Ladda ner PDF

Addendum för databehandling

Detta addendum för databehandling (”DPA”) utgör en del av MSA som ingåtts mellan de parter som i beställningen identifieras som ”leverantör” och ”kund”. Termer med versaler som används här ska ha den innebörd som anges i MSA, om de inte definieras på annat sätt i detta DPA.

1.      Definitioner

a.      ”Avtal” är det övergripande abonnemangs- eller tjänsteavtal som ingåtts mellan parterna.

b.      ”Tillämpliga integritetslagar” är alla tillämpliga lagar om dataskydd, inklusive GDPR, EU:s direktiv om integritet och elektronisk kommunikation 2002/58/EG, Storbritanniens GDPR, Storbritanniens Data Protection Act 2018, SFDPA och CCPA, var och en av dem såsom de har genomförts i varje jurisdiktion, och all ändrings- eller ersättningslagstiftning från tid till annan.

c.      ”C2C SCC” är modul 1 i SCC.

d.      ”C2P SCC” är modul 2 i SCC.

e.      ”CCPA” är California Consumer Privacy Act från 2018, Cal. Civ. Kod §1798.100 ff. och dess tillämpningsföreskrifter.

f.       ”Leverantörsdata” avser all data i leverantörens databas som denne använder för att tillhandahålla tjänsterna, exklusive kunddata. Denna definition av Leverantörsdata är avsedd att inkludera liknande definierade termer i avtalet, t.ex. ”företagsdata”, ”Cision- data” eller ”Brandwatch-data”.

g.      ”Leverantörens personuppgifter” är alla personuppgifter som ingår i leverantörens uppgifter.

h.      ”Kunddata” avser data som kunden gör tillgängliga för leverantören i syfte att leverantören ska kunna behandla dessa data å kundens vägnar.

i.       ”Personuppgifter om kunden” är alla personuppgifter som ingår i kunduppgifterna.

j.       ”EES” är Europeiska ekonomiska samarbetsområdet.

k.      ”GDPR” är den allmänna dataskyddsförordningen ((EU) 2016/679).

l.       ”Order” avser ett beställningsdokument som anger produkter eller tjänster som leverantören ska tillhandahålla kunden.

m.    ”Begränsad överföring” är en överföring av personuppgifter från EES, Storbritannien, Schweiz eller något annat land där en sådan överföring, i avsaknad av SCC, skulle vara förbjuden enligt tillämplig integritetslagstiftning.

n.      ”Säkerhetskontroller” är de tekniska och organisatoriska åtgärder som anges i avtalet eller, om de inte anges, de åtgärder som beskrivs på https://gdpr.cision.com/technicalorgmeasures.

o.      ”SCC” är de standardavtalsklausuler som utgör en del av detta DPA i enlighet med Europeiska kommissionens genomförandebeslut (EU) 2021/914 den 4 juni 2021 om överföring av personuppgifter till registeransvariga och/eller registerförare som är etablerade i tredjeländer i enlighet med dataskyddsförordningen, som återfinns på https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data- protection/standard-contractual-clauses-scc_en och i tillämpliga fall, i dess lydelse enligt tillägget för Storbritannien, och sådana uppdaterade klausuler eller ersättningsklausuler som Europeiska kommissionen kan godkänna från tid till annan, eller den senaste

versionen av avtalsklausuler som reglerar internationella överföringar av personuppgifter och som utfärdats av ett land för relevanta överföringar enligt avtalet.

p.      ”SFDPA” är den schweiziska federala dataskyddslagen.

q.      ”Underbiträde” avser en tredje part som Leverantören anlitar för att behandla personuppgifter som Leverantören behandlar enligt detta DPA, som ett biträde för Leverantörens räkning.

r.       ”UK Addendum” är det addendum till SCC som omfattar överföring av personuppgifter från Storbritannien till tredje land och som godkänts av UK Information Commissioner, som finns på https://ico.org.uk/media/for-organisations/documents/4019539/international- data-transfer-addendum.pdf

s.      ”UK GDPR” är den GDPR som den utgör en del av Storbritanniens lagstiftning i enlighet med avsnitt 3 i European Union (Withdrawal) Act 2018.

t.       Termerna ”registeransvarig”, ”handläggare”, ”personuppgifter”, ”behandling”, ”särskilda kategorier av uppgifter” och ”registrerad” har den betydelse de har i GDPR eller UK GDPR.

u.      För tydlighetens skull omfattar denna DPA all behandling som sker i enlighet med CCPA. Därför har följande hänvisningar i CCPA följande innebörd i denna DPA:

i.       ”Företag” betyder ”Registeransvarig”

ii.      ”Tjänsteleverantör” betyder ”Handläggare”

iii.     ”Tredje part” betyder ”Underbiträde”

iv.     ”Personlig information” betyder ”Personuppgifter”

v.      ”Kund” betyder ”Registrerad”

2.      Allmänt

a.      Uppgifter om registeransvarig: Leverantören och kunden är oberoende registeransvariga för leverantörens personuppgifter och var och en behandlar dessa uppgifter i egenskap av registeransvarig. Om kunden tar emot, eller får tillgång till, leverantörens personuppgifter från eller av leverantören gäller avsnitt 3.

b.      Uppgifter om handläggare: Kunden är registeransvarig och leverantören är handläggare för kundens personuppgifter. När leverantören behandlar kundens personuppgifter för kundens räkning gäller avsnitt 4.

c.      Varje part ska följa tillämplig integritetslagstiftning vid behandling av personuppgifter inom ramen för avtalet.

d.      Om det finns en konflikt mellan denna DPA och avtalet har denna DPA företräde.

e.      Båda parter kommer att genomföra och upprätthålla lämpliga tekniska och organisatoriska åtgärder för att garantera säkerheten för personuppgifter, bland annat för att skydda mot obehörig eller olaglig förlust, förstörelse, ändring, obehörigt avslöjande av eller tillgång till personuppgifter.

f.       Båda parter kommer att vidta rimliga åtgärder för att se till att den personal som de godkänner för behandling av personuppgifter har åtagit sig att iaktta lämpliga sekretessförpliktelser och att tillgången till personuppgifter är begränsad till de personer som måste ha tillgång till dem för avtalets syften.

g.      Ändringar: Leverantören kan när som helst, med minst 30 dagars varsel, revidera detta addendum för att införliva obligatoriska SCC eller andra villkor som krävs av en behörig dataskyddsmyndighet i EU, Schweiz eller Storbritannien. Parterna är överens om att anta nödvändiga ersättnings- eller tilläggs-SCC:er som EG och/eller UK ICO eller andra tillämpliga

länder kan komma att anta från tid till annan. Om kunden inte verkställer sådana klausuler på begäran av leverantören har leverantören rätt att säga upp avtalet med minst 30 dagars skriftligt varsel.

3.      Leverantörsdata (förhållande mellan registeransvarig och registeransvarig)

a.      Behandling för avtalets syften: Varje part kommer att behandla leverantörens personuppgifter i syfte att utöva sina rättigheter och skyldigheter enligt avtalet. Uppgifter om kategorierna av leverantörens personuppgifter, syftet med leverantörens behandling och behandlingens varaktighet anges i bilaga 1, del 1

b.      Internationella dataöverföringar:

i)       Om det sker en begränsad överföring från EES kommer parterna att vara bundna av C2C:s SCC:er, som införlivas i detta addendum med förbehåll för klausul 5.

ii)      Om det sker en begränsad överföring från Storbritannien kommer parterna att vara bundna av det brittiska tillägget utöver C2C SCC:er, och C2C SCC:er (med förbehåll för klausul 5) och det brittiska tillägget (med förbehåll för klausul 6) införlivas båda i denna DPA under dessa omständigheter.

iii)    Om det sker en begränsad överföring från Schweiz kommer parterna att vara bundna av C2C SCC:er, med förbehåll för klausul 5 och i dess ändrade lydelse enligt klausul 7, och C2C SCC:er införlivas i denna dataskyddsbeskrivning under dessa omständigheter och på denna grund.

iv)    Om det sker en begränsad överföring från något annat land kommer parterna att vara bundna av C2C SCC:er, som är införlivade i denna DPA med förbehåll för klausul 5 under dessa omständigheter.

c.      Dataintrång: Vardera part ska utan onödigt dröjsmål underrätta den andra parten när den får kännedom om ett personuppgiftsintrång som rör leverantörens personuppgifter eller när den mottar en begäran eller ett klagomål från en registrerad person som rör leverantörens personuppgifter.

4.     Kunddata: Förhållande mellan registeransvarig och handläggare

a.      Skriftliga instruktioner: Leverantören kommer att behandla kundens personuppgifter endast enligt kundens skriftliga instruktioner, i enlighet med vad som anges i denna DPA. Om tillämplig integritetslagstiftning föreskriver något annat kommer leverantören att informera kunden om det rättsliga kravet innan behandlingen påbörjas, såvida inte lagen förbjuder denna information på viktiga grunder av allmänintresse. Uppgifter om kategorierna av kundens personuppgifter, syftet med leverantörens behandling och behandlingens varaktighet anges i bilaga 1, del ii.

b.      Laglig användning och anvisning: Kunden ska se till att dess användning av tjänsterna och dess instruktioner om behandlingen av personuppgifter i enlighet med denna DPA följer alla tillämpliga integritetslagar och att leverantörens behandling i enlighet med kundens anvisningar inte leder till att leverantören bryter mot några tillämpliga integritetslagar. Leverantören kommer att informera kunden om leverantören anser att kundens instruktioner strider mot tillämplig lag.

c.      Särskilda kategorier av uppgifter: Kunden ska meddela leverantören om särskilda kategorier av uppgifter ingår i kundens personuppgifter. Leverantören kan vägra att behandla sådana uppgifter eller införa de begränsningar som krävs, på kundens bekostnad, för att leverantören ska kunna uppfylla sina rättsliga och avtalsmässiga skyldigheter.

d.      Internationella dataöverföringar:

i)       Om det sker en överföring från kunden (som registeransvarig) inom EES till leverantören (som handläggare) i ett tredje land, är parterna överens om att vara bundna av C2P:s SCC:er, som är införlivade i denna DPA med förbehåll för klausul 5.

ii)      Om det sker en begränsad överföring från Storbritannien kommer parterna att vara bundna av det brittiska tillägget utöver C2P SCC, och C2P SCC (med förbehåll för klausul 5) och det brittiska tillägget (med förbehåll för klausul 6) införlivas båda i denna DPA under dessa omständigheter

iii)    Om det sker en begränsad överföring från Schweiz kommer parterna att vara bundna av C2P SCC:er, med förbehåll för klausul 5 och i dess ändrade lydelse enligt klausul 7, och C2P SCC:er införlivas i denna DPA under dessa omständigheter och på denna grund.

iv)    Om det sker en begränsad överföring från något annat land kommer parterna att vara bundna av C2P:s SCC:er, som är införlivade i denna DPA med förbehåll för klausul 5.

v)      Om leverantören utser ett underbiträde i enlighet med klausul 4.g och ett sådant utnämnande innebär en begränsad överföring kan leverantören förlita sig på SCC:er för att legitimera överföringen av kundens personuppgifter.

e.      Uppgifter om efterlevnad: Leverantören ska föra fullständiga och korrekta register och uppgifter för att visa att detta addendum följs.

f.       Översyn: Leverantören ska stödja översyn som kunden genomför (antingen själv eller via en extern granskare), på kundens bekostnad. Alla granskningar som genomförs i enlighet med denna DPA omfattas av följande villkor:

i)       Kunden ska skriftligen meddela varje granskning minst 60 dagar i förväg.

ii)      granskningar får endast genomföras under leverantörens normala arbetstid.

iii)    Kunden ska genomföra granskningen så att den orsakar minsta möjliga störning för leverantörens normala verksamhet.

iv)    en tredjepartskontrollant kommer att ingå direkta sekretessförpliktelser med leverantören som är rimligen godtagbara för leverantören.

v)      Varje granskning kommer endast att begränsas till leverantörens behandlingsverksamhet som handläggare och till sådan information som rimligen är nödvändig för att kunden ska kunna bedöma leverantörens efterlevnad av villkoren i denna DPA.

vi)    som en del av en granskning kommer kunden (eller dess externa granskare) inte att ha tillgång till leverantörens konfidentiella information.

vii)   Kunden ska ersätta leverantörens rimliga och påvisbara kostnader och utgifter i samband med en granskning.

viii)  Kunden      samtycker     till     att     acceptera     en      av     leverantören                   tillhandahållen granskningsrapport i stället för att genomföra sin egen granskning:

1.      om omfattningen av den begärda granskningen har behandlats i en granskning som utförts av en erkänd oberoende tredjepartskontrollant inom tolv (12) månader från kundens begäran och leverantören lämnar en skriftlig bekräftelse på att det inte har skett några väsentliga förändringar i de kontroller och system som ska granskas, eller

2.      om avsikten är att en sådan granskning ska genomföras inom sex månader efter begäran och leverantören tillhandahåller rapporten till kunden när den är klar.

g.      Underbiträden:Kunden ger leverantören tillstånd att utse underbiträden i samband med tillhandahållandet av tjänsterna. En förteckning över leverantörens nuvarande underbiträden finns på https://gdpr.cision.com/Sub-Processors.

i)       Leverantören ska informera kunden om alla planerade ändringar som rör tillägg till eller utbyte av ett tillåtet underbiträde mot ett nytt underbiträde minst 30 dagar i förväg och ge kunden möjlighet att invända mot sådana ändringar. Varje underbiträde som leverantören anlitar kommer att omfattas av i huvudsak likvärdiga villkor för dataskydd som gäller för leverantören i enlighet med denna DPA.

ii)      Om ett underbiträde misslyckas med att uppfylla sina skyldigheter i fråga om dataskydd kommer leverantören att förbli ansvarig för att underbiträdets skyldigheter fullgörs, med förbehåll för de undantag och begränsningar av ansvar som anges i avtalet.

h.      Dataintrång: Om det sker ett intrång i samband med kundens personuppgifter:

i)       Leverantören kommer att samarbeta i god tro med kunden för att göra det möjligt för kunden att uppfylla sina skyldigheter enligt tillämpliga integritetslagar.

ii)      Leverantören ska meddela kunden inom 36 timmar efter att ha fått kännedom om en personuppgiftsintrång (enligt definitionen i dataskyddslagstiftningen).

iii)    Leverantören kommer att hjälpa kunden att uppfylla eventuella skyldigheter att meddela en tillsynsmyndighet om eventuella dataintrång.

i.       Assistans: Med hänsyn till behandlingens art och tillgänglig information kommer leverantören att ge rimlig och lämplig hjälp till kunden (med förbehåll för betalning av leverantörens rimliga och påvisbara kostnader och utgifter), där det är möjligt, när det gäller (i) kundens uppfyllande av kundens skyldigheter att svara på förfrågningar som rör utövandet av individers rättigheter enligt dataskyddslagstiftningen där leverantören behandlar sådana individers personuppgifter i enlighet med denna DPA, och (ii) kundens skyldigheter enligt artiklarna 32 till 36 i GDPR och/eller UK GDPR (i tillämpliga fall).

j.       Uppsägning:

i)       Om leverantören bryter mot någon av sina skyldigheter enligt denna DPA kan kunden instruera leverantören att tillfälligt avbryta behandlingen av kundens personuppgifter i avvaktan på att överträdelsen avhjälps och kan instruera leverantören att avsluta behandlingen av kundens personuppgifter om överträdelsen inte avhjälps.

ii)      Efter det att denna DPA har upphört att gälla kommer leverantören att radera kundens personuppgifter, såvida det inte krävs att de behålls i enlighet med tillämplig sekretesslagstiftning i EU, EU:s medlemsstater eller (om det är tillämpligt för behandlingen) i Storbritannien eller Schweiz.

5.      SCC:er

a.      Om antingen C2C SCC:er eller C2P SCC:er införlivas i denna DPA enligt klausulerna 3.b eller 4.d.:

i)       kommer de att träda i kraft när den relevanta begränsade överföringen inleds;

ii)      klausuler som är helt frivilliga ingår inte;

iii)    vid tillämpningen av klausul 13 ingår det första alternativet;

iv)    vid tillämpningen av klausuler 17 och 18 är den medlemsstat där kunden är etablerad den medlemsstat som gäller för tillämplig lag och jurisdiktion. Om kunden inte är etablerad i en medlemsstat ska den angivna medlemsstaten vara Irland;

v)      vid tillämpningen av bilaga 1.A till SCC anges ”dataimportör” och ”dataexportör” i del

1 eller del 2 (beroende på vad som är tillämpligt) i bilaga 2 till denna DPA;

vi)    vid tillämpningen av bilaga 1.B till de gemensamma säkerhetsvillkoren anges beskrivningen av överföringen i del 1 eller del 2 (beroende på vad som är tillämpligt) i bilaga 2 till denna DPA

vii)   vid tillämpningen av bilaga 1.C till SCC ska den behöriga tillsynsmyndigheten vara den tillsynsmyndighet som är behörig i det land där kunden är etablerad

viii)  vid tillämpningen av bilaga 2 till SCC är de tekniska och organisatoriska åtgärderna säkerhetskontrollerna.

b.      När C2P SCC:er införlivas i denna DPA enligt klausul 4.d.:

i)       Alternativ 2 (”Allmänt skriftligt tillstånd”) i klausul 9 väljs;

ii)      tidsperioden för att lägga till eller byta ut underbiträden ska vara den som beskrivs i klausul 4.g.1 i denna DPA;

6.      UK Addendum

Om det brittiska addendumet införlivas i denna DPA enligt antingen klausul 3.b eller 4.d.:

a.      Kommer de att träda i kraft när den relevanta begränsade överföringen inleds;

b.      vid tillämpningen av tabell 1 ska startdatumet vara inledningen av den relevanta begränsade överföringen. Parternas uppgifter och nyckelkontakten anges i bilaga 2 till denna DPA och i avtalets klausul om parterna;

c.      ingen underskrift krävs för tillämpningen av tabell 1;

d.      det första alternativet väljs i tabell 2, definieras de godkända EU-SCS:erna i klausul 1 i denna DPA och SCC:erna kommer att börja gälla när den relevanta begränsade överföringen inleds;

e.      tilläggsinformationen i tabell 3 anges i bilagorna 1 och 2 till denna DPA; och

f.       de två första alternativen (”importör” och ”exportör”) väljs i tabell 4.

7.      Begränsade överföringar från Schweiz

Om C2C- eller C2P-certifikatet införlivas i denna DPA enligt klausul 3.b eller 4.d, och det sker en begränsad överföring från Schweiz, ska C2C-certifikatet eller C2P-certifikatet (beroende på vad som är tillämpligt) ändras så att de överensstämmer med de schweiziska dataskyddslagarna, inklusive, utan begränsning, följande ändringar:

a)      alla hänvisningar till ”förordning (EU) 2016/679” eller ”den förordningen” ska ersättas med SFDPA och hänvisningar till specifika artiklar i ”förordning (EU) 2016/679” ska ersättas med motsvarande artikel eller avsnitt i SFDPA;

b)     alla definitioner i SCC ska tolkas i enlighet med SFDPA;

c)      hänvisningar till förordning (EU) 2018/1725 ska tas bort;

d)     hänvisningar till ”unionen”, ”EU” och ”EU:s medlemsstater” ska ersättas med ”Schweiz”;

e)     Klausul 13(a) och del C i bilaga II används inte;

f)       den ”behöriga tillsynsmyndigheten” är den federala dataskydds- och informationsombudsmannen;

g)      Klausul 17 ska ersättas med följande: ”Dessa klausuler regleras av lagstiftningen i Schweiz”;

och

h)     Klausul 18 ersätts med följande text: ”Alla tvister som uppstår på grund av dessa klausuler ska avgöras av domstolarna i Schweiz. Den registrerade kan också väcka talan mot dataexportören och/eller dataimportören vid domstolarna i Schweiz. Parterna är överens om att underkasta sig dessa domstolars jurisdiktion.”.

8.      Övrigt

a.      Ansvar:Vardera parts ansvar enligt denna DPA omfattas av de begränsningar och uteslutningar av ansvar som anges i avtalet.

b.      Gällande lagstiftning:Den lag som gäller för avtalet är tillämplig på denna DPA, med undantag för att SCC:er regleras av den lag som anges i klausul 5.a.iv).

Bilaga 1 - Behandling av information Behandling, Personuppgifter, och Registrerade

Del 1: Leverantörens personuppgifter (Leverantör som Registeransvarig)

Del 2: Personuppgifter om kunden (leverantören som handläggare)

Bilaga 2 – Överföringsinformation Del 1 – Leverantörens personuppgifter

Del 2 – Kundens personuppgifter