GDPR-efterlevnadsutlåtande

Version 1.0 – Godkänd 1 februari 2025

1 Ansvarsuttalande

Vetnio AB bekräftar sitt fulla åtagande att följa Europaparlamentets och rådets förordning (EU) 2016/679 (Allmän dataskyddsförordning, ”GDPR”) samt all tillämplig svensk dataskyddslagstiftning. Styrelsen tar det yttersta ansvaret för – och kan visa – efterlevnad av GDPR i alla behandlingar av personuppgifter. Särskilt åtar sig Vetnio AB att:

Integrera de sju dataskyddsprinciperna – laglighet, korrekthet och transparens; ändamålsbegränsning; uppgiftsminimering; riktighet; lagringsminimering; integritet och konfidentialitet; samt ansvarsskyldighet – i utformningen och driften av varje behandlingsaktivitet.
Föra fullständiga och korrekta register över behandlingsaktiviteter (ROPA) och genomföra konsekvensbedömningar avseende dataskydd (DPIA) där behandling sannolikt medför hög risk för registrerade.
Införa lämpliga tekniska och organisatoriska åtgärder (TOMs) i proportion till de risker som varje behandling medför.
Säkerställa att dataskyddsombudet (DPO) och utsedda Privacy Champions har tillräcklig autonomi, resurser och befogenheter.
Tillhandahålla regelbunden, rollbaserad utbildning så att all personal förstår sitt ansvar för dataskydd.
Följa upp efterlevnad genom revisioner, nyckeltal och ledningsgenomgångar samt vidta skyndsamma korrigerande åtgärder vid behov.

Detta utlåtande ses över minst årligen eller omedelbart efter betydande organisatoriska, tekniska eller regulatoriska förändringar.

2 Organisationsprofil

Juridisk person	Vetnio AB
Organisationsnummer	559494-6807
Registrerad adress	Grev Magnigatan 10, 114 55 Stockholm, Sverige
Huvudsakliga IT-platser / Datacenter	Sverige (primär), Tyskland (sekundär)
Tillsynsmyndighet	Integritetsskyddsmyndigheten (IMY)
Dataskyddsombud	Max Henry Xie – max@vetnio.com

3 Styrning av dataskydd

3.1 Roller och ansvar

Styrelsen – Tillhandahåller strategisk styrning och godkänner detta utlåtande.
Teknisk chef (CTO) – Ansvarig chef för teknisk efterlevnad; begränsar åtkomst till inspelningar och transkriptioner till CTO och senior teknisk personal enligt strikt behovsprincip.
Dataskyddsombud (DPO) – Oberoende funktion som rapporterar till styrelsen; ger råd om och övervakar GDPR-efterlevnad.
Privacy Champions – Lokala kontaktpunkter integrerade i seniora tekniska team:
- Emil Franzell
- Arvid Norström
- Rakin Ali

All personal ska autentisera med multifaktorautentisering (MFA) och behörigheter tilldelas enligt minsta möjliga åtkomst.

3.2 Policys och rutiner

4 Behandlingsprinciper och rättsliga grunder

Vetnio AB behandlar personuppgifter endast när minst en laglig grund enligt artikel 6 GDPR föreligger (t.ex. avtal, samtycke, berättigat intresse). Känsliga uppgifter (artikel 9) behandlas endast med uttryckliga undantag.

5 Register över behandlingsaktiviteter (ROPA)

Fullständigt ROPA upprätthålls i enlighet med artikel 30 GDPR och tillhandahålls tillsynsmyndigheten på begäran. Centrala delar som registreras inkluderar:

Kategorier av registrerade och personuppgifter.
Ändamål med behandlingen.
Mottagare och internationella överföringar.
Tekniska och organisatoriska skyddsåtgärder.

6 Tekniska och organisatoriska åtgärder (TOMs)

Åtkomstkontroll: Rollbaserad åtkomst; MFA för alla privilegierade konton.
Kryptering: AES-256 i vila; TLS 1.3 under överföring.
Loggning och övervakning: Centraliserade, manipulationssäkra loggar med SIEM-korrelationsfunktioner.
Motståndskraft och backup: Dagliga krypterade säkerhetskopior med kvartalsvisa återläsningstester.
Fysisk säkerhet: Datacenterkontroller enligt ISO 27001.
Leverantörsgranskning: Riskbaserad onboarding och årlig genomgång av personuppgiftsbiträden.

7 Hantering av registrerades rättigheter

Rutiner finns för att tillgodose alla rättigheter enligt artiklarna 12–23 GDPR (tillgång, rättelse, radering, begränsning, dataportabilitet, invändning och automatiserat beslutsfattande). Begäranden loggas och hanteras inom lagstadgade tidsfrister.

8 Tredjelandsöverföringar och personuppgiftsbiträden

Internationella överföringar sker endast till länder med adekvat skyddsnivå eller under lämpliga skyddsåtgärder (t.ex. standardavtalsklausuler). Ett register över godkända personuppgiftsbiträden publiceras på https://vetnio.com/sub-processors.

9 Anmälan av personuppgiftsincident

Alla incidenter bedöms inom 24 timmar. Om en incident sannolikt innebär risk för individer anmäls den till IMY inom 72 timmar och berörda registrerade informeras utan onödigt dröjsmål, i enlighet med artiklarna 33–34 GDPR.

10 Utbildning och medvetenhet

All personal ska genomgå GDPR- och informationssäkerhetsutbildning vid anställning och därefter årligen.

11 Översyn och ständiga förbättringar

Detta utlåtande, tillsammans med stödjande policys, ses över minst årligen och efter materiella förändringar i lagstiftning, behandlingar eller organisation.

12 Godkännande

Detta GDPR-efterlevnadsutlåtande godkändes av Vetnio AB:s styrelse den 1 februari 2025.

Undertecknat för styrelsens räkning

Namn	Befattning	Underskrift	Datum
Max Henry Xie	Chief Technology Officer	(signed)	01-02-2025