Reguity Group AB – Personuppgiftsbiträdesavtal

Detta personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) har denna dag träffats mellan dig som kund (”Kunden”) och Reguity Group AB, org. nr. 556688–9316 (”Leverantören”). Kunden och Leverantören benämns nedan var och en ”Part” och gemensamt ”Parterna”.
This personal data processing agreement (the “Personal Data Processing Agreement”) has been entered between you as customer (the “Customer”) and Reguity Group AB (publ), corporate id. no. 556688–9316 (the “Supplier”). The Customer and the Supplier are hereafter individually referred to as a “Party” and collectively as the “Parties”.

1. Allmänt - General

1.1 Detta Personuppgiftsbiträdesavtal är en automatisk och integrerad del av de allmänna villkor som utgör abonnemangsavtalet (”Avtalet”) för digital aktiebok i någon av Leverantörens aktieboksportaler. Avtalet är ingånget mellan Parterna, så som beskrivs på Leverantörens webbsida. För det fall Parterna har ett befintligt personuppgiftsbiträdesavtal, ska detta Personuppgiftsbiträdesavtal ersätta sådant från och med dagen för ingåendet av detta Personuppgiftsbiträdesavtal.
This Personal Data Processing Agreement is an automatic and integrated part of the general terms which constitute the subscription agreement (the “Agreement”) for digital share ledger in any of the share ledger platforms provided by the Supplier. The Agreement is entered between the Parties as described on the Supplier website. In the event the Parties have an existing personal data processing agreement, this Personal Data Processing Agreement shall prevail as of the day of entering this Personal Data Processing Agreement.

1.2 Vid fullföljandet av Avtalet kommer Leverantören behandla personuppgifter för Kundens räkning så som Kundens personuppgiftsbiträde. Kunden är personuppgiftsansvarig för sådan behandling av personuppgifter.
To fulfil the conditions of the Agreement, the Supplier will process personal data on behalf of the Customer as the Customer’s personal data processor. The Customer is controller of such processing of personal data.

1.3 Syftet med detta Personuppgiftsbiträdesavtal är att Parterna ska uppfylla vid var tid gällande krav på personuppgiftsbiträdesavtal och förpliktelser enligt Dataskyddsreglerna (för definition se nedan under punkt 2), samt att säkerställa ett adekvat skydd för personlig integritet och grundläggande rättigheter för enskilda i samband med behandlingen.
The objectives of this Personal Data Processing Agreement are to ensure that the Parties comply with the, at each time, applicable requirements regarding personal data processing agreements and the obligations under the General Data Protection Regulation (definition available under section 2 below), and to ensure an adequate level of protection for the personal integrity and basic rights of individuals in connection with the data processing.

2. Definitioner - Definitions

2.1 Begrepp i detta Personuppgiftsbiträdesavtal ska tolkas i enlighet med Europaparlamentets och Rådets Förordning (EU) 2016/679 (”Dataskyddsförordningen”) samt tillsynsmyndighets bindande beslut och föreskrifter samt tillkommande lokal anpassning och reglering avseende dataskydd (gemensamt ”Dataskyddsreglerna”). Begreppen i detta Personuppgiftsbiträdesavtal ska i första hand ha den innebörd som framgår av Dataskyddsreglerna och annars av Avtalet, om inte annat uppenbarligen framgår av omständigheterna.
The definitions of this Personal Data Processing Agreement shall be interpreted in accordance with the General Data Protection Regulation 2016/679 (the “GDPR”) by the European Parliament and the Council, as well as binding decisions and writings by the supervisory authority, and local adaptation and regulations regarding data protection (the “Data Protection Rules”). The definitions in this Personal Data Processing Agreement shall primarily have the same meaning as in the Data Protection Rules and the Agreement, unless otherwise is clear by the circumstances.

3. Ansvar och instruktion - Responsibilities and Instructions‍

3.1 Kunden eller i förekommande fall Kundens kunder är personuppgiftsansvariga för de personuppgifter som Leverantören behandlar för Kundens räkning enligt Avtalet. I egenskap av personuppgiftsansvarig åtar sig Kunden att följa skyldigheterna för personuppgiftsansvariga i Dataskyddsreglerna och detta Personuppgiftsbiträdesavtal, inklusive men inte begränsat till att säkerställa att behandlingen är laglig, informera registrerade om behandlingen enligt Artiklarna 13 och 14 i Dataskyddsförordningen och att föra ett register över behandlingen. Vidare ska Kunden:

• ‍3.1.1 förse Leverantören med dokumenterade instruktioner om behandlingen;‍
• 3.1.2 meddela Leverantören, utan onödigt dröjsmål, om ändringar som påverkar Leverantörens skyldigheter enligt Personuppgiftsbiträdesavtalet;‍
• 3.1.3 informera Leverantören, utan onödigt dröjsmål, om tredje man vidtar åtgärder eller väcker talan gentemot Kunden med anledning av Leverantörens behandling av personuppgifter enligt detta Personuppgiftsbiträdesavtal;‍
• 3.1.4 informera Leverantören, utan onödigt dröjsmål, om tredje man blir gemensamt personuppgiftsansvarig med Kunden för behandlingen.
  

3.1 The Customer or, if applicable, the Customer’s customer is the controller of the personal data processed by the Supplier on behalf of the Customer under the Agreement. As the data controller, the Customer undertakes to comply with the obligations of data controllers set out in the Data Protection Rules and this Personal Data Processing Agreement, including but not limited to ensuring that the processing is lawful, informing the data subjects about the processing in accordance with Articles 13 and 14 of the GDPR, and keeping a record of processing activities. Furthermore, the Customer shall:

3.1.1 provide the Supplier with documented instructions regarding the processing;

3.1.2 without undue delay, notify the Supplier of any changes that may affect the Supplier’s obligations under the Personal Data Processing Agreement.

3.1.3 without undue delay, notify the Supplier if a third party takes actions or raises a complaint toward the Customer due to the Supplier’s processing of personal data under this Personal Data Processing Agreement;

3.1.4 without undue delay, notify the Supplier if any third party becomes joint controller of personal data processing together with the Customer.

3.2 Leverantören ska vid behandling av personuppgifter för Kundens räkning, följa Dataskyddsreglerna och detta Personuppgiftsbiträdesavtal.
When processing personal data on behalf of the Customer, the Supplier shall comply with the Data Protection Rules and this Personal Data Processing Agreement.

3.3 Leverantören och den eller de personer som arbetar under Leverantörens ledning ska endast behandla personuppgifter för Kundens räkning i enlighet med Kundens dokumenterade instruktioner som framgår av Bilaga 1 (Instruktion om hantering av personuppgifter). Behandling får även ske om sådan behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller dess underbiträde omfattas av. Om behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som Leverantören eller dess underbiträde omfattas av, ska Leverantören eller dess underbiträde informera Kunden om det rättsliga kravet innan behandling sker, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt.
The Supplier and the employees of the Supplier shall only process personal data on behalf of the Customer in accordance with the Customer’s written instruction set out in Appendix 1 (Instruction regarding processing of personal data). Processing may also occur if required by Union law or by any Member State’s national legislation which the Supplier or its sub-processor is subject to. If processing is required by Union law or a Member State’s national legislation, the Supplier or its sub-processor shall notify the Customer of this legal requirement before processing begins, unless such notice is prohibited for reasons of important public interest under the said law.

3.4 Leverantören ska omedelbart informera Kunden om Leverantören anser att en instruktion som Leverantören mottagit från Kunden står i strid med Dataskyddsreglerna.
The Supplier shall, without undue delay, notify the Customer if the Supplier considers that any instruction received from the Customer conflicts with the Data Protection Rules.

4. Säkerhet - Security

4.1 Leverantören ska vidta de åtgärder som krävs för att uppfylla Artikel 32 i Dataskyddsförordningen och som närmare beskrivs i Bilaga 2.
The Supplier shall take the measures required to fulfil Article 32 of the GDPR and which are further described in Appendix 2.

4.2 Leverantören ska, med tanke på behandlingens art, hjälpa Kunden genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i Dataskyddsförordningen.
Considering the nature of the processing, the Supplier shall, to the extent possible, assist the Customer with appropriate technical and organisational measures so that the Customer can fulfil its obligations to respond to requests to exercise the rights of the data subjects in accordance with Chapter III of the GDPR.

4.3 Leverantören ska bistå Kunden med att se till att skyldigheterna enligt Artiklarna 32–36 i Dataskyddsförordningen fullgörs, med beaktande av typen av behandling och den information som Leverantören har att tillgå.
The Supplier shall assist the Customer to ensure that the obligations under Articles 32–36 of the GDPR are fulfilled, taking into account the nature of the processing and the information available to the Supplier.

4.4 Leverantören ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta sekretess, på samma sätt som Leverantören i enlighet med detta Personuppgiftsbiträdesavtal, och att sådan personal informeras om hur de får behandla personuppgifterna.
The Supplier shall ensure that persons authorised to process personal data have committed to confidentiality, in the same way as the Supplier under this Personal Data Processing Agreement, and that such personnel are informed about how they may process the personal data.

4.5 Leverantören ska inom skälig tid efter Kundens begäran ge Kunden tillgång till all information som krävs för att visa att de skyldigheter som fastställs i Artikel 28 i Dataskyddsförordningen har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av Kunden eller av en annan revisor som bemyndigats av Kunden.
The Supplier shall, within a reasonable time after the Customer’s request, provide the Customer with all information required to demonstrate compliance with the obligations set out in Article 28 of the GDPR, and allow and contribute to audits, including inspections, carried out by the Customer or by another auditor authorised by the Customer.

5. Sekretess - Confidentiality

5.1 Parternas skyldighet att iaktta sekretess regleras i Avtalet. I tillägg till detta ska Leverantören inte utan Kundens skriftliga samtycke i förväg, lämna ut eller annars tillgängliggöra personuppgifterna till tredje man, undantaget av Kunden godkända underbiträden som har anlitats i enlighet med detta Personuppgiftsbiträdesavtal.
The Parties’ obligations of confidentiality are governed by the Agreement. In addition, the Supplier may not, without the Customer’s prior written consent, disclose or otherwise make the personal data available to any third party, except for sub-processors approved by the Customer in accordance with this Personal Data Processing Agreement.

5.2 Åtagandet i punkt 5.1 ovan gäller inte information som Leverantören föreläggs utge till tillsynsmyndighet eller enligt Dataskyddsreglerna eller annan lagstadgad skyldighet enligt någon medlemsstats nationella rätt. Leverantören ska dock informera Kunden skriftligen så snart denne mottagit förfrågan eller föreläggande som kan innebära att Kundens personuppgifter utges till tillsynsmyndighet.
The obligations in section 5.1 above do not apply to information the Supplier is required to provide to a supervisory authority or under the Data Protection Rules or other legal obligations under any Member State’s national legislation. However, the Supplier shall notify the Customer in writing as soon as it receives a request or order that may involve disclosure of the Customer’s personal data to a supervisory authority.

5.3 Denna punkt 5 gäller även om Personuppgiftsbiträdesavtalet i övrigt upphör att gälla.
This section 5 shall apply even if the Personal Data Processing Agreement otherwise ceases to be valid.

6. Underbiträden - Sub-processors

6.1 Personuppgifter får enbart behandlas av ett underbiträde till Leverantören om sådant underbiträde på förhand godkänts av Kunden och Leverantören på Kundens vägnar ingår ett skriftligt avtal eller annan rättsakt enligt unionsrätten där underbiträdet åläggs samma skyldigheter i fråga om dataskydd som Leverantören åläggs enligt detta Personuppgiftsbiträdesavtal.
Personal data may only be processed by a sub-processor to the Supplier if such sub-processor has been approved beforehand by the Customer, and the Supplier has, on behalf of the Customer, entered into a written agreement or equivalent legal act under Union law by which the sub-processor is subject to the same data protection obligations as the Supplier under this Personal Data Processing Agreement.

6.2 Leverantören är särskilt ansvarig för att tillse att Artiklarna 28.2 och 28.4 i Dataskyddsförordningen beaktas vid anlitande av underbiträden och ska tillse att sådana underbiträden ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i Dataskyddsreglerna. Leverantören åtar sig att, i god tid innan planerad användning av nytt underbiträde, informera Kunden om dessa planer. För det fall Kunden invänder mot nytt underbiträde ska Kunden, som enda åtgärd, ha rätt att säga upp Avtalet. Sådan uppsägning ska ske skriftligen senast det datum då det nya underbiträdet börjar behandla personuppgifter.
The Supplier is particularly responsible for ensuring that Articles 28.2 and 28.4 of the GDPR are observed when engaging sub-processors and shall ensure that such sub-processors provide sufficient guarantees to implement appropriate technical and organisational measures so that the processing meets the requirements of the Data Protection Rules. The Supplier undertakes to inform the Customer in good time before the planned use of a new sub-processor. If the Customer objects to a new sub-processor, the Customer shall have the right to terminate the Agreement as its sole remedy. Such termination shall be made in writing no later than the date the new sub-processor begins processing personal data.

6.3 Leverantören ska löpande tillhandahålla Kunden en korrekt och uppdaterad lista som visar vilka underbiträden som anlitats för behandlingen av personuppgifter. Listan ska innefatta underbiträdens företagsnamn, den geografiska platsen för sådan behandling, eventuell överföringsmekanism för det fall behandling sker i tredjeland, samt vilka behandlingar av personuppgifter som respektive underbiträde utför. Listan över underbiträden är tillgänglig i Bilaga 3.
The Supplier shall continuously provide the Customer with an accurate and up-to-date list showing which sub-processors have been engaged for the processing of personal data. The list shall include the company name of the sub-processors, the geographical location of such processing, any transfer mechanism if processing occurs in a third country, and what processing activities each sub-processor carries out. The list of sub-processors is available in Appendix 3.

6.4 Leverantören ansvarar för anlitat underbiträde såsom för egen räkning vad gäller underbiträdets behandling av personuppgifter.
The Supplier is fully responsible for the appointed sub-processor’s processing of personal data as if it were its own.

7. Överföring av personuppgifter utanför EU/EES
- Transfer of Personal Data Outside the EU/EEA

7.1 Leverantören får inte överföra personuppgifterna till en plats utanför EU/EES eller tillåta någon att ha tillgång till personuppgifterna från en sådan plats utan Kundens skriftliga tillstånd, om inte sådan rätt uttryckligen framgår av Avtalet.
The Supplier may not transfer personal data to a location outside the EU/EEA or allow anyone to access personal data from such a location without the Customer’s written consent, unless such a right is expressly stated in the Agreement.

7.2 För det fall Kunden godkänner behandling av personuppgifter utanför EU/EES enligt punkten 7.1, ska Leverantören och/eller underbiträdet alltid uppfylla gällande krav enligt Dataskyddsreglerna för sådan överföring och behandling. Leverantören och/eller underbiträdet får överföra personuppgifter till ett tredjeland utanför EU/EES eller en internationell organisation endast i följande situationer:
In the event that the Customer approves the processing of personal data outside the EU/EEA in accordance with section 7.1, the Supplier and/or the sub-processor shall always comply with applicable requirements under the Data Protection Rules for such transfer and processing. The Supplier and/or the sub-processor may only transfer personal data to a third country outside the EU/EEA or to an international organisation in the following situations:

• Om Europeiska kommissionen har beslutat att det tredje land, territorium eller en eller flera specificerade sektorer i tredje land, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, eller
  If the European Commission has decided that the third country, territory or one or more specified sectors within the third country, or the international organisation in question, ensures an adequate level of protection, or‍
• Om Leverantören och/eller underbiträdet har vidtagit någon av de lämpliga skyddsåtgärder som anges i Artikel 46 i Dataskyddsförordningen och överföringen omfattas av vidtagna skyddsåtgärder, t.ex. i form av bindande företagsbestämmelser.
  If the Supplier and/or the sub-processor has implemented any of the appropriate safeguards listed in Article 46 of the GDPR and the transfer is subject to those safeguards, such as binding corporate rules.

7.3 I den mån adekvat skyddsnivå inte anses garanterad för en överföring till tredje land, eller överföring enligt Leverantören eller Kundens uppfattning inte längre kan anses tillåten enligt Dataskyddsreglerna, ska sådan överföring omedelbart upphöra.
If an adequate level of protection is not deemed to be guaranteed for a transfer to a third country, or if the transfer can no longer be considered permissible under the Data Protection Rules, according to either the Supplier or the Customer, such transfer shall cease immediately.

8. Ansvar - Liability

8.1 Ingenting i detta Personuppgiftsbiträdesavtal eller Avtalet ska innebära eller tolkas som att Parts tvingande ansvar enligt Dataskyddsreglerna är begränsat eller bortavtalat.
Nothing in this Personal Data Processing Agreement or the Agreement shall mean or be interpreted as limiting or excluding either Party’s mandatory liability under the Data Protection Rules.

8.2 Parterna emellan ska Leverantörens ansvar vara begränsat såsom anges i Avtalet.
Between the Parties, the liability of the Supplier shall be limited as set out in the Agreement.

8.3 Punkt 8.2 ska gälla även efter Personuppgiftsbiträdesavtalets upphörande i enlighet med punkt 9.1 nedan.

Section 8.2 shall apply also after the termination of this Personal Data Processing Agreement in accordance with section 9.1 below.

9. Avtalstid och upphörande - Term and Termination

9.1 Detta Personuppgiftsbiträdesavtal gäller från den dag Avtalet träder i kraft och ska upphöra automatiskt utan särskild uppsägning när Avtalet upphör att gälla.
This Personal Data Processing Agreement shall enter into force on the date the Agreement becomes effective and shall automatically terminate, without notice, when the Agreement ceases to apply.

9.2 Vid upphörande av Personuppgiftsbiträdesavtalet ska Leverantören, efter Kundens val, radera eller återlämna samtliga personuppgifter som behandlats för Kundens räkning, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller en medlemsstats nationella rätt.
Upon termination of the Personal Data Processing Agreement, the Supplier shall, at the choice of the Customer, delete or return all personal data processed on behalf of the Customer, unless storage of the personal data is required by Union law or the national law of a Member State.

9.3 Om inte annat avtalats skriftligen gäller denna punkt 9 även för annan data än personuppgifter.
Unless otherwise agreed in writing, this section 9 also applies to other data than personal data.

10. Ändringar i Personuppgiftsbiträdesavtalet - Amendments of the Personal Data Processing Agreement

10.1 Om gällande Dataskyddsregler ändras under giltighetstiden för Personuppgiftsbiträdesavtalet, eller om tillsynsmyndighet utfärdar riktlinjer, beslut eller föreskrifter kring tillämpningen av Dataskyddsreglerna som föranleder att detta Personuppgiftsbiträdesavtal inte uppfyller de krav som ställs på ett personuppgiftsbiträdesavtal enligt Dataskyddsreglerna, ska Part ha rätt att begära ändringar av detta Personuppgiftsbiträdesavtal för att tillgodose sådana nya, ändrade eller förtydligade krav.
If the applicable Data Protection Rules are amended during the term of this Personal Data Processing Agreement, or if the supervisory authority issues guidelines, decisions or regulations changing the application of the Data Protection Rules such that this Personal Data Processing Agreement no longer fulfils the requirements imposed on such agreements, each Party shall have the right to request amendments to this Personal Data Processing Agreement to comply with such new, amended or clarified requirements.

10.2 Ändringar respektive nya instruktioner enligt punkten 10.1 ovan träder i kraft senast 30 dagar efter ändringsmeddelande från Part, om Part inte begär att sådan ändring eller instruktion ska gälla inom kortare tid, eller inom sådan tidsperiod som framgår av Dataskyddsreglerna, tillsynsmyndighets riktlinjer, beslut eller föreskrifter.
Amendments and new instructions in accordance with section 10.1 above shall take effect no later than 30 days from the date of notice by a Party, unless the Party requests that such amendment or instruction applies earlier, or unless otherwise required under the Data Protection Rules, supervisory authority guidelines, decisions or regulations.

10.3 Övriga ändringar av och tillägg till detta Personuppgiftsbiträdesavtal ska, för att vara bindande, godkännas av Kunden vid inloggning i Tjänsten i enlighet med instruktion på Leverantörens hemsida. Om det av Avtalet framgår viss process för ändring av Avtalet, ska denna tillämpas även för ändring av detta Personuppgiftsbiträdesavtal.
Any other amendments or additions to this Personal Data Processing Agreement shall, to be binding, be approved by the Customer upon logging into the Service in accordance with instructions available on the Supplier’s website. If the Agreement sets out a specific process for amendments, that process shall also apply to amendments of this Personal Data Processing Agreement.

11. Övrigt - Miscellaneous

11.1 I övrigt ska vad som sägs i Avtalet äga tillämpning även för Leverantörens behandling av personuppgifter och åtagandena under detta Personuppgiftsbiträdesavtal. Vid motstridighet mellan bestämmelserna i Avtalet och detta Personuppgiftsbiträdesavtal ska dock bestämmelserna i Personuppgiftsbiträdesavtalet äga företräde i förhållande till behandling av personuppgifter och inget i Avtalet ska anses begränsa eller ändra åtaganden i detta Personuppgiftsbiträdesavtal i den mån detta skulle medföra att Kunden inte uppfyller kraven enligt Dataskyddsreglerna.
Unless otherwise stated, the provisions of the Agreement shall also apply to the Supplier’s processing of personal data and obligations under this Personal Data Processing Agreement. In case of conflict between the Agreement and this Personal Data Processing Agreement, the latter shall prevail with regard to personal data processing, and nothing in the Agreement shall be considered to limit or modify the obligations herein if it would result in the Customer failing to comply with the Data Protection Rules.

11.2 Leverantören är inte berättigad till någon ersättning för de förpliktelser som följer av detta Personuppgiftsbiträdesavtal, om sådan ersättning inte uttryckligen skriftligen avtalats i förväg.
The Supplier shall not be entitled to any compensation for obligations under this Personal Data Processing Agreement, unless such compensation has been expressly agreed in writing in advance.

11.3 Om Leverantören överlåter Avtalet, ska detta Personuppgiftsbiträdesavtal också anses överlåtet till den part som övertar Avtalet. Detta Personuppgiftsbiträdesavtal kan dock fortfarande äga giltighet mellan de ursprungliga Parterna enligt punkt 9.1. Leverantören får inte överlåta detta Personuppgiftsbiträdesavtal separat från Avtalet.
If the Supplier transfers the Agreement, this Personal Data Processing Agreement shall be deemed transferred to the transferee. However, the Agreement may still be valid between the original Parties pursuant to section 9.1. The Supplier may not transfer this Personal Data Processing Agreement separately from the Agreement.

11.4 Svensk lag ska tillämpas på detta Personuppgiftsbiträdesavtal. Tvister som uppstår i anledning av detta Personuppgiftsbiträdesavtal ska lösas i enlighet med tvistlösningsbestämmelserna i Avtalet.
This Personal Data Processing Agreement shall be governed by Swedish law. Any dispute arising in relation to this Personal Data Processing Agreement shall be resolved in accordance with the dispute resolution provisions in the Agreement.

Leverantör / Supplier

Reguity Group AB (publ)

Henrik Kristensen

VD / CEO

________________________

Kunden / Customer

Kunden godkänner aktivt detta Personuppgiftsbiträdesavtal i samband med aktivering av tjänst för elektronisk aktiebokshantering.

The Customer approves this Personal Data Processing Agreement when registering for the online share ledger service.

Bilaga 1 – Instruktion om hantering av personuppgifter Schedule 1 – Instruction regarding processing of personal data

Utöver vad som redan framgår av Personuppgiftsbiträdesavtalet ska Leverantören följa nedanstående instruktioner.
In addition to what is already stated in the Personal Data Processing Agreement, the Supplier shall comply with the following instructions.

Ändamål - Objective

Ändamålen med behandlingen av personuppgifter är att Leverantören ska kunna utföra de tjänster som är beskrivna i Avtalet. Ändamålet med Leverantörens registrering av personuppgifter är att via Internet tillhandahålla en enkel och fullständig, digital aktiebokslösning till Kunden.
The objectives of the processing of personal data are for the Supplier to be able to provide the services as described in the Agreement. The objective for the Supplier to register personal data is to provide an easy-to-use and complete online service tool for share ledger administration.

Typer av personuppgifter - Type of personal data

Nedan personuppgifter behandlas av Leverantören:

The below listed personal data are processed by the Supplier:

• Varje aktieägares personnummer, namn, postadress, telefonnummer, e-postadress och bankkontouppgifter.
  The personal identification number, name, postal address, telephone number, email address and bank account details of each shareholder.‍
• Information om aktieposter; aktiers nummer, aktieslag, ägare, köp- och säljpriser, aktiebrev, förmyndare eller god man samt dennes kontaktuppgifter, förmånstagare och deras kontaktuppgifter, noteringar enligt Aktiebolagslagen, samt hembud och förbehåll.
  Information on share records, share numbers, share class, owner, purchase and sale prices, share certificates, guardians or trustees and their contact details, beneficiaries and their contact details, annotations according to the Companies Act, as well as rights of first refusal and reservations.‍
• Ägande av andra tillgångsslag än aktier, såsom optioner, skuldebrev, konvertibler etc.
  Ownership of other asset classes than shares, such as options, promissory notes, convertible debentures etc.‍
• All ägardata, både för nuvarande och historiska ägare.
  All shareholder data, for both current and historical owners.‍
• Tecknings- och tilldelningslistor, risk- och preferensbedömningar, avtal och annat material (bilder, figurer, symboler).
  Subscription and allotment lists, risk and preference assessments, agreements and other material (images, figures, symbols).‍
• Bolagsfunktionärer; styrelse och styrelsesuppleanter, VD samt deras kontaktuppgifter, revisor och i förekommande fall revisorssuppleanter och deras kontaktuppgifter.
  Company officials; board members and deputies, CEO and their contact details, auditor and, if applicable, deputy auditor and their contact details.

Kategorier av registrerade - Categories of Data Subjects

De kategorier av registrerade vars uppgifter behandlas av Leverantören är:

The categories of Data Subjects whose data is processed by the Supplier are:

• Anställd / bolagsfunktionär
  Employees / company officials‍
• Administratör / observatör
  Administrators / observers‍
• Aktieägare / ägare
  Shareholders / owners

Behandlingens varaktighet - The period we process personal data

Behandlingens varaktighet framgår av Personuppgiftsbiträdesavtalet.
The duration of the processing is set out in the Personal Data Processing Agreement.

Gallringstid - Dispose period

Personuppgifterna ska raderas, gallras eller anonymiseras i enlighet med Personuppgiftsbiträdesavtalet, Avtalet och på Kundens begäran samt enligt Kundens instruktioner.
The personal data shall be deleted, disposed of or anonymised in accordance with the Personal Data Processing Agreement, the Agreement, and upon the Customer’s request or instructions.

Om inte Kunden instruerat Leverantören om annat, bevaras personuppgifterna tills vidare till dess Avtalet upphör. Vidare, om inte Kunden instruerat Leverantören om annat, och om Kunden går i konkurs eller i likvidation, bevaras personuppgifterna i en period om tio (10) år därefter, trots att Avtalet har upphört.
If the Customer has not instructed the Supplier otherwise, the personal data will be retained until the Agreement is terminated. Furthermore, if the Customer has not instructed the Supplier otherwise, and the Customer enters bankruptcy or liquidation, the personal data will be retained for a period of ten (10) years thereafter, despite the termination of the Agreement.

Bilaga 2 - Säkerhetsåtgärder – Schedule 2 - Safety measures

Här följer beskrivning över de åtgärder som Leverantören vidtar för att uppfylla kraven i Artikel 32 i Dataskyddsförordningen.
‍In the below, we describe the measures taken by the Supplier to fulfil the requirements in Article 32 of the GDPR.

Säkerhetsåtgärder - Safety Measures

Leverantören ska skydda personuppgifterna från förstöring, ändring, obehörigt röjande och obehörig åtkomst. Personuppgifterna ska även skyddas från all annan form av olaglig behandling, innefattande men inte begränsat till behandling i strid med Dataskyddsreglerna. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna – av varierande sannolikhetsgrad och allvar – för fysiska personers rättigheter och friheter, ska de tekniska och organisatoriska åtgärder som Leverantören vidtar inkludera:

The Supplier shall protect personal data from destruction, alteration, unauthorised disclosure and unauthorised access. The data shall also be protected from all other unlawful processing, including but not limited to processing in violation of the Data Protection Rules. With consideration of the latest technological developments, implementation costs, and the nature, scope, context, and purposes of the processing, as well as the risks to individuals’ rights and freedoms, the following technical and organisational measures shall be implemented:

• ‍(a) Pseudonymisering och kryptering av personuppgifter
  Pseudonymisation and encryption of personal data.‍
• (b) Förmåga att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos de system och tjänster som behandlar personuppgifter
  Ability to continuously ensure confidentiality, integrity, availability, and resilience of processing systems and services.‍
• (c) Förmåga att återställa tillgång till personuppgifter i rimlig tid vid fysisk eller teknisk incident
  Ability to restore access to personal data within reasonable time in case of a physical or technical incident.‍
• (d) Ett förfarande för att regelbundet testa, utvärdera och bedöma effektiviteten i de tekniska och organisatoriska åtgärderna för att säkerställa behandlingens säkerhet
  A procedure to regularly test, assess and evaluate the effectiveness of technical and organisational measures to ensure processing security.

Med hänvisning till de tekniska och organisatoriska åtgärder som anges ovan, ska Leverantören vidta följande åtgärder för att säkerställa dess efterlevnad:
With references to the technical and organisational measures stated above, the Supplier shall take the following actions to ensure compliance:‍

• ‍(a) skydd för fysisk åtkomst varigenom Leverantörens lokaler för datorutrustning och bärbar/flyttbar information eller lagringsmedia som innehåller personuppgifter ska låsas när de står utan tillsyn av behörig person i enlighet med punkt (d) nedan i syfte att skydda mot obehörig användning, stöld etc.;
  protection against physical access whereby the Supplier’s facilities for computer equipment and portable/movable data or storage media containing personal data, shall be locked when unsupervised as follows in paragraph (d) below, this to ensure protection against unauthorised usage, theft, etc.;‍‍
• (b) Process för regelbundna test för återläsning av backupkopia som innehåller personuppgifter;
  process for regular testing of re-reading of backup copies containing personal data;‍‍
• (c) process för test av återläsning då personuppgifter har återskapats från backup-kopia för att säkerställa integritet och konfidentialitet, inklusive kontroll av att gallrade personuppgifter inte har återskapats;
  process for testing of re-reading when personal data have been reconstructed from back-up copies to ensure integrity and confidentiality, including control of that erased personal data has not been reconstructed;‍
• (d) behörighetskontroll varigenom åtkomst till personuppgifter hanteras via ett tekniskt system för ändamålet. Behörighet ska begränsas till de som behöver personuppgifterna för sitt arbete. AnvändarID och lösenord ska vara personliga och får inte överlåtas eller lånas ut till annan. Det ska finnas processer för att tilldela och återkalla behörighet samt regelbunden uppföljning för kontroll av att behörigheterna är riktiga;
  authorisation control whereby access to personal data is processed by a technical system created for this purpose. The access shall be limited to the persons who require the personal data to conduct their work. User-ID and password shall be personal and may not be transferred or handed out to any other person. Processes for assigning and revoking permissions and regular monitoring to follow-up to control the validity of accesses shall be implemented.‍
• (e) förmåga att logga åtkomst till personuppgifter. Det ska vara möjligt att retroaktivt följa upp åtkomst till personuppgifter genom en logg eller liknande. Det ska vara möjligt för Leverantören att kontrollera informationsbasen och rapportera tillbaka till Kunden;
  ability to register all access to personal data. It shall be possible to retroactively follow-up access to personal data by a register or similar system. It shall be possible for the Supplier to control the information database and report back to the Customer;
• (f) säker kommunikation varigenom anknytningar till extern datakommunikation ska skyddas av tekniska funktioner som säkerställer att förbindelsen är behörig, och att de krypteringsfunktioner avseende innehåll i data som transporteras i kommunikationskanaler utanför de system som Leverantören kontrollerar är säker;
  secure communication by which extensions to external data communication shall be protected by technical features securing that the extensions are authorised, and that the encryption features regarding the content of the data transported in the communication channels, in addition to the systems controlled by the Supplier, is secure;‍
• (g) process för att säkerställa att personuppgifter förstörs på ett säkert sätt när fast eller flyttbar lagringsmedia inte längre ska användas för sitt ändamål;
  process to ensure that personal data is erased in a secure way when fixed or portable storage media is no longer being used for its initial purpose.
• (h) rutiner för att ingå sekretessavtal motsvarande kraven som ställs i Avtalet och i detta Personuppgiftsbiträdesavtal med leverantörer som tillhandahåller reparation och service av utrustning som används för att lagra personuppgifter; och
  procedures to enter confidentiality agreements or similar, in accordance with the requirements set out in the Agreement and in this Personal Data Processing Agreement, with all distributors providing repairs and services on equipment used to store personal data; and ‍
• (i) rutiner för att övervaka arbete som utförs av leverantörer i Leverantörens lokaler. Lagringsmedia som innehåller personuppgifter ska ställas undan om övervakning inte är möjligt.
  procedures to supervise work performed by distributors in the Supplier’s facilities. Storage media containing personal data shall be put away if supervision is not possible

Leverantören ska vidare utan onödigt dröjsmål meddela Kunden om personuppgiftsincident efter att ha fått vetskap om densamma. Meddelandet ska skickas till Kunden via e-post och innehålla:
The Supplier shall, without undue delay, notify the Customer in the event of a personal data incident as soon as it is in the knowledge of the Supplier. Such notification shall be sent to the Customer by email and contain the following:

‍

• ‍‍‍(a) en beskrivning av personuppgiftsincidentens art, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgifter som omfattas av personuppgiftsincidenten;
  a description of the type of incident, the categories of the incident and the approximate number Registered affected and the categories of and approximate amount of personal data affected by the incident;‍‍
• (b) namnet på och kontaktuppgifterna till Leverantörens dataskyddsombud eller andra kontaktpunkter där mer information kan erhållas;
  the name and contact details of the Supplier’s Data Protection Officer or other contact details where such information can be found;‍‍
• (c) beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten; och
  description of the probable consequences of the personal data incident; and‍‍
• (d) beskrivning av de åtgärder som vidtagits av Leverantören, eller som föreslås vidtas, för att hantera personuppgiftsincidenten, inklusive, där så är lämpligt, åtgärder för att begränsa dess potentiella negativa effekter.
  description of the measures taken by the Supplier, or proposed measures, to handle the personal data incident, including, where
  applicable, measures to limit its potential negative effects.

Bilaga 3 - Underbiträden – Schedule 3 - Sub-processors

Här listas de Underbiträden som anlitas av Leverantören för behandling av personuppgifter enligt Personuppgiftsbiträdesavtalet. (Se punkten 9 för närmare information.)
Below, all sub-processors appointed by the Supplier for processing of the personal data, in accordance with this Personal Data ProcessingAgreement are listed. (See section 9 for further information.)