ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX EU-STANDAARDCONTRACTBEPALINGEN:
ADDENDUM OVER GEGEVENSVERWERKING VAN CITRIX EU-STANDAARDCONTRACTBEPALINGEN:
MODULE TWEE (Doorgifte tussen verwerkingsverantwoordelijke en verwerker)
In overeenstemming met Artikel 7 van het Addendum over gegevensverwerking van Citrix, versie 17 september 2021 (geplaatst in het Citrix Trust Center dat te vinden is op xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxx-xxxxxxxxxx-xxxxxxxxx.xxxx) (“Addendum”),
zijn deze EU-Standaardcontractbepalingen (Module Twe: Doorgifte tussen verwerkingsverantwoordelijke en verwerker), die bij verwijzing zijn opgenomen in het Addendum, beschikbaar voor uitvoering door de klantentiteit die Diensten heeft afgenomen waarop het Addendum van toepassing is.
STANDAARDCONTRACTBEPALINGEN ARTIKEL I
Bepaling 1
Doel en toepassingsgebied
(a) Deze standaardcontractbepalingen hebben tot doel de naleving te garanderen van de vereisten in Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (AVG, algemene verordening gegevensbescherming) voor de doorgifte van persoonsgegevens naar een derde land.
(b) De Partijen:
(i) de natuurlijke personen of rechtspersonen en de overheidsinstellingen, -organen en -instanties (hierna “entiteit(en)" genoemd) die de in Bijlage I.A bedoelde persoonsgegevens doorgeven (hierna elk "gegevensexporteur” genoemd), en
(ii) de entiteiten in een derde land die de persoonsgegevens van de gegevensexporteur ontvangen, direct of indirect via een andere entiteit die ook Partij is bij deze Bepalingen, zoals opgenomen in Bijlage I.A (hierna elk "gegevensimporteur" genoemd)
zijn deze standaardcontractbepalingen overeengekomen (hierna: “Bepalingen").
(c) Deze Bepalingen zijn van toepassing op de doorgifte van persoonsgegevens zoals opgenomen in Bijlage I.B.
(d) Het Aanhangsel bij deze Bepalingen dat de daarin genoemde Bijlagen bevat, maakt integraal deel uit van deze Bepalingen.
Bepaling 2
Effect en onveranderlijkheid van de Bepalingen
(a) In deze Bepalingen worden passende waarborgen vastgesteld, met inbegrip van afdwingbare rechten van betrokkenen en doeltreffende rechtsmiddelen, overeenkomstig artikel 46, lid 1, en artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 alsook, met betrekking tot gegevensdoorgiften van verwerkingsverantwoordelijken aan verwerkers en/of van verwerkers aan verwerkers, standaardcontractbepalingen overeenkomstig Artikel 28, lid 7, van Verordening (EU) 2016/679, mits deze niet worden gewijzigd, behalve om de geschikte Module(s) te selecteren of om informatie in het Aanhangsel toe te voegen of te wijzigen. Dit houdt niet in dat de Partijen de in deze Bepalingen neergelegde standaardcontractbepalingen niet in een bredere overeenkomst mogen opnemen en/of andere Bepalingen of extra waarborgen mogen toevoegen, mits deze niet direct of indirect in tegenspraak zijn met deze Bepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen.
(b) Deze Bepalingen doen geen afbreuk aan de krachtens Verordening (EU) 2016/679 op de gegevensexporteur rustende verplichtingen.
Bepaling 3
Derde-begunstigden
(a) Betrokkenen mogen zich als derde-begunstigden op deze Bepalingen beroepen en deze doen gelden tegen de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:
(i) Bepaling 1, Bepaling 2, Bepaling 3, Bepaling 6, Bepaling 7;
(ii) Bepaling 8 – Module Twee: Bepaling 8.1(b), 8.9(a), (c), (d) en (e);
(iii) Bepaling 9 – Module Twee: Bepaling 9(a), (c), (d) en (e);
(iv) Bepaling 12 – Module Twee: Bepaling 12(a), (d) en (f);
(v) Bepaling 13;
(vi) Bepaling 15.1(c), (d) en (e);
(vii) Bepaling 16 (e);
(viii) Bepaling 18 – Module Twee: Bepaling 18(a) en (b).
(b) Punt (a) doet geen afbreuk aan de rechten van betrokkenen krachtens Verordening (EU) 2016/679.
Bepaling 4
Interpretatie
(a) Wanneer in deze Bepalingen in Verordening (EU) 2016/679 gedefinieerde termen worden gebruikt, hebben die termen dezelfde betekenis als in die Verordening.
(b) Deze Bepalingen dienen te worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679.
(c) Deze Bepalingen dienen niet te worden geïnterpreteerd op een wijze die in tegenspraak is met de in Verordening (EU) 2016/679 vastgestelde rechten en verplichtingen.
Bepaling 5
Hiërarchie
In geval van tegenspraak tussen deze Bepalingen en de bepalingen van aanverwante overeenkomsten tussen de Partijen die bestonden ten tijde van het overeenkomen van deze Bepalingen of die daarna werden gesloten, hebben deze Bepalingen voorrang.
Bepaling 6
Beschrijving van de doorgifte(n)
De details van de doorgifte(n), en in het bijzonder de categorieën van persoonsgegevens die worden doorgegeven en het doel waarvoor zij worden doorgegeven, worden in Bijlage I.B nader gespecificeerd.
Bepaling 7
Docking-bepaling
(a) Een entiteit die geen Partij is bij deze Bepalingen mag, met het akkoord van de Partijen, te allen tijde tot deze Bepalingen toetreden, hetzij als gegevensexporteur, hetzij als gegevensimporteur, door het Aanhangsel in te vullen en Bijlage I.A te ondertekenen.
(b) Als de toetredende entiteit het Aanhangsel heeft ingevuld en Bijlage I.A heeft ondertekend, wordt zij een Partij bij deze Bepalingen en krijgt zij de rechten en verplichtingen van een gegevensexporteur of een gegevensimporteur in overeenstemming met haar benoeming in Bijlage I.A.
(c) De toetredende entiteit heeft geen rechten of verplichtingen uit hoofde van deze Bepalingen uit de periode voordat zij Partij werd.
ARTIKEL II -- VERPLICHTINGEN VAN DE PARTIJEN
Bepaling 8
Waarborgen inzake gegevensbescherming
De gegevensexporteur garandeert dat hij redelijke inspanningen heeft geleverd om te bepalen of de gegevensimporteur, door de uitvoering van passende technische en organisatorische maatregelen, in staat is zijn verplichtingen uit hoofde van deze Bepalingen na te komen.
8.1 Instructies
(a) De gegevensimporteur verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de gegevensexporteur. De gegevensexporteur mag dergelijke instructies geven gedurende de duur van de overeenkomst.
(b) De gegevensimporteur stelt de gegevensexporteur onmiddellijk in kennis indien hij niet in staat is deze instructies op te volgen.
8.2 Doelbinding
De gegevensimporteur verwerkt de persoonsgegevens alleen voor het specifieke doel van de doorgifte, zoals opgenomen Bijlage I.B, tenzij op basis van verdere instructies van de gegevensexporteur.
8.3 Transparantie
De gegevensexporteur maakt op verzoek een kopie van deze Bepalingen, met inbegrip van het door de Partijen ingevulde Aanhangsel, dat gratis beschikbaar is voor de betrokkene. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder de in Bijlage II beschreven maatregelen en persoonsgegevens, te beschermen, mag de gegevensexporteur een gedeelte van de tekst van het aanhangsel bij deze bepalingen redigeren voordat hij een kopie deelt, maar hij moet daarbij een relevante samenvatting verstrekken indien de betrokkene anders de inhoud ervan niet zou kunnen begrijpen of zijn/haar rechten niet zou kunnen uitoefenen. Op verzoek delen de Partijen de betrokkene de redenen voor het redigeren mee, voor zover mogelijk zonder de geredigeerde informatie te onthullen. Deze Bepaling doet geen afbreuk aan de verplichtingen van de gegevensexporteur op grond van de artikelen 13 en 14 van Verordening (EU) 2016/679.
8.4 Nauwkeurigheid
Indien de gegevensimporteur te weten komt dat de persoonsgegevens die hij heeft ontvangen onjuist of verouderd zijn, stelt hij de gegevensexporteur daarvan onverwijld in kennis. In dit geval werkt de gegevensimporteur samen met de gegevensexporteur om de gegevens te wissen of te rectificeren.
8.5 Duur van verwerking en wissing of terugbezorging van gegevens
Verwerking door de gegevensimporteur vindt alleen plaats voor de in Bijlage I.B opgegeven duur. Na afloop van de verrichting van de verwerkingsdiensten wist de gegevensimporteur, naargelang de wens van de gegevensexporteur, alle namens de gegevensexporteur verwerkte persoonsgegevens en verzekert hij de gegevensexporteur ervan dat hij dat heeft gedaan, of hij geeft de gegevensexporteur alle namens hem verwerkte persoonsgegevens terug en verwijdert bestaande kopieën. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze Bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of verwijdering van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze Bepalingen zal blijven naleven en de persoonsgegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist. Dit doet geen afbreuk aan Bepaling 14, met name het vereiste voor de gegevensimporteur krachtens Bepaling 14, punt e), om de gegevensexporteur gedurende de hele looptijd van de overeenkomst in kennis te stellen als hij redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van Bepaling 14, punt a).
8.6 Beveiliging van de verwerking
(a) De gegevensimporteur en, tijdens de toezending, ook de gegevensexporteur nemen passende technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen, met inbegrip van bescherming tegen een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot die gegevens (hierna "inbreuk in verband met persoonsgegevens" genoemd). Bij het beoordelen van het passende beveiligingsniveau houden de Partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, reikwijdte, context en doeleinden van de verwerking, en met de risico's die de verwerking met zich meebrengt voor de betrokkenen. De Partijen overwegen met name gebruik te maken van encryptie of pseudonimisering, ook tijdens toezending, waarbij het doel van de verwerking op die manier kan worden verwezenlijkt. Bij pseudonimisering blijven de aanvullende gegevens voor het koppelen van de persoonsgegevens aan een bepaalde betrokkene waar mogelijk onder de exclusieve controle van de gegevensexporteur. Bij de naleving van zijn verplichting uit hoofde van dit punt voert de gegevensimporteur ten minste de in Bijlage II vastgestelde technische en organisatorische maatregelen uit. De gegevensimporteur voert regelmatig controles uit om ervoor te zorgen dat deze maatregelen een passend beveiligingsniveau blijven bieden.
(b) De gegevensimporteur verleent zijn personeel alleen toegang tot de persoonsgegevens voor zover dit strikt noodzakelijk is voor de uitvoering, het beheer en de follow-up van de overeenkomst. Hij waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.
(c) Bij een inbreuk in verband met persoonsgegevens met betrekking tot persoonsgegevens die op grond van deze Bepalingen door de gegevensimporteur worden verwerkt, neemt de gegevensimporteur passende maatregelen om de inbreuk aan te pakken, waaronder maatregelen om de negatieve gevolgen ervan te beperken. Nadat de gegevensimporteur kennis heeft genomen van de inbreuk, stelt hij ook de gegevensexporteur daarvan onverwijld in kennis. Een dergelijke kennisgeving bevat de gegevens van een contactpunt bij wie meer informatie kan worden verkregen, een beschrijving van de aard van de inbreuk waar mogelijk onder vermelding van de categorieën van betrokkene n en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie), de waarschijnlijke gevolgen ervan en de maatregelen die zijn voorgesteld of genomen om de inbreuk aan te pakken waaronder, in voorkomend geval, maatregelen om mogelijke negatieve gevolgen te beperken. Wanneer en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, bevat de initiële kennisgeving de op dat moment beschikbare informatie en zal verdere informatie, zodra die beschikbaar is, vervolgens onverwijld worden verstrekt.
(d) Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie werkt de gegevensimporteur samen met en verleent hij bijstand aan de gegevensexporteur om deze in staat te stellen zijn verplichtingen krachtens Verordening (EU) 2016/679 na te komen, met name om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in kennis te stellen.
8.7 Gevoelige gegevens
Indien de doorgifte persoonsgegevens betreft waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond, genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksleven of seksuele geaardheid, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna "gevoelige gegevens" genoemd) blijken, past de gegevensimporteur de in Bijlage I.B vermelde specifieke beperkingen en/of extra waarborgen toe.
8.8 Verdere doorgiften
De gegevensimporteur verstrekt de persoonsgegevens uitsluitend aan een derde partij na schriftelijke instructies van de gegevensexporteur. Bovendien worden de gegevens alleen aan een derde partij verstrekt die is gevestigd buiten de Europese Unie (in hetzelfde land als de gegevensimporteur of in een ander derde land; hierna "verdere doorgifte" genoemd), indien de derde partij aan deze Bepalingen is gebonden of ermee instemt daaraan gebonden te zijn, op grond van de juiste Module, of indien:
(i) de verdere doorgifte naar een land is dat profiteert van een adequaatheidsbesluit overeenkomstig Artikel 45 van Verordening (EU) 2016/679 waar de verdere doorgifte onder valt;
(ii) de derde partij anderszins voor passende waarborgen overeenkomstig Artikel 46 of 47 van Verordening (EU) 2016/679 zorgt met betrekking tot de verwerking in kwestie;
(iii) de verdere doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering in de context van bepaalde administratieve, regelgevings- of gerechtelijke procedures, of
(iv) de verdere doorgifte noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
Verdere doorgiften mogen alleen plaatsvinden indien de gegevensimporteur zich aan alle overige waarborgen krachtens deze Bepalingen houdt, met name doelbinding.
8.9 Documentatie en naleving
(a) De gegevensimporteur handelt vragen van de gegevensexporteur in verband met de verwerking op grond van deze Bepalingen onverwijld en op passende wijze af.
(b) De Partijen moeten de naleving van deze Bepalingen kunnen aantonen. De gegevensimporteur houdt met name passende documentatie bij over de verwerkingsactiviteiten die onder zijn verantwoordelijkheid namens de gegevensexporteur hebben plaatsgevonden.
(c) Op verzoek van de gegevensexporteur stelt de gegevensimporteur de gegevensexporteur alle informatie ter beschikking die nodig is om naleving van de in deze Bepalingen vastgestelde verplichtingen aan te tonen, audits van de onder deze Bepalingen vallende verwerkingsactiviteiten mogelijk te maken en eraan bij te dragen, en dit met redelijke tussenpozen of wanneer er aanwijzingen van niet-naleving zijn. Bij het nemen van een besluit over een toetsing of audit kan de gegevensexporteur rekening houden met relevante certificeringen waarover de gegevensimporteur beschikt.
(d) De gegevensexporteur kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke controleur daartoe te machtigen. Audits kunnen inspecties in de bedrijfsruimten of de fysieke voorzieningen van de gegevensimporteur omvatten en worden, in voorkomend geval, uitgevoerd met een redelijke aankondiging vooraf.
(e) De Partijen stellen de in de punten b) en c) bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.
Bepaling 9
Gebruik van subverwerkers
(a) De gegevensimporteur heeft algemene toestemming van de gegevensexporteur om subverwerkers van een overeengekomen lijst in dienst te nemen. De gegevensimporteur stelt de gegevensexporteur ten minste 14 (veertien) dagen van tevoren specifiek schriftelijk in kennis van beoogde veranderingen van die lijst door middel van de toevoeging of vervanging van subverwerkers zodat de gegevensexporteur voldoende tijd krijgt om bezwaar tegen die veranderingen te maken voordat de subverwerker(s) in dienst wordt/worden genomen. De gegevensimporteur verstrekt de gegevensexporteur de informatie die deze nodig heeft om zijn recht om bezwaar te maken uit te oefenen.
(b) Wanneer de gegevensimporteur een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingsactiviteiten (namens de gegevensexporteur), dan doet hij dit door middel van een schriftelijke overeenkomst die, wat de inhoud betreft, voorziet in dezelfde verplichtingen inzake gegevensbescherming als die waaraan de gegevensimporteur krachtens deze Bepalingen is gebonden, onder meer wat betreft de rechten ten behoeve van derden voor betrokkenen. De Partijen komen overeen dat de gegevensimporteur zijn verplichtingen uit hoofde van Bepaling 8.8 nakomt door deze Bepaling na te leven. De gegevensimporteur zorgt ervoor dat de subverwerker zich houdt aan de verplichtingen waaraan de gegevensimporteur overeenkomstig deze Bepalingen is gebonden.
(c) De gegevensimporteur verstrekt op verzoek van de gegevensexporteur een kopie van die overeenkomst met de subverwerker en van eventuele daaropvolgende wijzigingen aan de gegevensexporteur. Voor zover dit noodzakelijk is om bedrijfsgeheimen of andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen, mag de gegevensimporteur de tekst van de overeenkomst redigeren voordat hij een kopie deelt.
(d) De gegevensimporteur blijft ten aanzien van de gegevensexporteur volledig verantwoordelijk voor het nakomen van zijn verplichtingen door de subverwerker uit hoofde van zijn overeenkomst met de gegevensimporteur. De gegevensimporteur stelt de gegevensexporteur in kennis van elke niet-nakoming door de subverwerker van zijn verplichtingen uit hoofde van die overeenkomst.
(e) De gegevensimporteur komt een derdenbeding overeen met de subverwerker waarbij de gegevensexporteur, in geval de gegevensimporteur feitelijk is verdwenen, rechtens is opgehouden te bestaan of failliet is gegaan, het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker op te dragen de persoonsgegevens te wissen of terug te geven.
Bepaling 10
De rechten van betrokkenen
(a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis van alle verzoeken die hij van een betrokkene heeft ontvangen. Hij reageert zelf niet op dat verzoek, tenzij dit door de gegevensexporteur is toegestaan.
(b) De gegevensimporteur verleent de gegevensexporteur bijstand bij het nakomen van zijn verplichtingen om te reageren op de verzoeken van betrokkenen voor de uitoefening van hun rechten uit hoofde van Verordening (EU) 2016/679. In dit verband stellen de Partijen in Bijlage II de passende technische en organisatorische maatregelen vast, rekening houdend met de aard van de verwerking op basis waarvan de bijstand wordt verleend, alsook de reikwijdte en de omvang van de vereiste bijstand.
(c) Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b), houdt de gegevensimporteur zich aan de instructies van de gegevensexporteur.
Bepaling 11
Verhaal
(a) De gegevensimporteur brengt betrokkenen via een individuele mededeling of op zijn website, in een transparant en gemakkelijk toegankelijk formaat, op de hoogte van een contactpunt dat gemachtigd is om klachten af te handelen. Hij handelt klachten die hij van een betrokkene ontvangt onverwijld af.
(b) Bij een geschil tussen een betrokkene en een van de Partijen met betrekking tot de naleving van deze Bepalingen doet die Partij al het mogelijke om de kwestie tijdig in der minne te schikken. De Partijen houden elkaar op de hoogte van dergelijke geschillen en werken, in voorkomend geval, samen om ze te beslechten.
(c) Wanneer de betrokkene zich overeenkomstig Bepaling 3 op een recht ten behoeve van derden beroept, aanvaardt de gegevensimporteur het besluit van de betrokkene om:
(i) een klacht in te dienen bij de toezichthoudende autoriteit in de lidstaat waar hij/zij gewoonlijk verblijft of werkt, of de bevoegde toezichthoudende autoriteit krachtens Bepaling 13;
(ii) het geschil voor te leggen aan de bevoegde gerechten in de zin van Bepaling 18.
(d) De Partijen aanvaarden dat de betrokkene vertegenwoordigd kan worden door een orgaan, organisatie of vereniging zonder winstoogmerk onder de in Artikel 80, lid 1, van Verordening (EU) 2016/679 vermelde voorwaarden.
(e) De gegevensimporteur schikt zich naar een besluit dat uit hoofde van het toepasselijke recht van de Europese Unie/de lidstaat bindend is.
(f) De gegevensimporteur stemt ermee in dat de keuze van de betrokkene geen afbreuk doet aan zijn/haar materiële en formele rechten om overeenkomstig de geldende wetgeving verhaal te zoeken.
Bepaling 12
Aansprakelijkheid
(a) Elke Partij is ten aanzien van de andere Partij(en) aansprakelijk voor schade die hij de andere Partij(en) berokkent door inbreuken op deze Bepalingen.
(b) De gegevensimporteur is ten aanzien van de betrokkene aansprakelijk en de betrokkene heeft het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensimporteur of zijn subverwerker aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze Bepalingen te schenden.
(c) Niettegenstaande punt b) is de gegevensexporteur ten aanzien van de betrokkene aansprakelijk en heeft de betrokkene het recht een vergoeding te verkrijgen voor materiële of immateriële schade die de gegevensexporteur of de gegevensimporteur (of zijn subverwerker) aan de betrokkene berokkent door de rechten ten behoeve van derden uit hoofde van deze Bepalingen te schenden. Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, wanneer de gegevensexporteur een verwerker is die namens een verwerkingsverantwoordelijke optreedt, aan de aansprakelijkheid van de verwerkingsverantwoordelijke uit hoofde van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725, indien van toepassing.
(d) De Partijen komen overeen dat als de gegevensexporteur op grond van punt c) aansprakelijk wordt gesteld voor door de gegevensimporteur (of zijn subverwerker) berokkende schade, hij het recht heeft om op de gegevensimporteur het deel van de schadevergoeding te verhalen dat overeenkomt met de aansprakelijkheid van de gegevensimporteur voor de schade.
(e) Wanneer meerdere Partijen verantwoordelijk zijn voor schade die als gevolg van schendingen van deze Bepalingen aan de betrokkene is berokkend, zijn alle verantwoordelijke Partijen hoofdelijk aansprakelijk en heeft de betrokkene het recht om voor de rechter een procedure tegen deze Partijen in te stellen.
(f) De Partijen komen overeen dat als een van de Partijen op grond van punt e) aansprakelijk wordt gesteld, deze Partij het recht heeft om op de andere Partij(en) het deel van de schadevergoeding te verhalen dat overeenkomt met zijn/hun deel van de aansprakelijkheid voor de schade.
(g) De gegevensimporteur mag zich niet op het gedrag van een subverwerker beroepen om zich aan zijn eigen aansprakelijkheid te onttrekken.
Bepaling 13
Toezicht
(a) Indien de gegevensexporteur in een EU-lidstaat gevestigd is: De toezichthoudende autoriteit die erop toeziet dat de gegevensexporteur Verordening (EU) 2016/679 naleeft met betrekking tot de gegevensdoorgifte, zoals aangegeven in Bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.
Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: De toezichthoudende autoriteit van de lidstaat waar de vertegenwoordiger in de zin van artikel 27, lid 1, van Verordening (EU) 2016/679 is gevestigd, zoals aangegeven in Bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.
Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2 van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder dat hij echter verplicht is een vertegenwoordiger aan te wijzen overeenkomstig artikel 27, lid 2 van Verordening (EU) 2016/679: De toezichthoudende autoriteit van een van de lidstaten waar de betrokkenen wier persoonsgegevens krachtens deze Bepalingen worden verwerkt in verband met het aanbieden van goederen of diensten aan hen, of wier gedrag wordt gecontroleerd, zijn gevestigd, zoals aangegeven in Bijlage I.C, treedt op als de bevoegde toezichthoudende autoriteit.
(b) De gegevensimporteur stemt ermee in zich te onderwerpen aan de jurisdictie van en samen te werken met de bevoegde toezichthoudende autoriteit in procedures gericht op het waarborgen van de naleving van deze Bepalingen. De gegevensimporteur stemt er in het bijzonder mee in vragen te beantwoorden, zich aan audits te onderwerpen en zich aan de door de toezichthoudende autoriteit vastgestelde maatregelen te houden, waaronder corrigerende en compenserende maatregelen. Hij geeft de toezichthoudende autoriteit schriftelijke bevestiging dat de noodzakelijke maatregelen zijn genomen.
ARTIKEL III – LOKALE WETTEN EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES
Bepaling 14
Lokale wetten en praktijken met gevolgen voor de naleving van de Bepalingen
(a) De Partijen garanderen dat zij geen reden hebben om aan te nemen dat de wetten en praktijken in het derde land van bestemming die van toepassing zijn op de verwerking van de persoonsgegevens door de gegevensimporteur,
met inbegrip van vereisten om persoonsgegevens te verstrekken of maatregelen die toegang door overheidsinstanties toestaan, de gegevensimporteur verhinderen zijn verplichtingen uit hoofde van deze Bepalingen na te komen. Hierbij wordt ervan uitgegaan dat wetten en praktijken waarmee de wezenlijke inhoud van de grondrechten en fundamentele vrijheden wordt geëerbiedigd en die niet verder gaan dan hetgeen in een democratische samenleving noodzakelijk en evenredig is om een van de in artikel 23, lid 1, van Verordening (EU) 2016/679 genoemde doelstellingen te waarborgen, niet in tegenspraak zijn met deze Bepalingen.
(b) De Partijen verklaren dat zij bij het bieden van de in punt a) bedoelde garantie met name de volgende elementen naar behoren in aanmerking hebben genomen:
(i) de specifieke omstandigheden van de doorgifte, waaronder de lengte van de verwerkingsketen, het aantal betrokken actoren en de kanalen die voor de toezending zijn gebruikt, voorgenomen verdere doorgiften, het soort ontvanger, het doel van de verwerking, de categorieën en het formaat van de doorgegeven persoonsgegevens, de economische sector waarin de doorgifte plaatsvindt, de opslagplaats van de doorgegeven gegevens;
(ii) de wetten en praktijken van het derde land van bestemming – waaronder de wetten en praktijken die vereisen om gegevens aan overheidsinstanties te verstrekken of toegang door dergelijke instanties toestaan – die van belang zijn in het licht van de specifieke omstandigheden van de doorgifte, en de toepasselijke beperkingen en waarborgen;
(iii) alle relevante contractuele, technische of organisatorische waarborgen die zijn ingesteld in aanvulling op de waarborgen uit hoofde van deze Bepalingen, waaronder maatregelen die worden toegepast tijdens de toezending en op de verwerking van de persoonsgegevens in het land van bestemming.
(c) De gegevensimporteur garandeert dat hij bij het uitvoeren van de beoordeling op grond van punt b) al het mogelijke heeft gedaan om de gegevensexporteur van relevante informatie te voorzien en stemt ermee in dat hij met de gegevensexporteur zal blijven samenwerken om naleving van deze Bepalingen te waarborgen.
(d) De Partijen komen overeen om de beoordeling uit hoofde van punt b) te documenteren en op verzoek ter beschikking te stellen van de bevoegde toezichthoudende autoriteit.
(e) De gegevensimporteur stemt ermee in de gegevensexporteur onverwijld in kennis te stellen indien hij, na deze bepalingen te zijn overeengekomen en voor de duur van de overeenkomst, redenen heeft om aan te nemen dat hij onder wetten of praktijken valt of is komen te vallen die niet overeenstemmen met de vereisten uit hoofde van punt a), onder meer ingevolge een wijziging van de wetten in het derde land of een maatregel (zoals een verzoek om verstrekking) die duidt op een toepassing van die wetten in de praktijk die niet overeenstemt met de vereisten in punt a).
(f) Ingevolge een kennisgeving overeenkomstig punt e), of als de gegevensexporteur anderszins redenen heeft om aan te nemen dat de gegevensimporteur zijn verplichtingen uit hoofde van deze Bepalingen niet langer kan nakomen, stelt de gegevensexporteur onverwijld passende maatregelen (bv. technische of organisatorische maatregelen om betrouwbaarheid en vertrouwelijkheid te waarborgen) vast die de gegevensexporteur en/of de gegevensimporteur moeten uitvoeren om de situatie aan te pakken. De gegevensexporteur schort de gegevensdoorgifte op als hij van mening is dat er geen passende waarborgen voor die doorgifte kunnen worden gegarandeerd, of op basis van instructies van de bevoegde toezichthoudende autoriteit hiertoe. In dit geval heeft de gegevensexporteur het recht om de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze Bepalingen. Indien er meer dan twee Partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken Partij, tenzij anderszins door de Partijen is overeengekomen. Indien de overeenkomst overeenkomstig deze Bepaling wordt beëindigd, is Bepaling 16, punten d) en e), van toepassing.
Bepaling 15
Verplichtingen van de gegevensimporteur in geval van toegang door overheidsinstanties
15.1 Melding
(a) De gegevensimporteur stemt er mee in de gegevensexporteur en, voor zover mogelijk, de betrokkene onverwijld in kennis te stellen (indien nodig met behulp van de gegevensexporteur) indien hij:
(i) van een overheidsinstantie, met inbegrip van rechterlijke instanties, een juridisch bindend verzoek om verstrekking van overeenkomstig deze bepalingen doorgegeven persoonsgegevens ontvangt krachtens het recht van het land van bestemming; een dergelijke kennisgeving omvat informatie over de gevraagde
persoonsgegevens, de verzoekende autoriteit, de rechtsgrondslag voor het verzoek en het gegeven antwoord, of
(ii) kennis heeft genomen van rechtstreekse toegang door overheidsinstanties tot de krachtens deze Bepalingen doorgegeven persoonsgegevens in overeenstemming met de wetgeving van het land van bestemming; een dergelijke kennisgeving omvat alle informatie waarover de gegevensimporteur beschikt.
(b) Indien het de gegevensimporteur uit hoofde van de wetgeving van het land van bestemming verboden is om de gegevensexporteur en/of de betrokkene in kennis te stellen, stemt de gegevensimporteur ermee in al het mogelijke te doen om van het verbod te worden ontheven, teneinde zo spoedig mogelijk zo veel mogelijk informatie mee te delen. De gegevensimporteur stemt ermee in deze inspanningen te documenteren om ze op verzoek van de gegevensexporteur te kunnen aantonen.
(c) Indien toegestaan uit hoofde van de wetgeving van het land van bestemming, stemt de gegevensimporteur ermee in de gegevensexporteur, met regelmatige tussenpozen gedurende de duur van de overeenkomst, met zo veel mogelijk relevante informatie over de ontvangen verzoeken (met name het aantal verzoeken, het soort gevraagde gegevens, de verzoekende autoriteit(en), of er verzoeken zijn betwist en wat de uitkomst daarvan was enz.) te doen toekomen.
(d) De gegevensimporteur stemt ermee in de informatie overeenkomstig de punten a) tot en met c) te bewaren voor de duur van de overeenkomst en die op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te stellen.
(e) De punten a) tot en met c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig Bepaling 14, punt e), en Bepaling 16 om de gegevensexporteur onverwijld in kennis te stellen wanneer hij niet in staat is deze Bepalingen na te leven.
15.2 Wettigheidstoetsing en gegevensminimalisering
(a) De gegevensimporteur stemt ermee in de wettigheid van het verzoek om verstrekking te toetsen, met name of die binnen de aan de verzoekende overheidsinstantie toegekende bevoegdheden blijft, en het verzoek te betwisten indien hij na een zorgvuldige beoordeling tot de conclusie komt dat er redelijke gronden zijn om aan te nemen dat het verzoek onwettig is krachtens de wetgeving van het land van bestemming, toepasselijke verplichtingen uit hoofde van het internationaal recht en beginselen van internationale courtoisie. Onder deze omstandigheden benut de gegevensimporteur de beroepsmogelijkheden. Bij het betwisten van een verzoek neemt de gegevensimporteur voorlopige maatregelen om de effecten van het verzoek op te schorten totdat de bevoegde rechterlijke instantie over de gegrondheid ervan heeft beslist. Hij verstrekt de gevraagde persoonsgegevens pas wanneer hij dat volgens de toepasselijke procedurevoorschriften moet doen. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur krachtens Bepaling 14, punt e).
(b) De gegevensimporteur stemt ermee in zijn juridische beoordeling en eventuele betwistingen van het verzoek om verstrekking te documenteren en, voor zover dit is toegestaan krachtens de wetgeving van het land van bestemming, de documentatie ter beschikking te stellen van de gegevensexporteur. Hij stelt deze documenten op verzoek ook ter beschikking van de bevoegde toezichthoudende autoriteit.
(c) De gegevensimporteur stemt ermee in de toegestane minimale hoeveelheid informatie te verstrekken bij het beantwoorden van een verzoek om verstrekking, op basis van een redelijke interpretatie van het verzoek.
ARTIKEL IV -- SLOTBEPALINGEN
Bepaling 16
Niet-naleving van de bepalingen en beëindiging
(a) De gegevensimporteur stelt de gegevensexporteur onverwijld in kennis indien hij om wat voor reden dan ook niet in staat is deze Bepalingen na te leven.
(b) Indien de gegevensimporteur inbreuk maakt op deze Bepalingen of niet in staat is deze Bepalingen na te leven, schort de gegevensexporteur de doorgifte van persoonsgegevens aan de gegevensimporteur op totdat de naleving weer wordt gewaarborgd of totdat de overeenkomst wordt beëindigd. Dit doet geen afbreuk aan Bepaling 14, punt f).
(c) De gegevensexporteur heeft het recht de overeenkomst te beëindigen, voor zover die betrekking heeft op de verwerking van persoonsgegevens uit hoofde van deze Bepalingen, wanneer:
(i) de gegevensexporteur de doorgifte van persoonsgegevens naar de gegevensimporteur overeenkomstig punt
b) heeft opgeschort en de Bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting weer worden nageleefd;
(ii) de gegevensimporteur in belangrijke en voortdurende mate inbreuk maakt op deze Bepalingen, of
(iii) de gegevensimporteur zich niet aan een bindend besluit van een bevoegd gerecht of een bevoegde autoriteit met betrekking tot zijn verplichtingen uit hoofde van deze Bepalingen houdt.
In deze gevallen stelt hij de bevoegde toezichthoudende autoriteit in kennis van die niet-naleving. Wanneer meer dan twee Partijen bij de overeenkomst zijn betrokken, mag de gegevensexporteur zijn recht om de overeenkomst te beëindigen alleen uitoefenen met betrekking tot de betrokken Partij, tenzij and erszins door de Partijen is overeengekomen.
(d) Persoonsgegevens die voorafgaand aan de beëindiging van de overeenkomst zijn doorgegeven overeenkomstig punt c) worden, naargelang de wens van de gegevensexporteur, onmiddellijk volledig aan de gegevensexporteur terugbezorgd of gewist. Hetzelfde geldt voor eventuele kopieën van de gegevens. De gegevensimporteur verzekert de gegevensexporteur ervan dat de gegevens zijn gewist. Totdat de gegevens zijn gewist of teruggezonden, blijft de gegevensimporteur ervoor zorgen dat aan deze Bepalingen wordt voldaan. In geval van lokaal recht dat op de gegevensimporteur van toepassing is en op basis waarvan teruggave of wissing van de doorgegeven persoonsgegevens verboden is, garandeert de gegevensimporteur dat hij deze Bepalingen zal blijven naleven en de gegevens alleen zal verwerken voor zover en zolang dat naar dat lokaal recht is vereist.
(e) Elk van de Partijen kan haar toestemming om aan deze Bepalingen gebonden te zijn, intrekken wanneer i) de Europese Commissie een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 neemt dat betrekking heeft op de doorgifte van persoonsgegevens waarop deze Bepalingen van toepassing zijn; of ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens worden doorgegeven. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de desbetreffende verwerking op grond van Verordening (EU) 2016/679.
Bepaling 17
Toepasselijk recht
Op deze Bepalingen is het recht van een van de EU-lidstaten van toepassing, mits dat recht voorziet in rechten ten behoeve van derden. De Partijen komen overeen dat dit het recht van Ierland is.
Bepaling 18
Forum- en jurisdictiekeuze
(a) Uit deze Bepalingen voortvloeiende geschillen worden beslecht door de gerechten van een EU-lidstaat.
(b) De Partijen komen overeen dat dit de gerechten van Ierland zijn.
(c) Een betrokkene kan ook gerechtelijke procedures aanhangig maken tegen de gegevensexporteur en/of de gegevensimporteur bij de gerechten van de lidstaat waar hij/zij gewoonlijk verblijft.
(d) De Partijen komen overeen zich aan de jurisdictie van die gerechten te onderwerpen.
BIJLAGE I
A. LIJST VAN PARTIJEN
Gegevensexporteur(s): [Identiteit en contactgegevens van de gegevensexporteur(s) en, in voorkomend geval, van zijn/hun functionaris voor gegevensbescherming en/of de vertegenwoordiger in de Europese Unie]
1.
Naam:
Adres:
Naam contactpersoon: Functie contactpersoon:
Contactgegevens contactpersoon:
Activiteiten in verband met de overeenkomstig deze Bepalingen doorgegeven gegevens: Het verkrijgen van IT-producten, -diensten en -oplossingen zoals omschreven in Beschrijvingen van Diensten van Citrix.
Handtekening en datum: op 202 . Rol (verwerkingsverantwoordelijke/verwerker): Verwerkingsverantwoordelijke
Gegevensimporteur(s): [Identiteit en contactgegevens van de gegevensimporteur(s), met inbegrip van eventuele contactpersonen die verantwoordelijk zijn voor gegevensbescherming]
1. Naam: Citrix Systems, Inc. (met inbegrip van haar filialen) Adres: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000 Naam contactpersoon: Xxxxx Xxxxxxxxx
Functie contactpersoon: Vice President, Chief Digital Risk Officer
Activiteiten in verband met de overeenkomstig deze Bepalingen doorgegeven gegevens: Het leveren van IT- producten, -diensten en -oplossingen zoals omschreven in Beschrijvingen van Diensten van Citrix.
Handtekening en datum: op 202 . Rol (verwerkingsverantwoordelijke/verwerker): Verwerker
B. BESCHRIJVING VAN DOORGIFTE
Categorieën van betrokkenen wier persoonsgegevens worden doorgegeven
Zie Artikel 5 van het Addendum.
Categorieën van doorgegeven persoonsgegevens
Zie Artikel 5 van het Addendum.
Gevoelige gegevens die worden doorgegeven (indien van toepassing) en toegepaste beperkingen of waarborgen waarmee ten volle rekening wordt gehouden met de aard van de gegevens en de bijbehorende risico's, zoals strikte beperking van het doel, toegangsbeperkingen (waaronder uitsluitend toegang voor personeelsleden die een gespecialiseerde opleiding hebben gevolgd), het in een register bijhouden van toegang tot de gegevens, beperkingen voor verdere doorgiften, of bijkomende beveiligingsmaatregelen.
Doorgegeven persoonsgegevens worden bepaald en gecontroleerd door de gegevensexporteur en kunnen gevoelige gegevens omvatten, zoals door de overheid uitgegeven identificatoren, religieuze overtuiging of andere gevoelige gegevens die moeten worden verwerkt om de Diensten te kunnen uitvoeren.
Technische en organisatorische beveiligingsmaatregelen worden omschreven in het Beveiligingsdocument voor Citrix-services dat beschikbaar is via xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx.
De frequentie van de doorgifte (bv. of de gegevens eenmalig of continu worden doorgegeven).
Continue doorgifte indien nodig om de Diensten te kunnen uitvoeren.
Aard van de verwerking
Zie Artikel 4 van het Addendum.
Doeleind(en) van de gegevensdoorgifte en verdere verwerking
Zie Artikel 4 van het Addendum.
De periode gedurende welke de persoonsgegevens zullen worden bewaard, of indien dat niet mogelijk is, de criteria om die termijn te bepalen
Zie Artikel 12 van het Addendum.
Voor doorgiften aan (sub)verwerkers ook het onderwerp, de aard en de duur van de verwerking opgeven
Zie xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxxxxxxxx-xxxx.xxxx. Continue doorgifte indien nodig om de Diensten te kunnen uitvoeren.
C. BEVOEGDE TOEZICHTHOUDENDE AUTHORITEIT
De bevoegde toezichthoudende autoriteiten identificeren in overeenstemming met bepaling 13
Indien de gegevensexporteur in een EU-lidstaat gevestigd is: Toezichthoudende autoriteit van Ierland
Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2, van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt en een vertegenwoordiger heeft aangewezen overeenkomstig artikel 27, lid 1, van Verordening (EU) 2016/679: Toezichthoudende autoriteit van Ierland
Wanneer de gegevensexporteur niet in een EU-lidstaat is gevestigd, maar overeenkomstig artikel 3, lid 2 van Verordening (EU) 2016/679 onder het territoriale toepassingsgebied van die verordening valt, zonder dat hij echter verplicht is een vertegenwoordiger aan te wijzen overeenkomstig artikel 27, lid 2 van Verordening (EU) 2016/679: Toezichthoudende autoriteit van Ierland
BIJLAGE II
TECHNISCHE EN ORGANISATORISCHE MAATREGELEN WAARONDER TECHNISCHE EN ORGANISATORISCHE MAATREGELEN OM DE BEVEILIGING VAN DE GEGEVENS TE WAARBORGEN
Technische en organisatorische beveiligingsmaatregelen worden omschreven in het Beveiligingsdocument voor Citrix-services dat beschikbaar is via xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx.