Tillägg för databehandling
Detta databehandlingstillägg (”DPA”) utgör del av avtalet mellan Cision Ltd. och dess dotterbolag
(”Cision”) och den enhet som ingår avtalet som kund av Cisions tjänster (”Kund”)
1.
Definitioner
a. ”Avtal”: avser det huvudabonnemangs- eller serviceavtal som ingåtts mellan parterna.
b. "Tillämplig sekretesslagstiftning" avser alla tillämpliga lagar som rör datasekretess
inklusive GDPR, EU:s direktiv om integritet och elektronisk kommunikation 2002/58/EG,
Storbritanniens dataskyddslagstiftning 2018 och CCPA, allt som implementeras i någon
jurisdiktion och någon ändrings- eller ersättningslagstiftning från tid till annan.
c. "CCPA" avser Kaliforniens lagstiftning om konsumentintegritet från 2018, Cal. Civ. Code
§1798.100 och följande och dess genomförandebestämmelser.
d.
"Cision Data" avser alla data i Cisions databaser som Cision använder för att tillhandahålla
tjänster och exklusive kunddata. Denna definition av Cisions data är avsedd att inkludera
liknande klart angivna villkor i avtalet som till exempel "Företagsdata", "Leverantörsdata"
eller "Branschuppsiktsdata".
e. "Cisions Personuppgifter" avser alla personuppgifter som ingår i Cisions data.
f. ”Kunddata" avser data som kund gör tillgänglig för Cision för att Cision ska behandla
uppgifterna för kundens räkning.
g. "Kundens personuppgifter" avser alla personuppgifter som ingår i kunddata.
h. ”EEA” avser Europeiska ekonomiska samarbetsområdet.
i. ”GDPR” avser Allmän dataskyddsförordning ((EU) 2016/679).
j. ”Begränsad överföring” avser överföring av personuppgifter från EEA eller Storbritannien
där sådan överföring i avsaknad av standardavtalsklausuler skulle förbjudas enligt gällande
sekretesslagar.
k. "Säkerhetskontroller" avser de tekniska och organisatoriska åtgärder som specificeras i
avtalet eller om inte, angivna i
https://gdpr.cision.com/technicalorgmeasures
l. ”SCC” avser standardavtalsklausuler som ingår i detta DPA enligt Europeiska
kommissionens beslut av den 5 februari 2010 om överföring av personuppgifter till
controllers och/eller datorer som är inrättade i tredje land enligt direktiv 95/46/EG och på
så sätt uppdateras eller via ersättningsklausuler som Europeiska kommissionen från tid till
annan kan godkänna.
m. "Sub-behandlare" avser en tredje part som Cision anlitar för att behandla personuppgifter
som Cision ska behandla enligt detta DPA och som behandlar data för Cisions räkning.
n. Termerna "controller", "behandlare", "persondata", "behandling", "speciella
datakategorier" och "datasubjekt" har de betydelser som redovisas i GDPR eller i
Storbritanniens dataskyddslagstiftning 2018.
o. För tydlighetens skull omfattar detta DPA all behandling som sker i enlighet med CCPA.
Därför har följande hänvisningar i CCPA följande betydelser i detta DPA:
i. ”Affärer” avser ”controller”
ii. ”Tjänsteleverantör” avser ”behandlare”
iii. ”Tredje part” avser ”sub-behandlare”
iv. ”Tredje part” avser ”personuppgift”
v. ”Konsument” avser ”datasubjekt”
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
2.
Allmänt
a. Controllerdata: Cision och kund är oberoende controllers för Cisions personuppgifter och
var och en behandlar detta data som controller. I de fall kunden tar emot eller får tillgång
till Cisions personuppgifter från eller av Cision gäller avsnitt 3.
b. Behandlade data: Kund är controllern och Cision är behandlar av kundens personuppgifter.
När Cision behandlar kundens personuppgifter för kunds räkning gäller avsnitt 4.
c. Varje part ska följa gällande sekretesslagar när de behandlar personuppgifter enligt avtalet.
d. Om det finns en konflikt mellan detta DPA och avtalet, gäller detta DPA.
e. Båda parter ska genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder
för att säkerställa säkerheten för personuppgifter inklusive för att skydda mot obehörig
eller olaglig förlust, förstörelse, ändring, obehörigt utlämnande eller tillgång till
personuppgifter.
f. Båda parter ska vidta rimliga åtgärder för att säkerställa att personalen som auktoriserar
behandlingen av personuppgifter har förbundit sig att skydda data från obehörig insyn och
att tillgång till personuppgifter är begränsad till de personer som behöver ha tillgång med
avseende på avtalet.
g. Ändringar: Cision kan när som helst med minst 30 dagars varsel revidera detta tillägg för
att införliva alla obligatoriska SCC eller andra villkor som krävs av någon behörig
dataskyddsmyndighet i EU eller i Storbritannien. Parterna är överens om att anta alla
nödvändiga ersättnings- eller kompletterande SCC:er som EC och / eller Storbritanniens
ICO allt emellanåt kan anta. Om kunden inte verkställer sådana klausuler på Cisions
begäran, har Cision rätt att med minst 30 dagars varsel skriftligen säga upp avtalet.
3.
Cisions data (controller till controller-förhållande)
a. Behandling när det gäller avtalet: Varje part ska behandla Cisions personuppgifter i syfte
att utöva rättigheter och skyldigheter enligt avtalet. Detaljer om Cisions
personuppgiftskategorier, syftet med Cisions behandling och behandlingens varaktighet
anges i bilaga 1, del 1
b. Internationell dataöverföring:
i. Om det sker en begränsad överföring från EEA kommer kunden att vara bunden av
controller till controller SCC:et som ingår i detta tillägg och det kommer att träda i kraft
när den dithörande begränsade överföringen inleds.
ii. Om det finns en begränsad överföring från Storbritannien är parterna överens om att
ingå alla gällande brittiska SCC:er när Storbritanniens Information Commissioners Office
(“ICO”) godkänner sådana klausuler. I avvaktan på ICO-godkännande är parterna
överens om att vara bundna av controller till controller SCC:et i enlighet med klausul
3.b.i.
iii. Med avseende på SCC kommer personuppgifterna som överförs att vara som föreskrivs
i avtalet och beskrivs i bilaga 2, del 1 till denna DPA.
c. Dataöverträdelse: varje part ska utan onödigt dröjsmål meddela den andra om den blir
medveten om ett personuppgiftsintrång som involverar Cisions personuppgifter eller efter
mottagandet av en begäran eller klagomål från ett datasubjekt som involverar Cisions
personuppgifter.
4.
Kunddata: Controller till behandlare-förhållande:
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
a. Skrivna instruktioner: Cision ska behandla kundens personuppgifter endast enligt kundens
skriftliga instruktioner som anges i detta DPA. Om gällande sekretesslagar anför något
annat kommer Cision att informera kunden om det rättsliga rekvisitet innan behandlingen,
såvida inte lagen förbjuder informationen på grund av allmänintresset. Detaljer om
kundens personuppgiftskategorier, syftet med Cisions behandling och behandlingens
varaktighet anges i bilaga 1, del II.
b. Laglig användning och instruktion: Kunden ska se till att användningen av tjänsterna och
deras instruktioner om behandling av alla personuppgifter enligt detta DPA följer alla
tillämpliga sekretesslagar och att Cisions behandling enligt kundens instruktioner inte leder
till att Cision bryter mot några gällande sekretesslagar. Cision ska informera kunden om att
kundens instruktioner enligt Cisions uppfattning bryter mot tillämplig lag.
c. Särskilda datakategorier: Kunden ska meddela Cision om några särskilda datakategorier
ingår i kundens personuppgifter. Cision kan vägra att behandla sådant data eller införa
några begränsningar som är nödvändiga på kundens bekostnad för att göra det möjligt för
Cision att följa de juridiska och avtalsenliga skyldigheterna.
d. Internationell dataöverföring:
i. Om det sker en överföring från kund (som controller) inom EEA till Cision (som
behandlare) i något tredje land, är parterna överens om att vara bundna av controller
till behandlare SCC:et som är införlivade i detta DPA och som träder i kraft om en
begränsad överföring sker.
ii. Om en begränsad överföring från Storbritannien äger rum, är parterna överens om att
ingå varje tillämplig standard-SCC när Storbritannien ICO godkänner sådana klausuler.
I avvaktan på ICO-godkännande är parterna överens om att ingå controller till
behandlare SCC:et i enlighet med moment 4.d.i.
iii. Med avseende på att de överförda personuppgifterna är som SCC stipulerar och är
enligt vad som anges i bilaga 2, del II till denna DPA.
iv. Om Cision utser någon sub-behandlare i enlighet med klausul 4.g och en sådan
utnämning innebär en begränsad överföring, kan Cision förlita sig på SCC:er för att
legitimera överföringen av kundens personuppgifter.
e. Efterlevnadsdokumentation: Cision ska upprätthålla fullständig och korrekt
dokumentation och information för att visa att tillägget efterlevs.
f. Revision: Cision kommer att stödja revisioner som kund genomför (antingen själv eller via
en extern revisor) på kundens bekostnad. All revision som utförs enligt detta DPA är
underkastad följande villkor:
i. kunden ska skriftligen meddela minst 60 dagar i förväg om eventuell revision.
ii. all revision kan endast utföras under Cisions normala affärstider.
iii. kund ska genomföra revisionen så att Cisions normala affärsverksamhet minimeras.
iv. varje tredje parts revisor ska ingå avtal om sekretess med Cision som är rimligt
godtagbar för Cision.
v. all granskning får endast begränsas till Cisions behandlingsaktiviteter som behandlare
och till sådan information som rimligen är nödvändig för att kund ska kunna bedöma
Cisions efterlevnad av villkoren i detta DPA.
vi. som del av någon revision kommer kund (eller dess externa revisor) inte att ha tillgång
till Cisions konfidentiella information.
vii. kund ska ersätta Cisions rimliga och påvisbara kostnader i samband med all revision.
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
viii. kund går med på att godkänna en revision utförd av Cision i stället för att genomföra en
egen revision:
1. om omfattningen av den begärda revisionen har behandlats vid en revision utförd
av en erkänd oberoende tredjepartsrevisor inom tolv (12) månader efter kundens
begäran och företaget ger en skriftlig bekräftelse på att det inte har skett några
väsentliga förändringar i kontrollerna och systemen som bör granskas eller
2. om det är tänkt att en sådan granskning ska genomföras inom sex månader efter
begäran och företaget tillhandahåller rapporten om en sådan till kunden som
komplettering.
g. Sub-behandlare: Kund bemyndigar Cision att utse sub-behandlare i samband med att
tjänsterna tillhandahålls. En lista över Cisions nuvarande sub-behandlare finns på
https://gdpr.cision.com/Sub-Processors
i. Cision kommer att informera kunden om alla avsedda ändringar rörande tillägg till
eller utbyte av någon tillåten sub-behandlare med en ny sub-behandlare och ge
kunden möjlighet att invända mot sådana förändringar. Varje sub-behandlare som
Cision anlitar kommer att omfattas av väsentligt likvärdiga villkor beträffande
dataskydd som åläggs Cision enligt detta DPA.
ii. Om någon sub-behandlare inte uppfyller sina skyldigheter beträffande dataskydd är
Cision ansvarig för att sub-behandlarens skyldigheter uppfylls, med förbehåll för
undantag och begränsningar av ansvar enligt avtalet.
h. Dataintrång: Om det finns ett personuppgiftsintrång i förhållande till kundens
personuppgifter:
i. kommer Cision att samarbeta efter bästa förmåga med kunden för att göra det möjligt
för kund att uppfylla sina skyldigheter enligt gällande sekretesslag.
ii. Cision kommer att meddela kund inom 36 timmar efter att ha fått kännedom om ett
personuppgiftsintrång (enligt definitionen i dataskyddslagstiftningen).
iii. Cision kommer att hjälpa kunden att fullgöra alla skyldigheter att meddela en
tillsynsmyndighet om något dataintrång.
i. Rättigheter för datasubjekt: Med hänsyn till behandlingens natur och gällande information
kommer Cision att ge kunden rimlig och lämplig hjälp (förutsatt att Cisions skäliga och
påvisbara kostnader betalas), om möjligt, med anknytning till att kunden fullgör sina
skyldigheter att svara på förfrågningar som rör den enskildes rättigheter enligt
dataskyddslagstiftningen och där Cision behandlar sådana personers personuppgifter enligt
detta DPA.
j. Uppsägning:
i. Om Cision bryter mot några av sina skyldigheter enligt detta DPA kan kund instruera
Cision att tillfälligt avbryta behandlingen av personuppgifterna i avvaktan på åtgärder
vad gäller överträdelsen. Kund kan be Cision att avsluta behandlingen av kundens
personuppgifter om överträdelsen inte avhjälps.
ii. Enligt krav som beskrivs i Cisions policy för lagring av dokumentation eller enligt
kundens skriftliga anvisningar, ska Cision radera kundens personuppgifter såvida det
inte krävs enligt tillämplig sekretesslag att kundens personuppgifter ska behållas.
5.
Diverse
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
a. Ansvar: Varje parts ansvar enligt detta DPA är föremål för de begränsningar och undantag
för ansvar som anges i avtalet.
b. Tillämplig lag: Den gällande lagstiftningen i avtalet gäller för detta DPA förutom att
controllern till behandlare-SCC:n styrs av lagen i det land där den aktuella dataexportören
är etablerad.
Runtime Collective
Limited
Crimson
Hexagon, Inc.
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
Cision US Inc.
Canada Newswire
Group Limited
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
August 3, 2021 | 07:32 PDT
Dylan Marvin
August 3, 2021 | 07:32 PDT
Chief Legal Officer
Chief Legal Officer
Dylan Marvin
Matt Royack
Matt Royack
August 2, 2021 | 07:48 PDT
Vice President and Deputy General Counsel
August 2, 2021 | 07:48 PDT
Vice President and Deputy General Counsel
Cision Group
Limited
Cision France SA
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
Prime Research AG
Cision Portugal
SL
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
Cision
Germany GmBH
Prime
Germany GmBH
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
August 2, 2021 | 07:48 PDT
August 2, 2021 | 07:48 PDT
Vice President and Deputy General Counsel
Vice President and Deputy General Counsel
August 2, 2021 | 07:48 PDT
August 2, 2021 | 07:48 PDT
Matt Royack
Vice President and Deputy General Counsel
Vice President and Deputy General Counsel
Matt Royack
Matt Royack
August 2, 2021 | 07:48 PDT
Matt Royack
Vice President and Deputy General Counsel
August 2, 2021 | 07:48 PDT
Matt Royack
Vice President and Deputy General Counsel
Matt Royack
PRN Asia
Prime Brazil
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
Falcon.io US, Inc.
Unmetric Tech.
Private Ltd.
Namnteckning:
Namnteckning:
Namn:
Namn:
Titel:
Titel:
Datum:
Datum:
Falcon.io ApS
Namnteckning:
Namn:
Titel:
Datum:
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
Vice President and Deputy General Counsel
Vice President and Deputy General Counsel
Vice President and Deputy General Counsel
August 2, 2021 | 07:48 PDT
Matt Royack
Matt Royack
Matt Royack
August 2, 2021 | 07:48 PDT
Vice President and Deputy General Counsel
Vice President and Deputy General Counsel
August 2, 2021 | 07:48 PDT
August 2, 2021 | 07:48 PDT
Matt Royack
August 2, 2021 | 07:48 PDT
Matt Royack
Kundens namn:
Kundens adress:
Namnteckning:
Namn:
Titel:
Datum:
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
Bilaga 1 - Information om behandling
Behandling, Personuppgifter och Datasubjekt
Del 1: Cisions personuppgifter (Cision som datacontroller)
Beskaffenhet och
syfte med
behandling
Kund kan behandla data från Cisions efter behov, för att ta emot tjänsterna och
uppfylla sina skyldigheter enligt avtalet.
Behandlingens
varaktighet
Kund kan behandla data från Cision under avtalets varaktighet, såvida inte
annat överenskommits av parterna.
Typer av
personuppgifter
Namn, titel, ställning, e-postadress, företagets telefonnummer, mobilnummer,
arbetsgivare, sociala mediehandlag, information som har offentliggjorts av
datasubjektet självt, identifieringsdata (t.ex. namn, användarnamn,
hanteringar på sociala medier, geografisk plats) och medier (t.ex. bilder, ljud
och videor).
Kategorier av
datasubjekt
Enskilda mediekontakter inklusive journalister och andra ”medieinfluencers”
och enskilda personer som publicerar information offentligt på Internet,
inklusive användare av sociala medier, bloggare och webbinnehållsförfattare.
Del 2: Kunds personuppgifter (Cision som databehandlare)
Beskaffenhet och
syfte med
behandling
Cision kan vid behov behandla kundens personuppgifter för att utföra
tjänsterna och uppfylla sina skyldigheter enligt avtalet.
Bearbetningens
varaktighet
Cision kan behandla kunddata under avtalets löptid, såvida inte parterna har
kommit överens om något annat.
Typer av
personuppgifter
Namn, titel, ställning, arbetsgivare, e-postadress, företagets telefonnummer,
mobilnummer, sociala mediehandlag, yrkeslivsdata (som kan innehålla
uppgifter relaterade till historisk sysselsättningshistoria, uppgifter relaterat till
färdigheter, utmärkelser eller intressen eller andra uppgifter relaterade till
yrkesliv), personliga uppgifter, som kan innehålla uppgifter om intressen, det
man tycker om, ogillar eller andra uppgifter som rör privatliv), platsdata och
media (t.ex. bilder, ljud och videor).
Kategorier av
datasubjekt
Kundens egna framtidsutsikter, kunder, partners eller säljare; individuella
medier eller kontakter med staten som anskaffats av kund; anställda eller
kundens kontaktpersoner; enskilda författare som publicerar uppgifter på
sociala mediaplattformar, bloggar, interna eller externa meddelandeplattformar
och andra delar av internet.
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
Bilaga 2 - Information om överföring
Del 1 - Cisions personuppgifter
Dataexporten
Cision eller något annat dotterbolag hos Cision som exporterar data
enligt avtalet
Dataimportören
Kund
Datasubjekt
datasubjekten är de enskilda personer vars personuppgifter finns hos
Cisions personuppgifter och som kunden behandlar som en del av de
erhållna tjänsterna.
Syftet med överföringen
syftet med överföringen är att låta kunden behandla Cisions
personuppgifter i enlighet med avtalet.
Datakategorier
datakategorierna finns i Bilaga 1, del II i DPA:t.
Mottagare
mottagarna av personuppgifterna är som anges i avtalet vanligtvis
kundens anställda, entreprenörer, konsulter och kunder.
Särskilda datakategorier
de särskilda personuppgiftskategorierna som anges i bilaga 1, del II i
detta DPA (OBS: Särskilda datakategorier samlas inte in internationellt)
Tillämplig lag
lagen i det land där dataexportören är etablerad.
Företagets tekniska
åtgärder (bilaga 2)
tekniska och organisatoriska åtgärder som anges i avtalet eller
om inte så anges åtgärder som beskrivs på
https://gdpr.cision.com/technicalorgmeasures
Kontaktpunkt för
förfrågningar om
dataskydd på Cision
Kontaktpunkt för
förfrågningar om
dataskydd för kunder
som anges i avtalet
Del 2 - kundens personuppgifter
Dataexporten
Kund
Dataimportören
Cision eller något annat dotterbolag hos Cision som importerar data
enligt avtalet
Datasubjekt
datasubjektskategorierna redovisas i bilaga 1 i detta DPA. Kunden
som exportör av data kontrollerar typen och omfattningen av de
personuppgifter som Cision behandlar.
Syftet med överföringen
för att tillåta Cision att behandla kundens personuppgifter i enlighet
med avtalet
Datakategorier
personuppgiftskategorierna anges i bilaga 1, del I till detta DPA)
eftersom kunden erkänner att som controller och exportör
kontrollerar kunden typen och omfattningen av de personuppgifter
som kan överföras till Cision som behandlare.
Mottagare
mottagarna av personuppgifterna är enligt specifikationen i avtalet. De
inkluderar vanligtvis Cision och andra dotterbolag hos Cision och alla
sub-behandlare hos Cision.
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C
Särskilda datakategorier
dataexportören kan lämna in särskilda kategorier personuppgifter till
Cision. Dataexportören kontrollerar och bestämmer omfattningen
efter eget gottfinnande. Eventuella särskilda
personuppgiftskategorier anges i bilaga 1, del I till detta DPA.
Tillämplig lag
lagen i det land där dataexportören är etablerad.
Cisions tekniska åtgärder
tekniska och organisatoriska åtgärder som anges i avtalet eller om
inte så anges åtgärder som beskrivs på
https://gdpr.cision.com/technicalorgmeasures
Kontaktpunkt för
förfrågningar om
dataskydd på Cision
Kontaktpunkt för
förfrågningar om
dataskydd för kunder
som anges i avtalet
DocuSign Envelope ID: 36276CB7-99CC-4182-ABCB-817D7A30136C