数据处理附录
本数据处理附录(简称“DPA”)构成 Cision Ltd. 及其附属公司(简称“Cision”)与协议采购
Cision 服务之客户(简称“客户”)间协议的一部分。
1.
定义
a. “协议”指双方之间的主采购或服务协议。
b. “隐私相关适用法律”指有关数据隐私的所有适用法律,包括各司法辖区内施行的
GDPR、欧盟隐私与电子通讯指令(欧盟第 2002/58/EC 号指令)、英国 2018 年数据保
护法和 CCPA,以及立法机构不时针对前述法律推出的修正法案或替代法案。
c. “CCPA”指 2018 年加州消费者隐私法案(加州民法典第 1798.100 节及其后条款),
及其实施条例。
d. “
Cision 数据”指 Cision 提供服务时所用的 Cision 数据库中除客户数据以外的任何数
据。此处有关 Cision 数据的定义,意在涵盖协议中诸如“公司数据”、“供应商数
据”或“Brandwatch 公司数据”等等具有相似定义之术语。
e. “Cision 个人数据”指 Cision 数据中包含的任何个人数据。
f. “客户数据”指客户为了让 Cision 代其处理数据而向后者提供的数据。.
g. “客户个人数据”指客户数据中包含的任何个人数据。
h. “EEA”指欧洲经济区。
i. “GDPR”指一般数据保护条例(欧盟第 2016/679 号条例)。
j. “限制性传输”指从 EEA 或英国输出个人数据需附加标准合同条款,否则将被隐私相
关适用法律禁止。
k. “安全控制措施”指协议中规定的技术和组织层面措施。或者,如果协议未作规定,
则指网页(
https://gdpr.cision.com/technicalorgmeasures
)所载之措施。
l. “SCC”指遵照欧盟委员会在 2010 年 2 月 5 日依据第 95/46/EC 号指令通过的决议
(关于将个人数据传输至设立地位于第三国的控制者和/或处理者),构成本 DPA 一
部分的标准合同条款,以及欧盟委员会不时通过的更新条款或替代条款。
m. “下级处理者”指接受 Cision 委托,代 Cision 处理其依本 DPA 处理之个人数据的第三
方。
n. “控制者”、“处理者”、“个人数据”、“处理”、“特殊类别的数据”和“数据
主体”等术语,具有 GDPR 或英国 2018 年数据保护法赋予的含义。
o. 为免生疑问,本 DPA 涵盖依 CCPA 进行的任何处理。CCPA 中的下列术语,与本 DPA
中的下列术语含义相同:
i. “企业”即“控制者”
ii. “服务提供者”即“处理者”
iii. “第三方”即“下级处理者”
iv. “个人信息”即“个人数据”
v. “消费者”即“数据主体”
2.
一般规定
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
a. 控制者数据: Cision 和客户是 Cision 个人数据的独立控制者,各自作为控
制者处理这些数据。如客户收到源自 Cision 的 Cision 个人数据,或经 Cision 允
许可获得此类数据,第 3 条适用。
b. 处理者数据:客户是客户个人数据的控制者,Cision 是客户个人数据的处理者。如
Cision 代客户处理客户个人数据,第 4 条适用。
c. 各方依协议处理个人数据时将遵循隐私相关适用法律。
d. 如本 DPA 与协议之间发生冲突,以本 DPA 为准。
e. 双方将实施并维持适当的技术和组织层面措施以确保个人数据安全,包括防止个人数
据遭未经授权或非法丢失、损坏、改变,或遭未经授权披露、访问。
f. 双方将采取合理步骤,确保被授权处理个人数据的人员承诺履行适当的保密义务,并
确保只有为实现协议目的需要访问个人数据的人士可以访问此类数据。
g. 修订:Cision 可随时修订本附录以纳入欧盟或英国主管数据保护机构规定的任何强制
性 SCC 或其他条款,但须提前至少 30 天通知。 双方同意采用 EC 和/或英国 ICO 不时
通过的任何必要的替代或补充 SCC。如客户不按 Cision 要求签署前述条款,Cision 有
权终止协议,但须提前至少 30 天书面通知。
3.
Cision 数据(控制者到控制者关系)
a. 为实现协议目的而处理:各方将为行使协议权利、履行协议义务而处理 Cision 个人数
据。有关 Cision 个人数据类别、Cision 处理的目的以及处理期限,详见附件 1 中的第
一部分
b. 国际数据传输:
i. 如发生源自 EEA 的限制性传输,客户将受控制者到控制者 SCC 的约束。前述 SCC
构成本附录的一部分,在相关限制性传输开始时生效。
ii. 如发生源自英国的限制性传输,双方同意在英国信息专员办公室(简称“ICO”)
通过适用英国 SCC 后受相关 SCC 的约束。在 ICO 通过前述 SCC 之前,双方同意依
照第 3.b.i 条受控制者到控制者 SCC 的约束。
iii. 在 SCC 范围内,传输的个人数据见协议及本 DPA 附件 2 中第一部分的规定
c. 数据泄露:各方一旦得知发生涉及 Cision 个人数据的个人数据泄露事件,或收到数据
主体涉及 Cision 个人数据的要求或投诉,应立即通知对方,不得不当拖延。
4.
客户数据:控制者到处理者关系
a. 书面指示:Cision 将按照本 DPA 的规定,只按客户书面指示处理客户个人数据。如隐
私相关适用法律另有规定,Cision 将在依法处理前向客户告知相关法律要求,但法律
以涉及重大公共利益为由禁止此等告知的除外。有关客户个人数据类别、Cision 处理
的目的以及处理期限,详见附件 1 中的第二部分。
b. 合法使用和指示:客户确保其依本 DPA 使用服务、给出个人数据处理指示将符合所
有隐私相关适用法律,Cision 按照客户指示进行处理不会导致 Cision 违反任何隐私相
关适用法律。如果 Cision 认为客户的指示违反适用法律,Cision 将告知客户。
c. 特殊类别的数据:如客户个人数据中包含任何特殊类别的数据,客户将通知 Cision。
Cision 可拒绝处理此类数据,或施加 Cision 为履行法律、合同义务所必需的任何必要
限制,费用由客户承担。
d. 国际数据传输:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
i. 如 EEA 境内的客户(作为控制者)将数据传输至第三国境内的 Cision(作为处理
者),双方同意受控制者到处理者 SCC 的约束。前述 SCC 构成本 DPA 的一部分,
并在发生相关限制性传输时生效。
ii. 如发生源自英国的限制性传输,双方同意在英国 ICO 通过适用英国 SCC 后受相关
SCC 的约束。在 ICO 通过前述 SCC 之前,双方同意依照第 4.d.i 条受控制者到处理
者 SCC 的约束。
iii. 在 SCC 范围内,传输的个人数据见协议及本 DPA 附件 2 中第二部分的规定。
iv. 如 Cision 依据第 4.g 条委任下级处理者,且此等委任涉及限制性传输,Cision 可按
照 SCC 合法传输客户个人数据。
e. 合规记录:Cision 将留存完整、准确的记录与信息,证明其遵守了本附录。
f. 审计:Cision 将协助客户进行(无论亲自进行还是通过外部审计机构进行)审计,费
用由客户承担。本 DPA 下进行的审计须符合以下条件:
i. 客户在进行审计前至少提前 60 天发出书面通知。
ii. 审计只能在 Cision 的正常营业时间内进行。
iii. 客户进行审计时须最大程度地减少对 Cision 正常业务活动的干扰。
iv. 第三方审计机构直接与 CIsion 签订保密协议,对 Cision 负有后者认为合理可接受
的保密义务。
v. 审计只能涉及 Cision 作为处理者的处理活动,以及客户为评估 Cision 是否遵守本
DPA 条款所合理必要的信息。
vi. 客户(或其聘请的外部审计机构)在审计过程中不得触及 Cision 的保密信息。
vii. 客户将补偿 Cision 在审计过程中发生的合理费用(须有凭据)。
viii. 客户同意在下列情况下接受 Cision 提供的审计报告,不自行审计:
1. 在客户要求前十二 (12) 个月内,已有公认的独立第三方审计机构对要求审计
的范围进行审计,且公司书面确认须审计的控制措施和系统无重大变化;或
者
2. 有计划在客户要求后六个月内进行审计,公司在审计完成后向客户提供相关
报告。
g. 下级处理者:客户授权 CIsion 在提供服务时委任下级处理者。Cision 当前的下级处理
者名单详见:
https://gdpr.cision.com/Sub-Processors
i. 如 CIsion 有意增加或更换经允许的下级处理者,CIsion 将通知客户,以便后者有
机会表示反对。Cision 委托的下级处理者在数据保护方面所须遵循的条款,须与
CIsion 在本 DPA 下须遵循的条款实质上同等。
ii. 如下级处理者未能履行数据保护方面的义务,Cision 将负责履行下级处理者的义
务,但此等责任受协议中责任免除、限制条款的限制。
h. 数据泄露:如果客户个人数据发生个人数据泄露:
i. Cision 将与客户真诚合作,帮助客户履行 隐私相关适用法律下的义务。
ii. Cision 将在得知个人数据泄露(根据数据保护法律的定义)后的 36 小时内通知客
户。
iii. Cision 将协助客户履行向监管部门报告数据泄露的义务。
i. 数据主体权利:如 Cision 依本 DPA 处理其个人数据的人士依据数据保护法律主张行使
其权利,Cision 将在考虑处理性质及可用信息的前提下,尽可能向客户提供合理、适
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
当的协助,帮助客户针对前述人士的申请履行其义务。Cision 在此过程中发生的合理
费用(须有相关凭据),由客户负责补偿。
j. 终止:
i. 如 Cision 违反本 DPA 下的义务,客户可指示 Cision 在对违约行为做出补救之前暂
停处理客户个人数据;如违约行为未能得到补救,可指示 Cision 终止处理客户个
人数据。
ii. Cision 将依照记录保留政策的规定,或客户的书面指示,删除客户个人数据。但
隐私相关适用法律要求 Cision 保留客户个人数据的除外。
5.
其他规定
a. 责任:各方在本 DPA 下的责任,受协议中责任限制、免除条款的限制。
b. 管辖法律:协议的管辖法律适用于本 DPA。但控制者到处理者 SCC 以及控制者到控
制者 SCC 则受相关数据导出者设立地所在国家法律的管辖。
Runtime Collective
Limited
Crimson
Hexagon, Inc.
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
Cision US Inc.
Canada Newswire
Group Limited
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Dylan Marvin
July 9, 2021 | 07:46 PDT
Chief Legal Officer
Chief Legal Officer
July 9, 2021 | 07:46 PDT
Dylan Marvin
Deputy General Counsel
Matt Royack
Matt Royack
July 9, 2021 | 06:35 PDT
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Cision Group
Limited
Cision France SA
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
Prime Research AG
Cision Portugal
SL
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
Cision
Germany GmBH
Prime
Germany GmBH
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Matt Royack
Deputy General Counsel
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Matt Royack
Deputy General Counsel
Deputy General Counsel
Deputy General Counsel
Matt Royack
July 9, 2021 | 06:35 PDT
Matt Royack
Matt Royack
Matt Royack
Deputy General Counsel
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Deputy General Counsel
PRN Asia
Prime Brazil
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
Falcon.io US, Inc.
Unmetric Tech.
Private Ltd.
签名:
签名:
姓名:
姓名:
职务:
职务:
日期:
日期:
Falcon.io ApS
签名:
姓名:
职务:
日期:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Deputy General Counsel
Deputy General Counsel
July 9, 2021 | 06:35 PDT
Deputy General Counsel
Deputy General Counsel
Deputy General Counsel
Matt Royack
July 9, 2021 | 06:35 PDT
July 9, 2021 | 06:35 PDT
Matt Royack
Matt Royack
Matt Royack
Matt Royack
客户名称:
客户地址:
签名:
姓名:
职务:
日期:
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
附件 1 – 信息处理
处理、个人数据、数据主体
第一部分:Cision 个人数据(Cision 作为数据控制者)
处理的性质与目的 客户可在接受服务、履行协议义务所必需的范围内,处理 Cision 数据。
处理期限
除非双方另有约定,客户可在协议期内处理 Cision 数据。
个人数据类型
姓名、职务、职位、电子邮件地址、业务电话号码、手机号码、雇主、
社交媒体用户名,数据主体本人公开的信息(如姓名、用户名、社交媒
体用户名、地理位置等身份识别数据,以及图像、音频和视频等媒
体)。
数据主体类别
媒体人士(包括记者和其他媒体“意见领袖”),以及在互联网上公开
发布信息的人士(包括社交媒体用户、博客和网络内容作者)。
第二部分:客户个人数据(Cision 作为数据处理者)
处理的性质与目的 Cision 可在提供服务、履行协议义务所必需的范围内,处理客户个人数
据。
处理期限
除非双方另有约定,Cision 可在协议期内处理客户数据。
个人数据类型
姓名、职务、职位、雇主、电子邮件地址、业务电话号码、手机号码、社
交媒体用户名,职业生涯数据(包括就业经历相关数据,职业技能、奖项
或兴趣相关数据,以及其他职业生涯相关数据),个人生活数据(包括个
人兴趣、好恶相关数据,以及其他个人生活相关数据)、位置数据和媒体
(如图像、音频和视频)。
数据主体类别
客户的潜在客户、客户、合作伙伴或供应商;客户提供的媒体或政府关系
人士;客户的员工或联系人;在社交媒体平台、博客、内外部信息平台、
其他互联网渠道发布数据的个人作者。
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
附件 2 – 信息传输
第一部分:Cision 个人数据
数据导出者
Cision 或依据协议导出数据的任何其他 Cision 附属公司
数据导入者
客户
数据主体
数据主体指客户在接受服务时处理的 Cision 个人数据中含有其个
人数据的相关人士。
传输的目的
传输旨在允许客户依协议处理 Cision 个人数据。
数据类别
个人数据类别列于本 DPA 附件 1 中的第二部分
接收者
个人数据接收者见协议规定,通常包括客户的员工、承包商、顾
问和客户。
特殊类别的数据
特殊类别的个人数据列于本 DPA 附件 1 中的第二部分(注:不特
意收集特殊类别)
适用法律
数据导出者设立地所在国家的法律。
公司技术措施(附录 2)
协议中规定的技术和组织层面措施。或者,如果协议未作规定,
则指网页(
https://gdpr.cision.com/technicalorgmeasures
)所载之
措施。
Cision 联系方式(数据保
护相关)
客户联系方式(数据保护
相关)
见协议中规定。
第二部分:客户个人数据
数据导出者
客户
数据导入者
Cision 或依据协议导入数据的任何其他 Cision 附属公司
数据主体
数据主体的类别列于本 DPA 附件 1 中的第一部分。 客户作为数
据导出者,控制 Cision 所处理个人数据的类型和范围。.
传输的目的
允许 Cision 依协议处理客户个人数据
数据类别
个人数据类别列于本 DPA 附件 1 中的第一部分。客户认可,客户
作为数据控制者、导出者,控制着传输给数据处理者 Cision 的个
人数据的类型与范围。
接收者
个人数据接收者见协议规定,通常包括 Cision、其他 Cision 附属公
司及 Cision 下级处理者。
特殊类别的数据
数据导出者可向 Cision 提交特殊类别的个人数据,其范围由数据
导出者自行控制与决定。特殊类别的个人数据列于本 DPA 附件 1
中的第一部分。
适用法律
数据导出者设立地所在国家的法律。
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E
Cision 技术措施
协议中规定的技术和组织层面措施。或者,如果协议未作规定,
则指网页(
https://gdpr.cision.com/technicalorgmeasures
)所载之
措施。
Cision 联系方式(数据保
护相关)
客户联系方式(数据保护
相关)
见协议中规定
DocuSign Envelope ID: AA68211E-F40F-4B08-9D4A-2C43B618B97E