INTEGRITETSPOLICY

ALCUR FONDER AB

INTEGRITETSPOLICY

Antagna av styrelsen 2022-03-29

Alcur Fonder AB ("Bolaget") har upprättat detta dokument i enlighet med Europaparlamentets och Rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (Dataskyddsförordningen).

1. PERSONUPPGIFTSANSVARIG

Personuppgiftsansvarig för den behandling av personuppgifter som äger rum i verksamheten är Alcur Fonder AB (org. 556703-4870). Frågor rörande vår personuppgiftsbehandling kan riktas till:

ALCUR FONDER AB

Xxxxxx Xxxxxxxxxx 00

111 45 Stockholm

E-post: xxxx@xxxxx.xx

Tel: x00 0 000 000 00

2. DEFINITIONER

I Policyn används begrepp som definieras i Dataskyddsförordningens artikel 4 såsom exempelvis ”behandling”, ”personuppgifter”, ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”personuppgiftsincident”. Sådana begrepp ska i denna Policy tolkas och tillämpas i enlighet med Dataskyddsförordningens definitioner.

3. ALLMÄNT OM VÅR BEHANDLING AV PERSONUPPGIFTER

Bolaget behandlar personuppgifter om (1) befintliga samt före detta kunder, (2) potentiella kunder och övriga intressenter, (3) motparter, samt (4) personer som ingår i Bolagets rekryteringsprocesser. Bolaget är ansvarigt för att de personuppgifter som behandlas inom verksamheten hanteras i enlighet med gällande lagstiftning. Detta innefattar bland annat en skyldighet att tillse att information lämnas till de registrerade, att åtgärder utförs vid personuppgiftsincident, att eventuella rättelser ombesörjs, att lagring, gallring och radering, lagring och gallring sker, samt att denna policy i övrigt efterlevs. Alla personuppgifter som behandlas av Bolaget kan komma att delas med behörig myndighet i de fall Xxxxxxx har rättslig förpliktelse att göra så.

4. BEHANDLADE PERSONUPPGIFTER

4.1 Kunder

Bolaget behandlar personuppgifter gällande kunder, inklusive tidigare kunder, enligt följande:

• Personuppgifter som behandlas:

o Identifieringsuppgifter: namn och personuppgifter, samt dokumentation som styrker identitet, till exempel kopia på ID-handling. Identifikationsuppgifter inhämtas i förekommande fall även för ombud eller företrädare för juridisk person,

o Kontaktuppgifter: adress, telefonnummer och e-post,

o Uppgifter som krävs enligt lag: uppgift om skattehemvist, uppgifter som krävs för kundkännedom enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism samt transaktionsinformation.

• Ändamål och rättslig grund:

o Kunddokumentation, såsom identifieringsuppgifter och kontaktuppgifter, behandlas av Bolaget för att kunna fullgöra ingångna avtal samt för att kunna vidta åtgärder som begärts inom ramen för avtalsförhållandet,

o Behandling av uppgifter som krävs enligt lag sker för att Bolaget ska kunna fullgöra sina förpliktelser enligt bland annat lagen om åtgärder mot penningtvätt och finansiering av terrorism, marknadsmissbruksförordningen, bokföringslagen (1999:1078) och lagen (2013:561) om förvaltare av alternativa investeringsfonder.

o I samband med att en ny kundrelation upprättas inhämtas samtycke för behandling av personuppgifter

• Inhämtning av personuppgifter

o Personuppgifter om kunder inhämtas i regel från kunden själv, eller från företrädare eller ombud för kunden.

o Personuppgifter gällande representant för kund som utgör juridisk person kan inhämtas från den juridiska personen ifråga eller dess anställda.

• Mottagare av personuppgifter

o Endast personer som behöver inhämtade personuppgifter för fullgörande av sina arbetsuppgifter har tillgång till uppgifterna.

o Bolaget har ett antal personuppgiftsbiträden som behandlar personuppgifter för Bolagets räkning i samband med tillhandahållande av tjänst, programvara eller liknande. Bolagets förhållande till dess personuppgiftsbiträden behandlas särskilt under avsnitt 6 i denna policy.

• Lagring och gallring av personuppgifter

o Principerna för hur bolaget lagrar och gallrar personuppgifter behandlas under avsnitt 10.

o Personuppgifter som inhämtats för att uppfylla kravet på kundkännedom sparas under hela kundrelationen, och fem till tio år efter att kundrelationen avslutats.

o Personuppgifter som lagras i syfte att uppfylla rättsliga skyldigheter avseende beskattning, bokföring eller för att försvara rättsliga anspråk lagras i sju år efter avslutad kundrelation.

4.2 Potentiella kunder och övriga intressenter

Bolaget behandlar personuppgifter gällande potentiella kunder och andra intressenter. Det rör sig då huvudsakligen om sådana uppgifter som behövs för att kunna lämna information om Bolagets produkter till fysiska eller juridiska personer. Uppgifterna behandlas enligt följande:

• Personuppgifter som behandlas:

o Kontaktuppgifter: adress, telefonnummer och e-post,

o I förekommande fall uppgifter om förhållande till juridisk person som utgör potentiell kund eller intressent.

• Ändamål och rättslig grund:

o Personuppgifter inhämtas och lagras i regel med stöd av ett samtycke som när som helst kan återkallas av den vars uppgifter Bolaget behandlar.

• Inhämtning av personuppgifter

o Personuppgifter inhämtas i regel från den potentielle kunden eller intressenten själv, eller från företrädare eller ombud för denne.

o Personuppgifter gällande representant för juridisk person kan inhämtas från den juridiska personen ifråga eller dess anställda.

• Tillgängliggörande av personuppgifter

o Endast personer som behöver inhämtade personuppgifter för fullgörande av sina arbetsuppgifter har tillgång till uppgifterna.

o Bolaget har ett antal personuppgiftsbiträden som behandlar personuppgifter för Bolagets räkning i samband med tillhandahållande av tjänst, programvara eller liknande. Bolagets förhållande till dess personuppgiftsbiträden behandlas särskilt under avsnitt 6 i denna policy.

• Lagring och gallring av personuppgifter

o Principerna för hur bolaget lagrar och gallrar personuppgifter behandlas under avsnitt 10.

o Personuppgifter gällande potentiella kunder eller intressenter lagras bara så länge samtycke finns.

4.3 Motparter och leverantörer

Bolaget behandlar personuppgifter gällande motparter och leverantörer, och dessas företrädare/kontaktpersoner, enligt följande:

• Personuppgifter som behandlas:

o Kontaktuppgifter: adress, telefonnummer och e-post,

o I förekommande fall uppgifter om förhållande till motparten eller leverantören, om uppgifterna rör fysisk person som representerar motpart eller leverantör.

• Ändamål och rättslig grund:

o Personuppgifter som behövs för Bolagets rättsliga förpliktelser enligt bokföringslagen att upprätthålla korrekt bokföring och redovisning

o Personuppgifter som behövs för att kunna hantera betalning, exempelvis referenser på fakturor.

• Inhämtning av personuppgifter

o Personuppgifter inhämtas i regel från motparten själv, eller från företrädare eller ombud för denne, alternativt från Bolagets samarbetspartners eller annan person som förmedlat kontakt.

• Tillgängliggörande av personuppgifter

o Endast personer som behöver inhämtade personuppgifter för fullgörande av sina arbetsuppgifter har tillgång till uppgifterna.

o Bolaget har ett antal personuppgiftsbiträden som behandlar personuppgifter för Bolagets räkning i samband med tillhandahållande av tjänst, programvara eller liknande. Bolagets förhållande till dess personuppgiftsbiträden behandlas särskilt under avsnitt 6 i denna policy.

• Lagring och gallring av personuppgifter

o Principerna för hur bolaget lagrar och gallrar personuppgifter behandlas under avsnitt 10.

o Personuppgifter gällande motparter och leverantörer sparas under avtalstiden

4.4 Personer som ingår i Bolagets rekryteringsprocesser

Bolaget behandlar personuppgifter som inhämtas i samband med rekryteringsprocesser enligt följande:

• Personuppgifter som behandlas:

o Kontaktuppgifter: adress, telefonnummer och e-post,

o Övriga uppgifter som den sökande lämnat, såsom fotografier på den sökande, beskrivningar av arbetslivserfarenheter och utbildningar, samt annan information som den sökande valt att lämna in till Bolaget

o Uppgifter som Bolaget på annat sätt inhämtat inom ramen för rekryteringsprocessen, såsom kommunikation med den sökande och anteckningar från intervjuer.

o Inom ramen för en rekryteringsprocess kan också kontaktuppgifter till personer som den sökande lämnat som referens komma att behandlas.

• Ändamål och rättslig grund:

o Personuppgifter om sökande behandlas med stöd i det berättigade intresset av att kunna genomföra en strukturerad och kvalitativ ansöknings- och urvalsprocess. Detta innefattar även sådan kommunikation som Bolaget behöver genomföra med sökande och eventuella referenser.

o Personuppgifter kan också sparas om Xxxxxxx bedömer detta som nödvändigt för försvar mot rättsliga anspråk, såsom en diskrimineringsanmälan.

o I särskilda fall kan behandlingen av personuppgifter genomföras med stöd av ett samtycke från den sökande eller annan, som när som helst kan återkallas

• Inhämtning av personuppgifter

o Personuppgifter inhämtas i regel från den sökande själv, eller från sådan leverantör av rekryteringstjänster som Bolagets i förekommande fall valt att samarbeta med, alternativt genom annan person som förmedlat kontakt.

• Tillgängliggörande av personuppgifter

o Endast personer som behöver inhämtade personuppgifter för fullgörande av sina arbetsuppgifter har tillgång till uppgifterna.

o Bolaget har ett antal personuppgiftsbiträden som behandlar personuppgifter för Bolagets räkning i samband med tillhandahållande av tjänst, programvara eller liknande. Bolagets förhållande till dess personuppgiftsbiträden behandlas särskilt under avsnitt 6 i denna policy.

o I rekryteringsprocesser kan eventuella leverantörer av rekryteringstjänster komma att utgöra personuppgiftsbiträden.

• Lagring och gallring av personuppgifter

o Principerna för hur bolaget lagrar och gallrar personuppgifter behandlas under avsnitt 10.

o Personuppgifter gällande sökanden till tjänster i Xxxxxxx lagras generellt under rekryteringsprocessen, men personuppgifter om sökanden som inte gått vidare i processen kan komma att sparas i upp till 12 månader för att Bolaget ska kunna överväga eventuell lämplighet för andra tjänster. Uppgifter från rekryteringsprocessen kan komma att sparas i upp till två år om detta bedöms nödvändigt för att försvara Bolaget mot eventuella rättsliga anspråk.

5. SÄRSKILT OM KÄNSLIGA PERSONUPPGIFTER

Bolaget ska inte utföra någon behandling av särskilda kategorier av personuppgifter, till exempel uppgifter om hälsa (känsliga personuppgifter).

6. PERSONUPPGIFTSBITRÄDEN

Bolaget får uppdra åt utomstående att behandla personuppgifter för Bolagets räkning (s.k. personuppgiftsbiträde). Bolaget ska endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsförordningen och säkerställer att den registrerades rättigheter skyddas.

Om ett personuppgiftsbiträde anlitas ska detta regleras i ett skriftligt avtal. Ett personuppgiftsbiträde får endast behandla personuppgifter i enlighet med de instruktioner som Xxxxxxx lämnar. Bolaget uppdrar åt personuppgiftsbiträde att behandla personuppgifter bland annat avseende IT support, redovisning, backoffice, riskkontroll, regelefterlevnad, internrevision, NAV beräkning, administration av andelsägarregister och fondandelshandel med kontroll enligt penningtvättslagen och finansiering av terrorism.

7. INFORMATION, RÄTTELSE OCH RADERING

Bolaget ska lämna information till den registrerade om hur personuppgifterna behandlas. Informationen ges företrädelsevis genom informationsdokument på Bolagets hemsida.

Registrerade har rätt att få tillgång till personuppgifter som Bolaget behandlar, i ett strukturerat, allmänt använt och maskinläsbart format. Registrerade har rätt att få del av uppgifter om varför informationen hanteras och varifrån uppgifterna kommer, mottagare av uppgifterna samt tidsperiod som hanteringen förvänts fortgå. Registrerade har rätt till information om sina rättigheter enligt dataskyddsförordningen. Registrerade kan begära rättelse av felaktiga personuppgifter och komplettera ofullständiga uppgifter. Om Bolaget hanterar personuppgifter trots att hanteringen inte längre är nödvändig, har registrerade normalt rätt att begära att Bolaget raderar uppgifterna. I vissa fall har registrerade rätt att begära att Xxxxxxx ska begränsa hanteringen av dennes personuppgifter. Om personuppgifterna lämnats ut av Bolaget till externa mottagare är Bolaget skyldigt att underrätta dessa mottagare om den registrerades begäran. Vid ovan nämnda fall av begäran ska den registrerade ange de uppgifter som ska kontrolleras, t.ex. namn eller personnummer. Den registrerades identitet måste styrkas för att säkerställa att inga personuppgifter lämnas till fel mottagare p.g.a. osant intygande. Begäran ska tillställas Bolaget skriftligen och innehålla passkopia, med båda handlingarna vidimerade av två för Bolaget spårbara och myndiga personer vars passkopior ska bifogas, (alt notarius publicus). Begärd information skickas till begärandes folkbokföringsadress med rekommenderad post. Handlingarna sparas hos Bolaget under minst fem år.

8. SÄKERHET

Bolaget strävar efter att obehörig tillgång till personuppgifter inte kommer att ske. Bolaget vidtar lämpliga tekniska åtgärder för att skydda de personuppgifter som behandlas mot obehörig åtkomst, förstörelse och ändring. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, de särskilda risker som finns med behandlingen och hur känsliga personuppgifterna är.

9. RUTIN VID PERSONUPPGIFTSINCIDENT

Vid en personuppgiftsincident är Bolaget skyldig att anmäla det till Datainspektionen inom 72 timmar samt omedelbart informera den berörda om det inträffade. VD är ansvarig för att sådan anmälan och information lämnas. VD ska dokumentera varje personuppgiftsincident samt utan dröjsmål informera styrelsen om det inträffade. Varje styrelseledamot och personuppgiftsbiträde som anlitas har en skyldighet att uppmärksamma VD på en personuppgiftsincident så fort den upptäckts.

10. LAGRING OCH GALLRING

Personuppgifterna lagras så länge det är nödvändigt med hänsyn till ändamålet med behandlingen samt för att Bolaget ska kunna fullgöra sina skyldigheter enligt lag eller avtal.

Lagring och gallring av personuppgifter sker enligt följande.

1. Personuppgifter som behandlas för att kunna fullgöra ett avtalsförhållande med den registrerade kommer att sparas så länge avtalsförhållandet består och som längst till dess skäl för behandling därefter saknas bl.a. i förhållande till regler om preskription.

2. Personuppgifter som behandlas för fullgörande av rättslig förpliktelse som laglig grund lagras så länge som det krävs i enlighet med den lagstiftning, annan författning eller myndighetskrav som är tillämplig.

3. Personuppgifter som behandlads med samtycke som laglig grund raderas när samtycke inte längre föreligger.

4. VD, eller den VD utser, ska minst en gång om året gå igenom övriga personuppgifter, såsom avseende styrelseledamöter, och gallra dessa efterhand som de inte är nödvändiga att lagras enligt principerna ovan.