VPS har fastsatt endringer i Regelverk og Standardvilkår for å gjennomføre GDPR

VPS og kontoførerne har felles behandlingsansvar for behandling av personopplysninger i registreringsvirksomheten. Ansvarsfordelingen mellom VPS og kontoførerne er fastsatt i Regelverk og Standardvilkår. VPS har på bakgrunn av GDPR gjort endringer i ansvarsreguleringen. Endringene trer i kraft 17. februar 2020.

GDPR viderefører i stor grad personvernreglene fra det tidligere direktivet og den tidligere personopplysningsloven av 2000, men stiller også nye krav. GDPR stiller blant annet krav til at ansvarsforholdet mellom VPS og kontoførerne i registreringsvirksomheten tydeliggjøres. Ansvarsfordelingen følger oppgavefordelingen i kontoførermodellen. Det felles behandlingsansvaret gjelder ikke VPS’ tilleggstjenester og oppgjørsvirksomheten.

Etter endringen blir regelverket for behandling av personopplysninger slik:
• VPS og kontoførere har felles behandlingsansvar for personopplysninger i registreringsvirksomheten
• VPS skal sørge for at behandling av personopplysninger som er registrert i VPS Registeret oppfyller kravene i personvernregelverket, herunder kravene til lagring, sikring og sletting
• Kontofører skal tilsvarende sørge for at behandling av personopplysninger i kontoførervirksomheten oppfyller kravene i personvernregelverket
• Den som innhenter og registrerer personopplysninger er ansvarlig for å gi informasjon ved innsamlingen og holde opplysningene oppdatert
• VPS og kontofører skal ha rutiner for å etterleve kravene, og kunne dokumentere dette
• Kontofører er ansvarlig for å behandle krav fra kontohavere og andre om utøvelse av rettigheter etter GDPR, samt innsynsbegjæringer fra investor og innehaver av begrensede rettigheter etter verdipapirregisterloven. VPS skal bistå kontofører når det er nødvendig
• Den som oppdager et personvernbrudd skal varsle den ansvarlige. Ansvarlige for brudd skal håndtere bruddet og informere den uten ugrunnet opphold og senest innen 36 timer

Disse reglene vil bli videreført i nytt Regelverk som trer i kraft når VPS får tillatelse til å drive verdipapirsentralvirksomhet etter CSDR.

VPS’ tilleggstjenester er dels regulert i Regelverk/Standardvilkår og dels i egne avtaler. VPS’ behandling av personopplysninger i tilknytning til VPS’ tilleggstjenester er regulert i en egen databehandleravtale. Til hver tilleggstjeneste er det utarbeidet en beskrivelse av behandlingen. Beskrivelsen inneholder informasjon bl.a. om hvem som er behandlingsansvarlig, formål, behandlingsgrunnlag, oppbevaringstid og ev. underleverandører.

VPS og oppgjørsdeltakerne har separat behandlingsansvar for personopplysninger i oppgjørsvirksomheten.

Vi ber kontoførere sende kontaktopplysninger VPS skal bruke ved personvernrelaterte henvendelser til kunde@vps.no. De som har sendt slik informasjon trenger ikke sende på nytt.