PERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL
Detta Personuppgiftsbiträdesavtal (“Biträdesavtalet”) har ingåtts mellan:
A) Bolaget (“Personuppgiftsansvarig”);
och
B) Placing Corporate Finance Sverige AB, xxx.xx 559321-2698, Xxxxxxxxxxxxxxx 00, 000 00 Xxxxxxxxx (“Personuppgiftsbiträdet”).
Parterna ovan är nedan benämnda ”Part” och tillsammans ”Parterna”
1. BAKGRUND
1.1 Detta Biträdesavtal är del av det huvudavtal som ingåtts mellan Personuppgiftsansvarig och Placing (”Avtalet”) avseende tillhandahållande av finansiell respektive juridisk rådgivning. Biträdesavtalet ska läsas och förstås mot bakgrund av Avtalet och eventuellt senare träffade avtal mellan Parterna. Biträdesavtalet reglerar Personuppgiftsbiträdets behandling av Personuppgifter för Personuppgiftsansvarigs räkning.
1.2 Detta Personuppgiftsbiträdesavtal reglerar inte Personuppgiftsbiträdets rätt till ersättning för tjänsterna utan denna rätt regleras genom Avtalet.
2. DEFINTIONER
I Biträdesavtalet ska nedanstående begrepp ha följande innebörd:
Behandling, avser den åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
Gällande dataskyddsregler, avser Europaparlamentets och rådets förordning (EU) 2016/679 samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning eller motsvarande senare lagstiftning som kommer att införas till skydd för Behandlingen av Personuppgifter.
Personuppgifter, varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller online identifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats och i övrigt Behandlas.
Standardavtalsvillkor, avser villkor för skydd av Personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut (EU) 2021/914 av den 4 juni 2021 eller motsvarande villkor som ersätter dessa.
Underbiträde, avser sådant personuppgiftsbiträde som anlitas av Personuppgiftsbiträdet och som Behandlar Personuppgifter för Personuppgiftsansvariges räkning.
3. PERSONUPPGIFTSANSVARIGES ANSVAR
3.1 Personuppgiftsansvarig ska vidta alla nödvändiga åtgärder för att säkerställa att Behandlingen av Personuppgifter är laglig enligt vid var tid Gällande dataskyddsregler.
3.2 Personuppgiftsansvarig ska i den mån det är möjligt begränsa överföringen av Personuppgifter och endast tillhandahålla Personuppgiftsbiträdet sådana Personuppgifter som är nödvändiga för ändamålet med Behandlingen.
3.3 Personuppgiftsansvarig ska tillhandhålla Personuppgiftsbiträdet dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av Behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Personuppgiftsbiträdet ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler. Sådana instruktioner bifogas härtill som Bilaga 1B, vilken utgör en del av Biträdesavtalet.
4. BEHANDLING AV PERSONUPPGIFTER
4.1 De Personuppgifter som Personuppgiftsbiträdet har åtkomst till får endast Behandlas i enlighet med Biträdesavtalet och Gällande dataskyddsregler.
4.2 Personuppgiftsbiträdet får endast Behandla Personuppgifter i enlighet med Personuppgiftsansvariges dokumenterade
instruktioner såvida inte Personuppgiftsbiträdet är skyldig enligt tvingande författning att Behandla Personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarig lämnat ofullständiga eller felaktiga instruktioner är Personuppgiftsbiträdet skyldigt att omgående påtala detta för Personuppgiftsansvarig.
4.3 Personuppgiftsbiträdet är skyldigt att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne anser att en Behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvariges anvisningar. Vad som anges ovan gäller endast om Personuppgiftsbiträdet inte är förhindrad att på andra grunder att lämna sådan underrättelse.
4.4 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvariges begäran, ge denne tillgång till Personuppgifterna som Personuppgiftsbiträdet har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda Personuppgifter. Har Personuppgiftsansvarig raderat, eller anvisat Personuppgiftsbiträdet om radering, ska den senare vidta sådana åtgärder som krävs för att Personuppgiften inte ska kunna återskapas.
4.5 Personuppgiftsbiträdet ska upprätthålla ett register över all Behandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:
(a) namn och kontaktuppgifter för Personuppgiftsbiträdet och i förekommande fall anlitade av Underbiträden,
(b) den Behandling som utförs av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning,
(c) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå, och
(d) i förevarande fall, överföring av Personuppgifter till tredje land, det tredje land där Personuppgifter Behandlas samt vilka adekvata skyddsåtgärder som vidtagits.
5. KAPACITET OCH FÖRMÅGA
5.1 Personuppgiftsbiträdet garanterar att dessa besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler.
5.2 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av Biträdesavtalet och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarig annan adekvat bevisning.
5.3 Personuppgiftsbiträdet ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarig ska kunna utöva en effektiv kontroll av Personuppgiftsbiträdets åtgärder enligt Biträdesavtalet eller Gällande dataskyddsregler.
6. SÄKERHET OCH SEKRETESS
6.1 Personuppgiftsbiträdet ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt Biträdesavtalet. Personuppgiftsbiträdet ska vidare tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkert sätt.
6.2 Personuppgiftsbiträdet ska endast bevilja tillgång till de Personuppgifter som behandlas på uppdrag av Personuppgiftsansvarige för personer som har ingått särskild sekretessförbindelse.
6.3 Personuppgiftsbiträdet ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att det kommit Personuppgiftsbiträdet till kännedom, underrätta Personuppgiftsansvarig om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av personuppgiftsincidenter till behörig tillsynsmyndighet.
7. SAMVERKAN
7.1 Parterna är överens om att Personuppgiftsbiträdet, på Personuppgiftsansvariges förfrågan, ska bistå Personuppgiftsansvariges att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Personuppgiftsbiträdet rätt till särskild ersättning.
7.2 Personuppgiftsbiträdet ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgifter som Personuppgiftsbiträdet, eller i förekommande fall Underbiträdet, har i sin besittning.
7.3 Personuppgiftsbiträdet ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet,
däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Personuppgiftsbiträdets efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarig. Innan sådana ändringar genomförs ska Personuppgiftsansvarig lämna sitt samtycke, vilket inte skäligen ska förvägras.
8. ANLITANDE AV UNDERBITRÄDE
8.1 Personuppgiftsansvarige medger genom undertecknande av Biträdesavtalet att Personuppgiftsbiträdet har en generell rätt att anlita Underbiträden. Bolag som Personuppgiftsbiträdet, vid undertecknandet av Biträdesavtalet, har ett pågående samarbete med och som kan komma att Behandla Personuppgifter i egenskap av Underbiträde framgår av Bilaga 1B. Personuppgiftsansvarige godkänner nämnda bolag som Underbiträden.
8.2 Personuppgiftsbiträdet ska informera Personuppgiftsansvarige om eventuella planer på att anlita ett nytt Underbiträde alternativt om ett existerande Underbiträde ska bytas ut mot annan, så att Personuppgiftsansvarige har möjlighet att göra invändningar mot en sådan förändring. Om Personuppgiftsansvarige gör invändningar som Personuppgiftsbiträdet inte rättar sig efter har Personuppgiftsansvarige rätt att säga upp Biträdesavtalet och andra ingångna avtal mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet som berör Behandling av Personuppgifter.
8.3 Personuppgiftsbiträdet ska tillse att samtliga Underbiträden ingår ett skriftligt personuppgiftsbiträdesavtal innan Underbiträdet påbörjar Behandling av Personuppgifter. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av Biträdesavtalet. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i detta Biträdesavtal och Gällande dataskyddsregler.
8.4 I personuppgiftsbiträdesavtalet mellan Personuppgiftsbiträdet och Underbiträdet ska särskilt regleras att Underbiträdet inte får anlita annat Underbiträde utan skriftligt godkännande av den Personuppgiftsansvarige i förhand.
8.5 Om Underbiträdet inte fullgör sina skyldigheter ska Personuppgiftsbiträdet vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter. Personuppgiftsbiträdet svarar för Underbiträdet som för eget arbete och egna åtaganden och skyldigheter.
9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
9.1 I fall där Personuppgiftsbiträdet i samband med Behandlingen överför Personuppgifter till ett tredje land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.
9.2 Har Personuppgiftsbiträdet anlitat ett Underbiträde med innebörden att Personuppgifter överförs till ett tredje land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Personuppgiftsbiträdet och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Personuppgiftsbiträdet på begäran tillhandahålla Personuppgiftsansvarig en underskriven kopia av ett sådant tilläggsavtal som avses ovan.
9.3 I händelse av konflikt mellan Biträdesavtalet och Standardavtalsklausuler ska de senare äga företräde.
10. UNDERRÄTTELSER
Underrättelser som sker i enlighet med Biträdesavtalet ska ske skriftligen per e-post till följande kontaktpersoner hos respektive Part:
För Personuppgiftsansvarig:
Av bolaget angiven kontaktperson (se Avtalet).
För Personuppgiftsbiträdet:
Av bolaget angiven kontaktperson (se Avtalet).
11. GILTIGHET
11.1 Biträdesavtalet är giltigt tills Personuppgiftsbiträdets Behandling av Personuppgifterna upphör eller ersätts av ett annat Personuppgiftsbiträdesavtal.
11.2 Personuppgiftsbiträdet ska vid avslutad Behandling återlämna Personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarig och därefter radera Personuppgifterna från sådana system som använts vid Behandlingen, såvida inte detta är oförenligt med annan tvingande lag.
12. ÖVERLÅTELSE AV AVTALET
Part har inte rätt att utan motpartens föregående skriftliga samtycke överlåta sina rättigheter och skyldigheter enligt Biträdesavtalet. Part har dock rätt att göra sådan överlåtelse till annat helägt bolag inom samma koncern (enligt aktiebolagslagens definition) eller intressebolag som ägs av koncernmodern.
13. TILLÄMPLIG LAG OCH TVIST
13.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.
13.2 Tvister som uppstår i anledning av Biträdesavtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (”SCC”). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare.
13.3 Skiljeförfarandets säte ska vara Stockholm.
13.4 Språket för förfarandet ska vara svenska.
13.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte vidarebefordras till tredje person utan den andra Partens samtycke. Sekretessåtagandet omfattar inte vidarebefordran av information som krävs enligt tvingande lag, domstols- eller myndighetsbeslut, för att tillvarata legitima legala intressen, eller för att verkställa, överklaga eller klandra en dom eller skiljedom.
Bilaga 1B
INSTRUKTIONER
Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Personuppgiftsbiträdet vid utförande av Behandlingen såvida inte annat uttryckligen anges i Biträdesavtalet.
Om inte annat särskilt föreskrivs används samma definitioner i denne Bilaga 1B som i Biträdesavtalet.
Genom undertecknande av Biträdesavtalet har Personuppgiftsbiträdet bekräftat innebörden av dessa instruktioner. Ändringar och tillägg till dessa instruktioner är endast giltiga om de skett skriftligen.
1. Ändamål
Parterna har tillsammans enats om följande ändamål för Behandling som sker inom ramen för detta Biträdesavtal:
I egenskap av leverantör kommer Personuppgiftsbiträdet ta emot och administrera Personuppgifter från Personuppgiftsansvarig i syfte att kunna utföra de tjänster som Personuppgiftsbiträdet anlitats för att utföra på uppdrag av Personuppgiftsansvarig. Ändamålet med Behandlingen är således att kunna utföra nödvändiga åtgärder för att utföra uppdraget som följer av Xxxxxxx.
2. Typ av Behandling
Personuppgiftsbiträdets kommer i enlighet med Biträdesavtalet utföra Behandlingar primärt genom:
- inhämtning och avläsning,
- organisering och strukturering,
- användning,
- lagring, samt
- överföring till myndighet
3. Typ av Personuppgifter
Personuppgifterna som Behandlas inom ramen för Biträdesavtalet kommer att omfatta:
- namn,
- personnummer,
- telefonnummer,
- post- och e-postadresser,
4. Kategorier av registrerade
Personuppgifterna som kommer att Behandlas inom ramen för Biträdesavtalet kommer att vara hänförliga till följande kategorier av registrerade:
- aktieägare och anställda och i viss utsträckning tidigare aktieägare och anställda,
- närstående till aktieägare och anställda,
- uppdragstagare och styrelseledamöter,
- investerare.
5. Plats för Behandlingen
Personuppgiftsbiträdets Behandling kommer att primärt utföras digitalt från deras arbetsställe på i Xxxxxxxxxxxxxxx 00, 000 00 Xxxxxxxxx.
I enlighet med ovan kommer således all Behandling som sker direkt av Personuppgiftsbiträdet att ske inom EU:s medlemsstater, EES eller godkänd stat enligt EU som uppfyller adekvat skyddsnivå.
6. Varaktighet
Behandlingen inom ramen för dessa instruktioner ska ske löpande med start från dagen för båda Parters undertecknande av Avtalet till dagen för uppdragets genomförande eller uppsägning av tjänsterna. Personuppgiftsansvarig har dock rätt att när som förklara att någon del, eller all Behandling ska upphöra.
7. Godkända Underbiträden
Personuppgiftsansvarige godkänner följande bolag som Underbiträden:
Telavox AB (556600-7786)
Stora Xxxxxxxxxx 0 X 000 00 Xxxxx
Iver Sverige AB (556575-3042) Xxxxxxxxxxxxxxx 0x
169 79 Solna
8. Överföring till tredje land
För det fall överföring till tredje land utförs kommer Personuppgiftsbiträdet att tillse att Gällande dataskyddsregler följs.
9. Dataskydd
Personuppgiftsbiträdet har vidtagit nödvändiga tekniska och organisatoriska åtgärder för att garantera integritet och konfidentialitet av Personuppgiftsansvariges Personuppgifter, vilket innefattar bland annat följande åtgärder:
Personalsekretess
Personuppgiftsbiträdet har vidtagit nödvändiga åtgärder för att garantera att personal som arbetar med Personuppgiftsansvariges
Personuppgifter har kvalificerad bakgrund och kompetens. Dessa åtgärder kan innefatta:
● Bakgrundskontroller i form av referenser och/eller utdrag från belastningsregistret,
● Skriftlig överenskommelse om tystnadsplikt,
● Upprättande av policies och arbetsrutiner,
● Kontinuerlig utbildning och kompetenshöjande åtgärder.
Fysisk säkerhet
Personuppgiftsbiträdet säkerhetsställer att en adekvat fysisk säkerhetsnivå på områden där Personuppgiftsansvariges Personuppgifter Behandlas upprätthålls vilket kan innefatta:
● Begränsad och/eller övervakad tillgång till fysiska lokaler,
● Övervakning i form av larm och/eller fysisk övervakning.
Utrustning-, system- och nätverkssäkerhet
Personuppgiftsbiträdet ska genomföra lämpliga och tidsenliga säkerhetsåtgärder och upprätthålla en tillräcklig säkerhetsnivå för alla system, nätverk och enheter som används för att Behandla Personuppgifter. Detta kan innefatta;
● Har adekvat brandväggsskydd,
● Komplett auditloggning för övervakning av tjänst,
● Autentiseringssystem för tillgång till tjänst och system,
● Rättighetssystem för tillgång till tjänst och system,
● Övervakning & kryptering av fysiska hårddiskar,
● Processer & rutiner för att kontinuerligt utvärdera datasäkerhet,
● Säkerhetsställa möjligheter till återskapning av Personuppgifter via backuper.
***