GEGEVENSVERWERKINGSOVEREENKOMST VAN CITRIX
Laatst gewijzigd: 21 maart 0000
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX VAN CITRIX
Voorwaarden van de Algemene Verordening Gegevensbescherming van de Europese Unie
Deze Gegevensverwerkingsovereenkomst (“Overeenkomst”) betreft de verwerking van persoonsgegevens van inwoners van de Europese Unie in verband met Citrix Cloud-services, technische ondersteuningsservices of adviserende services in het kader van een licentie-, abonnement- of serviceovereenkomst met Citrix. Deze Overeenkomst wordt gesloten tussen de eindklant (“U”) en de Citrix-entiteit (“Citrix”) die het contract aangaat en er wordt naar verwezen in deze serviceovereenkomsten. Uw locatie bepaalt de Citrix-entiteit zoals geïdentificeerd op xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx. De EU-modelcontractbepalingen in Bewijsstuk 1 gelden altijd tussen U en Citrix Systems Inc., ongeacht uw locatie.
Artikel 1. Definities
Onder “U” wordt de eindklant verstaan zoals gespecificeerd in deze Overeenkomst.
Onder “Persoonsgegevens” worden persoonsgegevens verstaan volgens de definitie in artikel 4 van de GDPR, in uw computeromgeving(en), waartoe Citrix toegang krijgt om de Services te leveren in het kader van deze Overeenkomst.
Onder “Servicebeschrijving” wordt de beschrijving verstaan van de Services die Citrix aan U levert.
Termen die in deze Overeenkomst worden gebruikt maar er niet in worden gedefinieerd (bijv. “verwerking”, “verwerkingsverantwoordelijke”, “verwerker”, “betrokkene”) hebben dezelfde betekenis als in artikel 4 van de GDPR.
Artikel 2. Rollen en reikwijdte
1. Deze GDPR-voorwaarden gelden voor de verwerking van Persoonsgegevens door Citrix.
2. Voor de doeleinden van deze GDPR-voorwaarden komen U en Citrix overeen dat U de verwerkingsverantwoordelijke bent en Citrix de verwerker van deze Persoonsgegevens, behalve wanneer U als verwerker van Persoonsgegevens fungeert, in welk geval Citrix een subverwerker is.
Artikel 3. Reikwijdte, type en doel van de verwerking van persoonsgegevens
1. De reikwijdte en het doel van de verzameling, de verwerking en/of het gebruik van Persoonsgegevens door Citrix worden beschreven op xxxx://xxx.xxxxxx.xx/xxxxxxxx/xxx-xxxxxxxx.xxxx en/of in deze GDPR-voorwaarden.
2. U bepaalt de reikwijdte van de Persoonsgegevens waartoe U Citrix toegang geeft om de services uit te voeren. Dienovereenkomstig kunnen/kan de verzameling, verwerking en/of het gebruik van Persoonsgegevens betrekking hebben op de volgende categorieën gegevens
o Persoonlijke informatie: voornaam, achternaam, geboortedatum
o Communicatiegegevens: telefoon, e-mailadres, postadres
o Productomschrijving: andere persoonsgegevens voor het product of de service in kwestie zoals gedefinieerd op xxx.xxxxxx.xx/xxxxxxxx.
o Overige: overige persoonsgegevens waartoe U Citrix toegang geeft in verband met de levering van Producten of Services.
Het is uw verantwoordelijkheid om Citrix alleen toegang te geven tot de Persoonsgegevens die nodig zijn voor de uitvoering van de Services.
3. Afhankelijk van het geleverde Product of de geleverde Services kunnen U en Citrix ook de opslaglocatie of -zone voor de Persoonsgegevens overeenkomen.
Artikel 4. Gegevensverwerking
1. Citrix zal:
a) de Persoonsgegevens alleen verwerken (i) op basis van gedocumenteerde instructies van U, zoals nader omschreven in de Overeenkomst, of (ii) waar dit verplicht is volgens de wetgeving van de Europese Unie of een lidstaat waaraan Citrix is onderworpen, in welk geval Citrix dit vooraf zal meedelen aan U, tenzij dit bij wet verboden is;
b) ervoor zorgen dat personen die gemachtigd zijn om de Persoonsgegevens te verwerken zich hebben verbonden tot geheimhouding of zich moeten houden aan een passende wettelijke geheimhoudingsplicht;
c) alle maatregelen treffen die Citrix als gegevensverwerker worden opgelegd door artikel 32 van de GDPR, zoals nader omschreven in artikel 8 hieronder en Bewijsstuk 2, Bewijsstuk voor de beveiliging van Citrix- services;
d) zich houden aan de voorwaarden voor het inschakelen van een andere verwerker zoals beschreven in artikel 5;
e) U redelijke hulp bieden bij de vervulling van uw plicht om verzoeken van betrokkenen om hun rechten uit te oefenen zoals beschreven in hoofdstuk III van de GDPR te beantwoorden;
f) U helpen bij de naleving van uw verplichtingen overeenkomstig artikels 32 tot en met 36 van de GDPR, rekening houdend met de aard van de verwerking en de informatie waarover Citrix beschikt;
g) alle Persoonsgegevens terugbezorgen of U de kans geven deze op te halen nadat de levering van services is beëindigd en bestaande kopieën als volgt verwijderen: U krijgt dertig (30) kalenderdagen de tijd om uw Persoonsgegevens te downloaden na beëindiging van de Overeenkomst en dient contact op te nemen met de technische ondersteuning van Citrix voor downloadtoegang en -instructies. Neemt u geen contact op met de technische ondersteuning van Citrix met dit doel binnen 30 kalenderdagen nadat de levering van services is beëindigd, zal Citrix uw Persoonsgegevens onmiddellijk verwijderen zodra deze Persoonsgegevens niet meer toegankelijk zijn voor U, met uitzondering van (i) veilige back-ups die volgens de normale gang van zaken worden verwijderd, en (ii) wettelijk verplichte bewaring; in geval van (i) of (ii) blijft Citrix de relevante bepalingen van deze GDPR-voorwaarden naleven totdat de gegevens zijn verwijderd;
h) U de noodzakelijke informatie beschikbaar stellen om naleving van de verplichtingen zoals beschreven in artikel 28 van de GDPR aan te tonen en audits door U of een externe auditor mogelijk maken en hieraan meewerken in overeenstemming met artikel 11 hieronder;
i) U informeren of er, volgens Citrix, instructies zijn die een inbreuk vormen op de GDPR of andere bepalingen inzake gegevensbescherming van de Europese Unie of een lidstaat, op voorwaarde dat Citrix geen verplichting heeft om uw gebruik of verwerking van Persoonsgegevens onafhankelijk te inspecteren of te verifiëren; en
j) U informeren en redelijke hulp bieden bij het vervullen van uw plichten in geval van inbreuken in verband met Persoonsgegevens, overeenkomstig artikel 9 hieronder.
2. Wanneer Citrix een andere verwerker inschakelt voor het uitvoeren van specifieke verwerkingsactiviteiten namens U, worden die andere verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als beschreven in deze GDPR-voorwaarden, al naargelang het geval door middel van een contract, of een andere wettelijke daad overeenkomstig de wetgeving van de Europese Unie of een lidstaat, dat/die voldoende garanties biedt op de toepassing van passende technische en organisatorische maatregelen, zodanig dat de verwerking voldoet aan de geldende eisen van de GDPR. Wanneer die andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Citrix verantwoordelijk voor het vervullen van de verplichtingen van die andere verwerker.
Artikel 5. Subverwerking
1. Overeenkomstig de voorwaarden van dit artikel 5 stemt u ermee in dat Citrix subverwerkers inschakelt voor de verwerking van Persoonsgegevens.
2. Citrix zal ervoor zorgen dat Subverwerkers gebonden zijn aan schriftelijke overeenkomsten die eisen dat ze minimaal hetzelfde niveau van gegevensbescherming bieden als deze GDPR-voorwaarden aan Citrix opleggen.
3. Citrix blijft te allen tijde verantwoordelijk voor de naleving van deze GDPR-voorwaarden door deze verwerkers voor zover van toepassing.
4. Subverwerkers staan vermeld in de lijst van subverwerkers die U beschikbaar wordt gesteld. Ten minste tien (10) werkdagen voordat een nieuwe Subverwerker toegang wordt verleend tot persoonsgegevens zal Citrix de lijst van Subverwerkers bijwerken en U een methode aanbieden om hierover een kennisgeving te ontvangen. Wanneer Citrix verwerker is (en geen subverwerker) gelden de volgende voorwaarden:
a) Als u een nieuwe Subverwerker afkeurt, kunt u elk abonnement voor de betrokken service zonder boete beëindigen door, vóór het einde van de opzegtermijn, het abonnement schriftelijk op te zeggen met opgave van de redenen voor de afkeuring.
b) Als de betrokken service deel uitmaakt van een pakket (of een vergelijkbare enkelvoudige aankoop van services), dan geldt de opzegging voor het volledige pakket.
c) Na de opzegging blijft U verplicht om alle betalingen uit te voeren die een bestelbon of een andere contractuele verbintenis met de ELA-reseller en/of Citrix voorschrijft en hebt U geen recht op een terugbetaling vanwege de ELA-reseller en/of Citrix.
Artikel 6. Verdere en internationale overdracht van gegevens
1. Citrix kan Persoonsgegevens overdragen naar de Verenigde Staten en/of andere derde landen waar Citrix of zijn verwerkers actief zijn. Citrix zal zich houden aan de eisen van deze GDPR-voorwaarden, ongeacht waar die Persoonsgegevens worden opgeslagen of verwerkt.
2. Hierbij gevoegd als Bewijsstuk 1 zijn de “Modelcontractbepalingen (“Verwerker”)” die vermeld staan in het besluit van de Europese Commissie van 5 februari 2010; het betreft modelcontractbepalingen voor de overdracht van gegevens aan verwerkers die gevestigd zijn in derde landen overeenkomstig de Europese gegevensbeschermingsrichtlijn. Wanneer u Persoonsgegevens bezorgt die onder de Algemene Verordening Gegevensbescherming vallen en er geen andere rechtsgrond is voor de internationale overdracht van die Persoonsgegevens, gelden de “Modelcontractbepalingen (“Verwerker”)” die vermeld staan in dit besluit. In een dergelijk geval vormt artikel 1 van Bewijsstuk 2 (Bewijsstuk voor de beveiliging van Citrix-services) Aanhangsel II bij de Modelcontractbepalingen (beschrijving van technische en organisatorische beveiligingsmaatregelen). Xxxxxxx dit besluit ongeldig wordt geacht, komen de partijen overeen om tijdig en te goeder trouw te onderhandelen over vervangende voorwaarden die mogelijk zijn vereist voor de internationale overdracht van die Persoonsgegevens. Zie artikel 11, Audits, hieronder voor meer informatie over audits die worden uitgevoerd overeenkomstig de Modelcontractbepalingen.
3. Daarnaast kan Citrix Persoonsgegevens verwerken en bekendmaken aan (a) gelieerde entiteiten, voor doeleinden die stroken met de Overeenkomst en deze GDPR-voorwaarden; (b) in verband met een verwachte of daadwerkelijke fusie, overname, verkoop, faillissement of andere vorm van reorganisatie van een deel van of al zijn activiteiten, onder voorbehoud van de verplichting om de Persoonsgegevens te beschermen volgens de voorwaarden van de Overeenkomst; of (c) voor juridische doeleinden, inclusief het afdwingen van zijn rechten, opsporing en preventie van fraude, het voorkomen van schendingen van de rechten of eigendommen van Citrix of uw gebruikers, of het publiek; en (c) indien het hiertoe wettelijk is verplicht, onder meer in het kader van een dagvaarding, gerechtelijk of administratief bevel, of een ander bindend instrument (gezamenlijk een “Eis”). Tenzij dit bij wet is verboden, zal Citrix U onverwijld in kennis stellen van een eventuele Eis en U de redelijkerwijs noodzakelijke hulp bieden om U in staat te stellen tijdig op de Eis te reageren.
Artikel 7. Xxxx bij het beantwoorden van verzoeken van betrokkenen
1. Citrix zal U de Persoonsgegevens van uw betrokkenen beschikbaar stellen en U de mogelijkheid geven om te voldoen aan verzoeken van betrokkenen om één of meer van hun rechten in het kader van de GDPR uit te oefenen, op een manier die strookt met de functionaliteit van het Product en de rol van Citrix als verwerker. Citrix zal gevolg geven aan redelijke verzoeken om U te helpen bij uw antwoord.
2. Als Citrix een verzoek ontvangt van uw betrokkene om één of meer van zijn rechten uit te oefenen in het kader van de GDPR, zal Citrix de betrokkene doorverwijzen en vragen het verzoek rechtstreeks aan U te richten.
Artikel 8. Bijzondere beveiligingsvoorwaarden
Citrix zal de beveiligingsmaatregelen en -praktijken voor de bescherming van Persoonsgegevens toepassen zoals bepaald in Bewijsstuk 2 van deze Overeenkomst (Bewijsstuk voor de beveiliging van Citrix-services). Citrix kan de praktijken waarvan sprake is in dit Bewijsstuk 2 bijwerken, mits de genomen maatregelen tijdens om het even welke looptijd van de Service in geen geval minder bescherming bieden dan de maatregelen die werden bepaald op de ingangsdatum van die looptijd.
Artikel 9. Inbreuk in verband met Persoonsgegevens
Citrix zal U een inbreuk in verband met Persoonsgegevens zonder onredelijke vertraging melden zodra het hiervan kennis heeft genomen. In deze melding moet ten minste het volgende worden meegedeeld:
a) de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; en
c) de maatregelen die zijn genomen of voorgesteld om de inbreuk in verband met Persoonsgegevens aan te pakken, waaronder, waar passend, maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 10. Register van verwerkingsactiviteiten
Citrix zal een register van verwerkingsactiviteiten bijhouden zoals vereist door artikel 30(2) van de GDPR.
Artikel 11. Recht op audits
U mag audits uitvoeren van de verwerking van uw Persoonsgegevens door Citrix zoals wettelijk voorgeschreven. Elke dergelijke audit moet worden uitgevoerd op uw kosten, tijdens de normale bedrijfsuren, zonder verstoring van de activiteiten van Citrix en overeenkomstig de beveiligingsregels en -vereisten van Citrix. Citrix verbindt zich
ertoe om U vóór elke audit de redelijkerwijs gevraagde informatie en bijbehorende bewijzen te bezorgen om aan uw auditverplichtingen te voldoen, en U verbindt zich ertoe deze informatie te controleren alvorens een onafhankelijke audit uit te voeren.
U mag een beroep doen op een externe auditor met de toestemming van Citrix, die niet op onredelijke gronden zal worden geweigerd. Voordat hij een externe audit uitvoert, moet deze auditor een passende geheimhoudingsovereenkomst sluiten met Citrix.
Artikel 12. Wijziging, aanvulling en termijn
1. Citrix kan deze GDPR-voorwaarden wijzigen of aanvullen, met kennisgeving aan U, (i) indien het daartoe wordt verplicht door een toezichthoudende autoriteit of andere overheids- of regelgevende instantie, (ii) indien dit nodig is om aan het toepasselijke recht te voldoen, (iii) om modelcontractbepalingen toe te passen die zijn vastgelegd door de Europese Commissie of (iv) om zich te houden aan een goedgekeurde gedragscode of een certificeringsmechanisme dat is goedgekeurd of gecertificeerd overeenkomstig Artikels 40 en 42 van de GDPR.
2. Zonder afbreuk te doen aan deze GDPR-voorwaarden kan Citrix af en toe aanvullende informatie en details verstrekken over de manier waarop het deze GDPR-voorwaarden ten uitvoer zal brengen in zijn productspecifieke technische, privacy- of beleidsdocumentatie.
3. Deze GDPR-voorwaarden worden van kracht bij de inwerkingtreding van de GDPR.
Voor U Naam: Functie: Handtekening van bevoegde persoon | Voor Citrix Naam: Xxxxxxx Xxxxx Functie: Senior Vice-President en General Counsel Handtekening van bevoegde persoon |
Bewijsstuk 1: Modelcontractbepalingen (“Verwerker”)
gevestigd in derde landen
Voor de toepassing van Artikel 26(2) van Richtlijn 95/46/EG voor de doorgifte van persoonsgegevens aan verwerkers die gevestigd zijn in derde landen die geen passend beschermingsniveau waarborgen
U
(de gegevensexporteur)
En
Naam van de organisatie die gegevens importeert:
Citrix Systems, Inc. (met inbegrip van zijn gelieerde ondernemingen) Adres: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000
Tel.:x0 000 000 0000; fax: + 0 000 000 0000; e-mail: xxxxxxxxxxxx@xxxxxx.xxx
elk afzonderlijk 'partij' en gezamenlijk 'de partijen' genoemd,
(de gegevensimporteur)
ZIJN OVEREENGEKOMEN de volgende contractbepalingen (hierna 'de bepalingen' genoemd) vast te stellen teneinde voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, bij de doorgifte van de in aanhangsel 1 vermelde persoonsgegevens door de gegevensexporteur aan de gegevensimporteur.
Bepaling 1
Definities.
Voor de toepassing van de bepalingen:
(a) | gelden voor 'persoonsgegevens', 'bijzondere categorieën gegevens', 'verwerken/verwerking', 'verwerkingsverantwoordelijke', 'verwerker', 'betrokkene' en 'toezichthoudende autoriteit' dezelfde definities als in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het |
(b)wordt onder 'gegevensexporteur' verstaan: de voor de verwerking verantwoordelijke die de persoonsgegevens doorgeeft;
(c)wordt onder 'gegevensimporteur' verstaan: de verwerker die overeenkomt van de gegevensexporteur persoonsgegevens te ontvangen om deze na doorgifte namens de gegevensexporteur te verwerken in overeenstemming met zijn instructies en de voorwaarden van de bepalingen, en die niet onderworpen is aan een regeling van een derde land die passende bescherming biedt in de zin van artikel 25(1) van Richtlijn 95/46/EG;
(d)wordt onder 'subverwerker' verstaan: een verwerker die door de gegevensimporteur of een andere voor de
gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking;
(e)wordt onder 'toepasselijk recht inzake gegevensbescherming' verstaan: de wettelijke bepalingen ter bescherming van de fundamentele rechten en vrijheden van personen, en met name hun recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens, die in de lidstaat van vestiging van de gegevensexporteur van toepassing zijn op een verwerkingsverantwoordelijke;
(f)wordt onder 'technische en organisatorische beveiligingsmaatregelen' verstaan: maatregelen die tot doel hebben persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking de doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.
Bepaling 2
Bijzonderheden betreffende de doorgifte
De bijzonderheden betreffende de doorgifte, met name, in voorkomend geval, de bijzondere categorieën persoonsgegevens, worden nader omschreven in aanhangsel 1, dat een integrerend deel van de bepalingen vormt.
Bepaling 3
Derdenbeding
0.Xx betrokkene kan deze bepaling en bepaling 4(b) tot en met (i), bepaling 5(a) tot en met (e) en (g) tot en met (j), bepaling 6(1) en (2), bepaling 7, bepaling 8(2), en de bepalingen 9 tot en met 12 als derde begunstigde tegenover de gegevensexporteur afdwingen.
0.Xx betrokkene kan deze bepaling, bepaling 5(a) tot en met (e) en (g), bepaling 6, bepaling 7, bepaling 8(2), en bepalingen 9 tot en met 12 afdwingen tegenover de gegevensimporteur, in gevallen waarin de gegevensexporteur feitelijk is verdwenen of heeft opgehouden rechtens te bestaan, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dit geval kan de betrokkene de genoemde bepalingen tegenover deze rechtsopvolger afdwingen.
0.Xx betrokkene kan deze bepaling, bepaling 5(a) tot en met (e) en (g), bepaling 6, bepaling 7, bepaling 8(2), en bepalingen 9 tot en met 12 tegenover de subverwerker afdwingen in die gevallen waarin zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen en daardoor de rechten en verplichtingen van de gegevensexporteur op zich neemt; in dat geval kan de betrokkene de genoemde bepalingen tegenover deze rechtsopvolger afdwingen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
0.Xx partijen verzetten zich er niet tegen dat een betrokkene door een vereniging of andere instelling wordt vertegenwoordigd, indien de betrokkene dit uitdrukkelijk wenst en dit in het nationale recht is toegestaan.
Bepaling 4
Verplichtingen van de gegevensexporteur
De gegevensexporteur stemt ermee in en garandeert dat:
(a) | de verwerking van de persoonsgegevens, met inbegrip van de doorgifte zelf, is geschied en zal blijven |
geschieden in overeenstemming met alle relevante bepalingen van het toepasselijke recht inzake gegevensbescherming (en, waar van toepassing, is gemeld aan de betrokken autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd), en dat zij niet in strijd is met de toepasselijke bepalingen van die staat;
(b)hij de gegevensimporteur instructie heeft gegeven, en gedurende de verwerking van de persoonsgegevens zal geven, de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met het toepasselijke recht inzake gegevensbescherming en de bepalingen te verwerken;
(c)de gegevensimporteur voldoende waarborgen zal bieden ten aanzien van de technische en organisatorische beveiligingsmaatregelen die in aanhangsel 2 bij dit contract worden omschreven;
(d)deze beveiligingsmaatregelen, na een beoordeling van de vereisten van het toepasselijke recht inzake gegevensbescherming, geschikt zijn bevonden om persoonsgegevens te beschermen tegen vernietiging, hetzij bij ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens via een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking, en deze maatregelen gezien de aan de verwerking en de aard van de te beschermen gegevens verbonden risico’s een passend beveiligingsniveau waarborgen, gelet op de stand van de techniek en de kosten van de tenuitvoerlegging;
(e)hij op de naleving van deze beveiligingsmaatregelen zal toezien;
(f)wanneer de doorgifte bijzondere categorieën gegevens betreft, de betrokkene ervan in kennis is gesteld, of vóór of zo spoedig mogelijk na de doorgifte ervan in kennis zal worden gesteld, dat zijn gegevens kunnen worden doorgegeven naar een derde land dat geen passende bescherming biedt als bedoeld in Richtlijn 95/46/EG;
(g)hij overeenkomstig bepaling 5(b), en bepaling 8(3), ontvangen kennisgevingen van de gegevensimporteur of een subverwerker aan de toezichthoudende autoriteit zal doorzenden, wanneer de gegevensexporteur besluit de doorgifte voort te zetten of de opschorting op te heffen;
(h)hij op verzoek een afschrift van de bepalingen ter beschikking van de betrokkene zal stellen, met uitzondering van aanhangsel 2, alsmede een beknopte beschrijving van de beveiligingsmaatregelen en een afschrift van elk contract voor subverwerkingsdiensten dat overeenkomstig de bepalingen dient te worden opgesteld; indien de bepalingen of het contract commerciële informatie bevatten, mag de gegevensexporteur deze commerciële informatie verwijderen;
(i)in geval van subverwerking de verwerkingsactiviteiten worden uitgevoerd overeenkomstig bepaling 11 door een subverwerker die ten minste hetzelfde beschermingsniveau voor de persoonsgegevens en de rechten van de betrokkene waarborgt als de gegevensimporteur overeenkomstig deze bepalingen; en
(j)hij zal toezien op de naleving van bepaling 4(a) tot en met (i).
Bepaling 5
Verplichtingen van de gegevensimporteur (2)
De gegevensimporteur stemt ermee in en garandeert dat:
(a) | hij de persoonsgegevens uitsluitend namens de gegevensexporteur en in overeenstemming met diens instructies en met de bepalingen verwerkt; indien hij om welke reden dan ook daartoe niet in staat is, stemt hij ermee in de gegevensexporteur onverwijld daarvan in kennis te stellen, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen; |
(b)hij geen reden heeft aan te nemen dat de op hem toepasselijke wetgeving hem belet de van de gegevensexporteur ontvangen instructies en zijn verplichtingen krachtens het contract na te komen, en dat hij in geval van een wijziging in deze wetgeving die in aanzienlijke mate afbreuk dreigt te doen aan de in de bepalingen opgenomen waarborgen en verplichtingen, de gegevensexporteur, zodra hij de wijziging kent, onverwijld daarvan in kennis stelt, in welk geval de gegevensexporteur de gegevensdoorgifte mag opschorten en/of het contract mag beëindigen
(c)hij de in aanhangsel 2 omschreven technische en organisatorische beveiligingsmaatregelen vóór de verwerking van de doorgegeven persoonsgegevens heeft getroffen;
(d)hij de gegevensexporteur onverwijld ervan in kennis stelt wanneer:
(i) | een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren; |
(ii)iemand per ongeluk of op ongeoorloofde wijze toegang tot de gegevens heeft gehad; en
(iii) | hij van de betrokkenen rechtstreeks een verzoek heeft ontvangen, waarop hij niet ingaat, tenzij hem dit anderszins is toegestaan; |
(e)hij alle vragen van de gegevensexporteur betreffende de door hem uitgevoerde verwerking van de doorgegeven persoonsgegevens zo spoedig mogelijk naar behoren beantwoordt en het advies van de toezichthoudende autoriteit volgt bij de verwerking van de doorgegeven gegevens;
(f)hij op verzoek van de gegevensexporteur zijn verwerkingsvoorzieningen beschikbaar stelt voor controle van de onder deze bepalingen vallende verwerkingsactiviteiten, welke wordt uitgevoerd door de gegevensexporteur of door een controleorgaan waarvan de leden onafhankelijk zijn, over de vereiste beroepskwalificaties beschikken, tot geheimhouding verplicht zijn en door de gegevensexporteur worden aangewezen, waar van toepassing in overleg met de toezichthoudende autoriteit;
(g)hij, wanneer de betrokkene geen afschrift van de gegevensexporteur kan verkrijgen, hem op verzoek een afschrift van de bepalingen alsmede eventuele subverwerkingscontracten ter beschikking stelt, met uitzondering van aanhangsel 2 dat door een beknopte beschrijving van de beveiligingsmaatregelen wordt vervangen; indien de bepalingen of contracten commerciële informatie bevatten, mag de gegevensimporteur deze commerciële informatie verwijderen;
(h)hij, wanneer subverwerking plaatsvindt, de gegevensexporteur tevoren heeft ingelicht en diens schriftelijke toestemming heeft verkregen;
(i) | de verwerkingsdiensten van de subverwerker overeenkomstig bepaling 11 zullen worden uitgevoerd; |
(j) | hij van elk subverwerkingscontract dat hij in het kader van de bepalingen aangaat, onverwijld een afschrift doet toekomen aan de gegevensexporteur. |
Bepaling 6
Aansprakelijkheid
0.Xx partijen komen overeen dat elke betrokkene die ten gevolge van een schending van de verplichtingen bedoeld in bepaling 3 of bepaling 11 door een partij of een subverwerker schade heeft geleden, het recht heeft van de gegevensexporteur vergoeding voor de geleden schade te ontvangen.
2.Wanneer de betrokkene geen vordering tot schadevergoeding wegens niet-nakoming door de gegevensimporteur of diens subverwerker van een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen, als bedoeld in lid 1, tegen de gegevensexporteur kan instellen doordat de gegevensexporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de gegevensimporteur ermee in dat de betrokkene een vordering kan instellen tegen de gegevensimporteur alsof hij de gegevensexporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden.
De gegevensimporteur kan zich niet aan zijn aansprakelijkheid onttrekken door zich te beroepen op niet- nakoming van verplichtingen door de subverwerker.
3.Wanneer de betrokkene de in lid 1 of 2 bedoelde vordering wegens niet-nakoming door de subverwerker van
een van de in bepaling 3 of bepaling 11 bedoelde verplichtingen niet tegen de gegevensexporteur of de gegevensimporteur kan instellen doordat zowel de gegevensexporteur als de gegevensimporteur feitelijk is verdwenen, heeft opgehouden rechtens te bestaan of insolvent is geworden, stemt de subverwerker ermee in dat de betrokkene een vordering kan instellen tegen de subverwerker, met betrekking tot diens eigen verwerkingsactiviteiten krachtens de bepalingen, alsof deze de gegevensexporteur of de gegevensimporteur was, tenzij een rechtsopvolger contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen, in welk geval de betrokkene zijn rechten tegenover die rechtsopvolger kan doen gelden. De aansprakelijkheid van de subverwerker blijft beperkt tot de verwerkingsactiviteiten die deze zelf heeft uitgevoerd krachtens de bepalingen.
Bepaling 7
Bemiddeling en rechtsmacht
0.Xx gegevensimporteur stemt ermee in dat, indien de betrokkene tegen hem rechten ten behoeve van derden en/of vorderingen tot schadevergoeding krachtens de bepalingen inroept, de gegevensimporteur de beslissing van de betrokkene aanvaardt:
(a)het geschil te onderwerpen aan bemiddeling door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
(b) | het geschil voor te leggen aan een rechterlijke instantie in de lidstaat waar de gegevensexporteur is gevestigd. |
0.Xx partijen komen overeen dat de door de betrokkene gemaakte keuze geen afbreuk doet aan diens materiële of formele rechten om op grond van andere bepalingen van nationaal of internationaal recht verhaal te zoeken.
Bepaling 8
Samenwerking met de toezichthoudende autoriteiten
0.Xx gegevensexporteur stemt ermee in een afschrift van dit contract bij de toezichthoudende autoriteit neer te leggen, indien deze daarom verzoekt of indien dit krachtens het toepasselijke recht inzake gegevensbescherming vereist is.
0.Xx partijen komen overeen dat de toezichthoudende autoriteit bevoegd is bij de gegevensimporteur en eventuele subverwerkers een controle te verrichten die dezelfde reikwijdte heeft en aan dezelfde voorwaarden is onderworpen als die welke krachtens het toepasselijke recht inzake gegevensbescherming voor haar controle van de gegevensexporteur zouden gelden.
3.Indien er wetgeving bestaat die op de gegevensimporteur of een subverwerker van toepassing is en die de uitvoering van controles als in lid 2 bedoeld op de gegevensimporteur of een subverwerker verbiedt, stelt de gegevensimporteur de gegevensexporteur daarvan onverwijld in kennis. In een dergelijk geval mag de gegevensexporteur de in bepaling 5(b) bedoelde maatregelen nemen.
Bepaling 9
Toepasselijk recht
Op de bepalingen is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing.
Bepaling 10
Wijziging van het contract
De partijen verbinden zich ertoe de bepalingen niet te wijzigen. Dit vormt voor de partijen geen beletsel om indien nodig bepalingen toe te voegen betreffende met de transactie verband houdende vraagstukken, mits deze niet met de modelcontractbepalingen in strijd zijn.
Bepaling 11
Subverwerking
0.Xx gegevensimporteur besteedt de verwerkingsactiviteiten die hij overeenkomstig de bepalingen namens de gegevensexporteur uitvoert, niet uit zonder de voorafgaande schriftelijke toestemming van de gegevensexporteur. Indien de gegevensimporteur met toestemming van de gegevensexporteur zijn verplichtingen uit hoofde van de bepalingen uitbesteedt, dient hij met de subverwerker een schriftelijk contract te sluiten waarbij aan de subverwerker dezelfde verplichtingen worden opgelegd als die waaraan de gegevensimporteur uit hoofde van de bepalingen moet voldoen (3). Indien de subverwerker niet voldoet aan zijn verplichtingen tot gegevensbescherming uit hoofde van dat schriftelijke contract, blijft de gegevensimporteur jegens de gegevensexporteur volledig aansprakelijk voor de uitvoering van de verplichtingen van de subverwerker uit hoofde van dat contract.
0.Xx het tevoren tussen de gegevensimporteur en de subverwerker te sluiten schriftelijke contract dient tevens een derdenbeding te zijn opgenomen zoals vervat in bepaling 3, dat voorziet in gevallen dat de betrokkene geen vordering tot schadevergoeding als bedoeld in bepaling 6, lid 1, kan instellen tegen de gegevensexporteur of de gegevensimporteur omdat deze feitelijk zijn verdwenen, hebben opgehouden rechtens te bestaan of insolvent zijn geworden, en er geen rechtsopvolger is die contractueel of rechtens alle wettelijke verplichtingen van de gegevensexporteur of de gegevensimporteur heeft overgenomen. Deze aansprakelijkheid van de subverwerker jegens derden blijft beperkt tot de verwerkingswerkzaamheden die deze zelf heeft uitgevoerd krachtens de bepalingen.
3.Op de in lid 1 bedoelde bepalingen betreffende de gegevensbeschermingsaspecten van de subverwerking uit hoofde van het in lid 1 bedoelde contract is het recht van de lidstaat van vestiging van de gegevensexporteur van toepassing, te weten …
0.Xx gegevensexporteur houdt een lijst bij van subverwerkingscontracten die krachtens de bepalingen zijn gesloten en door de gegevensimporteur overeenkomstig bepaling 5(j), zijn aangemeld, en werkt deze ten minste eenmaal per jaar bij. Deze lijst wordt ter beschikking gesteld van de toezichthoudende autoriteit voor gegevensbescherming die op de gegevensexporteur toezicht houdt.
Bepaling 12
Verplichting na de beëindiging van de verwerking van persoonsgegevens
0.Xx partijen komen overeen dat de gegevensimporteur en de subverwerker na het beëindigen van de verlening van de gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de gegevensexporteur terugbezorgen of, indien de gegevensexporteur dat verkiest, alle persoonsgegevens vernietigen en aan de gegevensexporteur verklaren dat de vernietiging heeft plaatsgevonden, tenzij de op de gegevensimporteur toepasselijke wetgeving hem verbiedt alle of een gedeelte van de doorgegeven persoonsgegevens terug te bezorgen of te vernietigen. In dat geval garandeert de gegevensimporteur dat hij de vertrouwelijkheid van de doorgegeven persoonsgegevens zal respecteren en dat hij de doorgegeven gegevens niet verder actief zal verwerken.
0.Xx gegevensimporteur en de subverwerker garanderen dat zij op verzoek van de gegevensexporteur en/of de toezichthoudende autoriteit hun verwerkingsvoorzieningen voor een controle van de in lid 1 bedoelde maatregelen beschikbaar zullen stellen.
Namens de gegevensexporteur:
Naam (voluit): … Functie: … Adres: …
Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:
Handtekening …
Namens de gegevensimporteur:
Naam (voluit): Xxxxxxx Xxxxx
Functie: Senior Vice-President en General Counsel
Adres: 000 Xxxx Xxxxxxx Xxxx - Xx. Xxxxxxxxxx, XX 00000 (VS)
Eventuele andere inlichtingen die voor het verbindend worden van het contract noodzakelijk zijn:
Handtekening …
(1) De partijen kunnen in deze bepaling de definities en begrippen van Richtlijn 95/46/EG herhalen, indien zij de voorkeur geven aan een autonoom contract.
(2) Vereisten van het nationale recht die op de gegevensimporteur van toepassing zijn en die niet verder gaan dan wat in een democratische samenleving noodzakelijk is op basis van een van de in artikel 13(1) van Richtlijn 95/46/EG vermelde belangen, dat wil zeggen noodzakelijke maatregelen ter vrijwaring van de veiligheid van een staat, de landsverdediging, de openbare veiligheid, het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen, een belangrijk economisch en financieel belang van een lidstaat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen, zijn niet in strijd met de bepalingen. Enkele voorbeelden van dergelijke vereisten die niet verder gaan dan wat in een democratische samenleving noodzakelijk is, zijn internationaal erkende sancties, verplichtingen in verband met de belastingaangifte en verplichtingen in verband met het melden van witwaspraktijken.
(3) Aan deze eis kan worden voldaan door medeondertekening door de subverwerker van het contract tussen de gegevensexporteur en de gegevensimporteur dat krachtens dit besluit wordt gesloten.
Aanhangsel 1 bij de modelcontractbepalingen
Dit aanhangsel maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.
De lidstaten kunnen overeenkomstig hun nationale procedures aanvullende of meer gedetailleerde gegevens voorschrijven die in dit aanhangsel moeten worden opgenomen.
Gegevensexporteur
De gegevensexporteur (beschrijf in het kort de voor de doorgifte relevante activiteiten):
Gebruikt IT-producten, -services en -oplossingen van Citrix zoals beschreven in de Beschrijving van Citrix-services.
Gegevensimporteur
De gegevensimporteur (beschrijf in het kort de voor de doorgifte relevante activiteiten):
Levert IT-producten, -services en -oplossingen zoals beschreven in de Beschrijving van Citrix-services.
Betrokkenen
De doorgegeven persoonsgegevens betreffen de volgende categorieën betrokkenen (beschrijf): Zoals beschreven in artikel 3 van de overeenkomst.
Categorieën gegevens
De doorgegeven persoonsgegevens betreffen de volgende categorieën gegevens (beschrijf): Zoals beschreven in artikel 3 van de overeenkomst.
Bijzondere categorieën gegevens (indien van toepassing)
De doorgegeven persoonsgegevens betreffen de volgende bijzondere categorieën gegevens (beschrijf): Zoals beschreven in artikel 3 van de overeenkomst.
Verwerking
De doorgegeven persoonsgegevens zullen de volgende basisverwerkingen ondergaan (beschrijf): Zoals beschreven in de servicebeschrijving.
GEGEVENSEXPORTEUR Naam: Functie: Handtekening van bevoegde persoon | GEGEVENSIMPORTEUR Naam: Xxxxxxx Xxxxx Functie: Senior Vice-President en General Counsel Handtekening van bevoegde persoon |
Aanhangsel 2 bij de modelcontractbepalingen
Dit aanhangsel maakt deel uit van de bepalingen en moet door de partijen worden ingevuld en ondertekend.
Beschrijving van de technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur overeenkomstig bepaling 4(d) en bepaling 5(c) zijn getroffen (of bijgevoegd(e) document/wettelijke regeling):
De technische en organisatorische beveiligingsmaatregelen worden beschreven in Bewijsstuk voor de beveiliging van Citrix-services (Bewijsstuk 2 bij de overeenkomst)
GEGEVENSEXPORTEUR Naam: Functie: Handtekening van bevoegde persoon | GEGEVENSIMPORTEUR Naam: Xxxxxxx Xxxxx Functie: Senior Vice-President en General Counsel Handtekening van bevoegde persoon |