Persondatapolitik

Dataansvarlig for behandlingen af personoplysninger er:

Selskabet er FAIF-registreret hos Finanstilsynet under registreringsnummer FT23401 og forvalter alternative investeringsfonde i henhold til lov om forvaltere af alternative investeringsfonde m.v. (FAIF-loven). Denne regulering medfører særlige dokumentations- og opbevaringskrav, som påvirker behandlingen af personoplysninger om investorer og samarbejdspartnere.

Selskabet behandler udelukkende personoplysninger, der er nødvendige for at opfylde aftalemæssige, lovbestemte og tilsynsmæssige forpligtelser. Behandlingen omfatter typisk følgende kategorier:

• Identifikationsoplysninger (navn, fødselsdato, CPR-nr. eller udenlandsk identifikation, kopi af pas eller anden billed-ID).
• Kontaktoplysninger (adresse, telefonnummer, e-mail).
• Økonomiske oplysninger (kontonummer, formueforhold, investeringserfaring, skattepligtsforhold, FATCA/CRS-status).
• Oplysninger om reelle ejere, kontrollerende personer og tegningsberettigede for selskabsinvestorer.
• Korrespondance og dokumentation knyttet til kundeforholdet, herunder logfiler fra investorportalen.

Selskabet behandler som udgangspunkt ikke følsomme personoplysninger, jf. GDPR artikel 9. I forbindelse med opfyldelse af hvidvasklovens krav kan vi dog behandle oplysninger om eventuelle politisk eksponerede personer (PEP), sanktionslisteopslag samt screening for negativ omtale, hvilket kan omfatte oplysninger om strafbare forhold, jf. databeskyttelseslovens § 8.

Behandlingen af personoplysninger sker til klart definerede formål, og hvert formål er understøttet af et hjemmelsgrundlag efter GDPR artikel 6 (og, hvor relevant, artikel 9 eller 10).

Personoplysninger indsamles primært direkte fra den registrerede. Vi kan dog supplere oplysningerne fra følgende kilder, når det er nødvendigt for formålet eller påkrævet af lovgivningen:

• Offentligt tilgængelige registre, herunder CVR og tingbogen.
• Sanktionslister og PEP-databaser fra anerkendte compliance-leverandører.
• Skattemyndigheder i Danmark og udlandet (FATCA/CRS).
• Banker, revisorer, advokater og øvrige professionelle rådgivere i forbindelse med onboarding eller transaktioner.

Personoplysninger behandles fortroligt og videregives kun, når det er nødvendigt for at opfylde formålet eller påkrævet af lovgivningen. Modtagere kan omfatte:

Selskabets behandling af personoplysninger sker som udgangspunkt inden for EU/EØS. I det omfang behandling sker uden for EU/EØS – eksempelvis ved brug af visse cloud- eller screeningleverandører – sker overførsel alene på et lovligt grundlag efter GDPR kapitel V, herunder:

• Europa-Kommissionens standardkontraktbestemmelser (SCC), jf. art. 46(2)(c), suppleret med tekniske og organisatoriske foranstaltninger, hvor det er påkrævet (TIA).
• Tilstrækkelighedsafgørelser truffet af Europa-Kommissionen efter art. 45.
• EU-U.S. Data Privacy Framework, hvor modtageren er certificeret.

Kopi af det anvendte overførselsgrundlag kan rekvireres ved henvendelse til dataprotection@nordicestates.dk.

Personoplysninger opbevares ikke længere end nødvendigt for det formål, hvortil de er indsamlet. Opbevaringsperioden fastsættes ud fra følgende principper:

Selskabet har implementeret tekniske og organisatoriske sikkerhedsforanstaltninger, der står i passende forhold til de risici, behandlingen indebærer, jf. GDPR artikel 32. Foranstaltningerne omfatter blandt andet:

• Adgangsstyring efter need-to-know-princippet og to-faktor-godkendelse.
• Kryptering af data i transit og, hvor relevant, i hvile.
• Logning, overvågning og periodiske sikkerhedstests af forretningskritiske systemer.
• Skriftlige procedurer for håndtering af brud på persondatasikkerheden.
• Løbende uddannelse af medarbejdere i databeskyttelse og informationssikkerhed.

Eventuelle brud på persondatasikkerheden anmeldes til Datatilsynet uden unødig forsinkelse og senest 72 timer efter, at Selskabet er blevet bekendt med bruddet, hvor anmeldelse er påkrævet efter GDPR artikel 33.

Registrerede personer har efter GDPR en række rettigheder. Henvendelser herom kan rettes til dataprotection@nordicestates.dk. Selskabet besvarer henvendelser hurtigst muligt og senest inden for en måned.

Selskabet anvender ikke automatiske afgørelser, herunder profilering, der har retsvirkning for den registrerede eller på tilsvarende vis betydeligt påvirker den pågældende, jf. GDPR artikel 22.

Selskabets hjemmeside anvender alene cookies, der er strengt nødvendige for sidens drift samt – efter særskilt samtykke – cookies til statistik og driftsforbedring. Der placeres ikke markedsføringscookies. Indstillinger for cookies kan til enhver tid ændres via samtykkebanneret nederst på siden.

Den registrerede har til enhver tid ret til at indgive en klage til Datatilsynet, hvis vedkommende er utilfreds med Selskabets behandling af personoplysninger. Datatilsynet kan kontaktes via datatilsynet.dk eller på telefon +45 33 19 32 00.

Vi opfordrer dog til, at en eventuel klage først rettes til Selskabet, så vi har mulighed for at se nærmere på forholdet.

Selskabet kan til enhver tid ændre denne persondatapolitik. Den til enhver tid gældende version offentliggøres på Selskabets hjemmeside. Væsentlige ændringer meddeles direkte til berørte investorer via investorportalen eller pr. e-mail.

Version 3.1 · Senest opdateret 1. maj 2026 · Godkendt af direktionen, NE-POL-001.