Reguity Group AB (publ) – Personal Data Processing Agreement
Reguity Group AB (publ) – Personuppgiftsbiträdesavtal
Reguity Group AB (publ) – Personal Data Processing Agreement
Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har denna dag träffats mellan dig som kund (”Kunden”) och Reguity Group AB (publ), org. nr. 556688–9316 (”Leverantören”). Xxxxxx och Leverantören benämns nedan var och en ”Part” och gemensamt ”Parterna”.
This Personal Data Processing Agreement (the” Personal Data Processing Agreement”) has been entered between you as customer (the “Customer”) and Reguity Group AB (publ), corporate id. no. 556688–9316 (the “Supplier”). The Customer and the Supplier are hereafter individually referred to as “Party” and collectively as “Parties”.
1. Allmänt
General
1.1 Detta Personuppgiftsbiträdesavtal är en automatisk och integrerad del av de allmänna villkor som utgör abonnemangsavtalet (”Avtalet”) för digital aktiebok i någon av Leverantörens aktieboksportaler. Avtalet är ingånget mellan Parterna, så som beskrivs på Leverantörens webbsida. För det fall Parterna har ett befintligt personuppgiftsbiträdesavtal, ska detta Personuppgiftsbiträdesavtal ersätta sådant från och med dagen för ingåendet av detta Personuppgiftsbiträdesavtal.
This ”Personal Data Processing Agreement” is an automatic and integrated part of the general terms which constitutes the subscription- agreement (the “Agreement”) for digital share ledger in any of the share ledger platforms provided by the Supplier. The Agreement is entered between the Parties as described on the Supplier website. In the event the Parties have an existing personal data processing agreement, this Personal Data Processing Agreement shall prevail as of the day of the entering of this Personal Data Processing Agreement.
1.2 Vid fullföljandet av Avtalet kommer Leverantören behandla personuppgifter för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för sådan behandling av personuppgifter.
To fulfil the conditions of the Agreement, the Supplier will process personal data on behalf of the Customer as the Customers personal data processor. The Customer is controller of such processing of personal data.
1.3 Syftet med detta Personuppgiftsbiträdesavtal är att Xxxxxxxx ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglerna (för definition se nedan under punkt 2), samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med behandlingen.
The objectives of this Personal Data Processing Agreement is to ensure that the Parties comply with the, at each time, applicable requirements regarding personal data processing agreements and the obligations under the General Data Protection Regulations (definition available under the below section 2), and to ensure an adequate level of protection for the personal integrity and basic rights of individuals in connection with the data processing.
2. Definitioner
Definitions
2.1 Begrepp i detta Personuppgiftsbiträdesavtal ska tolkas i enlighet med Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) samt tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd (gemensamt ”Dataskyddsreglerna”). Begreppen i detta Personuppgiftsbiträdesavtal ska i första hand ha den innebörd som framgår av Dataskyddsreglerna och annars av Avtalet, om inte annat uppenbarligen framgår av omständigheterna.
The definitions of this Personal Data Processing Agreement shall be interpreted in accordance with the General Data Protection Regulations 2016/679 (the “GDPR”) by the European parliament and the Council, and also by binding decisions and writings by the supervisory authority, as well as local adaption and regulations regarding data protection (the “Data Protection Rules”). The definitions in this Personal Data Processing Agreement shall primarily have the same definitions as the Data Protection Rules and the Agreement, unless otherwise is clear by the circumstances.
3. Ansvar och instruktion
Responsibilities and instructions
3.1 Kunden eller i förekommande fall Xxxxxxx kunder är personuppgiftsansvariga för de personuppgifter som Leverantören behandlar för Kundens räkning enligt Xxxxxxx. I egenskap av personuppgiftsansvarig åtar sig Xxxxxx att följa skyldigheterna för personuppgiftsansvariga i Dataskyddsreglerna och detta Personuppgiftsbiträdesavtal, inklusive men inte begränsat till att säkerställa att behandlingen är laglig, informera registrerade om behandlingen enligt Artiklarna 13 och 14 i Dataskyddsförordningen och att föra ett register över behandlingen. Vidare ska Kunden:
The Customer or, if applicable, the Customers customer is controller of the personal data processed by the Supplier on behalf of the Customer under the Agreement. As personal data controller, the Customer undertakes to comply with the obligations for personal data controllers set out in the Data Protection Rules and this Personal Data Processing Agreement, including but not limited to, secure that the processing is legal, inform the registered of the processing in accordance with Article 13 and 14 of the GDPR, and to keep a register of the processing. Further, the Customer shall:
3.1.1 förse Leverantören med dokumenterade instruktioner om behandlingen;
provide the Supplier with documented instructions regarding the processing;
3.1.2 meddela Leverantören, utan onödigt dröjsmål, om ändringar som påverkar Leverantörens skyldigheter enligt Personuppgiftsbiträdesavtalet;
without undue delay, notify the Supplier of any changes that may affect the Suppliers obligations under the Personal Data Processing Agreement;
3.1.3 informera Leverantören, utan onödigt dröjsmål, om tredje man vidtar åtgärder eller väcker talan gentemot Kunden med anledning av Leverantörens behandling av personuppgifter enligt detta Personuppgiftsbiträdesavtal;
without undue delay, notify the Supplier if a third party takes actions or raises a complaint toward the Customer due to the Suppliers processing of personal data under this Personal Data Processing Agreement;
3.1.4 informera Leverantören, utan onödigt dröjsmål, om tredje man blir gemensamt personuppgiftsansvarig med Xxxxxx för behandlingen.
without undue delay, notify the Supplier if any third party become joint controller of personal data processing, together with the Customer.
3.2 Leverantören ska vid behandling av personuppgifter för kundens räkning, följa Dataskyddsreglerna och detta Personuppgiftsbiträdesavtal.
When processing personal data on behalf of the Customer, the Supplier shall comply with the Data Protection Rules and this Personal Data Processing Agreement.
3.3 Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast behandla personuppgifter för Kundens räkning i enlighet med Kundens dokumenterade instruktioner som framgår av Bilaga 1 (Instruktion om hantering av personuppgifter). Behandling får även ske om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller dess underbiträde omfattas av. Om behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller dess underbiträde omfattas av, ska Leverantören eller dess underbiträde informera Kunden om det rättsliga kravet innan behandling sker, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
The Supplier and the employees of the Supplier shall only process personal data on behalf of the Customer in accordance with the Customers written instruction set out in Schedule 1 (Instruction regarding processing of personal data). Processing may also occur if such processing is required by the Union law or in accordance with any member states national legislation which the Supplier or its sub-processor are covered by. If processing is required by the Union law or a member states national legislation which the Supplier or its sub-processor are covered by, the Supplier or its sub-processor shall notify the Customer of this legal obligation before the processing starts, unless such information is prohibited to give by virtue of an essential public interest under this right.
3.4 Leverantören ska omedelbart informera Kunden om Leverantören anser att en instruktion som Leverantören mottagit från Xxxxxx står i strid med Dataskyddsreglerna.
The Supplier shall, without undue delay, notify the Customer if the Supplier consider any instruction the Supplier has received from the Customer conflicts with the Data Protection Rules.
4. Säkerhet
Security
4.1 Leverantören ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen och som närmare beskrivs i Bilaga 2.
The Supplier shall take the measures required to fulfil Article 32 of the GDPR and which are further described in Schedule 2.
4.2 Leverantören ska, med tanke på behandlingens art, hjälpa Xxxxxx genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
Considering the nature of the processing, the Supplier shall, to the extent possible, assist the Customer with appropriate technical and organisational measures so that the Customer can fulfil its obligations to answer any request by a data subjects rights to exercise its rights in accordance with the chapter III in the GDPR.
4.3 Leverantören ska bistå Xxxxxx med att se till att skyldigheterna enligt Artiklarna 32-36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Leverantören har att tillgå.
The Supplier shall assist the Customer to ensure that the obligations according to Article 23-36 of the GDPR are fulfilled, with regards to the type of processing and the information available to the Supplier.
4.4 Leverantören ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagits sig att iaktta sekretess, på samma sätt som Leverantören i enlighet med detta Personuppgiftsbiträdesavtal och att sådan personal informeras om hur de får behandla personuppgifterna.
The Supplier shall ensure that persons with authority to process the personal data has committed to confidentiality, in the same way as the Supplier has in accordance with this Personal Data Processing Agreement, and that such employees are informed of how they may process the personal data.
4.5 Leverantören ska inom skälig tid efter Xxxxxxx begäran ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som fastställs i Artikel 28 i Dataskyddsförordningen har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden.
The Supplier shall, within reasonable time, upon request by the Customer, provide the Customer with access to all information required to show that the obligations established in Article 28 in the GDPR have been fulfilled, and to enable and facilitate audits, including inspections made by the Customer or by any auditor authorised by the Customer.
5. Sekretess
Confidentiality
5.1 Parternas skyldighet att iaktta sekretess regleras i Avtalet. I tillägg till detta ska Leverantören inte utan Kundens skriftliga samtycke i förväg, lämna ut eller annars tillgängliggöra personuppgifterna till tredje man, undantaget av Kunden godkända underbiträden som har anlitats i enlighet med detta Personuppgiftsbiträdesavtal.
The Parties obligations of confidentiality is governed by the Agreement. In addition, the Supplier may not, without the Customers beforehand written consent, hand out or in any other way make the personal data available to any third party, except for any by the Customer approved sub-processors appointed in accordance with this Personal Data Processing Agreement.
5.2 Åtagandet i punkt 5.1 ovan gäller inte information som Leverantören föreläggs utge till tillsynsmyndighet eller enligt Dataskyddsreglerna eller annan lagstadgad skyldighet enligt någon medlemsstats nationella rätt. Leverantören ska dock informera Xxxxxx skriftligen så snart denne mottagit förfrågan eller föreläggande som kan innebära att Kundens personuppgifter utges till tillsynsmyndighet.
The obligations under the above section 5.1 does not include information which the Supplier are required to present to the supervisory authority according to the Data Protection Rules or other legal obligation under any of the national legislations of the member states. The Supplier shall, however, notify the Customer in writing as soon as the Customer receives the request or injunction which may imply that the Customer Personal Data is handed out to the supervisory authority.
5.3 Denna punkt 5 gäller även om Personuppgiftsbiträdesavtalet i övrigt upphör att gälla.
This section 5 applies even if the Personal Data Processing Agreement ceases to expire.
6. Underbiträden
Sub-processors
6.1 Personuppgifter får enbart behandlas av ett underbiträde till Leverantören om sådant underbiträde på förhand godkänts av Xxxxxx och Leverantören på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där underbiträdet åläggs samma skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal.
Personal data may only be processed by a sub-processor to the Supplier if such sub-processor has been approved beforehand by the Customer, and the Supplier has, on behalf of the Customer, entered a written agreement or equivalent in accordance with the Union law where sub- processors are covered by same data protection obligations as the Supplier is under this Personal Data Processing Agreement.
6.2 Leverantören är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av underbiträden och ska tillse att sådana underbiträden ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsreglerna. Leverantören åtar sig att, i god tid innan planerad användning av nytt underbiträde, informera Kunden om dessa planer.
The Supplier is particularly responsible to ensure that Article 28.2 and 28.4 in the GDPR are considered when appointing sub-processors and shall also ensure that such sub-processors provide enough guarantees of that appropriate technical and organisational measures have been taken for the processing to meet the requirements in the Data Protection Rules. The Supplier undertakes to inform the Customer of planned new sub-processors in due time.
6.3 Leverantören ska löpande tillhandahålla Kunden en korrekt och uppdaterad lista som visar vilka underbiträden som anlitats för behandlingen av personuppgifter. Listan ska innefatta kontaktuppgifter till underbiträden, den geografiska platsen för sådan behandling, samt vilka behandlingar av personuppgifter som respektive underbiträde utför. Uppgifter om de underbiträden som, i förekommande fall, används vid tidpunkten för detta Personuppgiftsbiträdesavtals ingående framgår av Bilaga 3.
The Supplier shall continuously provide the Customer with a correct and up-to-date list of the sub-processors assigned to process the personal data. The list shall include contact information to sub-processors, the geographical location of such processing, and what type of processing each sub-processor performs. Information of the sub-processors which, if any, are appointed at det time for the execution of this Personal Data Processing Agreement is set out in Schedule 3.
6.4 Leverantören ansvarar för anlitat underbiträde såsom för egen räkning vad gäller underbiträdes behandling av personuppgifter.
The supplier is, with full accountability, liable for all appointed sub-processors processing of personal data.
7. Överföring av personuppgifter utanför EU/EES
Transfer of personal data outside of the EU/EEA
7.1 Leverantören får inte överföra personuppgifterna till en plats utanför EU/EES eller tillåta någon att ha tillgång till personuppgifterna från en sådan plats utan Kundens skriftliga tillstånd, om inte sådan rätt uttryckligen framgår av Xxxxxxx.
The Supplier may not, without the Customer’s written consent, transfer personal data outside the EU/EEA or give anyone on such geographical location access to the personal data, unless such right is expressly stated in the Agreement.
7.2 För det fall Kunden godkänner behandling av personuppgifter utanför EU/EES enligt punkten 7.1 ska Leverantören och/eller underbiträdet alltid uppfylla gällande krav enligt Dataskyddsreglerna för sådan överföring och behandling. Leverantören och/eller underbiträdet får överföra personuppgifter till ett tredjeland utanför EU/EES eller en internationell organisation endast i följande situationer:
In the event the Customer endorse processing of personal data outside the EU/EES in accordance with section 7.1, the Supplier and/or the sub- processors shall always comply with the applicable Data Protection Rules regarding such transfer and processing. The Supplier and/or the sub- processor may only transfer personal data to a third country outside the EU/EEA or an international organisation in the following situations:
Om Europeiska kommissionen har beslutat att det tredje land, territorium eller en eller flera specificerade sektorer i tredje land, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, eller
If the European commission has decided that the third country, the territory or one or more specific sectors in a third country, or if the international organisation in question, can ensure an adequate level of protection, or
Om Leverantören och/eller underbiträdet har vidtagit någon av de lämpliga skyddsåtgärder som anges i Artikel 46 i Dataskyddsförordningen och överföringen omfattas av vidtagna skyddsåtgärder, t.ex. i form av bindande företagsbestämmelser.
If the Supplier and/or its sub-processor has taken any of the adequate safety measures stated in Article 46 of the GDPR and the transfer is covered by these safety measures, e.g. as binding corporate policies.
7.3 I den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land, eller överföring enligt Leverantören eller Kundens uppfattning inte längre kan anses tillåten enligt Dataskyddsreglerna, ska sådan överföring omedelbart upphöra.
If an adequate safety level is not guaranteed for a transfer to any third country, or if the transfer in the opinion of the Supplier or the Customer can no longer be considered permitted under the Data Protection Rules, such transfer shall cease immediately.
8. Ansvar
Liability
8.1 Om Leverantören, den som arbetar under Leverantörens ledning eller av Leverantören anlitat underbiträde behandlar personuppgifter i strid med detta Personuppgiftsbiträdesavtal eller Dataskyddsreglerna, ska Leverantören ersätta Xxxxxx för den skada – inklusive eventuella administrativa sanktionsavgifter – som Kunden eller Kundens kunder har orsakats på grund av den felaktiga behandlingen.
If the Supplier, anyone working under the management of the Supplier or any sub-processor appointed by the Supplier, processes personal data in violation of this Personal Data Processing Agreement or the Data Process Rules, the Supplier shall compensate the Customer for any damage – including any administrative sanction fees – inflicted upon the Customer or the Customers customer due to the wrongful processing.
8.2 Oaktat regleringen av ansvarsbegränsning i Avtalet, ska Leverantörens ansvar enligt detta Personuppgiftsbiträdesavtal vara begränsat till direkta skador och ett belopp motsvarande de avgifter som Kunden erlagt till Leverantören under Avtalet under en period om tolv månader innan skadan uppstod.
Regardless the regulations of limitation of liability in the Agreement, the liability of the Supplier shall, according to this Personal Data Processing Agreement, be limited to direct damage and an amount corresponding to the fees which the Customer has paid to the Supplier under the Agreement during a period of twelve months prior to when the damage occurred.
8.3 Punkt 8.2 ska gälla även efter Personuppgiftsbiträdesavtalets upphörande i enlighet med punkt 9.1 nedan.
Section 8.2 shall apply also after the expiry of this Personal Data Processing Agreement in accordance with the below section 9.1.
9. Avtalstid och åtgärder vid upphörande
Term of agreement and termination measures
9.1 Personuppgiftsbiträdesavtalet gäller från dess ingående och så länge som Leverantören behandlar personuppgifter för Kundens räkning.
This Personal Data Processing Agreement enters into force as of its execution and is valid as long as the Supplier processes personal data on behalf of the Customer.
9.2 Vid Avtalets eller Personuppgiftsbiträdesavtalets upphörande (beroende på vilket som inträffar först) samt i linje med punkt 9.1 ovan, ska Leverantören, beroende på Kundens val såsom det meddelas till Leverantören, radera eller återlämna alla personuppgifter till Kunden samt säkerställa att varje underbiträde gör detsamma. Leverantören ska även radera eventuella befintliga kopior, vilket innebär att aktuella personuppgifter inte finns kvar och inte går att återskapa hos Leverantören, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstats nationella rätt, eller Kunden uttryckligen medgivit att viss behandling ska kunna fortsätta i enlighet med detta Personuppgiftsbiträdesavtal och punkten 9.3 nedan. Leverantören ska till Xxxxxx skriftligen bekräfta att destruering skett.
By termination of the Agreement or this Personal Data Processing Agreement (whichever occurs first) and in line with the above section 9.1, the Supplier shall, dependent of the Customers decision as communicated with the Supplier, erase or return all personal data to the Customer and secure that each sub-processor does the same. The Supplier shall also erase all potential copies, which entile that such personal data is not retained and cannot be restored by the supplier, unless storing of the personal data is required by the Union law or a member states national legislation, or if the Customer has approved that certain processing shall continue under this Personal Data Processing Agreement and the below section 9.3. The Supplier shall in writing confirm to the Customer that erasure has been completed.
9.3 Om inte annat avtalats skriftligen gäller denna punkt 9 även för annan data än personuppgifter.
Unless otherwise agreed on in writing, this section 9 also applies on other data than personal data.
10. Ändringar i Personuppgiftsbiträdesavtalet
Amendments of the Personal Data Processing Agreement
10.1 Om gällande Dataskyddsregler ändras under giltighetstiden för Personuppgiftsbiträdesavtalet, eller om tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglerna som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal enligt Xxxxxxxxxxxxxxxxxx, ska Part ha rätt att begära ändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya, ändrade eller förtydligade krav.
If the applicable Data Protection Rules are amended during the validity period of this Personal Data Processing Agreement, or if the supervisory authority issues guidelines, decisions or regulations changing the usage of the Data Protection Rules meaning that this Personal Data Processing Agreement does no longer fulfil the requirements imposed on a personal data processing agreement according to the Data Protection Rules, each Party shall have the right to request amendment of this Personal Data Processing Agreement to comply with such new, amended or clarified requirements.
10.2 Ändringar respektive nya instruktioner enligt punkten 10.1 ovan träder ikraft senast 30 dagar efter ändringsmeddelande från Part, om Part inte begär att sådan ändring eller instruktion ska gälla inom kortare tid, eller inom sådan tidsperiod som framgår av Dataskyddsreglerna, tillsynsmyndighets riktlinjer, beslut eller föreskrifter.
Amendments and new instructions according to the above section 10.1 shall become effective no later than 30 days as of the notice of the amendment by one Party, if no Party requests that such amendment or instruction shall apply for a shorter period, or for a period clear by the Data Protection Rules, the supervisory authority guidelines, decisions or provisions.
10.3 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska, för att vara bindande, godkännas av Kunden vid inloggning i Tjänsten i enlighet med instruktion på Leverantörens hemsida. Om det av Avtalet framgår viss process för ändring av Xxxxxxx, ska denna tillämpas även för ändring av detta Personuppgiftsbiträdesavtal.
Additional amendments of and supplements to this Personal Data Processing Agreement shall, to be binding, be approved by the Customer when logging onto the Service in accordance with the instructions available on the Suppliers website. If the Agreement states specific conditions for amendments of the Agreement, this should also apply for this Personal Data Processing Agreement.
11. Övrigt
Miscellaneous
11.1 I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens behandling av personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid motstridighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till behandling av personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån detta skulle medföra att Kunden inte uppfyller kraven enligt Dataskyddsreglerna.
In addition, the provisions in the Agreement shall apply, also for the processing of personal data and any other engagements covered by this Personal Data Processing Agreement. In the event of conflict between the provisions in the Agreement and this Personal Data Processing Agreement, the provisions in this Personal Data Processing Agreement shall prevail relating to the processing of personal data and no provisions in the Agreement shall be considered to limit or change the obligations of this Personal Data Processing Agreement, if such would entail that the Customer does not comply with the provisions in the Data Protection Rules.
11.2 Leverantören är inte berättigad till någon ersättning för de förpliktelser som följer av detta Personuppgiftsbiträdesavtal, om sådan ersättning inte uttryckligen skriftligen avtalats i förväg.
The Supplier is not entitled to any compensation for the obligations under this Personal Data Processing Agreement, if such compensation has not been expressly agreed on beforehand and in writing.
11.3 Om Leverantören överlåter Avtalet, ska detta Personuppgiftsbiträdesavtal också anses överlåtet till den part som övertar Avtalet. Detta Personuppgiftsbiträdesavtal kan dock fortfarande äga giltighet mellan de ursprungliga parterna enligt punkt 9.1. Leverantören får inte överlåta detta Personuppgiftsbiträdesavtal separat från Avtalet.
If the Supplier should transfer the Agreement to any third party, this Personal Data Processing Agreement shall also be considered transferred to the transferee. This Personal Data Processing Agreement might, however, still be binding between the initial parties in accordance with section 9.1. The Supplier may not transfer this Personal Data Processing Agreement without transferring the Agreement.
11.4 Svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelsen i Avtalet.
Swedish legislation shall apply on this Personal Data Processing Agreement. Any disputes arising from this Personal Data Processing Agreement shall be resolved in accordance with the dispute regulations in the Agreement.
Leverantör
Supplier
Reguity Group AB (publ)
Xxxxxx Xxxxxxxxxx VD/CEO
Kunden
Customer
Kunden godkänner aktivt detta Personuppgiftsbiträdesavtal i samband med aktivering av tjänst för elektronisk aktiebokshantering.
The Customer approves this Personal Data Processing Agreement when registering for the online share ledger service.
Bilaga 1 – Instruktion om hantering av personuppgifter
Schedule 1 – Instruction regarding processing of personal data
Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Leverantören följa nedanstående instruktioner.
In addition to what is already stated in the Personal Data Processing Agreement, the Supplier shall comply with the following instructions.
Ändamål
Objective
Ändamålen med behandlingen av personuppgifter är att Leverantören ska kunna utföra de tjänster som är beskrivna i Avtalet. Ändamålet med Leverantörens registrering av personuppgifter är för att via Internet tillhandahålla en enkel och fullständig, digital aktiebokslösning till Kunden.
The objectives of the processing of personal data are for the Supplier to be able to provide the services as described in the Agreement. The objectives for the Supplier to register personal data are to be able to provide an easy-to-use and complete online service-tool for share ledger administration.
Typer av personuppgifter
Type of personal data
Nedan personuppgifter behandlas av Leverantören:
The below listed personal data are processed by the Supplier:
Varje aktieägares personnummer, namn, postadress, telefonnummer, e-postadress och bankkontouppgifter.
The personal identification number, name, postal address, telephone number, email address and bank account details for each shareholder.
Information om aktieposter; akties nummer, aktieslag, ägare, köp- & säljpriser, aktiebrev, förmyndare eller god man samt dennes kontaktuppgifter, förmånstagare och deras kontaktuppgifter, noteringar enligt Aktiebolagslagen, samt hembud och förbehåll.
Information on share records, number of shares, type of shares, owner-, purchase- and sale prices, share certificates, guardians or trustees and their contact information, beneficiaries and their contact information, annotation according to the Companies Act, and also right to first refusals and reservations.
Ägande av andra tillgångsklasser än aktier så som t.ex. optioner, skuldebrev, konvertibler etc.
Ownership of other assets than shares, such as e.g. warrants, debentures, convertible debentures etc.
All ägardata, för både nuvarande och historiska ägare.
All shareholder data, both present and historical owners.
Tecknings- och tilldelningslistor, risk- och preferensbedömningar, avtal och annat material (bilder, figurer, symboler).
Subscription- and allotment lists, risk- and preference assessments, agreements and other material (images, figures, symbols).
Bolagsfunktionärer; styrelse och styrelsesuppleanter, vd samt deras kontaktuppgifter, revisor och i förekommande fall revisorssuppleanter och deras kontaktuppgifter.
Company officials; board members and deputies, managing director and their contact details, auditors and, if applicable, deputy auditors and their contact information.
Kategorier av registrerade
Categories of Data Subjects
De kategorier av registrerade vars uppgifter behandlas av Leverantören är:
The categories of Data Subjects whose data is processed by the Supplier is:
Anställd/bolagsfunktionär
Employees/company officials
Administratör/observatör
Administrators/observers
Aktieägare/ägare
Shareholders/owners
Behandlingens varaktighet
The period we process personal data
Behandlingens varaktighet framgår av Personuppgiftsbiträdesavtalet.
The period for the processing is clear by our Personal Data Processing Agreement.
Gallringstid
Dispose period
Personuppgifterna ska raderas, gallras eller anonymiseras i enlighet med Personuppgiftsbiträdesavtalet, Avtalet och på Kundens begäran samt enligt Kundens instruktioner.
The personal data should be erased, dispose or anonymised in accordance with the Personal Data Processing Agreement, the Agreement and upon the Customers request or instructions.
Bilaga 2 – Säkerhetsåtgärder
Schedule 2 – Safety measures
Här följer beskrivning över de åtgärder som Leverantören vidtar för att uppfylla kraven i Artikel 32 i Dataskyddsförordningen.
In the below we describe the measures taken by the Supplier to fulfil the requirements in Article 32 in the GDPR.
Säkerhetsåtgärder
Safety measures
Leverantören ska skydda personuppgifterna från förstöring, ändring, obehörigt röjande och obehörig åtkomst. Personuppgifterna ska även skyddas från all annan form av olaglig behandling, innefattande men inte begränsat till behandling i strid med Dataskyddsreglerna. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärderna som Leverantören vidtar, inkludera:
The Supplier shall protect the personal data from destruction, alternation, unauthorised disclosure and unauthorised access. The personal data shall also be protected from all other unlawful processing, including but not limited to, processing in violation to the Data Protection Regulations. With regards to the latest development, implementation costs and the nature, extent, context and purpose of the processing, and also the risks of various probability and gravity for the rights and liberties of natural persons, the technical and organisational measures taken by the Supplier shall include:
(a) pseudonymisering och kryptering av personuppgifter;
pseudonymisation and encryption of personal data;
(b) förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter;
ability to continuously ensure confidentiality, integrity, access and resilience of the systems and services processing the personal data;
(c) förmåga att återställa tillgänglighet och tillgång till personuppgifter i rimlig tid vid en fysisk eller teknisk incident; och
ability to restore the availability and access to personal data within reasonable time in case of physical or technical incident; and
(d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.
a procedure to continuously test, investigate and assess the efficiency of the technical and organisational measures taken to ensure the safety of the processing.
Med hänvisning till de tekniska och organisatoriska åtgärder som anges ovan, ska Leverantören vidta följande åtgärder för att säkerställa dess efterlevnad:
With references to the technical and organisational measures stated above, the Supplier shall take the following actions to ensure compliance:
(a) skydd för fysisk åtkomst varigenom Leverantörens lokaler för datorutrustning och bärbar/flyttbar information eller lagringsmedia som innehåller personuppgifter xxx xxxxx xxx xx xxxx xxxx tillsyn av behörig person i enlighet med punkt (d) nedan i syfte att skydda mot obehörig användning, stöld etc.;
protection against physical access whereby the Supplier’s facilities for computer equipment and portable/movable data or storage media containing personal data, shall be locked when unsupervised as follows in paragraph (d) below, this to ensure protection against unauthorised usage, theft, etc.;
(b) process för regelbundna test för återläsning av backupkopia som innehåller personuppgifter;
process for regular testing of re-reading of backup copies containing personal data;
(c) process för test av återläsning då personuppgifter har återskapats från backup-kopia för att säkerställa integritet och konfidentialitet, inklusive kontroll av att gallrade personuppgifter inte har återskapats;
process for testing of re-reading when personal data have been reconstructed from back-up copies to ensure integrity and confidentiality, including control of that erased personal data has not been reconstructed;
(d) behörighetskontroll varigenom åtkomst till personuppgifter hanteras via ett tekniskt system för ändamålet. Behörighet ska begränsas till de som behöver personuppgifterna för sitt arbete. Användar- ID och lösenord ska vara personliga och får inte överlåtas eller lånas ut till annan. Det ska finnas processer för att tilldela och återkalla behörighet samt regelbunden uppföljning för kontroll av att behörigheterna är riktiga;
authorisation control whereby access to personal data is processed by a technical system created for this purpose. The access shall be limited to the persons who require the personal data to conduct their work. User-ID and password shall be personal and may not be transferred or handed out to any other person. Processes for assigning and revoking permissions and regular monitoring to follow-up to control the validity of accesses shall be implemented.
(e) förmåga att logga åtkomst till personuppgifter. Det ska vara möjligt att retroaktivt följa upp åtkomst till personuppgifter genom en logg eller liknande. Det ska vara möjligt för Leverantören att kontrollera informationsbasen och rapportera tillbaka till Kunden;
ability to register all access to personal data. It shall be possible to retroactively follow-up access to personal data by a register or similar system. It shall be possible for the Supplier to control the information database and report back to the Customer;
(f) säker kommunikation varigenom anknytningar till extern datakommunikation ska skyddas av tekniska funktioner som säkerställer att förbindelsen är behörig, och att de krypteringsfunktioner avseende innehåll i data som transporteras i kommunikationskanaler utanför de system som Leverantören kontrollerar är säker;
secure communication by which extensions to external data communication shall be protected by technical features securing that the extensions are authorised, and that the encryption features regarding the content of the data transported in the communication channels, in addition to the systems controlled by the Supplier, is secure;
(g) process för att säkerställa att personuppgifter förstörs på ett säkert sätt när fast eller flyttbar lagringsmedia inte längre ska användas för sitt ändamål;
process to ensure that personal data is erased in a secure way when fixed or portable storage media is no longer being used for its initial purpose.
(h) rutiner för att ingå sekretessavtal motsvarande kraven som ställs i Avtalet och i detta Personuppgiftsbiträdesavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra personuppgifter; och
procedures to enter confidentiality agreements or similar, in accordance with the requirements set out in the Agreement and in this Personal Data Processing Agreement, with all distributors providing repairs and services on equipment used to store personal data; and
(i) rutiner för att övervaka arbete som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller personuppgifter ska ställas undan om övervakning inte är möjligt.
procedures to supervise work performed by distributors in the Supplier’s facilities. Storage media containing personal data shall be put away if supervision is not possible.
Leverantören ska vidare utan onödigt dröjsmål meddela Xxxxxx om personuppgiftsincident efter att ha fått vetskap om densamma. Meddelandet ska skickas till Kunden via e-post och innehålla:
The Supplier shall, without undue delay, notify the Customer in the event of a personal data incident as soon as it is in the knowledge of the Supplier. Such notification shall be sent to the Customer by email and contain the following:
(a) en beskrivning av personuppgiftsincidentens art, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som omfattas av personuppgiftsincidenten;
a description of the type of incident, the categories of the incident and the approximate number Registered affected and the categories of and approximate amount of personal data affected by the incident;
(b) namnet på och kontaktuppgifterna till Leverantörens dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas;
the name and contact details of the Supplier’s Data Protection Officer or other contact details where such information can be found;
(c) beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten; och
description of the probable consequences of the personal data incident; and
(d) beskrivning av de åtgärder som vidtagits av Leverantören, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inklusive, där så är lämpligt, åtgärder för att begränsa dess potentiella negativa effekter.
description of the measures taken by the Supplier, or proposed measures, to handle the personal data incident, including, where applicable, measures to limit its potential negative effects.
Bilaga 3 – Underbiträden
Schedule 3 – Sub-processors
Här listas de Underbiträden som anlitas av Leverantören för behandling av personuppgifter enligt Personuppgiftsbiträdesavtalet. (Se punkten 9 för närmare information.)
Below, all sub-processors appointed by the Supplier for processing of the personal data, in accordance with this Personal Data Processing Agreement are listed. (See section 9 for further information.)
Firma Company name | Ändamål och typ av behandling Purpose and type of processing | Geografisk plats Geographic location | Kontaktuppgifter Contact details |
Global23 AB | Koncernbolag som erbjuder integritetstjänster | Nacka/Värmdö kommun | |
VMI IT Services AB | Drift av Svenska Aktieboken, en separat tjänst av NVR | Norrtälje kommun | |
Loopia | Webbhotell och mailserver | Västerås kommun | |
CreditSafe | Person- och bolagsuppgifts leverantör | Göteborgs kommun | |
Nordiska Värdepappersregistret (NVR) | Bifirma till Reguity Group AB (publ) som erbjuder digitala aktieböcker | Göteborgs kommun | |
Värdepapperszonen (VPZ) | Bifirma till Reguity Group AB (publ) som erbjuder digitala aktiedepåer | Göteborgs kommun | |
Svensk E-identitet | Teknikleverantör av Bank-id | Uppsala kommun | |
Softronic AB | Förvaltning av Svenska Aktieboken, en separat tjänst av NVR | Stockholm kommun | |
Amazon Web Services | Drift av Reguitys aktiebokstjänster - Databas, Webservrar, API-servrar, Kodbas. | London |