INTEGRITETSPOLICY HARVEST ADVOKATBYRÅ AB

Personuppgiftsansvarig för den behandling av personuppgifter som framgår av denna integritetspolicy är Harvest Advokatbyrå AB (xxx.xx. 559070-0224) (”Harvest/vi”). Kontakta oss på xxxx@xxxxxxxxxxxxxx.xx eller adress nedan om du har frågor rörande vår personuppgiftsbehandling.

Harvest Advokatbyrå AB Box 7225

103 89 Stockholm

Tel nr: + 00 (0)0 00 00 00

xxx.xxxxxxxxxxxxxx.xx

2 TERMINOLOGI OCH DEFINITIONER

I denna policy används följande begrepp med den nedan angivna innebörden:

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Exempelvis kan bilder och ljudupptagningar som behandlas elektroniskt vara personuppgifter även om inga namn nämns. Krypterade uppgifter och olika slags elektroniska identiteter (exempelvis IP-nummer) är personuppgifter ifall de kan kopplas till fysiska personer.

Med behandling av personuppgifter avses allt som sker med personuppgifterna. Varje åtgärd som vidtas med personuppgifter utgör en behandling, oberoende av om den utförs automatiserat eller inte. Exempel på vanliga behandlingar är insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, överföring och radering.

Med den registrerade avses den som en personuppgift avser, det vill säga handlar om. Vi kommer löpande i denna policy att benämna den registrerade som ”du” och ”dig”.

Med känsliga uppgifter avses sådana personuppgifter som avslöjar ras eller etniskt ursprung, personliga åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Med rättigheter avses de rättigheter som de personer vars personuppgifter behandlas, de registrerade, har enligt GDPR. Dina rättigheter framgår nedan under avsnitt 5. Rättigheterna beskrivs även närmare på Integritetsskyddsmyndighetens hemsida .

3 INFORMATION OM VÅR BEHANDLING AV PERSONUPPGIFTER

3.1 Allmänt

Som advokatbyrå arbetar vi med att ge råd och på annat sätt stödja klienter i rättsliga frågor. I allt arbete följer Harvest gällande lagstiftning och Advokatsamfundets stadgar. Inom ramen för vår verksamhet behandlar vi personuppgifter avseende klienter, presumtiva klienter, leverantörer/samarbetspartners, personer som söker anställning hos oss samt i marknadsföringssyfte. Information om vår behandling av personuppgifter inom ramen för respektive område och funktion framgår i avsnitt 3.2–3.12 nedan där vi har ett personuppgiftsansvar.

Information om den gemensamma behandling av personuppgifter som sker av oss och Passacon AB i samband med programmet GDPR Excellence beskrivs i Bilaga 1 .

3.2 Bemötande av förfrågningar och upprättande av offerter från klienter

Ändamål och laglig grund

Vi behandlar personuppgifter i syfte att på ett rättssäkert och effektivt sätt hantera förfrågningar från en potentiell klient som kan vilja anlita oss. Laglig grund för denna behandling utgörs av avtal och ett berättigat intresse att kunna bemöta förfrågningar och skicka offerter (i intresseavvägningen har vi beaktat att det är den enskilde som väljer att ta kontakt med oss).

Det är inte ett krav att lämna dina personuppgifter till oss. Om du inte lämnar dina personuppgifter till oss har vi inte möjlighet att fullgöra vårt avtal eller uppfylla våra åtaganden i förhållande till dig.

Kategorier av personuppgifter

Vi behandlar följande kategorier av personuppgifter.

När klient eller presumtiv klient utgörs av en juridisk person:

• namn, adress, e-postadress och telefonnummer till kontaktperson/företrädare.

När klient eller presumtiv klient utgörs av en fysisk person:

• namn, adress, e-postadress och telefonnummer.

I enstaka fall kan också en beskrivning av ärendet som ges till oss av en potentiell klient innehålla personuppgifter.

Mottagare av personuppgifter

Uppgifterna lagras i Box som är vår molnbaserade tjänst för dokumentlagring. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster.

Lagring av personuppgifter

Vad gäller personuppgifter som behandlas inom ramen för ett offertförfarande som resulterar i ett klientförhållande lagras dessa under tio år enligt Vägledande regler för god advokatsed. För det fall offerten inte utmynnar i ett uppdrag lagrar vi uppgifterna under ett år baserat på vårt berättigade intresse att behålla information om vilka vi tillställt offerter och innehållet i dessa.

3.3 Jävskontroll

Ändamål och laglig grund

Lojalitetsplikten gentemot klienter är en central del i advokatverksamheten. Detta innebär bland annat att det inte får föreligga jäv, vilket vi enligt Vägledande regler för god advokatsed är skyldiga att pröva innan vi åtar sig ett ärende. I jävsprövningen görs en genomsökning av klientregistret efter uppgifter som kan visa att en jävssituation föreligger. Ändamålet med behandlingen är således att säkerställa att en jävsituation inte föreligger, vilket är en viktig del i vår lojalitetsplikt mot tidigare, nuvarande och blivande klienter. Vår klientbas består till övervägande majoritet av juridiska personer. Fysiska personer förekommer dock också i begränsad omfattning. Behandlingen grundar sig i vår rättsliga förpliktelse att följa Vägledande regler för god advokatsed.

Kategorier av personuppgifter

För det fall den presumtiva klienten är en juridisk person behandlas personuppgifter i form av namn avseende den juridiska personens kontaktperson/företrädare.

För det fall den presumtiva klienten är en fysisk person behandlas personuppgifter i form av namn och personnummer avseende den fysiska personen.

Mottagare av personuppgifter

Uppgifterna kan göras tillgängliga för våra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster. Uppgifterna delas också med den samarbetspartner (Xxxxx Xxxxxx Advokat AB) med vilken vi har kontorsgemenskap.

Lagring av personuppgifter

De personuppgifter som vi behandlar inom ramen för jävskontroller sparas i tio år enligt preskriptionsfristen i preskriptionslagen.

3.4 Åtgärder för klientkännedom

Ändamål och laglig grund

Det framgår av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (”PTL”) att advokatbyråer i vissa fall omfattas av skyldighet att ha kännedom om klienten innan en affärsförbindelse med klient etableras. För att kunna utreda om ett klientärende omfattas av PTL eller inte behandlar vi i ett första skede viss begränsad information om våra klienter. Detta gör vi baserat på vårt berättigade intresse att gentemot Advokatsamfundet vid behov kunna uppvisa att vi bedömt att ett ärende inte omfattas av PTL och kraven på klientkännedom. I intresseavvägningen har vi bedömt att de personuppgifter det rör sig om är mycket begränsade (se nedan) och endast utgörs av sådana uppgifter som såväl fysiska personer som företrädare för juridiska personer kan förväntas dela med sig av till en avtalspart såsom Advokatbyrån.

I de fall vi är skyldiga att utföra åtgärder för klientkännedom är ändamålet med behandlingen att uppfylla lagkraven avseende klientkännedom. Grunden för de åtgärder för klientkännedom som utförs av oss, vari personuppgifter behandlas, är således rättslig förpliktelse. Våra rutiner för klientkännedom inkluderar identitetskontroll av företrädare för juridisk person och i förekommande fall verklig huvudman samt kontroll av om verklig huvudman (juridisk person) eller klient (fysisk person) utgör en så kallad PEP (Politically Exposed Person) samt om verklig huvudman eller klient förekommer på sanktionslistor.

Kategorier av personuppgifter

När vi utreder om ett klientärende omfattas av PTL eller inte behandlar vi enbart personuppgifter avseende i) namn och personnummer för det fall klienten utgörs av en fysisk person eller ii) namn och adressuppgift till VD och styrelsemedlemmar för det fall klienten utgörs av en juridisk person.

Inom ramen för våra åtgärder för klientkännedom (dvs när ett klientärende omfattas av PTL) hanterar vi följande kategorier av personuppgifter.

När klient utgörs av en juridisk person:

• namn och personnummer avseende kontaktperson/företrädare (vid identifiering med BankID), och för det fall identifiering med BankID inte är möjlig inhämtar vi en passkopia avseende klientens kontaktperson/företrädare som utöver namn och personnummer innehåller uppgift om nationalitet, kön och längd,

• namn och personnummer avseende verklig huvudman eller alternativ verklig huvudman (vid identifiering med BankID), för det fall identifiering med BankID inte är möjlig inhämtar vi en passkopia avseende verklig huvudman som utöver namn och personnummer innehåller uppgift om nationalitet, kön och längd,

• verkliga huvudmannens eventuella PEP-status, inklusive yrke/funktion, samt

• information om lagöverträdelser avseende den verkliga huvudmannen kan förekomma vid träff vid slagningar mot sanktionslistor.

När klient utgörs av en fysisk person:

• namn och personnummer (vid identifiering med BankID), och för det fall identifiering med BankID inte är möjlig inhämtar vi en passkopia som utöver namn och personnummer innehåller uppgift om nationalitet, kön och längd,

• adress,

• eventuell PEP-status, inklusive yrke/funktion, samt

• information om lagöverträdelser kan förekomma vid träff vid slagningar mot sanktionslistor.

Klientkännedomsprocessen genomförs i ett verktyg som heter Due PTL, vilket tillhandahålls av Due Compliance AB. Uppgifterna inhämtas i verktyget.

Vi kan även komma att inhämta uppgifter från Bisnode eller UC.

Mottagare av personuppgifter

Uppgifterna lagras i Due PTL som är det verktyg som tillhandahålls av Due Compliance AB för processen. Uppgifter som vi behandlar i samband med våra åtgärder för klientkännedom lagras även i Box som är vår molnbaserade tjänst för dokumentlagring. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster. Vi kan även komma att dela uppgifter med Finanspolisen om sådant utlämnande föreskrivs i lag.

Lagring av personuppgifter

De personuppgifter som insamlats i samband med att vi utreder om ett klientärende omfattas av PTL eller inte samt inom ramen för våra åtgärder för klientkännedom behåller vi under pågående klientförhållande och därefter under fem år från avslutat klientförhållande.

3.5 Klientregistrering

Ändamål och laglig grund

Vi behandlar personuppgifter i syfte att ingå avtal med klient och registrera klient i vårt system. Laglig grund för denna behandling utgörs av avtal.

Tillhandahållandet av dina personuppgifter är inte ett lagstadgat krav, men är ett krav som är nödvändigt för att ingå ett avtal med oss som klient. Om du inte lämnar dina personuppgifter till oss har vi inte möjlighet att fullgöra vårt avtal eller uppfylla våra åtaganden i förhållande till dig.

Kategorier av personuppgifter

Vi hanterar följande kategorier av personuppgifter:

• Namn, e-postadress och telefonnummer till kontaktperson/företrädare.

• Personnummer för kontaktperson/företrädare om avtal skrivs under genom elektronisk signatur med BankID (Scrive).

• För det fall klient utgörs av en fysisk person behandlas klientens personnummer såväl vid registrering som vid eventuell avtalsunderskrift genom elektronisk signatur.

Mottagare av personuppgifter

Uppgifterna lagras i Saturnus som är vårt system för tidsredovisning och fakturering. För det fall signering av avtal sker genom elektronisk signatur delas uppgifterna med denna leverantör (Scrive).

Lagring av personuppgifter

Personuppgifterna sparas, i enlighet med den skyldighet som åvilar oss enligt Vägledande regler för god advokatsed, under en tid om tio år från dagen för ärendets slutförande, eller den längre tid som påkallas av ärendets natur.

3.6 Administration av klientuppdrag

Ändamål och laglig grund

Vi behandlar personuppgifter för att kunna utföra och administrera uppdraget samt för att tillvarata klientens intressen.

För följande ändamål behandlar vi dina personuppgifter för att fullgöra avtalsförpliktelser:

• För att kunna utföra och administrera uppdraget samt för att tillvarata klientens intressen (fysisk person).

• För att kunna kommunicera med dig via mail, post och telefon.

• För att kunna administrera och boka möten.

• För att tillhandahålla effektiv och korrekt dokumentation, administration och handläggning av uppdraget.

Tillhandahållandet av dina personuppgifter är inte ett lagstadgat krav, men är ett krav som är nödvändigt för att ingå ett avtal med oss som klient. Om du inte lämnar dina personuppgifter

till oss har vi inte möjlighet att fullgöra vårt avtal eller uppfylla våra åtaganden i förhållande till dig.

För följande ändamål behandlar vi dina personuppgifter med stöd av vårt berättigade intresse (i intresseavvägningen har vi bedömt att klienten har ett berättigat intresse av att uppdraget hanteras på ett tillfredställande sätt):

• För att kunna utföra och administrera uppdraget samt för att tillvarata klientens intressen (juridisk person).

• För att kunna hantera och administrera vår arvodesredovisning.

• För att kunna uppfylla Vägledande regler för god advokatsed och försvara oss mot rättsliga anspråk.

• För att tillvarata våra rättigheter vid andra rättsliga anspråk som riktas mot oss.

Kategorier av personuppgifter

Vi hanterar följande kategorier av personuppgifter:

• namn, e-postadress och telefonnummer till klient alternativt kontaktperson/företrädare.

Mottagare av personuppgifter

Vi lagrar uppgifter relaterade till uppdragets utförande i Box som är vår molnbaserade tjänst för dokumentlagring. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster. Uppgifterna delas också med Saturnus som utgör det system för tidsredovisning och fakturering som används.

Vi kan också komma att dela uppgifter med motparter, motpartsombud och samarbetspartners inom ramen för uppdragets utförande. Även andra av klienten utsedda funktioner, exempelvis revisorer och internrevisorer, kan få del av uppgifter i enlighet med klientens instruktion.

Utöver ovan kan uppgifter delas med skiljenämnd och domstol om aktuellt samt myndigheter om sådant utlämnande föreskrivs enligt lag (exempelvis Polis och Kronofogdemyndighet).

Lagring av personuppgifter

Särskilt avseende arbete som kontrollfunktion

I samband med att vi anlitas för att upprätthålla funktionen för regelefterlevnad, internrevision, oberoende granskning eller vid upprätthållandet av funktion för visselblåsning hos finansiella

företag kommer vi ta del av information och andra dokument som kan innehålla personuppgifter hänförliga till såväl klienten och dess verksamhet som klientens kund, leverantörer, anställda, ledningspersoner samt visselblåsare som inte är anställda beroende på det uppdrag som utförs inom ramen för aktuellt uppdrag. Särskilt vid utförande av kontroll- och utredningsåtgärder kommer vi att ta del av information och underlag som innehåller personuppgifter, exempelvis styrelseprotokoll, kundkännedomsunderlag för klientens kunder, lämplighetsbedömningar innehållandes ekonomiska uppgifter om klientens kunder, egna affärer avseende klientens anställda, ersättningar till klientens anställda och uppgifter som kan förekomma inom ramen för anmälan av missförhållanden i verksamheten (visselblåsning). För det fall vi behandlar dina personuppgifter i egenskap av anställd, uppdragstagare eller ledningsperson gör vi detta med stöd av en intresseavvägning. Vårt berättigade intresse är att kunna administrera avtal och fullgöra våra skyldigheter gentemot våra klienter (din arbetsgivare eller uppdragsgivare).

I det fall vi tillhandahåller en funktion för visselblåsning åt våra klienter sker detta i samarbete med Whistleblower Partners ApS som tillhandahåller det system i vilket anmälningar hanteras. För information om Whistleblower Partners behandling av personuppgifter, se:

xxxxx://xxxxxxxxxxxxxxxxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/Xxxxxxxxxxxxx-Xxxxxxxx_XXXXXXX- POLICY_SE.pdf

3.7 Redovisning och fakturering avseende klientuppdrag

Ändamål och laglig grund

För att vi ska kunna hantera utgående och inkommande fakturor behöver vi behandla personuppgifter. Den behandling som sker för redovisnings- och faktureringsändamål grundas dels på vårt fullgörande av avtal med klient, dels på vår skyldighet att uppfylla de rättsliga förpliktelser som åligger oss.

För följande ändamål behandlar vi dina personuppgifter för att fullgöra avtalsförpliktelser:

• För att kunna hantera och administrera fakturering och påminnelser.

• För att kunna hantera och administrera kundfordringar som uppkommer inom ramen för ett uppdrag.

För följande ändamål behandlar vi dina personuppgifter för att uppfylla rättsliga förpliktelser:

• För att kunna hantera vår bokföring enligt bokföringslagen (1999:1078).

• För att kunna hantera och administrera vår redovisning enligt Vägledande regler för god advokatsed.

Kategorier av personuppgifter

Vi hanterar följande kategorier av personuppgifter.

• namn, adress, e-postadress och telefonnummer till kontaktperson/företrädare, samt

• faktura- och betalningsuppgifter.

Mottagare av personuppgifter

Uppgifterna delas med Saturnus som tillhandahåller det system för tidsredovisning och fakturering som används samt Omega Ekonomi AB som anlitas för ekonomi- och redovisningstjänster. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster.

Lagring av personuppgifter

Lagring av personuppgifter sker i syfte att uppfylla rättsliga skyldigheter avseende beskattning, bokföring eller för att försvara rättsliga anspråk. I dessa fall lagras uppgifter i sju år från faktureringstillfället (rörande bokföring) och tio år (rörande beskattning och preskriptionstider).

3.8 Projektuppföljning och affärsutveckling

Ändamål och laglig grund

I samband med genomförandet och/eller avslutandet av vissa klientuppdrag följer vi upp uppdragets utförande genom att samla in feedback och åsikter från relevanta personer hos såväl klienten som anställda hos Advokatbyrån. Den behandling av personuppgifter som sker i samband med detta grundas på vårt berättigade intresse av att följa upp och utvärdera uppdrag och arbetsströmmar i syfte att utveckla och förbättra vår verksamhet.

Kategorier av personuppgifter

De personuppgifter som behandlas är namn och e-postadress till kontaktperson/företrädare samt de åsikter som denne lämnar inom ramen för projektuppföljningen.

Mottagare av personuppgifter

Uppgifterna delas med Goodfeed AB som tillhandahåller den plattform för projektuppföljning och utvärdering som Advokatbyrån använder.

Lagring av personuppgifter

Personuppgifterna sparas i systemet under den tid som uppföljningen pågår samt under en period om sex månader därefter baserat på vårt berättigade intresse av att ta tillvara på den feedback och de åsikter som samlats in.

3.9 Anmälan och deltagande vid evenemang och seminarium

Ändamål och laglig grund

Vi anordnar seminarier och andra event där inbjudan skickas ut till klienter och andra intressenter, dels i marknadsföringssyfte, dels i syfte att informera en bred publik om till exempel ny lagstiftning eller rättspraxis. Den lagliga grunden är i dessa fall berättigat intresse (i intresseavvägningen har vi beaktat vårt intresse av att tillhandahålla evenemang och seminarium för att informera om och marknadsföra sin verksamhet samt att mottagarna kan dra nytta av innehållet i yrkessammanhang).

Fotografier och filmer behandlar vi för att informera om och marknadsföra vår verksamhet på vår hemsida och i sociala medier. Vi behandlar uppgifterna med stöd av en intresseavvägning (i intresseavvägningen har vi beaktat vårt intresse av att marknadsföra vår verksamhet).

Kategorier av personuppgifter

De personuppgifter som behandlas i marknadsföringssyfte är namn och e-postadress till klient och andra intressenter, anställd hos klient eller annan av klienten angiven kontaktperson.

I de fall vi fotograferar och/eller filmar vid våra evenemang och seminarium behandlar vi även uppgifter om dig i form av bilder och inspelat material.

Mottagare av personuppgifter

Uppgifterna lagras i Box som är vår molnbaserade tjänst för dokumentlagring. Vid utskick av inbjudningar använder vi en extern plattform (Ungapped) vilket innebär att uppgifter om namn och e-postadress överförs till denna systemleverantör.

Lagring av personuppgifter

För att underlätta framtida utskick behåller vi sändlistor. Vi gallrar fortlöpande sändlistor samt om du avböjt fler utskick. Fotografier och filmer sparas för att vi ska kunna nyttja dessa i vår marknadsföring. Gallring sker även här löpande samt på begäran från dig.

3.10 Utskick av nyhetsbrev

Ändamål och laglig grund

Utskick av nyhetsbrev sker för två ändamål. För klienter där vi tillhandahåller en compliancefunktion utgör nyhetsbreven en del av den avtalsbaserade tjänsten i syfte att uppdatera klienter och deras anställda på regelförändringar och annan information som är relevant för klientens verksamhet. Den lagliga grunden är i detta fall avtal.

För andra mottagare av nyhetsbrev utgör utskick av nyhetsbrev en marknadsföringsåtgärd. Den lagliga grunden är i dessa fall antingen samtycke som ges vid anmälan till prenumeration på nyhetsbrev eller berättigat intresse då mottagarna kan dra nytta av innehållet i yrkessammanhang.

Kategorier av personuppgifter

De personuppgifter som behandlas är namn och e-postadress till klient och andra intressenter, anställd hos klient eller annan av klienten angiven kontaktperson.

Mottagare av personuppgifter

Uppgifterna lagras i Box som är vår molnbaserade tjänst för dokumentlagring. Vid utskick av inbjudningar använder Harvest den externa plattformen Ungapped, som tillhandahålls av Ungapped AB, vilket innebär att uppgifter om namn och e-postadress överförs till denna systemleverantör.

Lagring av personuppgifter

För att underlätta framtida utskick behåller vi sändlistor. Vi gallrar fortlöpande sändlistor, dels om vi inte längre har ett berättigat intresse av att skicka ut nyhetsbrev till dig, dels om du har avböjt fler utskick.

3.11 Rekrytering

Ändamål och laglig grund

För att vi ska kunna hantera ansökningar, intervjuer och beslutsfattande i ett rekryteringsförfarande samlar vi in och behandlar personuppgifter. Det övergripande ändamålet med en rekryteringsprocess är att vi ska kunna anställa personer med rätt egenskaper till ledig befattning. Vi kan även komma att spara personuppgifterna i vår CV- databas i syfte att kontakta den sökande vid framtida rekryteringar. Laglig grund för behandlingen utgörs av ingående av avtal samt vårt berättigade intresse att kunna ta emot och hantera en ansökan om anställning.

Det är inte ett krav att lämna dina personuppgifter till oss. Om du inte lämnar dina personuppgifter till oss har vi inte möjlighet att uppfylla våra åtaganden gentemot dig och genomföra rekryteringsprocessen.

Kategorier av personuppgifter

Inom ramen för en rekryteringsprocess hanterar vi följande kategorier av personuppgifter:

• namn, adress, e-postadress och telefonnummer till den sökande,

• i förekommande fall, fotografi på den sökande,

• uppgifter om sökandens tidigare arbetslivserfarenhet samt arbetsbetyg,

• utbildning samt utbildningsintyg, samt

• kontaktuppgifter till eventuella referenser som lämnas av den sökande.

Det är viktigt att du som sökande inte lämnar uppgifter som inte är relevanta för ansökan. Vid ansökan behöver du inte ange känsliga personuppgifter gällande etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, uppgifter om hälsa samt uppgifter om könstillhörighet. Du som söker jobb ska bara lämna personuppgifter om dig själv i personliga brev. Om vi inhämtar referenser om dig kommer vi dela och motta personuppgifter i referenstagningen.

Mottagare av personuppgifter

De personuppgifter som samlas in och behandlas kommer endast att vara tillgängliga för utvalda anställda hos oss. Genom vår hemsida använder vi Workbuster som tillhandahålls av Workbuster AB, en extern leverantör för tillhandahållande av CV-databas till vilken den sökande laddar upp ansökan samt CV. Uppgifter kan därför komma att delas med Workbuster AB för det fall hemsidan används som ett led i ansökningsförfarandet.

Lagring av personuppgifter

Vi behåller personuppgifterna under rekryteringsprocessen. Xxxxxxxx av inhämtade uppgifter för de som inte erbjudits anställning sker efter två år i enlighet med diskrimineringslagen.

Vi kan också komma att spara ansökningar från kandidater som är intressanta för framtida rekryteringar i vår CV-databas. I sådana fall sparas uppgifterna i maximalt två år. Du har dock alltid möjlighet att motsätta dig sådan framtida kontakt genom att invända mot behandlingen.

3. 12 Kontakter med leverantörer och samarbetspartners

Ändamål och laglig grund

Vi behandlar personuppgifter för att kunna administrera avtalsförhållandet som vi har med våra leverantörer och samarbetspartners. Den personuppgiftsbehandling avseende kontaktpersoner/företrädare hos leverantörer/samarbetspartners som sker syftar till att vi ska

kunna administrera avtalet, fullgöra våra skyldigheter gentemot våra leverantörer/samarbetspartners, hantera leveranser och för att kunna ha kontakt och kommunicera med leverantörer/samarbetspartners.

Den lagliga grunden för vår behandling är i dessa fall vårt berättigade intresse av att kunna administrera och uppfylla våra avtal med våra leverantörer/samarbetspartners. I intresseavvägningen har vi bedömt att kontaktpersonen/företrädaren har ett intresse av att vi fullgör våra skyldigheter gentemot våra leverantörer/samarbetspartners.

Kategorier av personuppgifter

Vi behandlar namn, telefonnummer och e-postadress avseende kontaktperson/företrädare för leverantörer/samarbetspartners med vilka vi har ett affärsförhållande.

Mottagare av personuppgifter

Vi lagrar uppgifterna i Box som är vår molnbaserade tjänst för dokumentlagring. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster.

Lagring av personuppgifter

Vi sparar personuppgifter i syfte att fullgöra vårt avtal med varje enskild leverantör/samarbetspartner. Uppgifter om kontaktperson/företrädare behandlas därför som utgångspunkt under den tid det är nödvändigt för att vi ska kunna administrera avtalsförhållandet, utöva våra rättigheter och fullgöra våra åtaganden i förhållande till varje enskild leverantör/samarbetspartner. För det fall din anställning eller ditt uppdrag hos leverantören/samarbetspartnern upphör avslutar vi vår behandling av dina personuppgifter så snart vi fått sådan information. Avtal som innehåller dina personuppgifter sparas i tio (10) år från det att vårt affärsförhållande upphör på grund av preskriptionstiden i preskriptionslagen.

3. 13 Hantering av leverantörsfakturor

Ändamål och laglig grund

För att vi ska kunna hantera fakturor behöver vi behandla personuppgifter. Den behandling som sker för bokföringsändamål avseende fakturering eller betalning av tjänster eller produkter grundas på vår skyldighet att uppfylla de rättsliga förpliktelser som åligger oss enligt bokföringslagen. Det är inte ett krav att lämna dina personuppgifter till oss. Om du inte lämnar dina personuppgifter till oss har vi inte möjlighet att fullgöra vårt avtal eller uppfylla våra åtaganden i förhållande till dig.

För följande ändamål behandlar vi dina personuppgifter för att fullgöra avtalsförpliktelser:

• För att kunna hantera fakturering.

• För att kunna genomföra betalningar av tjänster eller produkter.

För följande ändamål behandlar vi dina personuppgifter för att uppfylla rättsliga förpliktelser:

• För att kunna hantera vår bokföring enligt bokföringslagen (1999:1078).

Kategorier av personuppgifter

Vi hanterar följande kategorier av personuppgifter.

• namn, adress, e-postadress och telefonnummer till kontaktperson/företrädare (anställd) för leverantörer/samarbetspartners med vilka vi har ett affärsförhållande, samt

• faktura- och betalningsuppgifter.

Mottagare av personuppgifter

Vi lagrar uppgifterna i Box som är vår molnbaserade tjänst för dokumentlagring. Uppgifterna delas även med Omega Ekonomi AB som anlitas för ekonomi- och redovisningstjänster. Vidare kan vi komma att dela uppgifterna med andra IT- och systemleverantörer som tillhandahåller support för våra system och molntjänster.

Lagring av personuppgifter

Vi sparar personuppgifter i syfte att fullgöra vårt avtal med varje enskild leverantör/samarbetspartner. Uppgifter om kontaktperson/företrädare behandlas därför som utgångspunkt under den tid det är nödvändigt för att vi ska kunna administrera avtalsförhållandet, utöva våra rättigheter och fullgöra våra åtaganden i förhållande till varje enskilda leverantör/samarbetspartner. För det fall din anställning eller ditt uppdrag hos leverantören/samarbetspartnern upphör avslutar vi vår behandling av dina personuppgifter så snart vi fått sådan information. Eventuella uppgifter som rör betalning och där behandling krävs enligt bokföringslagen lagras uppgifterna i sju (7) år enligt bokföringslagen.

4 DEN REGISTRERADES RÄTTIGHETER

Rätt till tillgång (s.k. registerutdrag)

Du har rätt att få besked om vilka behandlingar vi gör om dig. Ett sådant ska bland annat innehålla beskrivning av ändamål och laglig grund med behandlingarna, vilka kategorier personuppgifter det rör och vilka som mottagit personuppgifterna. Sådan information har vi sammanställt på övergripande nivå ovan, vilket är ett enkelt sätt för dig att få information om hur vi arbetar med personuppgifter. Ett registerutdrag innebär att du ska få en överblick över behandlingar så att du förstår, om och i så fall i vilket syfte, dina personuppgifter behandlas.

Det bör dock noteras att rätten till tillgång till uppgifter inte gäller sådana uppgifter som omfattas av advokatens tystnadsplikt och som vi därmed inte får lämna ut enligt Vägledande regler för god advokatsed. Vi kan därför komma att neka en begäran från en registrerad om att utöva rättigheterna ovan.

Rätt till rättelse, radering eller begränsning

Om du tycker att vi behandlat dina personuppgifter på ett felaktigt sätt, eller att de behöver kompletteras, har du rätt att begära att vi rättar dem och om du inte vill att vi ska fortsätta behandla personuppgifter, har du rätt att begära att vi ska radera dem. Vi kommer rätta och radera personuppgifterna om det är möjligt i förhållande till vårt ändamål med behandlingen och de lagregler vi är skyldiga att följa.

Om du tycker att personuppgifterna vi har om dig är inkorrekta, att vår behandling strider mot lag eller att vi inte behöver uppgifterna för ett specifikt syfte har du rätt att begära att vi begränsar vår behandling av de personuppgifterna. Du kan också begära att vi inte ska behandla dina personuppgifter under tiden som vi utreder om din begäran om att utöva dina rättigheter kan bifallas.

Det bör dock noteras att rätten till rättelse eller radering i vissa fall kan vara begränsad, då vi som advokatbyrå har en skyldighet att bevara vissa uppgifter enligt lag och Vägledande regler för god advokatsed.

Rätt att göra invändningar mot viss typ av behandling

Du har rätt att när som helst invända mot behandling av dina personuppgifter om den lagliga grunden för behandlingen utgörs av ett allmänintresse eller intresseavvägning. Om du invänder kommer vi att pröva om vårt intresse av att behandla dina uppgifter väger tyngre än ditt intresse av att personuppgifterna inte behandlas.

Du har även rätt att när som helst invända mot behandling av dina personuppgifter om dessa behandlas för direkt marknadsföring.

Rätt till dataportabilitet

Du har rätt till att få ut de personuppgifter som du tillhandahållit oss och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. Detta gäller dock under förutsättning att det

a) är tekniskt möjligt och

b) den lagliga grunden för behandlingen utgörs av samtycke eller att behandlingen varit nödvändig för fullgörande av avtal.

Rätt att återkalla samtycke

Om personuppgiftsbehandlingen grundar sig på samtycke har du rätt att när som helst återkalla detta samtycke. Sådan återkallelse påverkar inte lagligheten i personuppgiftsbehandlingen innan samtycket återkallades.

Rätt att klaga på personuppgiftshanteringen

Du har alltid rätt att kontakta Integritetsskyddsmyndigheten om den vill inge ett klagomål kopplat till vår behandling av personuppgifter. Nedan finner du kontaktuppgifter till Integritetsskyddsmyndigheten.

Telefonnummer: 00-000 00 00 E-postadress: xxx@xxx.xx

Vill du som registrerad utöva dina rättigheter eller få svar på andra frågor hittar du våra kontaktuppgifter i avsnitt 1. Du har rätt att vända sig till oss i stället för till Integritetsskyddsmyndigheten.

5 HUR SKYDDAS DINA PERSONUPPGIFTER?

Vi använder IT-system för att skydda sekretessen, integriteten och tillgången till personuppgifter. Vi har vidtagit särskilda säkerhetsåtgärder för att skydda dina personuppgifter mot olovlig eller obehörig behandling (olovlig tillgång, förlust, förstörelse eller skada). Endast de personer som faktiskt behöver behandla dina personuppgifter för att vi ska kunna uppfylla angivna ändamål har tillgång till dem.

6 ÖVERFÖRING AV UPPGIFTER TILL TREDJE PART

Vi kan, från tid till annan, komma att överlämna information till relevant tredje man (inklusive, men inte begränsat till, situationer där vi har en rättslig skyldighet att göra så). För att i varje sådant fall säkerställa att personuppgifter behandlas på ett tryggt och säkert sätt har vi som rutin att upprätta personuppgiftsbiträdesavtal med varje extern part som behandlar personuppgifter för vår räkning. Delning av personuppgifter med tredje part framgår av avsnitt 3.

7 ÖVERFÖRING TILL TREDJE LAND

Vi strävar alltid efter att endast behandla personuppgifter inom EU/EES. I förekommande fall kan Advokatbyrån komma att dela personuppgifter med en aktör i ett land utanför EU/EES, sk

tredje land. För det fall överföring sker till tredje land kommer vi att säkerställa att sådan överföring sker i enlighet med gällande dataskyddslagstiftning, antingen genom att överföringen baseras på beslut från EU-kommissionen om adekvat skyddsnivå eller genom att använda EU-kommissionens standardavtalsklausuler i kombination med organisatoriska och tekniska skyddsåtgärder.

Följande mottagare utanför EU/EES kan komma i fråga: Motparter, motpartsombud och utländska ombud

I samband med utförandet av klientuppdrag kan vi ha kontakt med utländska ombud utanför EU/EES som medför att personuppgifter överförs till tredje land (t.ex. i samband med gränsöverskridande klientärenden). Vilka länder som kan komma i fråga är beroende av omständigheterna i det enskilda fallet.

Domstolar, myndigheter och andra offentliga organ

I samband med klientuppdrag kan vi behöva dela nödvändiga uppgifter med domstolar, myndigheter och andra offentliga organ utanför EU/EES. Vilka länder som kan komma i fråga är beroende av omständigheterna i det enskilda fallet.

Systemleverantörer

I vår verksamhet använder vi Microsoft Office 365. I samband med att Microsoft mottar personuppgifter om dig kan personuppgifterna överföras till bland annat USA. För mer information om Microsofts personuppgiftsbehandling, se:

xxxxx://xxxxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxxxxxxx

För att läsa mer om överföring till tredje land och för att ta de av standardavtalsklausulerna, se:

xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxx/xxxxxxxxxx/xxxxxxxx-xx-xxxxx-xxxxxxx

Sociala medier

När du besöker våra sociala medier (Facebook, Instagram och LinkedIn) samlas dina personuppgifter också in och behandlas av dessa företag (Meta och LinkedIn). I samband med att dessa företag tar emot personuppgifter kan uppgifterna föras över till USA.

Facebook och Instagram

Genom att använda tjänsterna behandlas dina personuppgifter av Meta Platforms Ireland Limited. För mer information om behandlingen, överföring till tredje land och för att ta del av standardavtalsklausulerna, se:

xxxxx://xx-xx.xxxxxxxx.xxx/xxxxxxx/xxxxxx/?xxxxx_xxxxxxxxxxxxxx_xxxx_xxxxxx

xxxxx://xxx.xxxxxxxx.xxx/xxxx/000000000000000?xxxxxx&xxxxxxxxxxx_xxxxxxx

Genom att använda tjänsten behandlas dina personuppgifter av LinkedIn Ireland Unlimited Company. För mer information om behandlingen, överföring till tredje land och för att ta del av standardavtalsklausulerna, se:

xxxxx://xx.xxxxxxxx.xxx/xxxxx/xxxxxxx-xxxxxx

xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxxx/xxxxxx/x0000000

8 ÄNDRINGAR AV INTEGRITETSPOLICYN

Vi förbehåller oss rätten att ändra och uppdatera integritetspolicyn. Vid materiella ändringar i integritetspolicyn eller om befintliga uppgifter ska behandlas på annat sätt än vad som anges i integritetspolicyn, kommer vi att informera om detta på lämpligt sätt.

Denna integritetspolicy är uppdaterad den 15 december 2022.

BILAGA 1

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER INOM RAMEN FÖR GDPR EXCELLENCE

Passacon AB (Passacon) och Harvest Advokatbyrå AB (Harvest) har tillsammans tagit fram programmet GDPR Excellence.

Inom ramen för det programmet behandlas personuppgifter på det sätt som beskrivs nedan1.

Det övergripande ändamålet med den här processen är att planera och genomföra programmet inklusive marknadsföring. De lagliga grunderna är berättigat intresse (steg 1 och 2: i intresseavvägningen har vi vägt in att det rör sig om riktad marknadsföring) och avtal (de som anmäler sig till programmet ingår ett avtal med oss (steg 4-5).

1. Erbjudande

2. Utskick

3. Anmälan

Genomförande

5. Efterarbete

1. Erbjudande. Vi tar gemensamt fram informationsutskick och erbjudanden kopplade till programmet. För detta behandlas i första hand namn och kontaktuppgifter på ansvariga hos Passacon och Harvest.

2. Utskick. I det här steget gör vi utskick utifrån den tänkta målgruppen: personer som har stor erfarenhet av att arbeta med dataskyddsfrågor juridiskt och/eller praktiskt. Inbjudningar skickas till befintliga kunder men också andra som vi tror kan vara intresserade (personuppgifter hämtas från våra nätverk och från personer som visat intresse för frågorna på sociala medier samt från de som tidigare visat intresse för programmet eller våra webbinarier). Rör det sig om ett kostnadsfritt seminarium eller andra erbjudanden som riktas brett lägger vi ofta också ut inbjudan på hemsidorna och på LinkedIn- sidorna. De personuppgifter vi behandlar är mejladresser och namn på mottagare. I inbjudningar finns också namn på talarna angivna.

När vi använder LinkedIn kan även det bolaget spara personuppgifter. Det är viktigt att göra egna inställingar hos XxxxxxXx för att förhindra att det bolaget använder datakakor på ett sätt man inte vill godta. Både Passacon och Harvest använder LinkedIn primärt för journalistiska ändamål, det vill säga

1 Företagen har gemensamt tagit fram den här processbeskrivningen, vilket innebär att den kan ses som ett inbördes arrangemang. Den som har frågor eller vill utöva sina rättigheter kan vända sig till båda företagen. Kontaktuppgifter finns i integritetspolicyerna som är publicerade på hemsidorna xxx.xxxxxxxx.xx och xxx.xxxxxxxxxxxxxx.xx. I integritetspolicyerna finns också information om den registrerades rättigheter.

vi vill informera och väcka debatt i viktiga frågor rörande GDPR. Detta är även ett huvudsyfte bakom vår satsning att skapa programmet.

3. Anmälan. I det här steget får vi in anmälningar (de skickas till vår gemensamma e-postadress xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx). Harvest gör en förteckning över deltagarna (namn och e- postadress).

Vi skickar en bekräftelse när vi fått anmälan via mejl. Vi beställer också förtäring (vi delar inga personuppgifter till leverantören) utifrån anmälningslistan.

I detta steg fakturerar Passacon deltagarna och sparar underlag för bokföringsändamål (laglig grund för detta är rättslig förpliktelse; bokföringslagen). I den ekonomiska avstämningen mellan bolagen kan namn på deltagare behöva delas för att intäkterna ska kunna beskrivas korrekt.

4. Genomförande. I det här steget genomförs event inom programmet. Inför detta skickar vi ut agendor (namn på talare anges och vi behandlar deltagarnas e-postadresser). Vi förbereder vissa inslag genom att stämma av med talare vilket också kan leda till personuppgiftsbehandling (kontaktuppgifter och tankar om ämnen). Vi behandlar inga ytterligare personuppgifter i detta steg.

När vi genomför kostnadsfria webbinarier sker detta genom Teams och ibland Forms, som är amerikanska program tillhandahållna av Microsoft 365 (vår användning stöds av standardavtalsklausuler). Vi har vidtagit följande säkerhetsåtgärder: vi spelar inte in webbinarier och vi hanterar aldrig integritetskänsliga personuppgifter under dessa. Vid användning av enkäter gör vi inställningar så vi inte själva kan se vem som svarat vad. Vi har även beaktat de rekommendationer som finns i denna konsekvensbedömning.

5. Efterarbete. I detta steg genomför vi efterarbete som att skicka ut presentationen till deltagare som bett om den. E-postadresser behandlas då.

PRIVACY STATEMENT HARVEST ADVOKATBYRÅ AB

1 PERSONAL DATA CONTROLLER 23

2 TERMINOLOGY AND DEFINITIONS 23

3 INFORMATION REGARDING OUR PROCESSING OF PERSONAL DATA 24

3.1 General 24

3.2 Responding to inquiries and making offers 24

3.3 Conflict of interest checks 25

3.4 Know Your Client (KYC) measures 26

3.5 Client registration 28

3.6 Administration of client assignments 28

3.7 Accounting and invoicing regarding client assignments 30

3.8 Project follow-up and business development 32

3.9 Registration and participation in events and seminars 32

3.10 Newsletter mailing 33

3.11 Recruitment 34

3.12 Contact with suppliers and business partners 35

3.13 Handling suppliers’ invoices 36

4 THE RIGHTS OF THE DATA SUBJECT 37

5 HOW IS YOUR PERSONAL DATA PROTECTED? 39

6 TRANSFER OF DATA TO THIRD PARTIES 39

7 TRANSFER TO THIRD COUNTRIES 39

8 AMENDMENTS TO THE PRIVACY STATEMENT 41

APPENDIX 1 42

1 PERSONAL DATA CONTROLLER

Harvest Advokatbyrå AB (company registration number 559070-0224) (“Harvest/we”) is the personal data controller as set out in this privacy statement. Contact us at xxxx@xxxxxxxxxxxxxx.xx or at the address below for questions regarding our processing of personal data.

Harvest Advokatbyrå AB Box 7225

103 89 Stockholm

Tel: + 00 (0)0 00 00 00

xxx.xxxxxxxxxxxxxx.xx

2 TERMINOLOGY AND DEFINITIONS

This policy uses the following terms and definitions:

Personal data refers to all kinds of information that can be directly or indirectly attributed to a living natural person. Such information includes images and sound recordings that are processed electronically regarding which no names need to be mentioned. Encrypted information and various forms of electronic identification (e.g., IP numbers) are deemed as personal information if they can be linked to natural persons.

Processing of personal data refers to any operation regarding personal data. Every operation undertaken with regard to personal data constitutes a processing; irrespective of whether it is performed automatically or not. Examples of common operations are collection, registration, organisation, structuring, storage, processing or rectification, transfer and deletion.

The data subject refers to the person to whom the personal data refers, i.e., we will continually refer to the data subject as "you" or “your” in this privacy statement.

Sensitive data refers to personal data regarding racial or ethnic origin, personal opinions, religious or philosophical beliefs, trade union membership, genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health, and data concerning a natural person's sex life or sexual orientation.

Rights refer to the rights of the data subject under the GDPR. Your rights are listed below in section 5. These rights are also described in more detail on the Swedish Authority for Privacy Protection website .

3 INFORMATION REGARDING OUR PROCESSING OF PERSONAL DATA

3.1 General

As a law firm, we provide advice, and support clients in legal matters. Harvest is fully compliant with applicable regulations and the Swedish Bar Association's statutes. Within the scope of our business, we process personal data with regard to clients, prospective clients, suppliers/business partners, job applicants, as well as for marketing purposes. Information on our responsibility for the processing of personal data within the scope and function of the abovementioned areas is outlined in Sections 3.2–3.12 below.

Information on the joint processing of personal data by Passacon AB and ourselves regarding the GDPR Excellence program is set out in Appendix 1.

3.2 Responding to inquiries and making offers

Purpose and legal basis

We process personal data for the purpose of legal certainty and effectiveness in handling inquiries from a client that may wish to engage our services. The legal basis for this processing consists of an agreement and a legitimate interest in being able to respond to inquiries and send quotes (in the balancing of interests, we have taken into account that it is the prospective client who chooses to contact us).

It is not a requirement to provide us with your personal data. However, without this data, we will be able to neither fulfil our agreement nor obligations in relation to you.

Categories of personal data

We process the following categories of personal data. When a client or prospective client is a legal person:

• name, address, email address and telephone number of the contact person/representative.

When a client or prospective client is a natural person:

• name, address, email address and telephone number.

In individual cases, a description of the case provided to us by a prospective client may also contain personal data.

Recipients of personal data

The information is stored in Box, which is our cloud-based service for document storage. Furthermore, we may share the information with other IT and system providers that support our systems and cloud services.

Storage of personal data

Personal data, which is processed with regard to an offer, which results in a client relationship, is stored for ten years in accordance with the Swedish Bar Association’s Code of Conduct. In the event that the offer does not result in a client relationship, we store the information for one year based on our legitimate interest in retaining information on the recipients and the contents of these offers.

3.3 Conflict of interest checks

Purpose and legal basis

The duty of loyalty to clients is a fundamental aspect of advocacy. Therefore, we are required by the Swedish Bar Association’s Code of Conduct to ensure that there is no conflict of interest, which we are under a duty to check prior to undertaking any client assignment. When performing such a check, the client register is searched for information that may indicate a conflict of interest. As a result, the purpose for the processing is to ensure that there exists no conflict of interest, thus preserving the duty of loyalty to previous, current, and future clients. Our clients are mainly comprised of legal persons and, to a certain extent, natural persons. The processing of personal data is based on our duty to follow the Swedish Bar Association’s Code of Conduct.

Categories of personal data

In the event that the prospective client is a legal person, personal data is processed with regard to the name of the legal person's contact person/representative.

In the event that the prospective client is a natural person, personal data is processed with regard to the name and Swedish id. number of the natural person.

Recipients of personal data

The information can be made available to our IT and system providers that support our systems and cloud services. The information is also shared with a business partner (Xxxxx Xxxxxx Xxxxxxx AB) based on our premises.

Storage of personal data

The personal data that we process within the scope of conflict-of-interest checks is stored for a period of ten years in accordance with the Limitation Act.

3.4 Know Your Client (KYC) measures

Purpose and legal basis

The Money Laundering and Terrorist Financing (Prevention) Act (2017: 630) (“the AML act”) sets forth the requirement that law firms in certain cases must have knowledge of a client prior to a business relationship being established. To clarify whether the AML act is applicable to a certain client matter, we initially process certain limited information about our clients. This is based on our legitimate interest in being able to show the Swedish Bar Association, when necessary, that we have assessed that the AML act is not applicable to a certain client matter and the requirements for KYC. In the balance of interests, we have assessed that the personal data in question is very limited (see below) and only consists of such data that both natural persons and representatives of legal entity can be expected to share with a contracting party such as the law firm.

In cases where we are required to perform measures for client knowledge, the purpose of the processing of personal data is to fulfil this legal requirement. The basis for our KYC measures, for which personal data is processed, is thus a legal requirement. Our client knowledge procedure includes verifying the identity of representatives of the legal person and, where applicable, the beneficial owner, as well as checking whether the beneficial owner (legal person) or client (natural person) constitutes a so-called PEP (Politically Exposed Person), and whether the beneficial owner or client is inserted on a sanction list.

Categories of personal data

When investigating whether the AML act is applicable to a client matter, we only process personal data regarding i) name and personal identity number when the client is a natural person or ii) name and address of the CEO and board members when the client is a legal entity.

Within the scope of measures taken for KYC measures (i.e. when the AML act is applicable to a client matter) we process the following categories of personal data.

When a client is a legal entity:

• name and Swedish id. number regarding the contact person/representative (with Bank ID verification). In the event that BankID verification is not possible, we require a scanned copy

of a passport of the client's contact person/representative, which contains information about nationality, gender and height in addition to the name and Swedish id. number,

• name and Swedish id. number regarding the beneficial owner or alternative beneficial owner (with BankID verification). In the event that BankID verification is not possible, we require a scanned copy of a passport of the beneficial owner, which contains information about nationality, gender and height in addition to the name and Swedish id. number,

• the beneficial owner’s possible PEP status, including occupation/role, as well as

• information about violations of the law that would be red flagged if the beneficial owner is inserted on a sanction list.

When a client is a natural person:

• name and Swedish id. number (with Bank ID verification). In the event that BankID verification is not possible, we require a scanned copy of a passport, which contains information about nationality, gender and height in addition to the name and Swedish id. number,

• address,

• the client’s PEP status, including occupation/role, and

• information about violations of the law that would be red flagged if the client is inserted on a sanction list.

The KYC process is carried out on a tool called Due PTL, which is provided by Due Compliance AB. The information is retrieved in the tool.

We may also collect information from Bisnode or UC.

Recipient of personal data

Personal data is stored in Due PTL which is a tool provided by Due Compliance AB for this process. Personal data processed in connection to our KYC measures is also stored in Box, which is our cloud-based service for document storage. Furthermore, we may share the information with other IT and system vendors that provide support for our systems and cloud services.. We may also share information with the Financial Intelligence Unit within the Swedish Police if such disclosure is prescribed by law.

Storage of personal data

We retain the personal data collected when we investigate whether the AML Act is applicable, within the scope of KYC measures during the ongoing client relationship and for five years from the termination thererof.

3.5 Client registration

Purpose and legal basis

We process personal data for the purpose of entering into agreements with clients and registering clients in our system. The legal basis for this treatment consists of the agreements.

The provision of your personal data is not a statutory requirement; however, it is a requirement that is necessary in order to enter into an agreement with us. If you do not provide your personal information to us, we will be able to neither fulfil our agreement nor our obligations in relation to you.

Categories of personal data

We process the following categories of personal data:

• Name, email address and telephone number of the contact person/representative.

• The Swedish id. number of the contact person/representative if the agreement is signed by an electronic signature with BankID (Scrive).

• In the event that the client is a natural person, the client's Swedish id. number is processed both upon registration and in the event of a contract being signed by electronic signature.

Recipient of personal data

The information is stored in Saturnus, which is our system for time accounting and invoicing. In the event that an agreement is signed by electronic signature, the information is shared with this supplier (Scrive).

Storage of personal data

The personal data is stored, in accordance with a requirement under the Swedish Bar Association’s Code of Conduct, for a period of ten years from the date of completion of the assignment, or for a longer period as required by the nature of the assignment.

3.6 Administration of client assignments

Purpose and legal basis

We process personal data in order to perform and administer the assignment and to safeguard the client's interests.

We process your personal data for the following purposes in order to fulfil our contractual obligations:

• To be able to perform and administer the assignment and to safeguard the client's interests (natural person).

• To be able to communicate with you by email, ordinary post, and telephone.

• To be able to administer and book appointments.

• To provide efficient and correct documentation, administration and handling of the assignment.

We process your personal data for the following purposes on the basis of our legitimate interest (in the balancing of interests, we have assessed that the client has a legitimate interest in the assignment being handled in a satisfactory manner):

• To be able to perform and administer the assignment and to safeguard the client's interests (legal entity).

• To be able to manage and administer our fee accounting.

• To be able to uphold the Swedish Bar Association’s Code of Conduct to defend ourselves against legal claims.

• To safeguard our rights in other legal claims against us.

Categories of personal data

We process the following categories of personal data:

• name, email address and telephone number of the client or contact person/representative.

Recipient of personal data

We store data related to the execution of the assignment in Box, which is our cloud-based service for document storage. Furthermore, we may share the information with other IT and system vendors that provide support for our systems and cloud services. The information is also shared with Saturnus, which is the time accounting and invoicing system used.

We may also share information with counterparties, counterparty representatives and business partners within the scope of the execution of the assignment. Other parties engaged by the client, such as auditors and internal auditors, may also receive information in accordance with the client's instructions.

In addition to the above, information may be shared with an arbitral tribunal, a court, and governmental authorities if such disclosure is prescribed by law (for example, the Police and the Swedish Enforcement Agency).

Storage of personal data

Assignments regarding control functions

We will receive information and other documents which may contain, depending on the scope of the assignment, personal data relating to a client and its business as well as the client's customers, suppliers, employees, members of management and non-employee whistleblowers. This information is received by us in conjunction with being engaged to maintain the compliance function, internal audit, independent audit, or in maintaining the whistleblowing function at financial companies. In particular, we will be privy to information and documentation that contains personal information, such as board minutes, KYC documentation regarding the client's customers, suitability assessments containing financial information about the client's customers, as well as our client’s own business regarding employees, remuneration of the employees and information that may arise in the context of the reporting of malfunctions in the business (whistleblowing). In the event that we process your personal data as an employee, contractor or member of management, we will do so based on our legitimate interest to be able to administer agreements and fulfil our obligations towards our clients (your employer or client).

In case we provide a whistleblowing function for our clients, this is done in cooperation with Whistleblower Partners ApS, which provides the system in which reports are handled. For information on Whistleblower Partners' processing of personal data, see:

xxxxx://xxxxxxxxxxxxxxxxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/Xxxxxxxxxxxxx-xxxxxxx-xxxxxx-Xxxxxxx- 1.pdf

3.7 Accounting and invoicing regarding client assignments

Purpose and legal basis

We need to process personal data in order to be able to handle outgoing and incoming invoices. The processing that takes place for accounting and invoicing purposes is based partly on our fulfilment of agreements with clients, and partly on our obligation to fulfil legal requirements that are incumbent on us.

We process your personal data for the following purposes in order to fulfil contractual obligations:

• To be able to handle and administer invoicing and reminders.

• To be able to handle and administer accounts receivable that arise within the scope of an assignment.

We process your personal data for the following purposes in order to fulfil legal obligations:

• To be able to handle our accounting in accordance with the Bookkeeping Act (1999: 1078).

• To be able to handle and administer our accounts in accordance with the Swedish Bar Association’s Code of Conduct.

It is not a requirement to provide us with your personal data. However, without this data, we will be able to neither fulfil our agreement nor obligations in relation to you.

Categories of personal data

We process the following categories of personal data.

• name, address, email address and telephone number of the contact person/representative, and

• invoice and payment information.

Recipient of personal data

The information is shared with Saturnus, which provides the time accounting and invoicing system used, and Omega Ekonomi AB, which is engaged for financial and accounting services. Furthermore, we may share the information with other IT and system vendors that provide support for our systems and cloud services.

Storage of personal data

Personal data is stored for the purpose of fulfilling legal requirements regarding taxation, accounting, or to defend legal claims. In these cases, data is stored for seven years from the time of invoicing (regarding accounting) and ten years (regarding taxation and limitation periods).

3.8 Project follow-up and business development

Purpose and legal basis

In connection with the execution and/or completion of certain client assignments, we follow up on the performance of the assignment by collecting feedback and opinions from relevant persons at both the client and the employees of the Law Firm. The processing of personal data in this context is based on our legitimate interest in monitoring and evaluating assignments and workflows in order to develop and improve our business.

Categories of personal data

The personal data processed are name and email address to the contact person/ representative and opinions expressed in the context of the project follow-up.

Recipients of personal data

The data is shared with Goodfeed AB which provides the project follow-up and evaluation platform that the Law Firm use.

Storage of personal data

The personal data is stored in the system for the duration of follow-up, and during a period of six months thereafter, based on our legitimate interest to use the feedback and opinions gathered.

3.9 Registration and participation in events and seminars

Purpose and legal basis

We arrange seminars and other events for which invitations are sent out to clients and other interested parties, partly for marketing purposes, partly for the purpose of informing a wider audience about new legislation or case law. The legal basis in these cases is a legitimate interest (in the balancing of interests, we have taken into account our interest in providing events and seminars to inform and market our activities whilst the attendees benefit from the content from a professional perspective).

We process photographs and films to inform and market our business on our website and on social media. We process the information on the basis of a balance of interests (in the balancing of interests we have taken into account our interest in marketing our business).

Categories of personal data

The personal data that is processed for marketing purposes consists of the name and email address of the client and other interested parties who are employed by the client, or another contact person specified by the client.

In cases where we photograph and/or film at our events and seminars, we also process information about you in the form of photos and recorded material.

Recipient of personal data

The information is stored in Box, which is our cloud-based service for document storage. When sending invitations, we use an external platform (Ungapped), which means that information regarding name and email address is transferred to this system provider.

Storage of personal data

To facilitate future mailings, we maintain mailing lists. We continuously erase data from mailing lists and in the event that you request not to receive more mailings. Photographs and films are saved so that we can use them for our marketing purposes. Data erasure is also performed on an ongoing basis in this regard, and upon your request.

3.10 Newsletter mailing

Purpose and legal basis

Newsletters are sent out for two purposes: for clients to whom we provide a compliance function, the newsletters form part of the contract-based service for the purpose of updating clients and their employees on regulation changes and other information that is relevant to the client's business. The legal basis in this case is the agreement.

For other recipients of newsletters, sending out newsletters constitutes a marketing measure. The legal basis in these cases is either consent provided when registering for a newsletter subscription or a legitimate interest as the recipients can benefit from the content in a professional context.

Categories of personal data

The personal data that is processed consists of the name and email address of the client and other interested parties that are employed by the client, or another contact person specified by the client.

Recipient of personal data

The information is stored in Box, which is our cloud-based service for document storage. When sending out invitations, Harvest uses the external platform: Ungapped, which is provided by Ungapped AB, which means that information regarding name and email address is transferred to this system provider.

Storage of personal data

To facilitate future mailings, we keep mailing lists. We continuously erase data from mailing lists, partly if we no longer have a legitimate interest in sending out newsletters to you, and partly if you have requested not to receive further mailings.

3.11 Recruitment

Purpose and legal basis

We collect and process personal data in order for us to be able to handle applications, interview, and make decisions in a recruitment process. The overall purpose of a recruitment process is that we should be able to employ people with the right skillset for a vacancy. We may also save the personal information in our CV database in order to contact the applicant for a future recruitment process. The legal basis for the processing consists of entering into an agreement and our legitimate interest in being able to receive and handle an application for employment.

It is not a requirement to provide us with your personal data. However, without this data, we will not be able to fulfil our obligations to you in the performance of our recruitment process.

Categories of personal data

Within the scope of a recruitment process, we process the following categories of personal data:

∙ name, address, email address and telephone number of the applicant,

∙ where applicable, a photograph of the applicant,

∙ information about the applicant's previous work experience and certificate(s) of employment.

∙ education and education certification, as well as

∙ contact information for any references provided by the applicant.

It is important that you as an applicant do not provide information that is not relevant to the application. When applying, you do not need to provide sensitive personal information regarding ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, health information and gender information. You, as a job-seeker, need only provide personal information about yourself in the form of a personal letter. If we collect references about you, we will share and receive personal information regarding the reference.

Recipient of personal data

The personal data that is collected and processed will only be available to selected employees. We use Workbuster, provided by Workbuster AB, on our website which is an external supplier

for the provision of a CV database to which the applicant uploads the application and CV. Information may therefore be shared with Workbuster AB in the event that the website is used as part of the application procedure.

Storage of personal data

We retain personal information during the recruitment process. Erasure of information received from unsuccessful applicants takes place after two years in accordance with the Discrimination Act.

We may also save applications in our CV database from candidates who are interested in a future recruitment process. In such cases, the data is stored for a maximum of two years. However, you always have the opportunity not to be contacted in the future by declining the processing.

3.12 Contact with suppliers and business partners

Purpose and legal basis

We process personal data in order to administer our contractual relationship with suppliers and business partners. The processing of personal data of contact persons/representatives of suppliers/business partners is for the purposes of performing the agreement, fulfilling our obligations towards our suppliers/business partners, as well as handling deliveries, and communication.

The legal basis for our processing in these cases is our legitimate interest in being able to perform and fulfil our agreements with our suppliers/business partners. In the balancing of interests, we have assessed that the contact person/representative has an interest in the fulfilling of our obligations to our suppliers/business partners.

Categories of personal data

We process names, telephone numbers and email addresses regarding the contact person/ representatives of suppliers/business partners with whom we have a business relationship.

Recipient of personal data

We store the data in Box, which is our cloud-based service for document storage. Furthermore, we may share the information with other IT and system vendors that provide support for our systems and cloud services.

Storage of personal data

We save personal data in order to fulfil our agreement with each individual supplier/business partner. Information regarding the contact person/representative is therefore processed for the time that is deemed necessary for us to be able to administer the contractual relationship, exercise our rights and fulfil our obligations in relation to each individual supplier/business partner. In the event that your employment or your assignment with the supplier/business partner ends, we will terminate our processing of your personal data as soon as we have received such information. Agreements that contain your personal information are stored for ten (10) years from the termination of our business relationship due to the limitation period set forth in the Limitation Act.

3.13 Handling suppliers’ invoices

Purpose and legal basis

In order for us to be able to handle invoices, we need to process personal data. The processing is for accounting purposes regarding invoicing or payment of services or products, which is based on the fulfilment of legal requirements that are incumbent on us under the Bookkeeping Act. It is not a requirement to provide us with your personal data. However, without this data, we will be able to neither fulfil our agreement nor obligations in relation to you.

We process your personal data for the following purposes in order to fulfil our contractual obligations:

∙ To be able to handle invoicing.

∙ To be able to make payments for services or products.

We process your personal data for the following purposes in order to comply with legal requirements:

∙ To be able to perform our accounting in accordance with the Bookkeeping Act (1999:1078).

Categories of personal data

We process the following categories of personal data.

∙ name, address, email address and telephone number of the contact person/representative (employee) of suppliers/business partners with whom we have a business relationship, and

∙ invoice and payment information.

Recipient of personal data

We store the data in Box, which is our cloud-based service for document storage. The information is also shared with Omega Ekonomi AB which is engaged for financial and

accounting services. Furthermore, we may share the information with other IT and system vendors that provide support for our systems and cloud services.

Storage of personal data

We save personal data in order to fulfil our agreement with each individual supplier/business partner. Information regarding the contact person/representative is therefore processed for the period that is deemed necessary for us to be able to administer the contractual relationship, exercise our rights and fulfil our obligations in relation to each individual supplier/business partner. In the event that your employment or your assignment with the supplier/business partner ends, we will terminate our processing of your personal data as soon as we have received such information. Information regarding payments, and any processing that is required under the Bookkeeping Act is stored for seven (7) years in accordance therewith.

4 THE RIGHTS OF THE DATA SUBJECT

The right to access (so-called extract from the register)

You are entitled to be informed about the processing that we perform regarding you. This must include a description of the purpose and legal basis of the processing, which categories of personal data it concerns and who receives the personal data. We have compiled this information as outlined above for your ease of reference. An extract from the register means that you are provided with an overview of the processing so that you may understand if, and for what purpose, your personal data is processed.

It should be highlighted, however, that the right to access information does not apply to information which is covered by the lawyer's duty of confidentiality and which we are therefore not allowed to disclose in accordance with the Swedish Bar Association’s Code of Conduct. As a result, we may refuse a request from a data subject to exercise the above rights.

Right to rectification, erasure or restriction

If you believe that we have processed your personal data incorrectly, or that it may need to be rectified, you have the right to request that we correct the data, and, if you do not want us to continue processing the personal data, you have the right to request that we erase the data. We will rectify or delete the personal data if it is possible in respect of our purpose for the processing and the legal requirements that we are under a duty to follow.

If you believe that the personal data we store about you is inaccurate, that our processing is illegal or that we do not need the data for a specific purpose, you have the right to request that we restrict our processing of your personal data. You can also request that we shall restrict

the process of your personal data while we investigate whether your request to exercise any other rights can be granted.

However, it should be noted that the right to rectification or erasure may be limited in some cases, as we as a law firm have an obligation to preserve certain data under the law and the Swedish Bar Association’s Code of Conduct.

The right to object in certain circumstances

You have the right to object at any time to the processing of your personal data if the legal basis for the processing consists of the performance of a task in the public interest, or a balancing of interests. If you object, we will examine whether our interest to process your data outweighs your interest in not having your personal data processed.

You also have the right to object at any time to the processing of your personal data on the grounds of direct marketing.

The right to data portability

You have the right to retain the personal data that have been provided to us and have the right to transfer this data to another personal data controller subject to:

a) it is being technically feasible; and

b) the legal basis for the processing consists of consent, or that the processing was necessary for the fulfilment of an agreement.

The right to withdraw consent

If the processing of personal data is based on consent, you have the right to withdraw your consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

The right to lodge a complaint regarding the processing of personal data

You always have the right to contact the Swedish Authority for Privacy Protection in order to lodge a complaint linked to our processing of personal data. Below you will find the contact information for the Swedish Authority for Privacy Protection.

Telephone number: 00-000 00 00 Email address: xxx@xxx.xx

If you, as a data subject, wish to exercise your rights or have a response to other questions, you can find our contact information set out in Section 1. You have the right to contact us as an alternative to contacting the Swedish Authority for Privacy Protection.

5 HOW IS YOUR PERSONAL DATA PROTECTED?

We use IT systems to protect the confidentiality, privacy and access to personal data. We have taken special security measures to protect your personal data against illegal or unauthorized processing (illegal access, loss, destruction, or damage). Access is granted only to those persons that need to process your personal data in order for us to fulfil the purposes set forth herein.

6 TRANSFER OF DATA TO THIRD PARTIES

We may, from time to time, disclose information to relevant third parties (including, but not limited to, situations where we have a legal obligation to do so). In order to ensure that personal data is processed in a safe and secure manner in each case, we have a routine of drawing up a personal data assistant agreement with each external party that processes personal data on our behalf. The sharing of personal data with third parties is to be found in Section 3.

7 TRANSFER TO THIRD COUNTRIES

We always aim to only process personal data within the EU/EEA. Where appropriate, the Law Firm may share personal data with a third party in a country outside the EU/EEA, a so-called third country. In the event of a transfer to a third country, we will ensure that such transfer is made in accordance with applicable data protection legislation, either by basing the transfer on an adequacy decision by the European Commission or by using the European Commission's standard contractual clauses in combination with organizational and technical safeguards.

Personal data may be transferred to the following recipients outside the EU/EEA: Counterparties, representatives of counterparties and foreign representatives

In connection with the performance of client assignments, we may contact foreign representatives outside the EU/EEA and therefore personal data may be transferred to third countries (e.g. in cross-border client matters). The countries concerned depend on the circumstances in the individual case.

Courts, authorities and other public bodies

When carrying out client assignments, we may need to share necessary information with courts, authorities and other public bodies outside the EU/EEA. The countries concerned depend on the circumstances in the individual case.

System providers

In the operation of our business, we use Microsoft Office 365 as system provider. In connection with Microsoft receiving personal data about you, your personal data may be transferred to, for example, the United States. For more information about how Microsoft processes personal data see:

xxxxx://xxxxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxxxxxxx

To read more about the transfer of personal data to third countries and to access the standard contractual clauses, see:

xxxxx://xxxxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxx/xxxxxxxxxx/xxxxxxxx-xx-xxxxx-xxxxxxx

Social media

When you visit our social media platforms (Facebook, Instagram and LinkedIn), your personal data is also collected and processed by the companies providing such platforms (Meta and LinkedIn). When these companies receives personal data, data may also be transferred to the United States.

Facebook and Instagram

When using the services in question, your personal data will be processed by Meta Platforms Ireland Limited. For more information on the processing, transfer of personal data to third countries and to read the standard contractual clauses, see:

xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxx/?xxxxx_xxxxxxxxxxxxxx_xxxx_xxxxxx

xxxxx://xxx.xxxxxxxx.xxx/xxxx/000000000000000?xxxxxx&xxxxxxxxxxx_xxxxxxx

By using the service, your personal data is processed by LinkedIn Ireland Unlimited Company. For more information on the processing, transfer of personal data to third countries and to read the standard contractual clauses, see:

xxxxx://xxx.xxxxxxxx.xxx/xxxxx/xxxxxxx-xxxxxx

xxxxx://xxx.xxxxxxxx.xxx/xxxx/xxxxxxxx/xxxxxx/x0000000

8 AMENDMENTS TO THE PRIVACY STATEMENT

We reserve the right to amend and update the privacy statement. We will provide information in an appropriate manner in the event of material changes to the privacy statement, or if existing data is to be processed in another way than stipulated herein.

This privacy statement was updated on 15 December 2022.

APPENDIX 1 INFORMATION REGARDING THE PROCESSING OF PERSONAL DATA WITHIN THE FRAMEWORK OF GDPR EXCELLENCE

Passacon AB (Passacon) and Harvest Advokatbyrå AB (Harvest) have jointly developed the GDPR Excellence program. Within the framework of this program, personal data is processed in the manner set out below2.

The overall purpose of this process is to plan and implement the program including marketing. The legal grounds include a legitimate interest (steps 1 and 2: in the balancing of interests, we have given weight to targeted marketing) and contracts (those who sign up for the program enter into an agreement with us (steps 4-5).

1. Offer

2. Mailings

3. Registration

4. Implemntation

5. Follow-up

1. Offer. We jointly produce information mailings and offers regarding the program. Consequently, the names and contact details of those responsible at Passacon and Harvest are primarily processed.

2. Mailings. In this stage, we send out mailings based on the intended target group: people who have extensive experience working with data protection issues from a legal and/or practical perspective. Invitations are sent to existing customers, but also to third parties whom we believe may be interested (personal data is retrieved from our networks and from people who have shown interest in such matters on social media and from people who previously have shown interest in the programme or our webinars). In the event that it is a free seminar, or other offers that are broadly targeted, we often create an invitation on our websites and on LinkedIn pages. The personal data we process include email addresses and names of recipients. Furthermore, invitations include the names of the speakers. ‘

2 The companies have jointly produced this process description, which means that it can be seen as a mutual arrangement. Anyone who has questions or wishes to exercise their rights can contact either company. Contact information can be found in the privacy notices which are published on the websites xxx.xxxxxxxx.xx and xxx.xxxxxxxxxxxxxx.xx. The privacy notices also contain information about the data subject's rights.

When we are using LinkedIn that company can also process personal data. It is important to make your own settings in your LinkedIn account to prevent that company from using cookies in a way you do not want to accept. Both Passacon and Harvest are using LinkedIn primarily for journalistic purposes, i.e. we want to share information and encourage debate on important issues concerning GDPR. This is also the main purpose behind our effort to create the programme.

3. Registration. In this stage, we receive notifications (sent to our email address xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx), and Harvest creates a list of participants (name and email address).

We will send out a confirmation email upon receipt of the registration notification. In addition, we order refreshments (we do not share personal data with the supplier) with regard to the registration list.

In this stage, Passacon invoices the participants and stores any supporting documents for accounting purposes (legal basis being the legal duty under the Accounting Act). Personal data, such as names of the participants, may need to be shared in the financial reconciliation between our companies.

4. Implementation. In this stage, events are carried out within the program. The agenda is sent out prior to the event (names of speakers are provided and we process email addresses of the participants). We prepare specific topics by corresponding with speakers, which can also lead to personal data processing (contact details and thoughts on subject-matter). We do not process any further personal data in this stage.

Free webinars are carried out though Teams, and sometimes through Form, which are U.S. applications provided by Microsoft 365 (our use is supported by standard contractual clauses). The following security measures has been implemented: webinars are not being recorded and sensitive personal data are never being processed during the webinars. If we are conducting a survey we make sure to use anonymity settings. We have also considered recommendations found in this impact assessment.

5. Follow-up. In this stage, we perform follow-up tasks, such as sending out presentations to participants who have requested them. Email addresses will be processed.

Document Metadata

Table of Contents

INTEGRITETSPOLICY HARVEST ADVOKATBYRÅ AB

Document Metadata

INTEGRITETSPOLICY HARVEST ADVOKATBYRÅ AB

INTEGRITETSPOLICY HARVEST ADVOKATBYRÅ AB

(English version follows on page 22)

INNEHÅLLSFÖRTECKNING

3. 12 Kontakter med leverantörer och samarbetspartners

3. 13 Hantering av leverantörsfakturor

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER INOM RAMEN FÖR GDPR EXCELLENCE

1. Erbjudande. Vi tar gemensamt fram informationsutskick och erbjudanden kopplade till programmet. För detta behandlas i första hand namn och kontaktuppgifter på ansvariga hos Passacon och Harvest.

3. Anmälan. I det här steget får vi in anmälningar (de skickas till vår gemensamma e-postadress xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx). Harvest gör en förteckning över deltagarna (namn och e- postadress).

5. Efterarbete. I detta steg genomför vi efterarbete som att skicka ut presentationen till deltagare som bett om den. E-postadresser behandlas då.

PRIVACY STATEMENT HARVEST ADVOKATBYRÅ AB

TABLE OF CONTENTS

Rights refer to the rights of the data subject under the GDPR. Your rights are listed below in section 5. These rights are also described in more detail on the Swedish Authority for Privacy Protection website.

INFORMATION REGARDING THE PROCESSING OF PERSONAL DATA WITHIN THE FRAMEWORK OF GDPR EXCELLENCE

1. Offer. We jointly produce information mailings and offers regarding the program. Consequently, the names and contact details of those responsible at Passacon and Harvest are primarily processed.

3. Registration. In this stage, we receive notifications (sent to our email address xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx), and Harvest creates a list of participants (name and email address).

5. Follow-up. In this stage, we perform follow-up tasks, such as sending out presentations to participants who have requested them. Email addresses will be processed.

Document Metadata

Rights refer to the rights of the data subject under the GDPR. Your rights are listed below in section 5. These rights are also described in more detail on the Swedish Authority for Privacy Protection website .