PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Detta personuppgiftsbiträdesavtal (“Biträdesavtalet”) har ingåtts mellan:

A) Bolaget (“Personuppgiftsansvarige”);

och

B) Nordic Issuing AB, xxx.xx 559338-2509, Stortorget 3, 211 22 Malmö (“Nordic Issuing”).

Parterna ovan är nedan benämnda ”Part” och tillsammans ”Parterna”

1. BAKGRUND

1.1 Biträdesavtalet utgör en del av huvudavtalet om tillhandahållandet av Nordic Issuings tjänster, avseende tillhandahållande av administrativa emissionstjänster, som har ingåtts mellan Personuppgiftsansvarige och Nordic Issuing (”Avtalet”). Biträdesavtalet ska läsas och förstås mot bakgrund av Avtalet och eventuellt senare träffade avtal mellan Parterna gällande tillhandahållandet av administrativa emissionstjänster. Biträdesavtalet reglerar Nordic Issuings Behandling av Personuppgifter för Personuppgiftsansvariges räkning.

1.2 Detta Personuppgiftsbiträdesavtal reglerar inte Nordic Issuings rätt till ersättning för tjänsterna utan denna rätt regleras genom Avtalet.

2. DEFINTIONER

I Biträdesavtalet ska nedanstående begrepp ha följande innebörd:

Behandling, avser den åtgärd eller kombination av åtgärder beträffande Personuppgifter eller uppsättningar av Personuppgifter, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Gällande dataskyddsregler, avser den allmänna dataskyddsförordningen (EU) 2016/679 (”GDPR”) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning eller motsvarande senare lagstiftning som kommer att införas till skydd för Behandlingen av Personuppgifter.

Personuppgifter, avser varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Personuppgiftsincident, avser en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats och i övrigt behandlas.

Standardavtalsvillkor, avser villkor för skydd av Personuppgifter överförda till tredje land i enlighet med Europeiska kommissionens beslut (EU) 2021/914 av den 4 juni 2021 eller motsvarande villkor som ersätter dessa.

Underbiträde, avser sådant personuppgiftsbiträde som anlitas av Nordic Issuing och som behandlar Personuppgifter för Personuppgiftsansvariges räkning.

3. PERSONUPPGIFTSANSVARIGES ANSVAR

3.1 Personuppgiftsansvarige ska vidta alla nödvändiga åtgärder för att säkerställa att Behandlingen av Personuppgifter är laglig enligt vid var tid Gällande dataskyddsregler.

3.2 Personuppgiftsansvarige ska i den mån det är möjligt begränsa överföringen av Personuppgifter och endast tillhandahålla Nordic Issuing sådana Personuppgifter som är nödvändiga för ändamålet med Behandlingen.

3.3 Personuppgiftsansvarige ska tillhandhålla Nordic Issuing dokumenterade instruktioner och övriga anvisningar avseende ändamålet, omfattningen, arten och varaktigheten av Behandlingen samt kategorier av registrerade i den utsträckning som är nödvändig för att Nordic Issuing ska kunna uppfylla sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler. Sådana instruktioner bifogas härtill som Bilaga 1, vilken utgör en del av detta Biträdesavtal.

4. BEHANDLING AV PERSONUPPGIFTER

4.1 De Personuppgifter som Nordic Issuing har åtkomst till får endast behandlas i enlighet med Biträdesavtalet och Gällande dataskyddsregler.

4.2 Nordic Issuing får endast behandla Personuppgifter i enlighet med Personuppgiftsansvariges dokumenterade instruktioner såvida inte Nordic Issuing är skyldig enligt tvingande författning att behandla Personuppgifterna för annat ändamål eller på annat sätt. Har Personuppgiftsansvarige lämnat ofullständiga eller felaktiga instruktioner är Nordic Issuing skyldigt att omgående påtala detta för Personuppgiftsansvarige.

4.3 Nordic Issuing är skyldigt att utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne anser att en behandling strider mot Gällande dataskyddsregler eller annan tillämplig lag och därefter invänta Personuppgiftsansvariges anvisningar. Vad som anges ovan gäller endast om Nordic Issuing inte är förhindrad att på andra grunder att lämna sådan underrättelse.

4.4 Nordic Issuing ska utan oskäligt dröjsmål, dock senast trettio (30) dagar från Personuppgiftsansvariges begäran, ge denne tillgång till Personuppgifterna som Nordic Issuing har i sin besittning samt genomföra en begärd ändring, radering, begränsning eller överföring av nämnda Personuppgifter. Har Personuppgiftsansvarige raderat, eller anvisat Nordic Issuing om radering, ska den senare vidta sådana åtgärder som krävs för att Personuppgiften inte ska kunna återskapas.

4.5 Nordic Issuing ska upprätthålla ett register över all Behandling som sker på uppdrag av Personuppgiftsansvarige, samt att på Personuppgiftsansvariges eller behörig tillsynsmyndighets uttryckliga begäran överlämna ett läsbart registerutdrag omfattandes, till ett minimum, uppgifter om:

(a) namn och kontaktuppgifter för Nordic Issuing och i förekommande fall anlitade Underbiträden,

(b) den Behandling som utförs av Nordic Issuing för Personuppgiftsansvariges räkning,

(c) en allmän beskrivning av vilka tekniska och organisatoriska åtgärder som vidtagits för att upprätthålla en lämplig skyddsnivå, och

(d) i förevarande fall, överföring av Personuppgifter till tredje land, det tredje land där data behandlas samt vilka adekvata skyddsåtgärder som vidtagits.

5. KAPACITET OCH FÖRMÅGA

5.1 Nordic Issuing garanterar att Nordic Issuing besitter nödvändig teknisk och organisatorisk kapacitet och förmåga, inbegripet tekniska lösningar, kompetens, ekonomiska och personella resurser, rutiner och metoder, att fullgöra sina skyldigheter enligt Biträdesavtalet och Gällande dataskyddsregler.

5.2 Nordic Issuing ska på Personuppgiftsansvariges begäran styrka att de skyldigheter som framgår av Biträdesavtalet och Gällande dataskyddsregler uppfylls genom att tillhandahålla relevant dokumentation, hänvisa till relevant och godkänd uppförandekod eller certifiering, möjliggöra och bidra till granskningar och inspektioner och/eller tillhandahålla Personuppgiftsansvarige annan adekvat bevisning.

5.3 Nordic Issuing ska på Personuppgiftsansvariges begäran, utan oskäligt dröjsmål ge denne, eller en oberoende tredjeman som denne anlitat, tillgång till sådana upplysningar och handlingar som är nödvändiga för att Personuppgiftsansvarige ska kunna utöva en effektiv kontroll av Nordic Issuings åtgärder enligt Biträdesavtalet eller Gällande dataskyddsregler.

6. SÄKERHET OCH SEKRETESS

6.1 Nordic Issuing ska genom lämpliga tekniska och organisatoriska åtgärder begränsa tillgången till Personuppgifterna och endast ge behörighet till sådan personal som behöver ha tillgång till Personuppgifterna för att fullgöra sina åtaganden enligt Biträdesavtalet. Nordic Issuing ska vidare tillse att sådan personal har erforderlig utbildning och i tillräcklig mån har instruerats att hantera Personuppgifterna på ett ändamålsenligt och säkert sätt.

6.2 Nordic Issuing ska endast bevilja tillgång till de Personuppgifter som behandlas på uppdrag av Personuppgiftsansvarige för personer som har ingått särskild sekretessförbindelse eller omfattas av tystnadsplikt enligt 1 kap. 11 § lagen (2007:528) om värdepappersmarknaden. Personer med behörighet att Behandla Personuppgifterna hos Nordic Issuing har upplysts om att särskild tystnadsplikt föreligger enligt avtal eller gällande rätt.

6.3 Nordic Issuing ska utan oskäligt dröjsmål, dock senast inom 24 timmar från att det kommit Nordic Issuing till kännedom, underrätta Personuppgiftsansvarige om förekomsten av eller risken för en Personuppgiftsincident. En sådan underrättelse ska innehålla all nödvändig och tillgänglig information som Personuppgiftsansvarige behöver för att kunna vidta lämpliga förebyggande åtgärder och motåtgärder samt uppfylla sina skyldigheter avseende anmälan av Personuppgiftsincidenter till behörig tillsynsmyndighet.

6.4

7. SAMVERKAN

7.1 Parterna är överens om att Nordic Issuing, på Personuppgiftsansvariges förfrågan, ska bistå Personuppgiftsansvariges att fullgöra sina skyldigheter enligt Gällande dataskyddsregler, såsom utförandet av konsekvensbedömningar avseende dataskydd, utformningen av lämpliga tekniska och organisatoriska åtgärder för inbyggt dataskydd, förhandssamråd med behörig tillsynsmyndighet samt medverka till utredning av inträffade Personuppgiftsincidenter. Såvida Parterna inte kommit överens om annat ska sådant bistånd som avses i detta stycke inte ge Nordic Issuing rätt till särskild ersättning.

7.2 Nordic Issuing ska utan oskäligt dröjsmål underrätta Personuppgiftsansvarige om denne kontaktas av behörig tillsynsmyndighet eller annan tredje part i syfte att få tillgång till Personuppgifter som Nordic Issuing, eller i förekommande fall Underbiträdet, har i sin besittning.

7.3 Nordic Issuing ska skriftligen och senast trettio (30) dagar innan en planerad ändring av behandlingsförfarandet, däribland tekniska och organisatoriska ändringar som kan påverka skyddet av Personuppgifterna och Nordic Issuings efterlevnad av Gällande dataskyddsregler, informera Personuppgiftsansvarige. Innan sådana ändringar genomförs ska Personuppgiftsansvarige lämna sitt samtycke, vilket inte skäligen ska förvägras.

8. ANLITANDE AV UNDERBITRÄDE

8.1 Personuppgiftsansvarige medger genom undertecknande av Biträdesavtalet att Nordic Issuing har en generell rätt att anlita Underbiträden. Bolag som Nordic Issuing, vid undertecknandet av Biträdesavtalet, har ett pågående samarbete med och som kan komma att Behandla Personuppgifter i egenskap av Underbiträde framgår av Bilaga 1. Personuppgiftsansvarige godkänner nämnda bolag som Underbiträden.

8.2 Nordic Issuing ska informera Personuppgiftsansvarige om eventuella planer på att anlita ett nytt Underbiträde alternativt om ett existerande Underbiträde ska bytas ut mot annan, så att Personuppgiftsansvarige har möjlighet att göra invändningar mot en sådan förändring. Om Personuppgiftsansvarige gör invändningar som Nordic Issuing inte rättar sig efter har Personuppgiftsansvarige rätt att säga upp Biträdesavtalet och andra ingångna avtal mellan den Personuppgiftsansvarige och Nordic Issuing som berör Behandling av Personuppgifter.

8.3 Nordic Issuing ska tillse att samtliga Underbiträden ingår ett skriftligt personuppgiftsbiträdesavtal innan Underbiträdet påbörjar Behandling av Personuppgifter. Ett sådant personuppgiftsbiträdesavtal ska innehålla minst de åtaganden och skyldigheter som följer av Biträdesavtalet. Underbiträdet ska i sådant personuppgiftsbiträdesavtal ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att Behandlingen uppfyller kraven i detta Biträdesavtal och Gällande dataskyddsregler.

8.4 I personuppgiftsbiträdesavtalet mellan Nordic Issuing och Underbiträdet ska särskilt regleras att Underbiträdet inte får anlita annat Underbiträde utan skriftligt godkännande av den Personuppgiftsansvarige i förhand.

8.5 Om Underbiträdet inte fullgör sina skyldigheter ska Nordic Issuing vara fullt ansvarig gentemot den Personuppgiftsansvarige för utförandet av Underbiträdets skyldigheter. Nordic Issuing svarar för Underbiträdet som för eget arbete och egna åtaganden och skyldigheter.

9. ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND

9.1 I fall där Nordic Issuing i samband med behandlingen överför personuppgifter till ett tredje land utanför Europeiska Ekonomiska Samarbetet (”EES”) och som av Europeiska kommissionen inte anses uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Parterna ingå ett tilläggsavtal baserad på Standardavtalsvillkor.

9.2 Har Nordic Issuing anlitat ett Underbiträde med innebörden att personuppgifter överförs till ett tredje land utanför EES som Europeiska kommissionen inte anser uppfylla en adekvat skyddsnivå i förhållande till Gällande dataskyddsregler ska Nordic Issuing och Underbiträdet ingå ett tilläggsavtal baserad på Standardavtalsvillkor. I förekommande fall ska Nordic Issuing på begäran tillhandahålla Personuppgiftsansvarige en underskriven kopia av ett sådant tilläggsavtal som avses ovan.

9.3 I händelse av konflikt mellan Biträdesavtalet och Standardavtalsvillkor ska de senare äga företräde.

10. UNDERRÄTTELSER

Underrättelser som sker i enlighet med Biträdesavtalet ska ske skriftligen per e-post till följande kontaktpersoner hos respektive part:

För Personuppgiftsansvarige:

Av Bolaget angiven kontaktperson (se Avtalet).

För Nordic Issuing:

Nordic Issuing

Xxx Xxxxxxxxxxx xxxx@xxxxxx-xxxxxxx.xx

11. GILTIGHET

11.1 Biträdesavtalet är giltigt tills Nordic Issuings Behandling av Personuppgifterna upphör eller ersätts av ett annat personuppgiftsbiträdesavtal.

11.2 Nordic Issuing ska vid avslutad Behandling återlämna Personuppgifterna i ett allmänt och läsbart format till Personuppgiftsansvarige och därefter radera Personuppgifterna från sådana system som använts vid behandlingen, såvida inte detta är oförenligt med annan tvingande lag.

12. ÖVERLÅTELSE AV AVTALET

Part har inte rätt att utan motpartens föregående skriftliga samtycke överlåta sina rättigheter och skyldigheter enligt Biträdesavtalet. Part har dock rätt att göra sådan överlåtelse till annat helägt bolag inom samma koncern (enligt aktiebolagslagens definition) eller intressebolag som ägs av koncernmodern.

13. TILLÄMPLIG LAG OCH TVIST

13.1 Detta Biträdesavtal ska tolkas och tillämpas i enlighet med svensk rätt.

13.2 Tvister som uppstår i anledning av Biträdesavtalet ska slutligt avgöras genom skiljedomsförfarande administrerat av Stockholms Handelskammares Skiljedomsinstitut (SCC). Regler för Förenklat Skiljeförfarande ska tillämpas om inte SCC med beaktande av målets svårighetsgrad, tvisteföremålets värde och övriga omständigheter bestämmer att Skiljedomsregler ska tillämpas. I sistnämnda fall ska SCC också bestämma om skiljenämnden ska bestå av en eller tre skiljedomare.

13.3 Skiljeförfarandets säte ska vara Malmö.

13.4 Språket för förfarandet ska vara svenska.

13.5 Skiljeförfarande som påkallats med hänvisning till denna skiljeklausul omfattas av sekretess. Sekretessen omfattar all information som framkommer under förfarandet liksom beslut eller skiljedom som meddelas i anledning av förfarandet. Information som omfattas av sekretess får inte vidarebefordras till tredje person utan den andra Partens samtycke. Sekretessåtagandet omfattar inte vidarebefordran av information som krävs enligt tvingande lag, domstols- eller myndighetsbeslut, för att tillvarata legitima legala intressen, eller för att verkställa, överklaga eller klandra en dom eller skiljedom.

***

BILAGA 1 – INSTRUKTIONER

Dessa instruktioner utgör en integrerad del av Biträdesavtalet och ska följas av Nordic Issuing vid utförande av Behandlingen såvida inte annat uttryckligen anges i Biträdesavtalet.

Om inte annat särskilt föreskrivs används samma definitioner i denna Bilaga 1 som i Biträdesavtalet.

Genom undertecknande av Biträdesavtalet har Nordic Issuing bekräftat innebörden av dessa instruktioner. Ändringar och tillägg till dessa instruktioner är endast giltiga om de skett skriftligen.

1. Ändamål

Parterna har tillsammans enats om följande ändamål för behandling som sker inom ramen för Biträdesavtalet:

I egenskap av leverantör kommer Nordic Issuing ta emot och administrera Personuppgifter från Personuppgiftsansvarige i syfte att kunna utföra de tjänster som Nordic Issuing anlitats för att utföra på uppdrag av Personuppgiftsansvarig. Ändamålet med behandlingen är således att kunna utföra nödvändiga åtgärder för att utföra uppdraget som följer av Xxxxxxx.

2. Typ av Behandling

Nordic Issuing kommer i enlighet med Biträdesavtalet utföra Behandlingar primärt genom:

- inhämtning och avläsning,

- organisering och strukturering,

- användning,

- lagring, samt

- överföring till myndighet (Bolagsverket och Finansinspektionen eller motsvarande tillsynsmyndighet utomlands i samband med registrering och rapportering).

3. Typ av Personuppgifter

Personuppgifterna som behandlas inom ramen för Biträdesavtalet kommer att omfatta:

- namn,

- personnummer,

- telefonnummer,

- foton,

- post- och e-postadresser,

- bankuppgifter, samt

- ljudinspelningar.

4. Kategorier av registrerade

Personuppgifterna som kommer att behandlas inom ramen för Biträdesavtalet kommer att vara hänförliga till följande kategorier av registrerade:

- aktieägare och anställda och i viss utsträckning tidigare aktieägare anställda,

- närstående till aktieägare och anställda,

- uppdragstagare och styrelseledamöter,

- investerare, samt

- avtals- och samarbetspartners.

5. Plats för Behandlingen

Nordic Issuings Behandling kommer att primärt utföras digitalt från deras arbetsställe i Malmö, samt vid Nordic Issuings lokaler i Malmö på adressen Xxxxxxxxxx 0.

I enlighet med ovan kommer således all Behandling som sker direkt av Nordic Issuing att ske inom EU:s medlemsstater, EES eller godkänd stat enligt EU som uppfyller adekvat skyddsnivå.

6. Varaktighet

Behandlingen inom ramen för dessa instruktioner ska ske löpande från dagen för båda Parters undertecknande av Avtalet till dagen för uppdragets genomförande eller uppsägning av tjänsterna enligt Avtalet. Personuppgiftsansvarige har dock rätt att när som förklara att någon del, eller all, Behandling ska upphöra.

7. Godkända Underbiträden

Personuppgiftsansvarige godkänner följande bolag som Underbiträden: Iver Sverige AB, (556575-3042)

Box 23 116

104 35 Stockholm

Telavox AB (556600-7786)

Stora Xxxxxxxxxx 0 X 000 00 Xxxxx

8. Överföring till tredje land

Vid eventuell överföring till tredje land kommer Nordic Issuing att säkerställa att Gällande dataskyddsregler följs.

9. Dataskydd

Personuppgiftsbiträde har vidtagit nödvändiga tekniska och organisatoriska åtgärder för att garantera integritet och konfidentialitet av Personuppgiftsansvariges uppgifter, vilket innefattar bland annat följande åtgärder:

Personalsekretess

Nordic Issuing har vidtagit nödvändiga åtgärder för att garantera att personal som arbetar med Personuppgiftsansvariges Personuppgifter har kvalificerad bakgrund och kompetens. Dessa åtgärder kan innefatta:

- Bakgrundskontroller i form av referenser och/eller utdrag från belastningsregistret.

- Skriftlig överenskommelse om tystnadsplikt.

- Följer Nordic Issuing aktuella policys och arbetsrutiner.

- Kontinuerlig utbildning och kompetenshöjande åtgärder.

Fysisk säkerhet

Nordic Issuing säkerhetsställer att en adekvat fysisk säkerhetsnivå på områden där Personuppgiftsansvariges Personuppgifter Behandlas upprätthålls vilket kan innefatta:

- Begränsad och/eller övervakad tillgång till fysiska lokaler.

- Övervakning i form av larm och/eller fysisk övervakning.

Utrustning-, system- och nätverkssäkerhet

Nordic Issuing ska genomföra lämpliga och tidsenliga säkerhetsåtgärder och upprätthålla en tillräcklig säkerhetsnivå för alla system, nätverk och enheter som används för att Behandla Personuppgifter. Detta kan innefatta;

- Upprätthållande av adekvat brandväggsskydd.

- Komplett auditloggning för övervakning av tjänst.

- Autentiseringssystem för tillgång till tjänst och system.

- Rättighetssystem för tillgång till tjänst och system.

- Övervakning och kryptering av fysiska hårddiskar.

- Processer och rutiner för att kontinuerligt utvärdera datasäkerhet.

- Säkerhetsställa möjligheter till återskapning av Personuppgifter via backuper.

***