CITRIX 데이터 처리 추록

CITRIX 데이터 처리 추록

EU 표준 계약 조항: 모듈 3(처리자-처리자)

Citrix 데이터 처리 추록 2021 년 9 월 17 일 버전(xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxx- processing-agreement.html 에 위치한 Citrix 트러스트 센터에 게시됨)("DPA")의 7 조에 따라 DPA 가 적용되는 서비스를 구매한 고객 주체는 DPA 에 참조로 포함된 이 EU 표준 계약 조항(모듈 3: 처리자-처리자)을 행사할 수 있다.

표준 계약 조항

1 조

1 항

목적 및 범위

(a) 이 표준 계약 조항의 목적은 개인 데이터의 처리에 관한 자연인의 xx와 개인 데이터x x 3 국 전송을 위한 이러한 데이터(General Data Protection Regulation)의 자유로운 이동에 관한 유럽의회 및 유럽이사회의 2016 년 4 월 27 일 Regulation(EU) 2016/679 xx 사항을 xx하기 위한 것이다.

(b) 당사자:

(i) 개인 데이터를 전송하는 자연인 또는 법인, 공공 xx, 정부 xx 또는 기타 xx(이하 '주체')로,

부속서 I.A 에 나열된 당사자(이하 '데이터를 내보내는 당사자')

(ii) 데이터를 내보내는 당사자로부터 부속서 I.A 에 나열된, 이러한 조항의 또 다른 당사자인 다른 주체를 통해 직접 또는 간접적으로 개인 데이터를 xx하는 제 3 국의 주체(이하 '데이터를 가져오는 당사자')로서

이 표준 계약 조항(이하 '조항')에 xx한 주체

(c) 이러한 조항은 부속서 I.B 에 명시된 개인 데이터의 전송과 xx하여 적용된다.

(d) 그 안에 참조된 부속서를 포함하는 이러한 조항에 xx 부록은 이러한 조항의 필수적인 부분을 xx한다.

2 항

조항의 효과 및 불변성

(a) 이러한 조항은 Regulation(EU) 2016/679 의 조항 46(1) 및 조항 46(2)(c)에 따라, 제어자로부터 처리자로의 데이터 전송 및/또는 처리자 간의 데이터 전송과 xx하여, 행사 가능한 데이터 주체 권리 및 유효한 법적 구제 등의 적절한 xx와 Regulation(EU) 2016/679 의 조항 28(7)에 따라 해당하는 모듈을 xx하거나 부록의 xx를 추가 또는 업데이트하는 것을 제외하고 xx되지 않은 표준 계약 조항을 명시한다. 이는 직접 또는 간접적으로 이러한 조항과 xx되거나 데이터 주체의 기본적인 권리 또는 자유를 해하지 않는 x x 당사자가 더 넓은 범위의 계약에 포함된 조항에 명시된 표준 계약 조항을 포함하거나 다른 조항 또는 추가 xx를 추가하는 것을 막지 않는다.

(b) 이러한 조항은 Regulation(EU) 2016/679 를 이유로 데이터를 내보내는 당사자에게 적용되는 xx를 해하지 않는다.

3 x

x 3 의 수익자

(a) 데이터 주체는 제 3 의 수익자로서 데이터를 내보내는 당사자 및/또는 데이터를 가져오는 당사자에게 이러한 조항을 적용하여 행사할 수 있으며 다음 예외가 적용된다.

(i) 1 항, 2 항, 3 항, 6 항, 7 항

(ii) 8 항 - 모듈 3: 8.1(a), (c) 및 (d)항과 8.9(a), (c), (d), (e), (f) 및 (g)항

(iii) 9 항 - 모듈 3: 9(a), (c), (d) 및 (e)항

(iv) 12 항 - 모듈 3: 12(a), (d) 및 (f)항

(v) 13 항

(vi) 15.1(c), (d) 및 (e)항

(vii) 16(e)항

(viii) 18 항 - 모듈 3: 18(a) 및 (b)항

(b) (a)절은 Regulation(EU) 2016/679 에 의거한 데이터 주체의 권리를 해하지 않는다.

4 항

xx

(a) 이러한 조항에 Regulation(EU) 2016/679 에 xx된 용어가 xx되는 xx 이러한 용어는 해당 xx의 용어와 동일한 xx를 가진다.

(b) 이러한 조항은 Regulation(EU) 2016/679 의 조항에 비추어 읽고 xx된다.

(c) 이러한 조항은 Regulation(EU) 2016/679 에서 제공된 권리 및 xx와 xx하는 xx으로 xx되지 않는다.

5 항

체계

이러한 조항과 양 당사자 간의 xx 계약의 조항 사이에 이러한 조항에 합의한 xx 또는 이후 이러한 조항이 발효된 xx에 xxx 존재하는 xx 이러한 조항이 xxx다.

6 항

전송의 xx

전송의 세부 xx와 전송된 개인 데이터의 xx 및 전송 목적은 부속서 I.B 에 명시된다.

7 항

도킹 조항

(a) 이러한 조항에 xx 당사자가 아닌 주체는 양 당사자와의 합의 하에 데이터를 내보내는 당사자 또는 데이터를 가져오는 당사자로서 부록을 작성하고 부속서 I.A 에 xxx여 언제든지 이러한 조항에 응할 수 있다.

(b) 부록을 작성하고 부속서 I.A 에 서xx 후 가입 주체는 이러한 조항에 xx 당사자가 되며 부속서

I.A 에서 지정된 대로 데이터를 내보내는 당사자 또는 데이터를 가져오는 당사자의 권리와 xx를 가진다.

(c) 가입 주체는 당사자가 되기 이전의 기간에 이러한 조항에 의거하여 발생하는 권리 또는 xx를 가지지 않는다.

II 조 – 당사자의 xx

8 항

데이터 xx 조치

데이터를 내보내는 당사자는 데이터를 가져오는 당사자가 적절한 기술적 및 조직적 수단의 xx을 통해 이러한 조항에 의거한 xx를 충족할 수 있음을 확인하는 합당한 노력을 기울였음을 보증한다.

8.1 지침

(a) 데이터를 내보내는 당사자는 데이터를 가져오는 당사자에게 제어자 지침에 따라 처리자 역할을 함을 처리 전에 알려야 한다.

(b) 데이터를 가져오는 당사자는 데이터를 내보내는 당사자가 데이터를 가져오는 당사자에게 xxx 대로, 제어자가 문서화한 지침과 데이터를 내보내는 당사자가 추가로 문서화한 지침에 의거해서만 개인 데이터를 처리해야 한다. 이러한 추가 지침은 제어자의 지침과 xx하지 않아야 한다. 제어자 또는 데이터를 내보내는 당사자는 계약 기간 중의 데이터 처리와 관련된 추가 지침을 문서화하여 제공할 수 있다.

(c) 데이터를 가져오는 당사자는 이러한 지침을 따를 수 없는 xx 데이터를 내보내는 당사자에게 즉시 알려야 한다. 데이터를 가져오는 당사자가 제어자의 지침을 따를 수 없는 xx 데이터를 내보내는 당사자는 즉시 제어자에게 알려야 한다.

(d) 데이터를 내보내는 당사자는 제어자와 데이터를 내보내는 당사자 간의 계약xx 연합 또는 회원국의 법률에 의거한 기타 법률 행위에 명시된 것과 동일한 데이터 xx xx를 데이터를 가져오는 당사자에게 xx했음을 보증한다(5).

8.2 목적 제한

데이터를 가져오는 당사자는 데이터를 내보내는 당사자가 데이터를 가져오는 당사자에게 xxx 제어자의 추가 지침 또는 데이터를 내보내는 당사자의 추가 지침에 명시되지 않은 한, 부록서 I.B 에 명시된 특정 전송 목적으로만 개인 데이터를 처리해야 한다.

8.3 투명성

xx이 있을 xx 데이터를 내보내는 당사자는 양 당사자가 작성한 부록을 포함하여 이러한 조항의 사본을 데이터 주체에게 무료로 제공해야 한다. 개인 데이터를 포함하여 xx 기밀 또는 기타 기밀 xx를 xx하는 데 필요한 xx까지, 데이터를 내보내는 당사자는 사본을 공유하기 전에 부록의 텍스트 일부를 삭제할 수 있지만, 데이터 주체가 xx을 이해하거나 권리를 행사하는 데 필요한 xxx한 요약을 제공해야 한다. xx이 있을 xx 양 당사자는 데이터 주체에게 삭제된 xx를 xx하지 않고 가능한 xx까지 삭제의 이유를 제공해야 한다.

8.4 정확성

xx하지 않거나 오래된 개인 데이터를 받은 것을 알게 된 xx 데이터를 가져오는 당사자는 데이터를 내보낸 당사자에게 지체 없이 알려야 한다. 이 xx 데이터를 가져오는 당사자는 데이터를 내보내는 당사자에 협조하여 데이터를 xxx거나 삭제해야 한다.

8.5 처리 기간 및 데이터의 삭제 또는 반환

데이터를 가져오는 당사자에 의한 처리는 부록서 I.B 에 명시된 기간 xx만 xx되어야 한다. 처리 서비스의 제공이 종료된 후 데이터를 가져오는 당사자는 데이터를 내보내는 당사자의 xx에 따라 제어자를 대신해 처리된 모든 개인 데이터를 삭제하고 데이터를 내보내는 당사자에게 이를 xx했음을 xx하거나 xx 처리한 모든 개인 데이터를 내보내는 당사자에게 반환하고 기존 사본을 삭제해야 한다. 데이터가 삭제되거나 반환되기 전까지 데이터를 가져오는 당사자는 이러한 조항을 계속해서 xx해야 한다. 데이터를 가져오는 당사자에게 적용 가능한 xx 법률에 따라 개인 데이터의 반환 또는 삭제가 xx되는 xx 데이터를 가져오는 당사자는 이러한 조항을 계속해서 xx할 것이며 해당 xx 법률에 의거하여 필요한 xx와 기간까지만 개인 데이터를 처리할 것임을 보증한다. 이는 14 항을 침해하지 않으며, 특히 14(e)항에 의거하여 데이터를 가져오는 당사자가 14(a)항의 xx 사항과 일치하지 않는 법률 또는 xx의 적용을 받거나 적용되는 것으로 믿을 만한 이유가 있는 xx 데이터를 내보내는 당사자에게 계약 기간에 걸쳐 이를 알려야 한다.

8.6 처리의 xx

(a) 데이터를 가져오는 당사자와 또한 전송 중에 데이터를 내보내는 당사자는 해당 데이터에 xx 우발적 또는 불법적 폐기, xx, 조작, 허가되지 않은 공개 또는 액세스로 이어지는 xx 침해(이하 '개인 데이터 침해')를 xxx는 xx를 포함하여 데이터의 xx을 보장하는 적절한 기술적 및 조직적 수단을 xx해야 한다. 적정 xx의 xx을 평가할 때는 최신 xx, xx xx, 처리의 특성, 범위, 맥락 및 목적과 처리와 관련된 데이터 주체의 위험을 적절히 고려해야 한다. 양 당사자는 특히, 전송 xx 때를 포함하여, 처리의 목적이 이 xx으로 이행될 수 있는 xx 암호화 또는 xx화의 xx을 고려해야 한다. xx화의 xx 가능하면 개인 데이터에 xx 특정 데이터 주체의 저작 표시를 위한 추가 xx는 전적으로 데이터를 내보내는 당사자 또는 제어자를 통해 제어되어야 한다. 이 절에 따른 xx를 xx하는 데 있어서 데이터를 가져오는 당사자는 최소한 부속서 II 에 명시된 기술적 및 조직적 수단을 xx해야 한다. 데이터를 가져오는 당사자는 이러한 수단이 계속해서 적정 xx의 xx을 제공하는지 확인하는 정기적 검사를 xx해야 한다.

(b) 데이터를 가져오는 당사자는 계약의 xx, xx 및 모니터링에 엄격히 필요한 xx까지만 직원들에게 데이터에 대한 액세스 권한을 부여해야 한다. 개인 데이터 처리 권한을 부여받은 개인이 기밀성에 xx 계약을 맺었거나 기밀성에 xx 법적 xx를 가지고 있는지 확인해야 한다.

(c) 이러한 조항에 의거하여 데이터를 가져오는 당사자에 의해 처리된 개인 데이터와 xx하여 개인 데이터 침해가 발생하는 xx 데이터를 가져오는 당사자는 반작용을 xx하는 수단을 포함하여 침해를 해결하기 위한 적절한 수단을 취해야 한다. 또한 데이터를 가져오는 당사자는 침해를 알게 된 후 데이터를 내보내는 당사자와 제어자(해당하고 실현 가능한 xx)에게 지체 없이 알려야 한다. 이러한 고지에는 추가 xx를 얻을 수 있는 xx 지점에 xx 세부 xx와, 침해의 특성에 xx xx(가능한 xx 데이터 주체 및 관련된 개인 데이터 레코드의 xx 및 대략적인 숫자 포함), 가능한 결과 및 데이터 침해를 해결하기 위해 취했거나 제안한 수단(가능한 반작용을 xx하기 위한 수단 포함)을 포함해야 한다. 모든 xx를 동시에 제공하는 것이 가능하지 않은 xx 초기 고지에는 당시 xx 가능한 xx를 포함해야 하며 이후에 추가 xx를 사용할 수 있게 되면 지체 없이 제공해야 한다.

(d) 데이터를 가져오는 당사자는 데이터를 내보내는 당사자와 협조하고 xx하여 데이터를 내보내는 당사자가 Regulation(EU) 2016/679 에 의거한 xx, 특히 제어자에게 알려 제어자가 처리의 특성 및 데이터를 내보내는 당사자에게 제공된 xx를 고려하여 결정권이 있는 감독 xx 및 xx을 받는 데이터 주체에게 알릴 xx를 xx할 수 있도록 해야 한다.

8.7 민감한 데이터

출신 xx 또는 민족, 정치적 견해, 종교 또는 철학적 신념 또는 xx 가입, 자연인을 고유하게 식별할 xx의 xx적 데이터 또는 생체 데이터, xx xx 데이터 또는 개인의 성생활 또는 성적 xx 또는 형사 판결 및 범죄 xx 데이터를 xx하는 개인 데이터(이하 '민감한 데이터')가 전송에 포함되는 xx 데이터를 가져오는 당사자는 부속서 I.B 에 명시된 특정 제한 및/또는 추가 xx 조치를 적용해야 한다.

8.8 제 3 자 전송

데이터를 가져오는 당사자는 데이터를 내보내는 당사자가 데이터를 가져오는 당사자에게 xxx 대로, 제어자의 문서화된 지침에 의거해서만 개인 데이터를 제 3 자에게 공개해야 한다. 또한 유럽 연합 외부에 위치한 제 3 자에게 데이터를 공개(데이터를 가져오는 당사자와 동일한 국가 또는 다른 제 3 국, 이하 '제 3 자 전송')하는 xx 제 3 자가 해당하는 모듈에 의거하여 이러한 조항에 구속되거나 이러한 조항에 xx한 xx 또는 다음의 xx에만 데이터를 공개할 수 있다.

(i) 제 3 자 xxx 제 3 자 전송을 다루는 Regulation(EU) 2016/679 의 조항 45 에 따른 적정성 결정이 xx이 되는 국가를 xx으로 하는 xx

(ii) 제 3 자가 Regulation(EU) 2016/679 의 조항 46 또는 47 에 따른 적절한 xx 조치를 보장하는 xx

(iii) 제 3 자 xxx 특정 xx, xx 또는 사법 절차의 맥락에서 법적 권리의 xx, 행사 또는 방어에 필요한 xx

(iv) 제 3 자 xxx 데이터 주체 또는 다른 자연인의 사활적 xx을 xx하는 데 필요한 xx

모든 제 3 자 전송에서 데이터를 가져오는 당사자는 이러한 조항, 특히 목적 제한에 의거한 다른 모든 xx 조치를 xx해야 한다.

8.9 문서화 및 xx xx

(a) 데이터를 가져오는 당사자는 이러한 조항에 의거한 처리와 관련된 데이터를 내보내는 당사자 또는 제어자의 문의를 즉각적이고 적절히 처리해야 한다.

(b) 양 당사자는 이러한 조항에 xx xx를 입증할 수 있어야 한다. 특히, 데이터를 가져오는 당사자는 제어자를 xx하여 xx된 처리 xx을 적절히 문서화하여 xx해야 한다.

(c) 데이터를 가져오는 당사자는 이러한 조항에 명시된 xx의 xx를 입증하는 데 필요한 모든 xx를 데이터를 내보내는 당사자에게 제공해야 하고 데이터를 내보내는 당사자는 이러한 xx를 제어자에게 제공해야 한다.

(d) 데이터를 가져오는 당사자는 합당한 간격으로 또는 xx 미준수의 징후가 있는 xx 이러한 조항에서 다루는 처리 xx에 xx 데이터를 내보내는 당사자의 감사를 xxx거나 이에 협조해야 한다. 데이터를 내보내는 당사자가 제어자의 지침에 따라 감사를 xx하는 xx에도 동일한 사항이 적용된다. 감사를 결정하는 데 있어서 데이터를 내보내는 당사자는 데이터를 가져오는 당사자가 보유한 xx 인증을 고려할 수 있다.

(e) 제어자의 지침에 따라 감사가 xx되는 xx 데이터를 내보내는 당사자는 제어자에게 감사 결과를 제공해야 한다.

(f) 데이터를 내보내는 당사자는 감사를 직접 xx하거나 독립 감사자를 지정할 수 있다. 감사에는 데이터를 가져오는 당사자의 사내 또는 물리적 xx에서의 조사가 포함될 수 있으며 해당하는 xx 합당한 고지 하에 xx되어야 한다.

(g) 양 당사자는 xx이 있을 xx (b) 및 (c)절에 언급된 xx를 모든 감사 결과를 포함하여 결정권이 있는 감독 xx에 제공해야 한다.

9 항

하청 처리자의 xx

(a) 데이터를 가져오는 당사자는 합의된 목록에 있는 하청 처리자의 참여에 대해 제어자의 개괄적 xx을 가진다. 데이터를 가져오는 당사자는 최소 14 일 전에 하청 처리자의 추가 또는 교체를 통해 해당 목록의 의도한 모든 xx을 제어자에게 서면으로 구체적으로 알림으로써 하청 처리자의 참여 전에 이러한 xx에 이의를 xx할 수 있는 충분한 시간을 제어자에게 주어야 한다. 데이터를 가져오는 당사자는 제어자에게 제어자가 이의 xx 권리를 행사하는 데 필요한 xx를 제공해야 한다. 데이터를 가져오는 당사자는 데이터를 내보내는 당사자에게 하청 처리자의 참여를 알려야 한다.

(b) 데이터를 가져오는 당사자가 하청 처리자와 함께 제어자를 xx하여 특정 처리 xx을 xx하는 xx 데이터를 가져오는 당사자는 데이터 주체에 xx 제 3 의 수익자 권리의 측면을 포함하여 이러한 조항에 따라 데이터를 가져오는 당사자를 구속하는 것과 사실상 동일한 데이터 xx xx를 제공하는 서면 계약을 통해 이를 xx해야 한다. 양 당사자는 이 조항을 xx함으로써 데이터를 가져오는 당사자가 8.8 항에 의거한 xx를 이행하는 데 xx한다. 데이터를 가져오는 당사자는 하청 처리자가 이러한 조항에 따라 데이터를 가져오는 당사자에게 적용되는 xx를 xx하는지 확인해야 한다.

(c) 데이터를 가져오는 당사자는 데이터를 내보내는 당사자 또는 제어자의 xx에 따라 이러한 하청 처리자 계약 및 후속 xx 계약의 사본을 제공해야 한다. 개인 데이터를 포함하여 xx 기밀 또는 기타 기밀 xx를 xx하기 위한 xx까지, 데이터를 가져오는 당사자는 사본을 공유하기 전에 계약의 텍스트를 삭제할 수 있다.

(d) 데이터를 가져오는 당사자는 데이터를 내보내는 당사자를 xx하여 하청 처리자와 데이터를 가져오는 당사자 간의 계약에 따른 모든 xx를 하청 처리자가 이행xxx 할 책임이 있다. 데이터를 가져오는 당사자는 하청 처리자가 해당 계약에 따른 xx를 다하지 않을 xx 데이터를 내보내는 당사자에게 이를 알려야 한다.

(e) 데이터를 가져오는 당사자는 하청 처리자와x x 3 의 수익자 조항에 xx해야 한다. 데이터를 내보내는 당사자가 사실상 사라지거나 법적으로 소멸한 xx가 되었거나 파산한 xx 데이터를 내보내는 당사자는 이 조항에 의거하여 하청 처리자 계약을 xx하고 하청 처리자에게 개인 데이터의 삭제 또는 반환을 지시할 수 있는 권리를 가진다.

10 항

데이터 주체 권리

(a) 데이터를 가져오는 당사자는 제어자의 허가를 받지 않은 한 데이터 주체로부터 받은 xx에 응하기 전에 이러한 xx을 데이터를 내보내는 당사자와 해당하는 xx 제어자에게 즉시 알려야 한다.

(b) 데이터를 가져오는 당사자는 해당하는 xx 데이터를 내보내는 당사자와 협조하여 Regulation(EU) 2016/679 또는 Regulation(EU) 2018/1725 의 권리를 행사하기 위한 데이터 주체의 xx에 제어자가 응할 xx를 이행할 수 있도록 해야 한다. 이와 xx하여 양 당사자는 xx을 제공할 처리의 특성과 필요한 xx의 범위 및 xx를 고려하여 부록서 II 에 해당하는 기술적 및 조직적 수단을 명시해야 한다.

(c) (a) 및 (b)절의 xx를 이행함에 있어 데이터를 가져오는 당사자는 데이터를 내보내는 당사자가 xxx 제어자의 지침을 xx해야 한다.

11 항

xx

(a) 데이터를 가져오는 당사자는 데이터 주체에게 불만 사항을 처리할 권한이 있는 xx 지점을 개별 고지 또는 웹 사이트를 통해 투명하고 손쉽게 액세스할 수 있는 xx으로 알려야 한다. 데이터 주체로부터 불만 사항을 접수하는 즉시 처리해야 한다.

(b) 데이터 주체와 한쪽 당사자 간에 이러한 조항을 xx하는 것과 관련된 분쟁이 있는 xx 해당 당사자는 최선의 노력으로 즉시 평화적으로 xx를 해결해야 한다. 양 당사자는 이러한 분쟁을 서로에게 알리고 해당하는 xx 분쟁 해결에 협조한다.

(c) 데이터 주체가 3 항에 따라 제 3 의 수익자 권리를 언급하는 xx 데이터를 가져오는 당사자는 데이터의 주체의 결정을 xx하여 다음을 이행해야 한다.

(i) 데이터 주체의 거주지 또는 직장이 있는 회원국의 감독 xx 또는 13 항에 따라 결정권이 있는 감독 xx에 불만 사항을 xx한다.

(ii) 18 항의 xx 내에서 권한이 있는 법원에 분쟁을 회부한다.

(d) 양 당사자는 Regulation (EU) 2016/679 의 조항 80(1)에 명시된 조건 하의 비영리 xx, 조직 또는 협회가 데이터 주체를 xx할 수 있음을 xx한다.

(e) 데이터를 가져오는 당사자는 적용 가능한 EU 또는 회원국 법률에 의거하여 구속력을 갖는 결정을 따른다.

(f) 데이터를 가져오는 당사자는 데이터 주체의 xx이 적용 가능한 법률에 따라 구제책을 구할 수 있는 데이터 주체의 실질적이고 절차적인 권리를 해하지 않음에 xx한다.

12 항

책임

(a) 각 당사자는 이러한 조항의 위반으로 인해 다른 당사자에게 발생하는 모든 손해에 대해 책임을 져야 한다.

(b) 데이터를 가져오는 당사자는 데이터를 가져오는 당사자 또는 하청 처리자가 이러한 조항에 의거x x 3 의 수익자 권리를 침해하여 데이터 주체에게 야기한 물질적 또는 비물질적 손해에 대해 책임이 있으며 데이터 주체는 xx을 받을 자격이 있다.

(c) (b)절에도 불구하고 데이터를 내보내는 당사자는 데이터를 내보내는 당사자 또는 데이터를 가져오는 당사자(또는 하청 처리자)가 이러한 조항에 의거x x 3 의 수익자 권리를 침해하여 데이터 주체에게 야기한 물질적 또는 비물질적 손해에 대해 책임이 있으며 데이터 주체는 xx을 받을 자격이 있다. 이는 데이터를 내보내는 당사자의 책임을 해하지 않으며 제어자를 xx하여 처리자 역할을 하는 xx Regulation(EU) 2016/679 또는 Regulation(EU) 2018/1725 에 의거한 제어자의 책임을 해하지 않는다.

(d) 양 당사자는 (c)절에 의거하여 데이터를 가져오는 당사자(또는 하청 처리자)가 야기한 손해에 xx 책임이 데이터를 내보내는 당사자에게 있는 xx 데이터를 내보내는 당사자는 손해에서 데이터를 가져오는 당사자의 책임에 해당하는 xx의 일부를 다시 xx할 자격이 있다는 데 xx한다.

(e) 이러한 조항을 위반한 결과로 데이터 주체에게 발생한 손해에 xx 책임이 둘 이상의 당사자에게 있는 xx 책임이 있는 모든 당사자는 공동으로 각자 책임을 지며 데이터 주체는 모든 당사자를 xx으로 법원 xx을 xx할 자격이 있다.

(f) 양 당사자는 한 당사자에게 (e)절에 의거한 책임이 있는 xx 손해의 책임에 해당하는 xx의 일부를 다른 당사자에게 다시 xx할 자격이 있다.

(g) 데이터를 가져오는 당사자는 책임을 회피하기 위한 수단으로 하청 처리자의 행동을 거론할 수 없다.

13 항

감독

(a) 데이터를 내보내는 당사자가 EU 회원국에서 설립된 xx: 부록 I.C 에 명시된 대로, 데이터 전송과 xx하여 데이터를 내보내는 당사자의 Regulation(EU) 2016/679 xx를 확인할 책임이 있는 감독 xx은 결정권이 있는 감독 xx의 역할을 해야 한다.

데이터를 내보내는 당사자가 EU 회원국에서 설립되지 않았지만 Regulation(EU) 2016/679 의 조항 3(2)에 따라 적용되는 영토 범위 내에 포함되고 Regulation(EU) 2016/679 의 조항 27(1)에 따라 대리인을 지정한 xx: 부속서 I.C 에 명시된 대로 Regulation (EU) 2016/679 의 조항 27(1)의 xx 내에서 설정된 대리인이 있는 회원국의 감독 xx이 결정권이 있는 감독 xx의 역할을 한다.

데이터를 내보내는 당사자가 EU 회원국에서 설립되지 않았지만 Regulation(EU) 2016/679 의 조항 3(2)에 따라 적용되는 영토 범위 내에 포함되고 Regulation(EU) 2016/679 의 조항 27(2)에 따라 대리인을 지정할 필요가 없는 xx: 부속서 I.C 에 명시된 대로, 상품 또는 서비스를 제공하기 위해 이러한 조항에 따라 개인 데이터가 전송되거나 행동이 모니터링되는 데이터 주체가 있는 회원국 중 xx의 감독 xx이 결정권이 있는 감독 xx의 역할을 한다.

(b) 데이터를 가져오는 당사자는 이러한 조항의 xx를 보장하는 것을 목표x x 모든 법적 절차에서 결정권이 있는 감독 xx의 관할권에 출석하고 협조하는 데 xx한다. 특히, 데이터를 가져오는 당사자는 문의에 답하고, 감사에 응하며, 구제 및 xx을 위한 수단을 포함하여 감독 xx이 채택한

수단을 따르는 데 xx한다. 데이터를 가져오는 당사자는 감독 xx에 필요한 조치를 취했다는 xx의 서면 확인서를 제공해야 한다.

III 조 – 공공 xx의 액세스에 xx xx 법률 및 xx

14 항

조항 xx에 xx을 미치는 xx 법률 및 xx

(a) 양 당사자는 데이터를 가져오는 당사자의 개인 데이터 처리에 적용되는 제 3 xx 국가에 개인 데이터의 공개를 xx하는 법률 또는 공공 xx의 액세스를 허가하는 수단 등 데이터를 가져오는 당사자가 이러한 조항에 따른 xx를 이행할 수 없도록 하는 법률 및 xx이 없음을 보증한다. 이는 기본권 및 자유의 본질을 존중하고 xx 사회에서 필요한 것을 초과하지 않고 비례하여 Regulation(EU) 2016/679 의 조항 23(1)에 나열된 목표 중 xx를 xx하기 위한 법률 및 xx이 이러한 조항과 xx되지 않음을 이해하는 것을 기반으로 한다.

(b) 양 당사자는 (a)절의 보증을 제공함에 있어서 특히 다음 요소를 고려했음을 xx한다.

(i) 처리 체인의 길이, 관련된 행위자 및 xx된 전송 채널x x, 의xx 제 3 자 전송, 수신자 xx, 처리 목적, 전송된 개인 데이터의 xx 및 xx, xxx 발생하는 xx 구역, 전송된 데이터의 저장 위치를 포함한 전송의 특정 xx

(ii) 전송의 특정 xx에 비추어 공공 xx에 xx 데이터 공개를 xx하거나 이러한 xx의 액세스를 허가하는 법률 및 xx과 적용 가능한 제한 및 xx 조치를 포함한 제 3 xx 국가의 법률 및 xx

(iii) 전송 중에 적용되는 수단과 xx 국가 내 개인 데이터의 처리에 적용되는 수단을 포함하여 이러한 조항에 따른 xx 조치를 xx하기 위해 마련된 xx 계약, xx 또는 조직적 xx 조치

(c) 데이터를 가져오는 당사자는 (b)절에 따른 평가를 xx하는 데 있어서 데이터를 내보내는 당사자에게 xx xx를 제공하기 위해 최선을 다했음을 보증하고 계속해서 데이터를 내보내는 당사자와 협조하여 이러한 조항의 xx를 보장하는 데 xx한다.

(d) 양 당사자는 (b)절에 따른 평가를 문서화하고 xx 시 결정권이 있는 감독 xx에 제공하는 데 xx한다.

(e) 데이터를 내보내는 당사자는 이 고지를 제어자에게 전달해야 한다.

(f) (e)절에 따른 고지 이후 또는 데이터를 내보내는 당사자가 어떤 이유로든 데이터를 가져오는 당사자가 이러한 조항의 xx를 더 이상 이행할 수 없다고 믿는 xx 데이터를 내보내는 당사자는 제어자와 협의하여 적절하다고 판단되는 xx 데이터를 내보내는 당사자 및/또는 데이터를 가져오는 당사자가 xx을 해결하기 위해 취할 적절한 수단(예: xx 및 기밀성을 보장하기 위한 xx 또는 조직적 수단)을 즉시 식별해야 한다. 데이터를 내보내는 당사자는 이러한 전송을 보장하기에 적절한 xx 조치가 없다고 여겨지거나 제어자 또는 결정권이 있는 감독 xx이 지시하는 xx 데이터 전송을 중지해야 한다. 이 xx 데이터를 내보내는 당사자는 이러한 조항에 의거한 개인 데이터의 처리와 xx되는 한 계약을 xx할 수 있다. 계약의 당사자가 셋 xxx xx 데이터를 내보내는 당사자는 양 당사자의 다른 합의가 없는 한 해당하는 당사자와 관련된 xx에만 이 권리를 행사할 수 있다. 이 조항에 따라 계약이 xx되는 xx 이 조항, 16(d)항 및 (e)항이 적용된다.

15 항

공공 xx에서 액세스하는 xx 데이터를 가져오는 당사자의 xx

15.1 고지

(a) 다음의 xx 데이터를 가져오는 당사자는 데이터를 내보내는 당사자와 가능한 xx 데이터 주체에게 즉시(필요한 xx 데이터를 내보내는 당사자의 도움을 받아) xxx는 데 xx한다.

(i) 사법 xx을 포함한 공공 xx으로부터 이러한 조항에 따라 전송된 개인 데이터의 공개에 xx xx 국가의 법률에 따라 법적 구속력이 있는 xx을 xx한 xx. xx된 개인 데이터, xx 당국, xx의 법적 xx 및 제공된 응답에 xx xx를 이러한 고지에 포함해야 한다.

(ii) 공공 xx이 xx 국가의 법률에 따라 이러한 조항에 의거하여 전송된 개인 데이터에 직접 액세스하는 것을 xx한 xx. 데이터를 가져오는 당사자에게 제공된 모든 xx를 이러한 고지에 포함해야 한다.

데이터를 내보내는 당사자는 이 고지를 제어자에게 전달해야 한다.

(b) 데이터를 가져오는 당사자가 데이터를 내보내는 당사자 및/또는 데이터 주체에 xxx는 것이 xx 국가의 법률에 따라 xx되는 xx 데이터를 가져오는 당사자는 가능한 한 많은 xx를 xxx 빨리 전달하는 것을 목표로 최선의 노력을 기울여 xx를 면제받아야 한다. 데이터를 가져오는 당사자는 데이터를 내보내는 당사자의 xx에 xx 최선의 노력을 문서화하여 이를 입증하는 데 xx한다.

(c) xx 국가의 법률에 따라 허용되는 xx 데이터를 가져오는 당사자는 데이터를 내보내는 당사자에게, 계약 기간에 정기적인 간격으로, 받은 xx에 xx 가능한 한 많은 xx xx를 제공하는 데 xx한다(구체적으로, xxx x, xx된 데이터의 xx, xx 당국, xx에 이의를 xx했는지 여부 및 이러한 이의 xx의 결과 등). 데이터를 내보내는 당사자는 이 xx를 제어자에게 전달해야 한다.

(d) 데이터를 가져오는 당사자는 (a) ~ (c)절에 따라 계약 기간 xx xx를 보존하고, xx 시 결정권이 있는 감독 xx에 제공하는 데 xx한다.

(e) (a) ~ (c)절은 14(e)항 및 16 항에 따라 데이터를 가져오는 당사자가 이러한 조항을 xx할 수 없는 xx 데이터를 내보내는 당사자에게 즉시 알려야 하는 xx를 해하지 않는다.

15.2 적법성 검토 및 데이터 xxx

(a) 데이터를 가져오는 당사자는 공개 xx의 적법성, 특히 xx 공공 xx에 부여된 권한의 범위 내에 있는지 여부를 검토하고, xxx 평가 후 xx 국가의 법률, 국제법에 따라 적용 가능한 xx 및 국제 예양의 원칙에 의거하여 xx이 불법이라고 간주할 만한 합당한 근거가 있다고 결정되는 xx xx에 이의를 xx하는 데 xx한다. 데이터를 가져오는 당사자는 동일한 조건에서 이의 xx의 가능성을 찾아야 한다. xx에 이의를 xx할 때 데이터를 가져오는 당사자는 결정권이 있는 관할 xx이 공과에 따라 결정을 내릴 때까지 xx의 효과를 중지하는 것을 목표로 하는 임시 수단을 구해야 한다. 데이터를 가져오는 당사자는 적용 가능한 절차적 규칙에 따라 xx될 때까지 xx된 개인 데이터를 공개하지 않아야 한다. 이러한 xx 사항은 14(e)항에 의거하여 데이터를 가져오는 당사자의 xx를 해하지 않는다.

(b) 데이터를 가져오는 당사자는 xx 공개에 xx 법적 평가 및 이의 xx를 문서화하고, xx 국가의 법률에 따라 허용되는 xx까지 이러한 문서를 데이터를 내보내는 당사자에게 제공하는 데 xx한다. 또한 xx 시 결정권이 있는 감독 xx에 제공해야 한다. 데이터를 내보내는 당사자는 이 평가를 제어자에게 제공해야 한다.

(c) 데이터를 가져오는 당사자는 공개 xx에 응할 때 xx의 합당한 xx에 근거하여 허용 가능한 최소한의 xx를 제공하는 데 xx한다.

IV 조 – xx 조항

16 항

조항 미준수 및 xx

(a) 데이터를 가져오는 당사자는 어떤 이유로든 이러한 조항을 xx할 수 없는 xx 데이터를 내보내는 당사자에게 즉시 알려야 한다.

(b) 데이터를 가져오는 당사자가 이러한 조항을 위반하거나 이러한 조항을 xx할 수 없는 xx 데이터를 내보내는 당사자는 xx xx가 다시 확인되거나 계약이 xx될 때까지 데이터를 내보내는 당사자를 xx으로 한 개인 데이터의 전송을 중지한다. 이는 14(f)항을 해하지 않는다.

(c) 데이터를 내보내는 당사자는 이러한 조항에 의거하여 다음의 xx 개인 데이터의 처리와 xx되는 한 계약을 xx할 수 있다.

(i) 데이터를 내보내는 당사자가 (b)절에 따라 데이터를 가져오는 당사자로의 개인 데이터 전송을 중지했고 이러한 조항에 xx xx가 합당한 시간 내에 또는 중지 후 1 개월 이내에 xx되지 않은 xx

(ii) 데이터를 가져오는 당사자가 이러한 조항의 대부분을 위반하거나 영구적으로 위반한 xx

(iii)데이터를 가져오는 당사자가 이러한 조항의 xx와 xx하여 결정권이 있는 법원 또는 감독 xx의 구속력이 있는 결정을 따르지 않는 xx.

이 xx 데이터를 가져오는 당사자는 결정권이 있는 감독 xx과 제어자에게 이러한 xx 미준수를 알려야 한다. 계약의 당사자가 셋 xxx xx 데이터를 내보내는 당사자는 양 당사자의 다른 합의가 없는 한 해당하는 당사자와 관련된 xx에만 이 권리를 행사할 수 있다.

(d) (c)절에 따라 계약 xx 전에 전송된 개인 데이터는 데이터를 내보내는 당사자의 xx에 따라 데이터를 내보내는 당사자에게 즉시 반환되거나 완전히 삭제되어야 한다. 데이터의 모든 사본에도 동일한 사항이 적용된다. 데이터를 가져오는 당사자는 데이터를 내보내는 당사자에게 데이터의 삭제를 입증해야 한다. 데이터가 삭제되거나 반환되기 전까지 데이터를 가져오는 당사자는 이러한 조항을 계속해서 xx해야 한다. 데이터를 가져오는 당사자에게 적용 가능한 xx 법률에 따라 전송된 개인 데이터의 반환 또는 삭제가 xx되는 xx 데이터를 가져오는 당사자는 이러한 조항을 계속해서 xx할 것이며 해당 xx 법률에 의거하여 필요한 xx와 기간까지만 개인 데이터를 처리할 것임을 보증한다.

(e) 모든 당사자는 이러한 조항에 구속되는 계약을 xx할 수 있다. 이때 (i) 유럽 위원회는 이러한 조항이 적용되는 개인 데이터의 전송을 다루는 Regulation(EU) 2016/679 의 조항 45(3)에 따라 결xx 택한다. 또는 (ii) Regulation(EU) 2016/679 는 개인 데이터가 전송된 국가 내 법적 제도의 일부가 된다. 이는 Regulation(EU) 2016/679 에 의거하여 xx의 처리에 적용되는 다른 xx를 해하지 않는다.

17 항

준거법

이러한 조항x x 3 의 수익자 권리를 xxx는 EU 회원국 중 xx의 법률로 통제된다. 양 당사자는 이 법률이 아일랜드의 법률이 되는 데 xx한다.

18 항

법정 및 관할권의 xx

(a) 이러한 조항으로부터 발생하는 모든 분쟁은 EU 회원국의 법원을 통해 해결되어야 한다.

(b) 양 당사자는 이 법원이 아일랜드의 법원이 되는 데 xx한다.

(c) 또한 데이터 주체는 자산이 거주하는 회원국의 법원에 데이터를 내보내는 당사자 및/또는 데이터를 가져오는 당사자를 상대로 한 법적 절차를 xx할 수 있다.

(d) 양 당사자는 이러한 법원의 관할권에 출석하는 데 xx한다.

부속서 I

A. 당사자 목록

데이터를 내보내는 당사자: [데이터를 내보내는 당사자와 해당하는 xx 데이터 xx 책임자 및/또는 유럽연합 담당자의 xx 및 연락처 세부 xx]

1.

이름:                    

주소:                             담당자 이름:                            담당자 직위:                  

담당자의 연락처 세부 xx:                       

이러한 조항에 의거하여 전송된 데이터와 관련된 xx: Citrix 서비스 xxx에 xx된 IT 제품, 서비스 및 솔루션

xx 및 날짜:                            , 202           

역할(제어자/처리자): 처리자

데이터를 가져오는 당사자: [데이터 xx 담당자를 포함하여 데이터를 가져오는 당사자의 xx 및 연락처 세부 xx]

1. 이름: Citrix Systems, Inc.(해당 계열사 포함)

주소: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000

담당자 이름: Xxxxx Xxxxxxxxx

담당자 직위: 부사장, 최고 디지털 위험 책임자

담당자의 연락처 세부 xx: 전화:x0 000 000 0000 팩스: + 1 805 690 6471 이메일: xxxxxxxxxxxx@xxxxxx.xxx

이러한 조항에 의거하여 전송된 데이터와 관련된 xx: IT 제품, 서비스 및 솔루션을 Citrix 서비스 xxx의 xx에 따라 제공

xx 및 날짜:                            , 202           

역할(제어자/처리자): 처리자

B. 전송의 xx

개인 데이터가 전송되는 데이터 주체의 xx

DPA 의 5 조를 참조한다.

전송된 개인 데이터의 xx

DPA 의 5 조를 참조한다.

전송된 민감한 데이터(해당하는 xx) 및 데이터의 특성 및 xx 위험을 xx하게 고려하여 적용된 제한 또는 xx 조치(예: 엄격한 목적 제한, 특수 교육을 받은 직원의 액세스만 xxx는 것을 포함한 액세스 제한, 데이터에 xx 액세스 xx 유지, 제 3 자 전송에 xx 제한 또는 추가 xx 수단)

전송된 개인 데이터는 데이터를 내보내는 당사자가 결정하고 제어하며 정부 식별자, 종교적 선호도 또는 서비스 xx을 위해 처리되어야 하는 다른 모든 민감한 데이터를 포함할 수 있다.

기술적 및 조직적 xx 수단은 Citrix 서비스 xx 별첨(xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx- security-exhibit.html)에 xx되어 있다.

전송의 빈도(예: 데이터의 일회성 전송 또는 지속적 전송)

서비스를 xx하는 데 있어서 필요에 따라 지속적으로 전송한다.

처리의 특성

DPA 의 4 조를 참조한다.

데이터 전송 및 추가 처리의 목적

DPA 의 4 조를 참조한다.

개인 데이터가 유지되는 기간 또는 이것이 불가능한 xx 해당 기간을 결정하는 데 xx되는 xx

DPA 의 12 조를 참조한다.

하청 처리자를 xx으로 한 전송의 xx 처리의 xx, 특성 및 기간도 명시

자세한 xx은 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx 을 참조한다. 서비스를 xx하는 데 있어서 필요에 따라 지속적으로 전송한다.

C. 결정권이 있는 감독 xx

13 항에 따라 결정권이 있는 감독 xx을 식별

데이터를 내보내는 당사자가 EU 회원국에서 설립된 xx: 아일랜드의 감독 xx

데이터를 내보내는 당사자가 EU 회원국에서 설립되지 않았지만 Regulation(EU) 2016/679 의 조항 3(2)에 따라 적용되는 영토 범위 내에 포함되고 Regulation(EU) 2016/679 의 조항 27(1)에 따라 대리인을 지정한 xx: 아일랜드의 감독 xx

데이터를 내보내는 당사자가 EU 회원국에서 설립되지 않았지만 Regulation(EU) 2016/679 의 조항 3(2)에 따라 적용되는 영토 범위 내에 포함되고 Regulation(EU) 2016/679 의 조항 27(2)에 따라 대리인을 지정할 필요가 없는 xx: 아일랜드의 감독 xx

부속서 II

데이터의 xx을 보장하기 위한 기술적 및 조직적 수단을 포함한 기술적 및 조직적 수단

기술적 및 조직적 xx 수단은 Citrix 서비스 xx 별첨(xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx- security-exhibit.html)에 xx되어 있다.