PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (“Biträdesavtalet”) har ingåtts mellan:

A) Bolaget (“Personuppgiftsansvarig”);

och

B) Sedermera Corporate Finance AB, org. nr. 000000-0000, Xxxxx Xxxxxxxxx 00, 000 00 Xxxxx (”Sedermera”)

Parterna ovan är nedan benämnda ”Part” och tillsammans ”Parterna”

1. BAKGRUND

1.1 Detta Biträdesavtal är del av det huvudavtal som ingåtts mellan Personuppgiftsansvarig och Sedermera (”Avtalet”) avseende tillhandahållande av tjänster. Biträdesavtalet ska läsas och förstås mot bakgrund av Avtalet och eventuellt senare träffade avtal mellan Parterna. Biträdesavtalet reglerar Sedermeras behandling av Personuppgifter för Personuppgiftsansvarigs räkning.

1.2 Sedermera bedriver värdepappersrörelse enligt lagen (2007:528) om värdepappersmarknaden och är en del av Spotlight Group-koncernen. Behandling av Personuppgifter utgör en naturlig del inom ramen för samtliga av Sedermeras verksamhetsområden under vilka avtalsförpliktelserna åt Personuppgiftsansvarig utförs.

1.3 I enlighet med vad som framgår ovan har Parterna genom Biträdesavtalet överenskommit att Sedermeras behandling av Personuppgifter mottagna av Personuppgiftsansvarig ska ske i enlighet vad som närmare stadgas härunder. Motsvarande ska gälla för det fall att den ovan beskrivna avtalsrelationen Parterna emellan kommer till att innebära att Personuppgiftsansvarig kommer att behandla Personuppgifter som Sedermera är personuppgiftsansvarig för.

1.4 Detta Biträdesavtal reglerar inte Sedermeras rätt till ersättning för tjänsterna utan denna rätt regleras genom Avtalet.

2. DEFINTIONER

I Biträdesavtalet ska nedanstående begrepp ha följande innebörd:

Behandling, avser åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Gällande dataskyddsregler, avser den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning eller motsvarande senare lagstiftning som kommer att införas till skydd för Behandlingen av Personuppgifter.

Personuppgifter, avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats och i övrigt behandlas.

Standardavtalsvillkor, avser villkor för skydd av Personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut (EU) 2021/914 av den 4 juni 2021 eller motsvarande villkor som ersätter dessa.

Underbiträde, avser sådant personuppgiftsbiträde som anlitas av det Personuppgiftsbiträde som är Part i detta Biträdesavtal och som behandlar Personuppgifter för Personuppgiftsansvarigs räkning.

3. PERSONUPPGIFTSANSVARIGS ANSVAR

3.1 Personuppgiftsansvarig ska vidta alla nödvändiga åtgärder för att säkerställa att Behandlingen av Personuppgifter är laglig enligt vid var tid Gällande dataskyddsregler.

3.2 Personuppgiftsansvarig ska i den mån det är möjligt begränsa överföringen av Personuppgifter och endast tillhandahålla Sedermera sådana Personuppgifter som är nödvändiga för ändamålet med Behandlingen.

3.3 Personuppgiftsansvarig ska tillhandhålla Sedermera dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av Behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Sedermera ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler. Sådana instruktioner bifogas härtill som Bilaga 1, vilken utgör en del av detta Biträdesavtal.

4. BEHANDLING AV PERSONUPPGIFTER

4.1 De Personuppgifter som Sedermera har åtkomst till får endast Behandlas i enlighet med Biträdesavtalet och Gällande dataskyddsregler.

4.2 Sedermera får endast Behandla Personuppgifter i enlighet med Personuppgiftsansvarigs dokumenterade instruktioner såvida inte Sedermera är skyldig enligt tvingande författning att Behandla Personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarig lämnat ofullständiga eller felaktiga instruktioner är Sedermera skyldig att omgående påtala detta för Personuppgiftsansvarig.

4.3 Sedermera är skyldig att utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om denne anser att en Behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvarigs anvisningar. Vad som anges ovan gäller endast om Sedermera inte är förhindrad på andra grunder att lämna sådan underrättelse.

4.4 Sedermera ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvarigs begäran, ge denne tillgång till Personuppgifterna som Sedermera har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda Personuppgifter. Har Personuppgiftsansvarig raderat, eller anvisat Sedermera om radering, ska den senare vidta sådana åtgärder som krävs för att Personuppgiften inte ska kunna återskapas.

4.5 Sedermera ska upprätthålla ett register över all Behandling som sker på uppdrag av Personuppgiftsansvarig, samt att på Personuppgiftsansvarigs eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:

(a) namn och kontaktuppgifter hos Sedermera och i förekommande fall namn och kontaktuppgifter hos sådana företrädare som Sedermera anlitar, dennes dataskyddsombud och i förekommande fall anlitade av Underbiträden,

(b) den Behandling som utförs av Sedermera för Personuppgiftsansvarigs räkning, typen av personuppgifter och i förekommande fall särskilda kategorier,

(c) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå, och

(d) i förevarande fall, överföring av Personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits.

5. KAPACITET OCH FÖRMÅGA

5.1 Sedermera garanterar att denne besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler.

5.2 Sedermera ska på Personuppgiftsansvarigs begäran styrka att de skyldigheter som framgår av Biträdesavtalet och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarig annan adekvat bevisning.

5.3 Sedermera ska på Personuppgiftsansvarigs begäran, utan oskäligt dröjsmål, ge denne eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarig ska kunna utöva en effektiv kontroll av Sedermeras åtgärder enligt Biträdesavtalet eller Gällande dataskyddsregler.

5.4 Utan hinder av punkten 5.3 är Sedermera endast skyldig att bevilja Personuppgiftsansvarig, eller oberoende tredjeman som denne anlitat, tillgång till lokaler och utrustning för inspektion om det kan ske utan säkerhets- eller integritetsrisker eller om sådana inspektioner är nödvändiga för att fullgöra en rättslig förpliktelse.

6. SÄKERHET OCH SEKRETESS

6.1 Sedermera ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt Biträdesavtalet. Sedermera ska vidare tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkertsätt.

6.2 Sedermera ska behandla Personuppgifter med sekretess enligt offentlighets- och sekretesslagen (2009:400) och enligt de sekretessregler som följer av lagen (2007:528) om värdepappersmarknaden samt annan lagstiftning, samt motsvarande senare införd lagstiftning. Personer med behörighet att behandla Personuppgifterna hos Sedermera har ingått särskild sekretessförbindelse eller upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt. Sedermera ska vidare behandla Personuppgifter enligt andra eventuella sekretessbestämmelser som gäller för Personuppgiftsansvarig.

6.3 Sedermera ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att det kommit Sedermera till kännedom, underrätta Personuppgiftsansvarig om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarig behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincidenter till behörig tillsynsmyndighet.

7. SAMVERKAN

7.1 Parterna är överens om att Sedermera, på Personuppgiftsansvarigs förfrågan, ska bistå Personuppgiftsansvarigs att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade Personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Sedermera rätt till särskild ersättning.

7.2 Sedermera ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarig om Sedermera kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgifter som Sedermera, eller i förekommande fall Underbiträdet, har i sin besittning.

7.3 Sedermera ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Sedermeras efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarig. Innan sådana ändringar genomförs ska Personuppgiftsansvarig lämna sitt samtycke, vilket inte skäligen ska förvägras.

8. ANLITANDE AV UNDERBITRÄDE

8.1 Sedermera får inte anlita ett annat personuppgiftsbiträde utan att ett särskilt eller allmänt skriftligt förhandstillstånd har erhållits av den Personuppgiftsansvarig. Sådan överlåtelse medför inga ändringar i den ansvarsfördelning som gäller mellan Parterna i detta Biträdesavtal.

8.2 Har Sedermera ansökt om att få överlåta Behandlingen av Personuppgifter till ett Underbiträde och beviljats detta enligt punkten 8.1 ska Sedermera säkerställa att Underbiträdet uppfyller Gällande dataskyddsregler samt de skyldigheter som följer av detta Biträdesavtal. Sedermera ansvarar för Underbiträdets Behandling av Personuppgifter.

8.3 Avser Sedermera att byta ut ett befintligt Underbiträde mot ett annat Underbiträde ska Sedermera senast trettio (30) dagar innan informera Personuppgiftsansvarig om sina avsikter så att Personuppgiftsansvarig har möjlighet att invända mot en sådan förändring. Motsätter sig Personuppgiftsansvarig utbyte av Underbiträde eller återkallar denne sitt tidigare medgivande om användning av Underbiträde har Personuppgiftsansvarig rätt att säga upp detta Biträdesavtal och andra ingångna avtal som berör Behandling av Personuppgifter. Under uppsägningstiden får överföring av Personuppgifter till annat Underbiträde inte ske.

9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

9.1 I fall där Sedermera i samband med behandlingen överför Personuppgifter till ett tredje land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.

9.2 Har Sedermera anlitat ett Underbiträde med innebörden att Personuppgifter överförs till ett tredje land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Sedermera och Underbiträdet ingå ett tilläggsavtal baserat på Standardavtalsvillkor. I förekommande fall ska Sedermera på begäran tillhandahålla Personuppgiftsansvarig en underskriven kopia av ett sådant tilläggsavtal som avses ovan.

9.3 I händelse av konflikt mellan Biträdesavtalet och Standardavtalsklausuler ska de senare äga företräde.

10. UNDERRÄTTELSER

Underrättelser som sker i enlighet med Biträdesavtalet ska ske skriftligen per e-post till följande kontaktpersoner hos respektive part:

För Personuppgiftsansvarig:

Av Bolaget angiven kontaktperson (se Avtalet).

För Sedermera:

Av Sedermera angiven kontaktperson (se Avtalet).

11. GILTIGHET

11.1 Biträdesavtalet är giltigt tills Sedermeras Behandling av Personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal.

Sedermera ska vid avslutad behandling återlämna Personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarig och därefter radera Personuppgifterna från sådana system som använts vid Behandlingen, såvida inte detta är oförenligt med annan tvingande lag.

12. ÖVERLÅTELSE AV AVTALET

Part har inte rätt att utan motpartens föregående skriftliga samtycke överlåta sina rättigheter och skyldigheter enligt detta avtal. Part har dock rätt att göra sådan överlåtelse till annat helägt bolag inom samma koncern (enligt aktiebolagslagens definition) eller intressebolag som ägs av koncernmodern.

13. TILLÄMPLIG LAG OCH TVIST

13.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.

13.2 Tvist med anledning av Biträdesavtalet, om den inte kan lösas genom överläggning mellan Parterna, ska slutligt avgöras genom skiljedom enligt Stockholms Handelskammares Skiljedomsinstituts regler för förenklat skiljeförfarande. Skiljeförfarandets säte skall vara Malmö.

13.3 All information som framkommer under förfarandet enligt punkten 12.2, xxxxxxx beslut och skiljedom som meddelas i anledning av förfarandet, omfattas av sekretess. Information som omfattas av sekretess får inte röjas för tredje person utan samtliga parters skriftliga medgivande, såvida detta inte är nödvändigt för exekution av domen, domstolsbeslut, begäran från Finansinspektionen eller annars följer av lag.

***

BILAGA 1 – INSTRUKTIONER

Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Sedermera vid utförande av Behandlingen såvida inte annat uttryckligen anges i Biträdesavtalet.

Genom undertecknande av Biträdesavtalet har Sedermera bekräftat innebörden av dessa instruktioner. Ändringar och tillägg till dessa instruktioner är endast giltiga om de skett skriftligen. Om inte annat särskilt föreskrivs används samma definitioner i denna Bilaga som i Biträdesavtalet.

1. Ändamål

Parterna har tillsammans enats om följande ändamål för behandling som sker inom ramen för detta Biträdesavtal:

I egenskap av leverantör kommer Sedermera ta emot och administrera Personuppgifter från Personuppgiftsansvarig i syfte att kunna utföra de tjänster som Sedermera anlitats för att utföra på uppdrag av Personuppgiftsansvarig. Ändamålet med Behandlingen är således att kunna utföra nödvändiga åtgärder för att utföra uppdraget som följer av Xxxxxxx.

2. Typ av behandling

Personuppgiftsbiträdes kommer i enlighet med Biträdesavtalet utföra behandlingar primärt genom:

- inhämtning och avläsning,

- organisering och strukturering,

- användning,

- lagring, samt

- överföring till myndighet.

3. Typ av personuppgifter

Personuppgifterna som behandlas inom ramen för Biträdesavtalet kommer att omfatta:

- namn,

- personnummer,

- telefonnummer,

- foton,

- post- och e-postadresser,

- bankuppgifter, samt

- ljudinspelningar.

4. Kategorier av registrerade

Personuppgifterna som kommer att behandlas inom ramen för Biträdesavtalet kommer att vara hänförliga till följande kategorier av registrerade:

- aktieägare och anställda och i viss utsträckning tidigare aktieägare anställda,

- närstående till aktieägare och anställda,

- uppdragstagare och styrelseledamöter,

- investerare, samt

- avtals- och samarbetspartners.

5. Plats för Behandlingen

Sedermeras Behandling kommer att primärt utföras digitalt från deras arbetsställe i Malmö, samt vid Sedermera lokaler i Malmö på adress Xxxxx Xxxxxxxxx 00.

I enlighet med ovan kommer således all Behandling som sker direkt av Sedermera att ske inom EU:s medlemsstater, EES eller godkänd stat enligt EU som uppfyller adekvat skyddsnivå.

6. Varaktighet

Behandlingen inom ramen för dessa instruktioner ska ske löpande från dagen för båda Parters undertecknande av Avtlaet till dagen för uppdraget genomförande eller uppsägning av tjänsterna enligt Xxxxxxx. Personuppgiftsansvarig har dock rätt att när som förklara att någon del, eller all, Behandling ska upphöra.

7. Underbiträde

Med avsteg från punkten 8.1 i Biträdesavtalet har Personuppgiftsansvarig godkänt och givit Sedermera mandat att teckna personuppgiftsbiträdesavtal för Personuppgiftsansvarigs räkning med nedan angivna Underbiträden (IT respektive telefoni). Sedermera ska enligt punkten 8.2 i Biträdesavtalet tillse att Underbiträden hanterar Personuppgifter i enlighet med gällande Dataskyddsregler och ansvarar fullt ut för Underbiträdens Behandling av Personuppgifter.

Diflex AB (556089-4874)

Xxxxxxxxxxx 0

262 73 Ängelholm

Telavox AB (556600-7786)

Stora Xxxxxxxxxx 0 X 000 00 Xxxxx

8. Överföring till tredje land

Vid eventuell överföring till tredje land kommer Sedermera att säkerställa att Gällande dataskyddsregler följs.

9. Dataskydd

Personuppgiftsbiträde har vidtagit nödvändiga tekniska och organisatoriska åtgärder för att garantera integritet och konfidentialitet av Personuppgiftsansvarigs uppgifter, vilket innefattar bland annat följande åtgärder:

Personalsekretess

Sedermera har vidtagit nödvändiga åtgärder för att garantera att personal som arbetar med Personuppgiftsansvarigs Personuppgifter har kvalificerad bakgrund och kompetens. Dessa åtgärder kan innefatta:

- Bakgrundskontroller i form av referenser och/eller utdrag från belastningsregistret.

- Skriftlig överenskommelse om tystnadsplikt.

- Att Sedermera följer aktuella policys och arbetsrutiner.

- Kontinuerlig utbildning och kompetenshöjande åtgärder.

Fysisk säkerhet

Sedermera säkerhetsställer att en adekvat fysisk säkerhetsnivå på områden där Personuppgiftsansvarigs Personuppgifter Behandlas upprätthålls vilket kan innefatta:

- Begränsad och/eller övervakad tillgång till fysiska lokaler.

- Övervakning i form av larm och/eller fysisk övervakning.

Utrustning-, system- och nätverkssäkerhet

Sedermera ska genomföra lämpliga och tidsenliga säkerhetsåtgärder och för hela Avtalets period upprätthålla en tillräcklig säkerhetsnivå för alla system, nätverk och enheter som används för att leverera Tjänst till Personuppgiftsansvarig. Detta kan innefatta;

- Upprätthållande av adekvat brandväggsskydd.

- Komplett auditloggning för övervakning av tjänst.

- Autentiseringssystem för tillgång till tjänst och system.

- Rättighetssystem för tillgång till tjänst och system.

- Övervakning och kryptering av fysiska hårddiskar.

- Processer och rutiner för att kontinuerligt utvärdera datasäkerhet.

- Säkerhetsställa möjligheter till återskapning av Personuppgifter via backuper.

***