1. Översikt

1.1 Detta tillägg för databehandling ("DPA") anger de villkor som gäller för Celsias behandling av personuppgifter för kundens räkning enligt avtalet. Dataskyddsavtalet ska ha företräde framför avtalet, inklusive eventuella bilagor till detta och villkor som införlivats i detta, i frågor som rör Celsias Behandling av personuppgifter för Kundens räkning.
1.2 I detta dataskyddsavtal ska kunden nedan kallas "personuppgiftsansvarig" och Celsia ska kallas "personuppgiftsbiträde".
1.3 Denna DPA omfattar Specifikation för databehandling som bifogas som bilaga 1 till denna.
1.4 Om inte annat följer av klausul 15 nedan, gäller detta dataskyddsavtal från och med det datum som anges ovan.

2. Bakgrund och syfte

2.1 Enligt villkoren i avtalet utför personuppgiftsbiträdet vissa uppgifter för den personuppgiftsansvarige som innebär behandling av personuppgifter för den personuppgiftsansvariges räkning.
2.2 I detta dataskyddsavtal fastställs parternas rättigheter och skyldigheter i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd av fysiska personer med avseende på behandling av personuppgifter och om den fria rörligheten för sådana uppgifter och om upphävande av direktiv 95/46/EG ("GDPR"), och tillämplig nationell dataskyddslagstiftning som genomför GDPR (gemensamt "tillämplig dataskyddslagstiftning").

3. Definitioner och tolkning

3.1 I detta dataskyddsavtal ska "personuppgiftsansvarig", "registrerad", "medlemsstat(er)", "personuppgiftsbiträde", "behandling", "personuppgifter", "överträdelse av personuppgifter", "tredje land" och "tillsynsmyndighet" ha den betydelse som de har i tillämplig dataskyddslagstiftning.
3.2 Andra termer och uttryck som används i detta dataskyddsavtal ska ha den betydelse som anges i avtalet och som definieras i detta avtal, inklusive i klausul 17 nedan.

4. Beskrivning och syfte med behandlingen

4.1 Den behandling som utförs av personuppgiftsbiträdet för den personuppgiftsansvariges räkning enligt detta dataskyddsavtal, inklusive dess art och syfte, relevanta behandlingar, kategorier av personuppgifter och berörda registrerade, beskrivs närmare i specifikationen för databehandling.
4.2 Den Personuppgiftsansvarige samtycker till att Personuppgiftsbiträdet får sammanställa och anonymisera de uppgifter som behandlas i CaaS-plattformen i syfte att utföra analyser och få allmänna insikter som syftar till att i) förbättra CaaS-plattformen och andra tjänster som tillhandahålls av Personuppgiftsbiträdet, ii) vägleda Personuppgiftsbiträdet och andra personuppgiftsansvariga om hur de kan optimera sina tjänsteerbjudanden, och iii) skapa nya produkter och tjänster.

5. Krav för behandlingen

5.1 Allmänna krav

5.1.1 Personuppgiftsbiträdet ska endast behandla personuppgifter i enlighet med detta dataskyddsavtal, avtalet, instruktioner från den personuppgiftsansvarige och tillämplig dataskyddslagstiftning, och får inte behandla personuppgifter i andra syften.
5.1.2 Begränsningarna i punkt 5.1.1 ska inte gälla om personuppgiftsbiträdet är skyldigt att behandla personuppgifter i enlighet med medlemsstatens eller EU/EES-lagstiftningen. I händelse av en sådan skyldighet ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om det inte är förbjudet att lämna ut denna information enligt relevant lagstiftning.
5.1.3 Om Personuppgiftsbiträdet anser att en instruktion från den Personuppgiftsansvarige strider mot Tillämplig dataskyddslagstiftning eller annan tvingande nationell lagstiftning eller EU-/EES-lagstiftning, ska Personuppgiftsbiträdet underrätta den Personuppgiftsansvarige om detta.
5.1.4 Personuppgiftsbiträdet ska se till att åtgärder vidtas i enlighet med kraven i tillämplig dataskyddslagstiftning för att säkerställa konfidentialitet (dvs. att personuppgifter inte lämnas ut till obehöriga personer eller parter), integritet (dvs. att personuppgifterna inte oavsiktligt ändras i samband med behandlingen) och tillgänglighet (dvs. att de personer som ska ha tillgång till personuppgifterna har nödvändig tillgång) i samband med behandlingen av personuppgifter.
5.1.5 Om inget annat avtalas ska personuppgiftsbiträdet behandla alla personuppgifter som mottagits i enlighet med detta dataskyddsavtal som konfidentiell information.

5.2 Överföring av personuppgifter till tredje land

5.2.1 Personuppgiftsbiträdet ska (och ska se till att personalen hos Personuppgiftsbiträdet) inte behandla eller låta Personuppgifter behandlas utanför EES utan den Personuppgiftsansvariges föregående skriftliga samtycke, och förutsatt att nödvändiga åtgärder för att säkerställa en adekvat skyddsnivå för Personuppgifterna i enlighet med tillämplig dataskyddslagstiftning har vidtagits. Om en godkänd överföring av personuppgifter utanför EES kräver att standardavtalsklausuler i enlighet med kommissionens genomförandebeslut 2021/914/EU av den 4 juni 2021 (eller en efterföljare till detta) ingås med mottagaren av personuppgifterna i tredje land, ska personuppgiftsbiträdet ingå sådana standardavtalsklausuler med mottagaren i tredje land i sitt eget namn.
5.2.2 Den Personuppgiftsansvarige godkänner härmed att Personuppgiftsbiträdet behandlar eller låter behandla Personuppgifterna utanför EES i den utsträckning som är nödvändig för att utföra Tjänsterna, under förutsättning att Personuppgiftsbiträdet ger den Personuppgiftsansvarige ett rimligt skriftligt meddelande som informerar den Personuppgiftsansvarige om den planerade överföringen av Personuppgifterna till ett Tredje land, inklusive all information som den Personuppgiftsansvarige rimligen begär om hur en i huvudsak likvärdig skyddsnivå säkerställs för Personuppgifterna och alla kompletterande åtgärder som genomförs för detta ändamål. Den registeransvarige ska ha rätt att invända mot överföringen om det finns rimlig anledning att tro att överföringen i fråga skulle vara till skada för de krav på dataskydd som anges här. Om den Personuppgiftsansvarige invänder mot överföringen ska parterna i god tro förhandla för att hitta en lösning för att hantera den Personuppgiftsansvariges farhågor
5.2.3 Personuppgiftsbiträdet ska säkerställa och kunna visa att det (i) har genomfört en riskbedömning i samband med överföringen av Personuppgifter till sina underbiträden och (ii) har genomfört kompletterande åtgärder när så krävs.
5.2.4 Genom att ingå Avtalet samtycker den Personuppgiftsansvarige till de överföringar av Personuppgifter som identifieras i Specifikation för databehandling som bifogas dessa Dataskyddsavtal.

5.3 Krav på personal

5.3.1 Personuppgiftsbiträdet ska säkerställa att Personuppgifterna endast Behandlas av tillförlitlig personal som är:
a) beviljad tillgång till Personuppgifterna på en behovsbasis;
b) bekant med de Tillämpliga dataskyddslagsbestämmelserna som är tillämpliga på Personuppgiftsbiträdets Behandling av Personuppgifter;
c) utbildad i vård, skydd och hantering av Personuppgifter;
d) auktoriserad att Behandla Personuppgifterna endast i den utsträckning som krävs för de ändamål som anges i denna DPA;e) och omfattas av lämpliga sekretessförpliktelser.

6. Säkerhet

6.1 Säkerhetskrav för bearbetningen

6.1.1 Personuppgiftsbiträdet har infört och upprätthåller lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna mot oavsiktlig eller olaglig förstörelse, oavsiktlig förlust, ändring, obehörigt utlämnande eller obehörig åtkomst och andra säkerhetsöverträdelser.
6.1.2 De säkerhetsåtgärder som beskrivs i klausul 6.1.1 genomförs med hänsyn till den senaste tekniken, kostnaderna för genomförandet och Behandlingens art, omfattning, sammanhang och ändamål samt risken av varierande sannolikhet och allvar för fysiska personers rättigheter och friheter.
6.1.3 De rutiner och åtgärder som är tillämpliga på Behandlingen beskrivs närmare i Behandlarens informationssäkerhetspolicy, som uppdateras från tid till annan, och en sammanfattning av denna är tillgänglig för den Personuppgiftsansvarige på begäran.

6.2 Säkerhetsincidenter och anmälan (brott mot personuppgifter)

6.2.1 När Processorn får kännedom om en personuppgiftsincident ska Processorn utan onödigt dröjsmål, efter att ha fått kännedom om incidenten, meddela den Personuppgiftsansvarige och tillhandahålla all information och allt samarbete som den Personuppgiftsansvarige rimligen kan kräva för att den Personuppgiftsansvarige ska kunna uppfylla sina krav på personuppgiftsincidenter enligt den tillämpliga dataskyddslagen. Vidare ska personuppgiftsbiträdet vidta de åtgärder som krävs för att avhjälpa och mildra effekterna av personuppgiftsincidenten.

7. Konsekvensbedömning av dataskydd

7.1 Personuppgiftsbiträdet ska på den personuppgiftsansvariges begäran tillhandahålla all rimlig och snabb hjälp som den personuppgiftsansvarige kan kräva för att genomföra en konsekvensbedömning avseende dataskydd (DPIA) i enlighet med artikel 35 i GDPR och, om nödvändigt, samråda med sin relevanta tillsynsmyndighet.

8. Samarbete med den registeransvarige och tillsynsmyndigheten

8.1 Personuppgiftsbiträdet ska tillhandahålla sådant bistånd som begärs av den personuppgiftsansvarige och som är nödvändigt för att göra det möjligt för den personuppgiftsansvarige att fullgöra sina skyldigheter enligt artiklarna 32-36 i dataskyddsförordningen, och för att göra det möjligt för den personuppgiftsansvarige att svara på (i) förfrågningar från registrerade om att utöva sina rättigheter enligt tillämplig dataskyddslagstiftning (inklusive rätten till åtkomst, rättelse, invändning, radering och dataportabilitet, i tillämpliga fall), och (ii) annan korrespondens, förfrågningar eller klagomål som mottagits från en registrerad person, en tillsynsmyndighet eller en annan tredje part i samband med behandlingen av personuppgifterna.
8.2 Om en sådan begäran, korrespondens, förfrågan eller ett sådant klagomål lämnas direkt till personuppgiftsbiträdet ska personuppgiftsbiträdet utan onödigt dröjsmål informera den registeransvarige och lämna nödvändiga uppgifter om detta.

9. Granskning av revision och efterlevnad

9.1 Personuppgiftsbiträdet ska svara på förfrågningar från den personuppgiftsansvarige om sin behandling av personuppgifter, inklusive att tillhandahålla all information som krävs för att visa att detta dataskyddsavtal och personuppgiftsbiträdets skyldigheter enligt tillämplig dataskyddslagstiftning följs.
9.2 Personuppgiftsbiträdet ska upprätthålla dokumentation om ansvarsskyldighet i förhållande till de personuppgifter som behandlas enligt dataskyddsavtalet (enligt definitionen, beskrivningen eller kraven i tillämplig dataskyddslagstiftning), inklusive skriftliga register över den behandling av personuppgifter som utförs för den personuppgiftsansvariges räkning.
9.3 Om inget annat krävs enligt tillämplig dataskyddslagstiftning ska den personuppgiftsansvarige ha rätt att utföra revisioner av personuppgiftsbiträdets efterlevnad av detta dataskyddsavtal och tillämplig dataskyddslagstiftning.
9.4 Den personuppgiftsansvarige ska bära alla kostnader i samband med sitt eget och personuppgiftsbiträdets deltagande i revisioner eller inspektioner som utförs enligt detta dataskyddsavtal, liksom kostnader i samband med sina egna revisorer (om sådana finns). Sådana revisioner eller inspektioner är begränsade till en (1) per kalenderår under löptiden och med förbehåll för fyra (4) veckors skriftligt meddelande till Processorn, om inte annat krävs av en statlig myndighet som Kunden omfattas av.

10. Användning av underbiträden

10.1 Allmänna krav för användning av underbiträden

10.1.1 Personuppgiftsbiträdet får inte lägga ut någon behandling av personuppgifter på underleverantörer ("underbiträden") utan föregående skriftligt tillstånd från den personuppgiftsansvarige. Personuppgiftsbiträdet ska införa dataskyddsvillkor för de Underbiträden som det utser i enlighet med föregående mening som är förenliga med de dataskyddsskyldigheter som anges i detta Dataskyddsavtal.
10.1.2 Personuppgiftsbiträdet ska fortsätta att vara ansvarigt för alla handlingar och/eller försummelser som utförs av dess Underbiträden som om de utfördes av Personuppgiftsbiträdet självt.
10.1.3 De Underbiträden som anställs av Personuppgiftsbiträdet och som godkänts av den Personuppgiftsansvarige på Verkställighetsdatumet anges i den Specifikation för databehandling som bifogas detta dokument.

10.2 Anlitande eller byte av underbiträden

10.2.1 Om Personuppgiftsbiträdet ersätter någon av de Underbiträden som anges i Specifikationen för databehandling, eller anlitar ett nytt Underbiträde, ska den Personuppgiftsansvarige ha rätt till trettio (30) kalenderdagars skriftligt meddelande där den Personuppgiftsansvarige informeras om Personuppgiftsbiträdets avsikter.
10.2.2.2 Den Personuppgiftsansvarige ska ha rätt att invända mot Personuppgiftsbiträdets utbyte eller tillägg av Underbiträden om det finns rimlig anledning att tro att anlitandet av Underbiträdet i fråga skulle vara till nackdel för de krav på dataskydd som anges i detta dokument. Om den personuppgiftsansvarige invänder mot underbiträdet ska parterna i god tro förhandla för att hitta en lösning som tar hänsyn till den personuppgiftsansvariges farhågor. Om parterna inte lyckas komma överens om en lösning ska tvisten lösas i enlighet med de förfaranden för tvistlösning som anges i avtalet.
10.2.3 Personuppgiftsbiträdet ska hålla en uppdaterad förteckning över alla underbiträden som är engagerade i behandlingen av personuppgifter för den personuppgiftsansvariges räkning tillgänglig på begäran av den personuppgiftsansvarige vid varje tidpunkt.

11. Giltighetstid och uppsägning

11.1 Dessa dataskyddsavtal ska gälla så länge som personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning för de ändamål som beskrivs i dessa dataskyddsavtal.

12. Bevarande av uppgifter

12.1 När avtalet upphör att gälla och dessa dataskyddsavtal löper ut ska personuppgiftsbiträdet återlämna alla personuppgifter och eventuella kopior av dessa som personuppgiftsbiträdet behandlar eller har behandlat för den personuppgiftsansvariges räkning till den personuppgiftsansvarige och/eller förstöra dem på ett säkert sätt.
12.2 Utan hinder av ovanstående får personuppgiftsbiträdet behålla sådana personuppgifter som personuppgiftsbiträdet är juridiskt förpliktigat att behålla enligt nationell lagstiftning eller EU/EES-lagstiftning.

13. Meddelanden

13.1 Alla meddelanden mellan parterna ska följa de tillämpliga förfaranden som överenskommits i avtalet.

14. Ansvar och skadestånd

14.1 Bestämmelserna om ansvar och skadestånd i avtalet ska gälla för parternas skyldigheter enligt detta dataskyddsavtal.
14.2 Krav från registrerade för materiell eller ideell skada till följd av en överträdelse av GDPR ska regleras i enlighet med artikel 82 i GDPR.

15. Ändringar i dataskyddsförordningen

15.1 Bestämmelserna i dataskyddsavtalet kan komma att ändras för att tillgodose ändringar i den tillämpliga dataskyddslagstiftningen. Kunden ska få ett skriftligt meddelande om sådana ändringar. Ändringarna kommer att genomföras vid förlängningen av den då gällande perioden (den inledande perioden eller en förlängningsperiod, beroende på vad som gäller), såvida inte den tillämpliga dataskyddslagen kräver att sådana ändringar träder i kraft tidigare.
15.2 Utan hinder av ovanstående kan specifikationen för databehandling uppdateras från tid till annan för att (a) återspegla överenskomna ändringar i den personuppgiftsansvariges instruktioner eller för att tillgodose ändringar i personuppgiftsbiträdets tjänster, eller (b) återspegla ändringar i den behandling som utförs i enlighet med klausul 10.2 och 5 i dessa dataskyddsavtal.

16. Övervägande

16.1 Personuppgiftsbiträdet ska ha rätt till ersättning från den Personuppgiftsansvarige på basis av tid och material för sin hjälp och sitt deltagande i enlighet med punkterna 7 (Konsekvensbedömning av dataskydd), 8 (Samarbete med den Personuppgiftsansvarige och tillsynsmyndigheten) och 9 (Revision och granskning av efterlevnad) ovan, dock med förbehållet att om en revision avslöjar bristande efterlevnad av dessa dataskyddsavtal ska Personuppgiftsbiträdet inte ha rätt att debitera Personuppgiftsansvarig för kostnaderna för revisionen.

17. Beskrivning och syfte med behandlingen

17.1 Ändamål och typ av behandling

17.1.1 Det övergripande syftet med Behandlingen är att tillhandahålla de Tjänster som anges i Avtalet. Personuppgiftsbiträdet kommer särskilt att utföra sådan Behandling som är nödvändig för att den Personuppgiftsansvarige ska kunna bedöma sin efterlevnad av EU:s taxonomiramverk.
Vidare, om den Personuppgiftsansvarige har samtyckt till det genom att underteckna kundavtalet, kommer Personuppgiftsbiträdet att utföra sådan Behandling som är nödvändig för att den Personuppgiftsansvarige ska kunna få tillgång till och använda Celsia ESG Portal.

17.2 Bearbetning

17.2.1 Behandlingen av personuppgifterna för de ändamål som beskrivs i punkt 1.1 ovan kommer att innefatta sådan behandling som är nödvändig för att uppnå de angivna ändamålen, inklusive bland annat följande grundläggande behandlingar, t.ex. inmatning och insamling av uppgifter, lagring och strukturering, konsultation och kombination samt överföring och radering. Dessutom är behandlingen av de kategorier av personuppgifter som beskrivs nedan nödvändig för autentiseringsändamål och personalisering av tjänsterna.
17.2.2 Vissa åtgärder kan vara helt eller delvis automatiserade. Ytterligare Behandlingsoperationer kan också utföras med förbehåll för den Personuppgiftsansvariges instruktioner eller krävas för att tillgodose ändringar i Personuppgiftsbiträdets tjänster från tid till annan.

17.3 Kategorier av personuppgifter

17.3.1 Behandlingen kommer bland annat att omfatta följande kategorier av personuppgifter: fullständigt namn, visningsnamn, e-postadress, telefonnummer (valfritt), profilbild (valfritt), ansökningsinställningar (i den mån dessa innehåller personuppgifter) och relevanta företagsmedlemskap (om tillämpligt).
17.3.2 Ytterligare personuppgifter kan också behandlas enligt den personuppgiftsansvariges instruktioner eller för att tillgodose ändringar i personuppgiftsbiträdets tjänster från tid till annan.

17.4 Särskilda kategorier av personuppgifter

17.4.1 Inga särskilda kategorier av personuppgifter kommer att ingå i behandlingen.

17.5 Kategorier av registrerade personer

17.5.1 De personuppgifter som behandlas kommer i första hand att gälla Partnerens anställda och slutanvändare.

18. Underbiträden och bearbetningsställen

18.1 De underbiträden som använder de behandlingsplatser som anges i tabellen nedan har anlitats av personuppgiftsbiträdet från och med avtalets ikraftträdandedatum och ska anses vara godkända av den personuppgiftsansvarige från och med samma datum.