Personuppgifter

Er och era investerares integritet, konfidentialitet och personuppgifter är av största vikt för oss. Vi raderar all data automatisk 30 dagar efter ni anlitat oss.

 

Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Biträdesavtalet”) utgör en bilaga till Huvudavtalet (se definition i punkt 1.1 nedan) som ingåtts mellan IAT Innovation Sweden AB, som i Biträdesavtalet benämns ”Personuppgiftsbiträdet”, och Kunden, som i Biträdesavtalet benämns ”den Personuppgiftsansvarige” eller kollektivt parterna.

Inledning

Syftet med detta Avtal är reglera respektive parts skyldigheter och rättigheter under gällande dataskyddslagstiftning (inklusive EU:s Dataskyddsförordning som träder i kraft den 25 maj 2018) och vars bestämmelser båda parter åtar sig att följa så som närmare föreskrivs i detta Avtal.

Avtalet reglerar Personuppgiftsbiträdes behandling av Personuppgifter för den Personuppgiftsansvariges räkning och Personuppgiftsbiträdes skyldighet att upprätthålla informationssäkerhet enligt lagar och föreskrifter.

Detta Avtal har företräde framför motstridiga eller oförenliga bestämmelser om behandling av Personuppgifter i Huvudavtalet. Detta Avtal förutsätter, och är inte giltigt utan hänvisning till, Huvudavtalet.

Biträdesavtalet utgör en integrerad del av Huvudavtalet.

Definitioner

Personuppgifter: All slags information som rör en identifierad eller identifierbar person (den registrerade).

Registrerad: En identifierad eller identifierbar fysisk person. En identifierbar person är någon som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Behandling (av Personuppgifter): Varje åtgärd eller serie av åtgärder som vidtas i fråga om Personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, anpassning eller ändring, sökning, konsultering, användning, överföring, spridning eller annat tillhandahållande, sammanställning eller samkörning, blockering, radering eller förstöring.

Personuppgiftsansvarig: Fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra fastslår ändamålen och medlen för Behandling av Personuppgifter.

Personuppgiftsbiträde: Fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar Personuppgifter för den Personuppgiftsansvariges räkning.

Den registrerades samtycke: En frivillig, specifik och informerad viljeyttring genom vilken den registrerade godtar Behandlingen av Personuppgifter.

Omfattning

Detta Avtal gäller för all behandling av Personuppgifter som utförs av Personuppgiftsbiträdet för den Personuppgiftsansvariges räkning enligt Huvudavtalet. Den Personuppgiftsansvarige bekräftar att denne inte kommer att överföra, och att Personuppgiftsbiträdets skyldigheter enligt detta Avtal således inte omfattar, sådana kategorier av Personuppgifter som kan klassas som känsliga Personuppgifter enligt Dataskyddsförordningens Art. 9.1.

Personuppgiftsbiträdet ska behandla Personuppgifter enbart på uppdrag av och i enlighet med den Personuppgiftsansvariges anvisningar, som det beskrivs och har överenskommits i Huvudavtalet, givet att anvisningarna bygger på gällande dataskyddslagstiftning. De anvisningar som gäller vid Avtalets ingående är bifogade Avtalet som Bilaga 1.

Personuppgiftsbiträdet ska säkerställa en lämplig säkerhetsnivå, inbegripet sekretess, integritet och tillgänglighet till Personuppgifterna genom systematiska, organisatoriska och tekniska åtgärder, med beaktande av den senaste tekniken och kostnaden för genomförandet i förhållande till den risk som är förknippad med behandlingen och hur pass känsliga de behandlade Personuppgifterna är.

Personuppgiftsbiträdet är skyldig att ge den Personuppgiftsansvarige tillgång till information om säkerhetskontroller och andra åtgärder som Personuppgiftsbiträdet vidtagit för att skydda Personuppgifter samt efterleva dataskyddslagstiftning. Om den Personuppgiftsansvarige begär information om säkerhetskontroller utöver de standarduppgifter som Personuppgifts-biträdet tillhandahåller, kan Personuppgiftsbiträdet debitera den Personuppgiftsansvarige för sådan extra service och hjälp.

Personuppgiftsbiträdet och dennes personal ska iaktta tystnadsplikt och sekretess rörande alla dokument och Personuppgifter som de får tillgång till enligt detta Avtal. Denna bestämmelse gäller även efter Avtalets upphörande.

Personuppgiftsbiträdet kommer, genom att meddela den Personuppgiftsansvarige, möjliggöra för den Personuppgiftsansvarige att efterleva gällande dataskyddslagstiftning vad avser Personuppgiftsincidenter som kräver anmälan till tillsynsmyndighet eller information till Registrerade.

Vidare, i den mån det är praktiskt möjligt och lagligt kommer Personuppgiftsbiträdet meddela den Personuppgiftsansvarige om; (i) begäran om utlämnande av Personuppgifter som erhållits från en Registrerad utom då den Personuppgiftsansvarige godkänt Personuppgiftsbiträdet att svara på en sådan förfrågan, och (ii) begäran om utlämnande av Personuppgifter av myndigheter utom då den Personuppgiftsansvarige godkänt Personuppgiftsbiträdet att svara på en sådan förfrågan. Emellertid kan Personuppgiftsbiträdet vara förhindrad att meddela den Personuppgiftsansvarige p.g.a. förundersökningssekretess vid en brotts-bekämpande utredning. Personuppgiftsbiträdet kommer inte att lämna ut information om detta Avtal till myndigheter vad avser Personuppgifter, förutom då det är tvingande enligt lag, eller med stöd av domstolsbeslut, order om husrannsakan eller liknande.

Personuppgiftsincidenter kommer rapporteras till den Personuppgiftsansvarige genom att använda den kontaktinformation som angetts i systemet av Personuppgiftsansvarig.

Personuppgiftsbiträdet ska behandla Personuppgifter enbart för de ändamål som beskrivs i Huvudavtalet, och kommer inte på annat sätt behandla Personuppgifter för andra ändamål än de som anges i Avtalet eller enligt den Personuppgiftsansvariges instruktioner, inte heller lämna ut Personuppgifter till tredje part, med undantag av underleverantörer som är godkända av Personuppgiftsansvarige (se nedan) eller när det krävs enligt lag.

Den Personuppgiftsansvarige ska utan dröjsmål informera Personuppgiftsbiträdet om det sker en ändring av dennes kontaktperson eller dennes kontaktinformation.

Den Personuppgiftsansvariges skyldigheter

Den Personuppgiftsansvarige bekräftar genom att underteckna avtalet, att:

  • ·  Avtalet uppfyller den Personuppgiftsansvariges skyldighet att upprätta avtal om Personuppgiftsbehandling enligt dataskyddslagstiftningen i den Personuppgifts- ansvariges etableringsland.
  • ·  Den Personuppgiftsansvarige ska vid användningen av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet behandla Personuppgifterna i enlighet med gällande dataskyddslagstiftning.
  • ·  Den Personuppgiftsansvarige har befogenhet att behandla och lämna ut de Personuppgifter som omfattas av Huvudavtalet till Personuppgiftsbiträdet (inklusive dennes eventuella underleverantörer).
  • ·  Den Personuppgiftsansvarige har ensamt ansvar för riktigheten, integriteten, innehållet, tillförlitligheten och lagligheten i de Personuppgifter som lämnas ut till Personuppgiftsbiträdet.
  • ·  Den Personuppgiftsansvarige har uppfyllt alla obligatoriska krav och skyldigheter att lämna uppgifter till eller skaffa tillstånd från de registrerade eller berörda myndigheter avseende Behandling av Personuppgifterna.
  • ·  Den Personuppgiftsansvarige har fullgjort sina skyldigheter att lämna obligatorisk information till de Registrerade om Behandling av Personuppgifter och om över- lämnande av Personuppgifter till Personuppgiftsbiträdet och dennes Behandling av Personuppgifterna enligt dataskyddslagstiftningen.
  • ·  Den Personuppgiftsansvarige får vid användningen av de tjänster som tillhandahålls av Personuppgiftsbiträdet enligt Huvudavtalet inte lämna över några känsliga Personuppgifter till Personuppgiftsbiträdet.

Användning av underleverantörer och överföring av Personuppgifter

Som en del av leveransen av tjänster till den Personuppgiftsansvarige kan Personuppgiftsbiträdet använda sig av underleverantörer. Personuppgiftsbiträdet ska säkerställa att underleverantören förpliktar sig till ansvar som motsvarar de skyldigheter som fastställs i detta avtal.

Personuppgiftsbiträdet kan överföra Personuppgifter till länder där underleverantörer är lokaliserade. Om underleverantören behandlar Personuppgifter utanför EU/EES ska Personuppgiftsbiträdet på den Personuppgiftsansvariges begäran assistera den Personuppgiftsansvarige med att säkerställa lagligheten i dessa överföringar, genom användning av överföringsmekanismer godkända av EU-kommissionen, exempelvis med hjälp av EU:s standardavtalsklausuler, Privacy Shield eller annan rättslig grund som godkänts av relevant tillsynsmyndighet.

Personuppgiftsansvarig kan när som helst kräva att få en fullständig lista och uppgifter på de underleverantörer som deltar i leveransen av tjänster till den Personuppgiftsansvarige och som deltar i Behandling av Personuppgifter enligt Huvudavtalet. Genom att underteckna detta Avtal godkänner den Personuppgiftsansvarige Personuppgiftsbiträdes användning av underleverantörer enligt ovanstående.

Säkerhet

Personuppgiftsbiträdet ska uppfylla de allmänna krav på säkerhet som föreskrivs i tillämplig dataskyddslagstiftning. Dokumentation om detta ska kunna uppvisas på Personuppgifts- ansvariges begäran.

Vidare har Personuppgiftsbiträdet utvecklat interna dataskyddsbestämmelser som har till syfte att skydda konfidentialiteten, integriteten och tillgången till Personuppgifter. Följande åtgärder är särskilt viktiga i detta sammanhang:

  • ·  Klassificering av Personuppgifter för att säkerställa genomförandet av skyddsåtgärder som motsvarar riskbedömningarna.
  • ·  Begränsa tillgången till Personuppgifter genom att förbjuda personal att inhämta, bearbeta och/eller använda Personuppgifter utan tillstånd och för andra syften än att leverera tjänsten och fullgöra skyldigheterna enligt detta avtal.
  • ·  Hantera system som upptäcker, förhindrar och rapporterar tillbud.
  • ·  Kartlägga de komponenter som ingår i säkerhetsarkitekturen vid varje tidpunkt.
  • ·  Kartlägga hur Personuppgifter överförs mellan parterna (Personuppgiftsansvarig och Personuppgiftsbiträde med underleverantörer) och beståndsdelar/system som medverkar i Behandlingen av Personuppgifter.

Granskningsrätt

Den Personuppgiftsansvarige kan låta granska Personuppgiftsbiträdes efterlevnad av Huvudavtalet och detta Avtal upp till en gång per år. Om lagstiftningen kräver det kan den Personuppgiftsansvarige kräva granskningar oftare. För att begära en granskning måste den Personuppgiftsansvarige minst fyra veckor före den föreslagna granskningen lämna in en detaljerad granskningsplan till Personuppgiftsbiträdet, där omfattning, varaktighet och föreslaget startdatum för granskningen redovisas. Om granskningen ska utföras av tredje part måste detta som huvudregel avtalas mellan den Personuppgiftsansvarige och Personuppgiftsbiträde. Om behandling sker i en miljö med Personuppgifter härrörande från andra personuppgiftsansvariga eller liknande, kan Personuppgiftsbiträdet, efter eget gottfinnande, på grund av säkerhetsskäl besluta att revision ska utföras av ett allmänt väl ansett granskningsföretag som Personuppgiftsbiträdet väljer.

Om den begärda granskningen redan utförts och redovisats i en rapport enligt ISAE 3402, ISO eller liknande av en kvalificerad tredjepartsgranskare under de senaste tolv månaderna, och Personuppgiftsbiträdet bekräftar att de granskade kontrollerna inte väsentligt förändrats, godtar den Personuppgiftsansvarige dessa resultat i stället för att begära en granskning av de kontroller som omfattas av rapporten.

Granskningen ska utföras under bolagets normala kontorstider enligt Personuppgifts- biträdets policyer och får inte på ett oskäligt sätt störa Personuppgiftsbiträdes verksamhet.

Den Personuppgiftsansvarige är ansvarig för alla kostnader som uppkommer i samband med av den Personuppgiftsansvariges begärda granskningen och Personuppgiftsbiträdets assistans i detta avseende.

Avtalets varaktighet

Detta avtal är giltigt så länge Personuppgiftsbiträde behandlar Personuppgifter för den Personuppgiftsansvarige enligt Huvudavtalet.

Upphörande

Detta Avtal upphör att gälla per automatik då Huvudavtalet avslutas. Vid upphörandet av detta avtal kommer Personuppgiftsbiträdet radera alla Personuppgifter som bearbetats för den Personuppgiftsansvariges räkning enligt Avtalet samt alla kopior av uppgifterna. Personuppgiftsbiträdet kan dock, helt eller delvis, komma att behålla en kopia av Personuppgifterna som behandlats för den Personuppgiftsansvariges räkning, under samma säkerhets- och sekretesskrav som i detta Avtal, om Personuppgiftsbiträdet enligt lag eller genom sitt yrkesansvar är tvingad att göra så.

Ändringar och tillägg

Ändringar i detta Avtal kan ske på grund av förändrad lagstiftning, förändrade säkerhetskrav eller ändrade praktiska omständigheter i övrigt. I händelse av att en ändring påverkar Behandlingen av Personuppgifter enligt detta Avtal, ska den andra parten meddelas per email till dennes kontaktperson enligt ovan. Sådant meddelande om ändring ska anses som accepterat av den andra parten, såtillvida den andra parten inte gjort rimliga invändningar skriftligen senast trettio (30) dagar från dagen för tillkännagivandet.

Om någon bestämmelse i detta Avtal är verkningslös eller ogiltig, påverkas inte övriga bestämmelser. Parterna skall härtill ersätta den verkningslösa eller ogiltiga bestämmelsen med en lagenlig bestämmelse som återspeglar syftet med den verkningslösa eller ogiltiga bestämmelsen.

Ersättning

Personuppgiftsbiträdet äger rätt att debitera den Personuppgiftsansvarige för nedlagt arbete och kostnader som uppkommit på grund av att Registrerade har begärt registerutdrag avseende Behandlingen av den Registrerades Personuppgifter, radering av Personuppgifter överföring av Personuppgifter (portabilitet) eller lämnande av obligatorisk information, enligt tvingande dataskyddslagstiftning, till de Registrerade.

Ansvarsskyldighet

Ansvar för överträdelse av bestämmelserna i detta Avtal regleras, om inte annat framgår av tvingande lag, av ansvarsklausulerna i Huvudavtalet mellan parterna. Detta avser även Personuppgifter som Personuppgiftsbiträdet behållit enligt lag eller genom sitt yrkesansvar är tvingad att göra samt överträdelser som begåtts av Personuppgiftsbiträdets under- leverantörer.

Om inget annat anges i Huvudavtalet gäller för detta Avtal att Personuppgiftsbiträdet ansvarar för skada som uppstår på grund av avtalsbrott och som denne orsakat på grund av vårdslöshet. Personuppgiftsbiträdets ansvar är dock begränsat till ansvar för direkta skador och eventuell ersättningsskyldighet enligt detta Avtal kan inte överstiga ett belopp motsvarande vad den Personuppgiftsansvarige har erlagt under Huvudavtalet under en period av tolv (12) månader närmast föregående den handling eller underlåtenhet som har gett upphov till skadan.

Lagval och rättsligt forum

Detta avtal är underkastat den jurisdiktion och det rättsliga forum som anges i Huvudavtalet mellan parterna, såtillvida inte tvingande dataskyddslagstiftning i Personuppgiftsansvariges etableringsland inom EES (såsom angivet på sida 1) föreskriver att annan lagstiftning ska tillämpas vad avser dataskydd och detta Avtal speciellt.

***

 

BILAGA 1

Instruktioner för behandling av Personuppgifter

Ändamål med behandlingen

Personuppgiftsbiträdet ska behandla Personuppgifter I den utsträckning som är nödvändig för att tillhandahålla avtalade tjänster enligt Huvudavtalet.

Kategorier av registrerade

Personuppgiftsbiträdet kommer huvudsakligen att behandla uppgifter om representanter för Kundens investerare, Därutöver kan uppgifter om Kundens representant behandlas.

Kategorier av personuppgifter

Namn, personnummer, nationalitet/land, antal tilldelade aktier och investeringssumma för kategorien registrerade investerare. Därutöver registreras annan information om kontaktperson till Personuppgiftsansvarigs, såsom namn, personnummer, email och telefonnummer m.m., dock inte känsliga personuppgifter.

Kategorier av Behandlingsaktiviteter

Felavhjälpning (Support), åtkomst i samband med konsulttjänster, lagring och systemdrift.

Plats för behandling av Personuppgifter

Personuppgifterna får behandlas inom EU. För närvarande kan Personuppgiftsbiträdet eller dess underleverantörer behandla uppgifterna i EU.

Behandling av känsliga Personuppgifter

För det fall den Personuppgiftsansvarige avser att Personuppgiftsbiträdet ska behandla känsliga Personuppgifter måste typen av känsliga Personuppgifter specificeras av den Person-uppgiftsansvarige. Den Personuppgiftsansvarige ska också informera Personuppgiftsbiträdet om eventuellt ytterligare typer av Personuppgifter som är känsliga enligt dataskyddslagstiftningen i den Personuppgiftsansvariges etableringsland och inkludera dem.