§.

Vite mot anslutna företag

10 §Ett anslutet företag som uppsåtligen eller av oaktsamhet underlåter att fullgöra sina skyldigheter enligt 2–8 kap. kan komma att få betala vite om minst 25.000 kr och högst 5.000.000 kr till Swedsec.

Kommentar

Detta skulle t.ex. kunna vara fallet när anslutet företag, trots påpekande från Swedsec, inte licensierat den krets av anställda som företaget har åtagit sig att licensiera enligt regelverket. En av företagets skyldigheter är att skyndsamt anmäla disciplinärenden och lämna uppgifter i ett sådant ärende. Sådana ärenden ska handläggas skyndsamt och en utebliven eller felaktig uppgift kan bero på knapphändig utredning eller att nya omständigheter framkommer i ett senare skede. Det anslutna företaget ska dock inte behöva hamna i den situationen att i efterhand tvingas betala vite trots att det varit normalt aktsamt i samband med den utredning som gjorts innan anmälan till Swedsec skedde.

11 §Styrelsen för Swedsec beslutar om vite ska utgå samt vitets storlek.

Vid bestämmande av vitets storlek ska beaktas vilka konsekvenser eller vilka risker för konsekvenser det anslutna företagets handlande eller underlåtenhet har haft för licenshavare, Swedsec, andra anslutna företag eller förtroendet för finansmarknaden. Vidare ska företagets ekonomiska ställning beaktas.

Innan beslut fattas i ärendet ska Swedsec ge det anslutna företaget tillfälle att yttra sig. Beslut om vite ska ange de skäl varpå beslutet grundas.

Uteslutning av anslutna företag

12 §Om ett anslutet företag allvarligt har åsidosatt sina skyldigheter enligt regelverket eller inte längre uppfyller kraven för anslutning enligt 2 kap. 1 eller 2 § eller om förtroendet för det på annat sätt allvarligt har skadats kan Swedsecs styrelse besluta att företaget inte längre får vara ett anslutet företag (uteslutning). Innan beslut fattas i ärendet ska Swedsec ge det anslutna företaget tillfälle att yttra sig. Beslut om uteslutning ska ange de skäl varpå beslutet grundas.

Tvistlösning

13 §Tvister mellan Swedsec och ett anslutet företag som uppstår i anledning av detta regelverk ska slutligt avgöras genom skiljedom enligt Skiljedomsregler för Stockholms Handelskammares Skiljedomsinstitut.

Skiljenämnden ska bestå av tre skiljemän.

Skiljeförfarandets säte ska vara Stockholm. Språket för förfarandet ska vara svenska och svensk lag ska tillämpas på tvisten.

Kommentar

De tvister det skulle kunna bli fråga om är t.ex. tvist om ett företag är skyldigt att betala vite, eller om det förekommer grund för uteslutning. Skiljedomsreglerna för Stockholms Handelskammares Skiljedomsinstitut ska tillämpas på förfarandet. Reglerna finns tillgängliga på handelskammarens webbplats.

11 kap. Disciplinnämnden

1 §För avgörande av frågor av disciplinär beskaffenhet och ogiltighet av licens enligt 10 kap. 8 § (disciplinärenden) finns en disciplinnämnd. Bestämmelser om förfarandet inför disciplinnämnden framgår av 12 kap. 9–23 §§.

2 §Disciplinnämndens ordförande, vice ordförande samt övriga ledamöter utses av styrelsen för Swedsec.

3 §Ordföranden leder disciplinnämndens arbete. Ordföranden kan delegera detta arbete till vice ordförande.

12 kap. Disciplinärenden

1 §Beredning och behandling av disciplinärenden ska ske rättssäkert och skyndsamt. Ett disciplinärende ska bli så utrett som dess beskaffenhet kräver.

Handläggningen av disciplinärenden hos Swedsec

2 §Ett disciplinärende kan inledas hos Swedsec genom en anmälan från ett anslutet företag eller på Swedsecs eget initiativ.

Kommentar

Det är upp till Swedsec att bedöma om ett disciplinärende ska inledas på Swedsecs initiativ. Det finns ingen bortre tidsgräns för när disciplinärende kan inledas på Swedsecs initiativ. Även andra än anslutna företag kan underrätta Swedsec om licenshavares regelbrott m.m.

3 §En anmälan av ett disciplinärende ska göras skriftligen och innehålla en redogörelse för de omständigheter som ligger till grund för anmälan. De skriftliga handlingar som åberopas ska bifogas anmälan. Anmälan ska innehålla åtminstone:

  1. en redogörelse för licenshavarens regelöverträdelse,

  2. ett utdrag av de interna regler som licenshavaren påstås ha brutit mot, och

  3. en beskrivning av konsekvenserna av regelöverträdelsen, t.ex. ekonomisk skada för kunder eller företaget.

Kommentar

För att disciplinförfarandet ska fungera krävs en utförlig anmälan från företaget som beskriver licenshavarens regelöverträdelser; när de skett, vilken omfattning och frekvens. För en skyndsam handläggning krävs att anmälan är så komplett som möjligt från början. Sedan det anslutna företaget anmält överträdelsen övertar Swedsec ansvaret för att saken utreds. Det innebär att Swedsec kan begära in kompletteringar av det anslutna företaget om anmälan är bristfällig eller om någon uppgift saknas som behövs för sakens prövning, se 4 §.

Swedsec har gett ut en skriftlig vägledning för anmälan av regelöverträdelser som löpande uppdateras. Vägledningen innehåller bl.a. information om vad en anmälan kan innehålla.

4 §Uppfyller en anmälan inte kraven i 3 § eller är den på annat sätt ofullständig ska Swedsec ge företaget en möjlighet att komplettera sin anmälan.

Swedsec får avvisa en anmälan:

  1. om komplettering inte inkommer inom förelagd tid, eller

  2. om anmälan, även efter inkommen komplettering, är så bristfällig att den inte kan läggas till grund för fortsatt handläggning av ärendet.

5 §När Swedsec ska besluta om ett ärende ska överlämnas till disciplinnämnden för prövning eller lämnas utan åtgärd samt besluta i frågor om interimistisk återkallelse av licens enligt 10 kap. 5 § får Swedsec biträdas av ett disciplinutskott.

Styrelsen för Swedsec utser ledamöterna i disciplinutskottet.

6 §Det anslutna företaget och licenshavaren ska innan Swedsec fattar beslut som avses i 5 § få ta del av allt material av betydelse för beslutet och ges tillfälle att yttra sig över materialet om det inte är uppenbart onödigt.

Kommentar

Handlingar kommuniceras endast med det anslutna företaget och licenshavaren, inte med andra som t.ex. har underrättat Swedsec om en överträdelse.

7 §När Swedsec har fattat sitt beslut, ska Swedsec meddela detta till det anslutna företaget och licenshavaren. Om beslutet innebär att disciplinärendet ska överlämnas till disciplinnämnden ska ärendet skickas till disciplinnämndens ordförande.

Kommentar

Inte heller anmälan till disciplinnämnden kommuniceras med andra än licenshavaren och det anslutna företaget.

8 §Har Swedsec beslutat att lämna ett ärende utan åtgärd får det berörda anslutna företaget, hos disciplinnämnden begära omprövning av beslutet. En begäran om omprövning ska vara skriftlig och ställd till disciplinnämnden samt ska ha kommit in till Swedsec inom tre veckor från den dag då beslutet meddelades. Disciplinnämnden ska för sådant ärende tillämpa det förfarande som anges i 9–23 §§.

Har Swedsec beslutat att delvis lämna ett ärende utan åtgärd, får det berörda företaget på sätt som anges i första stycket begära omprövning av beslutet i den eller de delar som har lämnats utan åtgärd. I sådant fall ska dock skriftlig anmälan om att företaget avser att begära omprövning ha inkommit till Swedsec senast sju bankdagar från den dag beslutet meddelades.

Handläggningen av disciplinärenden i disciplinnämnden

9 §Disciplinärenden tas upp till prövning av disciplinnämnden efter överlämnande från Swedsec.

Disciplinnämnden sammanträder på kallelse av ordföranden.

10 §De skriftliga handlingar som åberopas ska bifogas meddelandet enligt 7 §. Nämnden får kräva att handlingar i ärendet ska vara skrivna på eller översatta till svenska.

11 §Om det material disciplinnämnden mottagit från Swedsec är ofullständigt ska disciplinnämnden ge Swedsec en möjlighet att komplettera. Nämnden får avvisa ärendet:

  1. om komplettering inte inkommer inom förelagd tid, eller

  2. om materialet är så bristfälligt att det inte kan läggas till grund för fortsatt handläggning.

12 §Disciplinnämnden får när det finns skäl till det inhämta ytterligare utredning.

13 §Förfarandet i disciplinnämnden är skriftligt. Swedsec och licenshavaren kan begära att få framföra sina synpunkter muntligt inför nämnden, vilket ska medges om inte nämndens ordförande beslutar att det är obehövligt.

På Swedsecs eller licenshavarens begäran får disciplinnämndens ordförande, om det krävs för sakens prövning, kalla företaget som har gjort anmälan för att svara på frågor vid muntligt förfarande inför nämnden.

14 §Ett ärende får inte avgöras utan att Swedsec, det anmälande företaget och licenshavaren har fått kännedom om alla uppgifter i ärendet och har fått tillfälle att yttra sig över dessa, om det inte är uppenbart onödigt.

15 §Disciplinnämnden ska vid sin prövning av ärenden bestå av minst tre och högst fem ledamöter. Av dessa ska ordföranden vara lagfaren och ha erfarenhet som domare. Minst en ledamot ska vara väl insatt i förhållandena på finansmarknaden. Ordföranden får ensam fatta beslut som inte innefattar en slutlig prövning av ärendet.

Kommentar

Om ärendet är av principiell betydelse bör disciplinnämnden bestå av fem ledamöter, varvid utrymme finns för att minst två ledamöter är väl insatta i förhållandena på finansmarknaden.

16 §Som disciplinnämndens beslut gäller den mening som de flesta företräder. Vid lika röstetal har ordföranden utslagsröst. Föreligger vid överläggning till beslut skiljaktiga meningar ska omröstning ske. Då ska vad som sägs i 28 och 29 §§ förvaltningslagen (2017:900) gälla i tillämpliga delar.

17 §Disciplinnämndens beslut ska grundas på det som handlingarna innehåller och det som i övrigt har förekommit i ärendet. Beslutet ska vara skriftligt och ange de skäl som det grundas på.

18 §Beslutet ska utan dröjsmål sändas till Swedsec, licenshavaren och det anslutna företag där licenshavaren är anställd, samt det företag som har gjort anmälan. Om det finns en skiljaktig mening ska den bifogas beslutet.

Kommentar

Andra kan ta del av beslutet genom Swedsecs offentliggörande. Är licenshavaren vid tidpunkten för disciplinnämndens beslut anställd av ett annat anslutet företag än det företag som har gjort anmälan, skickas beslutet i anonymiserad form tillsammans med uppgift om den licenshavare beslutet avser, till det företag där licenshavaren är anställd.

19 §Vid disciplinnämndens sammanträden ska protokoll föras. I protokollet ska antecknas disciplinnämndens ledamöter, Swedsec, licenshavare och anmälare, ärendets beskaffenhet, beslut och skiljaktig mening. Protokoll behöver dock inte upprättas om uppgifterna framgår av ett särskilt uppsatt beslut.

Offentliggörande

20 §När beslut om disciplinpåföljd meddelats kan Swedsec informera om beslutet genom ett pressmeddelande. Disciplinnämndens ordförande och det anslutna företaget ska ges möjlighet att lämna synpunkter på pressmeddelandet.

Beslut ska offentliggöras i anonymiserad form av Swedsec.

Ombud för licenshavare

21 §Licenshavare har i ett disciplinärende rätt att anlita ombud eller biträde. Kostnaden för ombudet/biträdet ersätts till visst belopp av Swedsec enligt de närmare anvisningar som Swedsec meddelar. Begäran om ersättning (kostnadsräkning) ska ha kommit in till Swedsec inom 30 dagar från det att disciplinärendet slutligt avgjordes och innehålla en arbetsredogörelse samt uppgift om den tid som har lagts ned på uppdraget.

Kommentar

Anvisningar om ersättning till ombud finns på Swedsecs webbplats.

Jäv

22 §Den som ska handlägga ett ärende i disciplinnämnden eller disciplinutskottet är jävig

  1. om saken angår honom själv eller hans maka, förälder, barn eller syskon eller någon annan närstående,

  2. om ärendets utgång kan väntas medföra nytta eller skada för honom själv eller någon närstående,

  3. om han eller någon närstående är ställföreträdare för den som saken angår eller för någon som kan vänta nytta eller skada av ärendets utgång,

  4. om han har fört talan som ombud eller mot ersättning biträtt någon i saken, eller

  5. om det i övrigt finns någon särskild omständighet som är ägnad att rubba förtroendet till hans opartiskhet i ärendet.

23 §Den som är jävig får inte handlägga ärendet om inte frågan om opartiskhet uppenbarligen saknar betydelse. Den som är jävig får dock vidta åtgärder som inte någon annan kan vidta utan olägligt uppskov. Den som känner till en omständighet som kan antas utgöra jäv mot honom, ska självmant ge det till känna. Har det uppkommit en fråga om jäv mot någon och har någon annan inte trätt i dennes ställe, ska nämnden eller utskottet snarast besluta i jävsfrågan. Den som jävet gäller får inte delta i prövningen av jävsfrågan.

13 kap. Prövningsnämnden

1 §Styrelsen för Swedsec utser en prövningsnämnd. Ledamöterna ska ha allsidig och djup kännedom om finansmarknaden.

2 §Prövningsnämnden ska bestämma vilka kunskapskrav som ska gälla för licensieringstesterna och de årliga kunskapsuppdateringarna. Prövningsnämnden ska se till att kraven motsvarar finansmarknadens utveckling och att licensieringstesterna svarar mot kunskapskraven.

3 §Swedsec ska informera de anslutna företagen om kunskapskraven.

Kommentar

Kunskapskraven finns på Swedsecs webbplats.

14 kap. Licensieringstest

1 §Swedsec utformar licensieringstester samt rutiner för att genomföra och bedöma test.

Kommentar

Swedsec tillhandahåller olika tester för de olika personalkategorier som enligt 3 kap. 1 § ska ha licens.

Anställda som har de befattningar eller arbetsuppgifter som anges under kategori A i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för ledning och kontrollfunktioner eller Swedsecs licensieringstest för värdepappersmarknaden eller övergångsbestämmelsen enligt punkten 4.18 i Swedsecs regelverk 2001-07-01 (erfarenhetslicens).

Anställda som har de arbetsuppgifter som anges under kategori B i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för rådgivare eller Swedsecs licensieringstest för värdepappersmarknaden eller punkten 1 i övergångsbestämmelsen i 2013 års regelverk eller äldre övergångsbestämmelse (erfarenhetslicens). En person med licens grundad på Swedsecs licensieringstest för värdepappersmarknaden har inte därigenom genomfört kunskapstest som uppfyller kunskapskraven eller kraven på erfarenhet i Finansinspektionens föreskrifter och allmänna råd om försäkringsdistribution (4 kap. i FFFS 2018:10), varför en sådan licenshavare, inte enbart med stöd av sin licens, är behörig att förmedla försäkringar.

Anställda som har de arbetsuppgifter som anges under kategori C i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för specialister eller Swedsecs licensieringstest för värdepappersmarknaden eller äldre övergångsbestämmelse (erfarenhetslicens).

Anställda som har de befattningar eller arbetsuppgifter som anges under kategori D i 3 kap. 1 § första stycket bör ha licens grundad på Swedsecs licensieringstest för bolån.

Verksamheten i olika företag skiljer sig dock åt, och det är upp till det enskilda företaget att bedöma vilket licensieringstest som bäst stämmer överens med den enskilde anställdes arbetsuppgifter.

2 §Swedsec ska erbjuda tillfälle till licensieringstest i tillräcklig omfattning. Licensieringstesten ska äga rum på tid och plats som bestäms av Swedsec.

3 §På Swedsecs webbplats ska det framgå när och var licensieringstest äger rum och vad som krävs för deltagande.

4 §Bedömning av om licensieringstest är godkänt ska göras i enlighet med av Swedsec fastställda rutiner. För ansökan om licens gäller ett godkänt test i fem år.

Kommentar

Skriftligt intyg över godkänt licensieringstest kan hämtas via onlinetjänsten. Gallring av licensieringstester sker i enlighet med Swedsecs vid var tid gällande principer.

15 kap. Sekretess och register

Sekretess

1 §Swedsec får inte obehörigen röja eller utnyttja information om anslutna företag, licenshavare eller någon annans affärsförhållanden eller personliga förhållanden som Swedsec fått del av med anledning av fullgörandet av sitt uppdrag enligt dessa regler.

Den som är eller varit knuten till Swedsec som anställd eller uppdragstagare får inte obehörigen röja eller utnyttja vad denne i anställningen eller uppdraget har fått veta om anslutna företag, licenshavare eller någon annans affärsförhållanden eller personliga förhållanden.

Swedsec ska se till att anställda och uppdragstagare undertecknar en sekretessförbindelse med det innehåll som anges i andra stycket.

Kommentar

Bestämmelsen är likartad bestämmelserna om tystnadsplikt i 1 kap. 10 § lagen (2004:297) om bank- och finansieringsrörelse och 1 kap. 11 § lagen (2007:528) om värdepappersmarknaden, men täcker en vidare personkrets än dessa regler. Obehörighetsbegreppet ska tolkas på samma sätt som i bankrörelselagstiftningen, dvs. lämnar Swedsec ut upplysningar på grund av att Swedsec enligt lag är skyldigt att göra det, anses inte Swedsec handla obehörigt. Ett exempel är upplysningar till Finansinspektionen, som inspektionen har begärt med stöd av 6 kap. 1 a § lagen (1991:980) om handel med finansiella instrument.

2 §Swedsec ska ha interna instruktioner för hur handlingar innehållande sekretessbelagd information som lämnas till Swedsec ska hanteras och förvaras.

Register

3 §Swedsec ska föra register över uppgifter om licenshavare och f.d. licenshavare.

Kommentar

Swedsec för register i onlinetjänsten. I onlinetjänsten sparas uppgifter t.ex. om vilket/vilka av Swedsecs tester som licenshavare har genomfört, årliga kunskapsuppdateringar, dispenser, vilandeförklarande av licens och disciplinpåföljder. Gallring av uppgifter i onlinetjänsten sker i enlighet med Swedsecs vid var tid gällande principer.

4 §Uppgifter om licenshavare, som har aktiv licens, avseende licenshavarens namn och anslutet företag ska vara offentliga på Swedsecs webbplats. Swedsec får även göra uppgifter om vad licensen grundas på offentliga på webbplatsen.

5 §Uppgifter om disciplinpåföljderna återkallelse, tillfällig återkallelse eller varning ska sparas i registret. Från den dag disciplinpåföljden beslutades sparas uppgift om återkallelse eller tillfällig återkallelse i tre år och uppgift om varning i två år.

Kommentar:

Från och med 1 januari 2023 har anmälningsskyldigheten för överträdelser ändrats till att avse återkallelse, tillfällig återkallelse eller varning, dock att påföljden erinran fortfarande kan meddelas av disciplinnämnden. Mot bakgrund av att anmälan om överträdelse inte ska ske om överträdelsen kan antas leda till påföljden erinran gäller bestämmelsen om hur länge uppgifter ska sparas endast uppgifter om återkallelse, tillfällig återkallelse eller varning.

6 §Uppgifter om pågående disciplinärende ska sparas i registret från det att ärendet inleddes fram tills disciplinärendet avslutats.

Kommentar

Ett disciplinärende ska anses vara avslutat när disciplinnämnden fattat ett beslut i ärendet eller i fall när disciplinutskottet beslutat att lämna ärendet utan åtgärd när besvärsfristen, inom vilken det anmälande företaget kan begära omprövning, har löpt ut.

7 §Uppgift om att licenshavarens upphörda anställning har haft samband med överträdelse som har anmälts eller ska anmälas enligt 8 kap. 8 § ska sparas i registret fram tills disciplinärende inleds, dock längst i tre år från den dag uppgiften lämnades.

8 §Uppgifter enligt 5–7 §§ är tillgängliga för licenshavaren själv.

9 §Licenshavare har rätt att få ett utdrag ur registret som visar disciplinpåföljder, pågående disciplinärenden och uppgift om att licenshavarens upphörda anställning har haft samband med överträdelse som har anmälts eller ska anmälas enligt 8 kap. 8 §. Licenshavaren kan skriva ut ett sådant utdrag i onlinetjänsten.

Kommentar

Uppgifter om disciplinpåföljder och pågående ärenden i sig är inte sådana känsliga uppgifter eller uppgifter om brott och brottspåföljder vars behandling är särskilt reglerad i dataskyddsregleringen. Däremot kan uppgifter i vissa beslut från disciplinnämnden vara det. Uppgifterna som ska finnas i registret är enbart uppgifter om vilken disciplinpåföljderna återkallelse, tillfällig återkallelse eller varning som har beslutats, inte skälet till påföljden. Liksom andra personuppgifter måste det finnas ett syfte med registreringen. I detta fall är syftet dels att de anslutna företagen genom kontroll enligt 8 kap. 7 § ska få kännedom om påföljder, pågående ärenden eller om det finns en aktuell anmälan enligt 8 kap. 6 § om att anmälan om regelöverträdelse enligt 8 kap. 8 § har gjorts eller avses att göras, då detta ska beaktas i lämplighetsprövningen enligt 8 kap. 4 §, dels att Swedsec ska beakta tidigare disciplinpåföljder vid bedömningen av nya ärenden och kontrollera att sådant hinder att erhålla ny licens som följer av 4 kap. 3 § inte föreligger. Uppgifterna ska inte sparas längre än det är motiverat med hänsyn till syftet och högst tre år får anses vara en rimlig tid.

10 §Swedsec får göra rättelser i registret när det finns skäl till det.

16 kap. Personuppgiftsbiträde

Uppdrag som personuppgiftsbiträde

1 §Behandling av personuppgifter i onlinetjänsten omfattas av dataskyddsregleringen. Anslutet företag är i förhållande till Swedsec personuppgiftsbiträde vid genomförande av det anslutna företagets behandling av personuppgifter i onlinetjänsten. Behandlingen görs för att anslutet företag ska kunna fullgöra åtaganden enligt regelverket och avser licenshavare och andra personer som i onlinetjänsten är registrerade på företaget. Anslutet företag ska följa dataskyddsregleringen.

Anslutet företag utfäster sig att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa sitt rätta fullgörande av sina skyldigheter som personuppgiftsbiträde, vilka följer av

  1. detta regelverk,

  2. dokumenterade instruktioner som Swedsec meddelat, och

  3. dataskyddsregleringen.

Kommentar

Ett syfte med bestämmelserna i detta 16 kap. ”Personuppgiftsbiträde” är att uppfylla de krav som följer av artikel 28 i dataskyddsförordningen. Omfattningen och karaktären på anslutet företags åtaganden enligt bestämmelserna i detta kapitel i regelverket ska bedömas mot bakgrund av vad rollen som personuppgiftsbiträde faktiskt innebär. Dvs. att det rör sig om behandling av personuppgifter i en av Swedsec tillhandhållen onlinetjänst.

Av regelverket följer att anslutet företag har ett långtgående ansvar för att utföra administrativa åtgärder i onlinetjänsten, t.ex. vid ansökan om licens. Begreppet ”åtaganden” i bestämmelsen ska ges en bred tolkning och omfattar även icke obligatoriska åtgärder som anslutet företag har rätt att vidta enligt regelverket och som genomförs genom företagets åtgärd i onlinetjänsten, t.ex. licensansökan vid frivillig licensiering.

Personuppgifter avseende licenshavare och andra personer som i onlinetjänsten är registrerade på det anslutna företaget ska vid var tid vara riktiga och hållas uppdaterade.

Andra stycket

Med dokumenterade instruktioner avses instruktioner avseende hur anslutet företag ska säkerställa ett tillräckligt dataskydd, som Swedsec vid var tid publicerat på för detta ändamål särskild plats i onlinetjänsten.

Se 1 kap. 3 § för definition av dataskyddsregleringen.

Krav på lämplig säkerhetsnivå

2 §Anslutet företag ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för att skydda personuppgifter som behandlas i onlinetjänsten. Anslutet företag ska vidta alla åtgärder som krävs enligt artikel 32 i dataskyddsförordningen.

Kommentar

Anslutet företag har således ett eget ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att se till att säkerhetsnivån är tillräcklig. Vid bedömning av vad som är lämplig säkerhetsnivå ska dock beaktas att det är Swedsec som ansvarar för den tekniska driften av onlinetjänsten och att anslutet företags tillgång till onlinetjänsten normalt är begränsad till att med hjälp av dator med internetuppkoppling ha tillgång till och kunna ändra vissa personuppgifter. Det är t.ex. nödvändigt att anslutet företag har tillfredsställande rutiner för skydd av lösenord för inloggning till onlinetjänsten. Det anslutna företaget ska följa Swedsecs vid var tid tillämpliga instruktioner på området. Se 1 § avseende skyldigheten att följa dokumenterade instruktioner.

Anslutet företags åtaganden enligt denna bestämmelse grundas på artikel 28.3 c och artikel 32 i dataskyddsförordningen. Av artikel 32.1 följer bl.a. att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, varvid ska beaktas den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Vidare anges i artikel 32.2 att vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Behandling endast inom EES

3 §Personuppgifter får inte utan Swedsecs skriftliga medgivande behandlas med utrustning som fysiskt är lokaliserad utanför EES-området och får heller inte föras över, t.ex. via e-post eller på annan teknisk väg, till länder utanför EES-området.

Fysiska personers hantering av personuppgifter

4 §Anslutet företag ska säkerställa att varje fysisk person som för det anslutna företagets räkning behandlar personuppgifter i onlinetjänsten, gör detta i överensstämmelse med regelverket och av Swedsec meddelade instruktioner.

Anslutet företag ska säkerställa att fysisk person som för det anslutna företagets räkning utför behandling av personuppgifter gör detta under sekretess, vilket innebär att denne inte obehörigen får röja eller utnyttja personuppgifterna.

Kommentar
Första stycket

Instruktioner för administratörers behandling av personuppgifter finns i administratörsmanualen i onlinetjänsten.

Andra stycket

Behandling av personuppgifter ska ske under sekretess. Det finns dock situationer då genombrott i sekretessen aktualiseras. T.ex. torde det i normalfallet vara tillåtet att, avseende anställda i det anslutna företaget, använda personuppgifter från onlinetjänsten i företagets personaladministrativa arbete.

Frågor från registrerade

5 §Anslutet företag ska vara Swedsec behjälpligt avseende Swedsecs fullgörande av sin skyldighet, att gentemot anslutet företagets licenshavare och andra personer som i onlinetjänsten är registrerade på företaget, svara på sådana personers begäran om utövande av sina rättigheter grundade på dataskyddsregleringen.

Kommentar

Registrerades rättigheter enligt dataskyddsregleringen återfinns i kapitel III i dataskyddsförordningen. Anslutet företags skyldighet att vara Swedsec behjälpligt enligt denna bestämmelse sträcker sig i normalfallet inte längre än till att hjälpa licenshavare och andra som i onlinetjänsten är registrerade på företaget med att etablera kontakt med Swedsec.

Rapportering till Swedsec i vissa fall

6 §Får anslutet företag vetskap om en personuppgiftsincident, ska företaget utan onödigt dröjsmål anmäla detta till Swedsec. En sådan anmälan ska innehålla en tillräcklig beskrivning av personuppgiftsincidenten till underlag för en anmälan av Swedsec om personuppgiftsincident i enlighet med artikel 33 i dataskyddsförordningen. På Swedsecs förfrågan ska anslutet företag komplettera underlaget och även i övrigt vara behjälpligt i utredning av personuppgiftsincidenten.

Kommentar

Se 1 kap. 3 § för definition av personuppgiftsincident.

7 §Om anslutet företag anser att regelverket eller av Swedsec meddelade dokumenterade instruktioner strider mot dataskyddsregleringen eller andra dataskyddsregler, ska det anslutna företaget skriftligen underrätta Swedsec om detta.

Kommentar

Bestämmelsen tar sikte på och är således begränsad till anslutet företags roll som personuppgiftsbiträde, dvs. avseende behandling av personuppgifter i onlinetjänsten.

Underbiträde

8 §Anslutet företag får anlita personuppgiftsbiträde, s.k. underbiträde, för behandling av personuppgifter. Anslutet företag ska med respektive underbiträde träffa avtal, som ska innehålla den eller de bestämmelser som Swedsec vid var tid anger. Anslutet företag ska underrätta Swedsec om sina planer på att anlita eller ersätta underbiträde.

Swedsec har rätt att invända mot sådan anmäld förändring. Har Swedsec fog för sin invändning äger inte anslutet företag anlita eller ersätta ett underbiträde.

Kommentar

Ett underbiträde kan vara en konsult eller annan uppdragstagare. En fysisk person som är anställd av det anslutna företaget och inom ramen för sin anställning utför behandling av personuppgifter är inte att betrakta som underbiträde.

9 §Underbiträdet ska, såvitt avser sitt uppdrag som personuppgiftsbiträde, åläggas samma skyldigheter i fråga om dataskydd som det anslutna företaget har i sin egenskap av personuppgiftsbiträde. Vidare ska anslutet företag säkerställa att underbiträdet utfäster sig att vidta lämpliga tekniska och organisatoriska åtgärder för att uppfylla dataskyddsregleringen. Fullgör inte underbiträdet sina skyldigheter i fråga om dataskydd är anslutet företag ansvarigt gentemot Swedsec för underbiträdets utförande av det anslutna företagets skyldigheter som personuppgiftsbiträde.

Kommentar

Av Swedsecs mall för anslutet företags avtal med underbiträde följer att underbiträdet åtar sig skyldigheterna enligt denna bestämmelse.

Swedsecs rätt till information

10 §Anslutet företag ska, på Swedsecs begäran, utan oskäligt dröjsmål tillhandahålla Swedsec, eller en revisor som Swedsec anlitat, sådan information som Swedsec anser är nödvändig för att kontrollera att anslutet företag efterlever sina förpliktelser som personuppgiftsbiträde. För detta ändamål ska anslutet företag tillåta att Swedsec genomför kontroller, vilket inbegriper inspektioner som får utföras av Swedsec eller av Swedsec bemyndigad revisor. Vid sådana kontroller ska anslutet företag ge den assistans som behövs för genomförandet.

Kommentar

Att en personuppgiftsansvarig ska ha denna rätt gentemot personuppgiftsbiträdet följer av artikel 28.3 h dataskyddsförordningen. Bestämmelsens andra och tredje mening kan tyckas vara långtgående och torde endast i undantagsfall komma att tillämpas.

Vidarebefordran av information från Swedsec

11 §Anslutet företag ska, på Swedsecs begäran, vidarebefordra information till det anslutna företagets licenshavare och andra personer som i onlinetjänsten är registrerade på företaget.

Har personuppgiftsincident inträffat och bedömer Swedsec att licenshavare eller andra personer som i onlinetjänsten är registrerade på det anslutna företaget ska informeras om personuppgiftsincidenten, ska företaget på Swedsecs begäran utan onödigt dröjsmål vidarebefordra information från Swedsec till berörda personer.

Kommentar
Andra stycket

Swedsec ansvarar som personuppgiftsansvarig för att informera om personuppgiftsincidenter. Swedsec är dock i vissa fall beroende av att anslutet företag medverkar och vidarebefordrar informationen.

Konsekvensbedömning avseende dataskydd

12 §Om Swedsec skulle bedöma att en konsekvensbedömning avseende dataskydd som följer av artikel 35 dataskyddsförordningen ska genomföras, ska anslutet företag, med beaktande av typen av behandling och den information som företaget har att tillgå, bistå Swedsec med att se till att Swedsecs skyldigheter enligt artikeln fullgörs. Om en sådan konsekvensbedömning skulle leda till att Swedsec genomför förhandssamråd med tillsynsmyndigheten för dataskyddsfrågor i enlighet med artikel 36 dataskyddsförordningen, ska anslutet företag, med beaktande av typen av behandling och den information som företaget har att tillgå, bistå Swedsec med att se till att Swedsecs skyldigheter enligt denna artikel fullgörs.

Kommentar

Att personuppgiftsbiträdet ska ha dessa skyldigheter att bistå Swedsec vid konsekvensbedömning (artikel 35) och förhandsamråd (artikel 36) följer av artikel 28.3 f. Av artikel 35 följer att om en behandling av personuppgifter sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. Av artikel 36 följer att den personuppgiftsansvarige ska samråda med Datainspektionen före behandlingen av personuppgifter, om en konsekvensbedömning enligt artikel 35 visar att behandlingen skulle leda till hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken.

Radera kopior efter anslutningens upphörande

13 §Efter att ett företags skyldighet att vara personuppgiftsbiträde har upphört enligt 2 kap. 9 § 4, ska företaget radera befintliga kopior av personuppgifter hämtade från onlinetjänsten. Till undvikande av oklarhet gäller detta inte för personuppgifter som företaget har laglig grund för att använda i sin verksamhet.

Kommentar

Efter att ett företags anslutning upphört krävs vissa avslutande åtgärder i onlinetjänsten innan Swedsec stänger företagets åtkomst till onlinetjänsten. Företaget upphör då att vara personuppgiftsbiträde, se 2 kap. 9 § 4.

Av artikel 28.3 g dataskyddsförordningen följer att personuppgiftsbiträde vid uppdragets upphörande, beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna personuppgifterna och radera befintliga kopior. I och med att behandlingen i föreliggande fall sker i onlinetjänsten är återlämnande eller radering av personuppgifterna i onlinetjänsten inte aktuell. Istället stänger Swedsec företagets åtkomst till onlinetjänsten. Däremot kan bestämmelsen aktualiseras om företaget utanför onlinetjänsten har sparat kopior av personuppgifter. Bestämmelsen träffar dock inte situationen när företaget med stöd av laglig grund, t.ex. i sitt personaladministrativa arbete, använder samma uppgifter som också behandlats i onlinetjänsten.

17 kap. Ändring av regelverket och meddelanden

1 §Regelverket fastställs av styrelsen för Swedsec och omprövas, om inte särskilda omständigheter föranleder annat, årligen. Beslut om ändring av regelverket tillkännages på Swedsecs webbplats. På webbplatsen anges också när en ny version av regelverket träder i kraft.

2 §Inför regeländringar ska Swedsec inhämta synpunkter från de anslutna företagen.

Kommentar

Detta sker normalt genom att föreslagna ändringar skickas ut på remiss till de anslutna företagen i god tid innan de eventuellt antas.

3 §Kommunikation – anmälningar, rapporter m.m. – enligt detta regelverk ska ske på det sätt Swedsec bestämmer.

Kommentar

Huvudsakligen sker anslutna företags och licenshavares kommunikation med Swedsec via onlinetjänsten. Det är där man ansöker om licens, anmäler sig för test, rapporterar in årliga kunskapsuppdateringar m.m.

Ikraftträdande

Regelverket träder i kraft den 1 januari 2024.

Övergångsbestämmelser

  1. För företag som har anslutit sig i enlighet med reglerna om koncernanslutningar före den 31 december 2019 fortsätter de tidigare reglerna gällande koncernanslutning att gälla.

  2. Licenshavare är skyldiga att självmant lämna in licensbevis till det anslutna företaget för förstörelse alternativt själva förstöra licensbeviset. I det fall licensbevis samlats in ska anslutna företag förstöra dessa.