Citrix 数据处理协议
上次修订日期:2018 年 3 月 21 日
Citrix 数据处理协议
欧盟一般数据保护条例条款
x数据处理协议(下称“本协议”)对欧盟居民在 Citrix 许可、订阅或服务协议下的 Citrix Cloud服务、技术支持服务或咨询服务中提供的个人信息的处理方式进行了说明。本协议由最终用户客户(下称“您”)与 Citrix 签约实体(下称“Citrix”)签署,并通过引用纳入此类服务协议中。 Citrix 实体取决于您所在地点,具体见xxxxx://xxx.xxxxxx.xxx.xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx- entities.html。附件 1 中的欧盟标准合同条款始终由您与 Citrix Systems Inc 签署,与您所在地点
无关。
第 1 条 定 义
“您”指本协议指定的最终客户。
“个人数据”指您的计算环境中允许 Citrix 访问以提供本协议下的服务的个人数据,与GDPR 第 4 条中的定义相同。
“服务说明”指 Citrix 向您提供的服务的说明。
在本协议中使用但未定义的术语(如“处理”、“控制方”、“处理方”、“数据主体”)应采用 GDPR 第
4 条中规定的含义。第 2 条 角色和范围
1. 这些GDPR 条款适用于 Citrix 对个人数据的处理。
2. 根据这些GDPR 条款,您和 Citrix 同意,您是此类个人数据的控制方,Citrix 是此类个人数据的处理方,除非您是个人数据的处理方,此时 Citrix 是分包处理方。
第 3 条 个人数据处理的范围、类型和目的
1. 有关 Citrix 收集、处理和/或使用个人数据的范围和目的,详见xxxx://xxx.xxxxxx.xxx.xx/xxxxxxxx/xxx- products.html 和/或这些GDPR 条款。
2. 您可以自行决定允许 Citrix 访问以实施服务的个人数据范围。为此,个人数据的收集、处理和/或使用可能涉及以下类别的数据:
o 个人信息:名字、姓氏、出生日期
o 通信数据:电话、电子邮件、普通信件
o 产品范围:xxxx.xxxxxx.xxx.xx/xxxxxxxx 上的相关产品或服务定义的任何其他个人数据。
o 其他:您允许 Citrix 访问以提供产品或服务的其他个人数据。您应负责确保 Citrix 仅出于实施服务的需要访问此类个人数据。
3. 根据提供的产品或服务,您和 Citrix 可以就存储个人数据的位置或区域进一步协商。
第 4 条 数据处理
1. Citrix 应当:
a) 仅在下列情况下处理个人数据 (i) 按照您提供的且在本协议中进一步规定的书面说明,或者(ii) 根据对
Citrix 有约束力的欧盟或成员国法律的要求,此时 Citrix 将提前通知您,除非法律禁止;
b) 确保有权处理个人数据的人员亲自做出保密承诺,或者承担适当的法定保密义务;
c) 根据GDPR 第 32 条的规定,采取 Citrix 作为数据处理方需采取的所有必要措施,如下文第 8 条和附件
2“Citrix 服务安全附件”中进一步规定;
d) 满足第 5 条提及的雇用其他处理方的条件;
e) 为您提供合理的协助,以履行您针对行使GDPR 第 3 章规定的数据主体权利的请求做出回应的义务;
f) 根据处理性质以及向 Citrix 提供的信息,为您提供协助,确保您遵守GDPR 第 32-36 条规定的义务;
g) 按如下所述在服务提供结束后退还或为您提供机会以检索所有个人数据,并删除现有副本:您应在 x协议终止后三十 (30) 个日历日内下载您的个人数据,并需联系 Citrix 技术支持部门以获取下载权限和操作说明。如您未在服务提供结束后三十(30) 个日历日内就此联系 Citrix 技术支持部门,Citrix 将 立即删除您无法再访问的个人数据,除非 (i) 已按常规流程删除安全备份,以及 (ii) 适用法律要求保留此类数据;在 (i) 或 (ii) 这两种情况下,Citrix 仍需遵守这些GDPR 条款中的相关规定,直到此类数据被删除为止;
h) 为您提供必要的信息以证明遵守GDPR 第 28 条规定的义务,并允许和协助您或您的第三方审计师根据以下第 11 条进行审计;
i) 如 Citrix 认为任何指示侵犯GDPR 或其他欧盟或成员国数据保护条款,则向您发出通知,但 Citrix 没有义务独立检查或验证您对个人数据的使用或处理;以及
j) 根据以下第 9 条向您发出通知并为您提供合理协助以履行您在任何个人数据泄露方面所应承担的义务。
2. 如 Citrix 雇用其他处理方代表您执行特定处理活动,则应在适用时以合同形式或者欧盟或成员国法律规定的其他法律形式,使该处理方承担这些GDPR 条款中规定的相同数据保护义务,以充分保证采取适当的技术和组织措施,按照GDPR 中的适用要求进行处理。如该处理方未能履行其数据保护义务,Citrix 应始终负责履行该处理方的义务。
第 5 条 分包处理
1. 根据第 5 条的规定,您同意 Citrix 雇用分包处理方处理个人、数据。
2. Citrix 将确保该分包处理方遵守所需书面协议的规定,以至少提供这些GDPR 条款要求 Citrix 提供的相同数据保护水平。
3. Citrix 将始终负责确保此类处理方遵守这些GDPR 条款(如适用)。
4. 分包处理方将通过向您提供的分包处理方清单予以规定。Citrix 将在授权任何新分包处理方访问个人数据之前至少十 (10) 个工作日内对该分包处理方清单进行更新,并为您提供一种机制以获取该更新通知。如 Citrix 为处理方而非分包处理方,则需遵守以下条款:
a) 如您不批准新分包处理方,您可以在通知期限结束之前提供书面终止通知并说明不批准的理由,以终止对受影响服务的任何订阅,且无需承担任何后果。
b) 如受影响服务属于某个套件的一部分(或一次性购买的类似服务),则以任何方式终止该服务将终止整个套件。
c) 终止后,您仍应承担任何采购订单下规定的所有付款义务,或者承担与ELA 经销商和/或 Citrix 之间订立的其他合同义务,并且无权从ELA 经销商和/或Citrix 处获得任何退款或返款。
第 6 条 后续国际数据传输
1.Citrix 可能会将个人数据传输到美国和/或 Citrix 或其处理方业务所在的其他第三国/地区。无论此类个人数据在何处存储或处理,Citrix 均遵守这些GDPR 条款的要求。
2. 本协议附件 1 为欧盟委员会 2010 年 2 月 5 日决议规定的“标准合同条款”(“处理方”),这些标准合同条款依据《欧洲数据保护指令》规定了将数据传输到第三国/地区设立的处理方的相关要求。如您提供的个人数据受《一般数据保护条例》的约束,并且此类个人数据的国际传输没有其他法律依据,则应采用此决议中规定的“标准合同条款(“处理方”)。在此类情况下,附件 2(Citrix 服务安全附件)第 1 条应构成标准合同条款附录II(技术和组织安全措施说明)。如此类决议被认定为无效,双方同意就此类个人数据的国际传输所需要的任何替代条款进行及时、善意的协商。有关根据标准合同条款执行审计的更多信息,请参见下文第 11 条“审计”。
3. 此外,Citrix 还可在下列情况下处理和披露个人数据:(a) 出于与本协议和这些GDPR 条款一致的目的披露给附属实体;(b) 在发生任何预期或实际的兼并、收购、出售、破产或对其部分或全部业务的其他重组行为时,有义务根据本协议中的条款对个人数据进行保护;或 (c) 出于法律目的,包括行使其权利、发现和阻止欺诈行为、防止对 Citrix、Citrix 或您的用户或者公众的权利或财产造成损害;以及 (c) 应法律要求,包括对传票、司法或行政命令或者其他有约束力的文书(以下均称“要求”)做出回应。除非法律予以禁止,否则 Citrix 将就任何要求立即向您发出通知,并为您提供合理的协助,帮助您对要求做出及时回应。
第 7 条 协助您对数据主体请求做出回应
1. Citrix 将向您提供您的数据主体的个人数据,并以 Citrix 处理方的角色协助您根据产品的功能处理数据主体行使其在GDPR 下享有的一项或多项权利的请求。Citrix 应支持合理的请求并协助您做出回应。
2. 如果 Citrix 收到您的数据主体行使其在GDPR 下享有的一项或多项权利的请求,Citrix 会将该数据主体移交给您,使您直接处理其请求。
第 8 条 特定安全条款
Citrix 应遵循本协议附件 2(Citrix 服务安全附件)中规定的个人数据保护安全措施和做法。Citrix 可以更新附件 2 中规定的做法,但前提是,在任何服务期限内采取的措施应至少提供与自该期限生效之日提供的保护水平同等的保护水平。
第 9 条 个人数据泄露
Citrix 应在知悉与个人数据相关的数据泄露事件后及时通知您,不得无故延误。此类通知应至少:
a) 描述个人数据泄露的性质,如果可能,在其中说明相关数据主体的类别和大致数量,以及相关个人数据记录的类别和大致数量;
b) 提供数据保护管理人员或了解更多信息的其他联系人的姓名和联系信息;以及
c) 描述为解决个人数据泄露而应采取或拟采取的措施,如需要,在其中说明为减轻其可能的不利影响而应采取的措施。
第 10 条处理活动记录
Citrix 应留存GDPR 第 30(2) 条所需处理活动的全部记录。第 11 条审计权利
您可以应法律要求对 Citrix 处理您的个人数据的行为进行审计。任何此类审计应在正常工作时间进行,并由您自行承担费用,不得中断 Citrix 的业务,同时需遵守Citrix 的安全规则和要求。在进行任何审计之前, Citrix 承诺为您提供合理要求的信息以及相关证据以履行您的审计义务,并且您承诺在进行任何独立审计之前对这些信息进行审查。
您可以在征得 Citrix 同意的情况下雇用第三方审计师,并且不得无故撤消。在进行任何第三方审计之前,此类审计师应与 Citrix 签署适当的保密协议。
第 12 条修正、补充和期限
1. Citrix 可在下列情况下修正或补充这些GDPR 条款并向您发出通知:(i) 应监管机构或其他政府或监管实体要求,(ii) 需要遵守适用法律,(iii) 实施欧盟委员会制定的标准合同条款,或 (iv) 遵守经批准的行为准则或根据GDPR 第 40 条和第 42 条批准或认可的认证机制。
2. 在不影响这些GDPR 条款的情况下,Citrix 可能会不时在其产品专用技术、隐私或政策文档中提供有关其如何履行这些GDPR 条款的更多信息和详细说明。
3. 这些GDPR 条款自GDPR 生效之日起生效。
谨代表您 姓名: 职务: 授权签名 | 谨代表 Citrix 姓名:Xxxxxxx Xxxxx 职务: 高级副总裁兼 总法律顾问 授权签名 |
附件 1:标准合同条款(“处理方”)
关于将个人数据传输到第三国/地区设立的处理方的欧盟委员会标准合同条款
依据第 95/46/EC 号指令第 26(2) 条关于将个人数据传输到无法提供充分数据保护的第三国/地区处理方的规定
您
(数据 导出方)
以及
数据导入机构名称
Citrix Systems, Inc. (含其附属机构)
地址:851 West Cypress Road, Ft. Lauderdale, FL 33309
电话:x0 000 000 0000;传真:+ 1 805 690 6471;电子邮件:xxxxxxxxxxxx@xxxxxx.xxx
单称“一方”,合称“双方”,
(数据 导入方)
已就以下合同条款(下称“条款”)达成一致,以便在将附件 1 中规定的数据从数据导出方传输到数据导入方过程中,为保护个人隐私和基本权利与自由而提供充分的保障。
第 1 条
定义
在这些条款中:
(a) | “个人数据”、“特殊数据类别”、“处理/正在处理”、“控制方”、“处理方”、“数据主体”和 “监管机构”的定义与欧洲议会和欧盟理事会于 1995 年 10 月 24 日通过的第 95/46/EC 号指令中关于个人数据处理方面保护个人安全以及此类数据的自由流动的规定中的定义一致(1); |
(b)“数据导出方”指传输个人数据的控制方; | |
(c) | “数据导入方”指同意从数据导出方处接收个人数据以在传输后代表数据导出方并根据数据导出方的指 示和这些条款中的规定处理此类数据的处理方,并且该处理方不受第三国/地区的系统约束,可确保提供第 95/46/EC 号指令第 25(1) 条中规定的充分保护; |
(d) | “分包处理方”指数据导入方或数据导入方的任何其他分包处理方雇用的任何处理方,该处理方同意从 数据导入方或数据导入方的任何其他分包处理方处接收个人数据,以在传输后代表数据导出方并根据数 据导出方的指示、这些条款中的规定以及书面分包合同中的条款规定对此类数据执行处理活动; |
(e) | “适用数据保护法” 指在处理数据导出方所在成员国的数据控制方的适用个人数据期间保护个人基本权 利和自由特别是保护个人隐私权的法律; |
(f) | “技术和组织安全措施” 指用于保护个人数据的措施,通过这些措施,可以防止个人数据遭到意外或非 |
法破坏或者意外丢失、修改、未经授权的披露或访问(特别是在处理活动涉及到通过网络传输数据时)以及所有其他非法形式的处理活动。
第 2 条传输内容
数据传输的内容,特别是个人数据的特殊类别,将在适用时在附录 1 中进行说明,附录 1 构成这些条款不可缺少的一部分。
第 3 条
第三方受益人条款
1. | 数据主体可以作为第三方受益人针对数据导出方强制执行本条、第 4(b)-(i) 条、第 5(a)-(e) 和 (g)-(j) 条、 第 6(1) 和(2) 条、第 7 条、 第 8(2) 条以及第 9-12 条。 |
2. | 如数据导出方在事实上已不存在或被取消法律资格,数据主体可以针对数据导入方强制执行本条、 第 5(a)-(e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9-12 条,除非任何继任实体根据合同或法律规定承担数据导出方的全部法律义务,并据此接管数据导出方的权利和义务,此时,数据主体可以针对此类实体强制执行上述条款。 |
3. | 如数据导出方和数据导入方在事实上均已不存在、被取消法律资格或丧失偿债能力,数据主体可以针对分 包处理方强制执行本条、第 5(a)-(e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9-12 条,除非任何继任实体根据合同或法律规定承担数据导出方的全部法律义务,并据此接管数据导出方的权利和义务,此时, 数据主体可以针对此类实体强制执行上述条款。分包处理方所应承担的此类第三方责任仅限于其自身根据这些条款执行的处理操作。 |
4. | 在数据主体明确希望且国内法律许可的情况下,数据主体可指定某一团体或其他机构代表其利益,双方对 此无任何异议。 |
第 4 条
数据导出方的义务
数据导出方同意并保证:
(a) | 个人数据的处理(包括数据传输本身)已经遵守并将持续遵守适用数据保护法的相关规定(并已在必要 时通知数据导出方所在成员国的相关机构),且不违反该国的其他相关规定; |
(b) | 已经要求并在个人数据处理服务期间持续要求数据导入方仅代表数据导出方且根据适用数据保护法以及 这些条款对所传输的个人数据进行处理; |
(c)数据导入方将提供充分的保证以实施本协议附录 2 规定的技术和组织安全措施; | |
(d) | 已经对适用数据保护法的要求进行评估,确认所采取的安全措施合理适当,可以防止个人数据遭到意外或非法破坏或者意外丢失、修改、未经授权的披露或访问(特别是在处理活动涉及到通过网络传输数据时)以及所有其他非法形式的处理活动,并且这些措施就现有技术水平和实施成本而言,可确保达到防范数据处理以及要保护的数据特征所产生的风险所需的适当安全级别; |
(e)确保遵守相关安全措施; | |
(f) | 如传输涉及特殊数据类别,在数据传输之前已经或在数据传输之后将尽快通知数据主体,说明此类数据可能传输到无法提供第 95/46/EC 号指令规定的充分保护的第三国/地区; |
(g) | 如数据导出方决定继续传输或暂停数据传输,则根据第 5(b) 条和第 8(3) 条的规定,将从数据导入方或任 |
何分包处理方处收到的通知转交给数据保护监督机构;
(h) | 经数据主体要求,向其提供这些条款的一份副本(附录 2 除外)、一份安全措施摘要说明以及一份有关 任何分包处理服务的合同副本(此合同须根据这些条款订立),除非这些条款或此类合同含有商业信 息,在这种情况下,可移除此类商业信息; |
(i) | 如需进行分包处理,分包处理方应根据第 11 条执行处理活动,并为个人数据以及数据主体的权利提供至 少与这些条款针对数据导入方规定的保护级别同等的保护; |
(j)确保遵守第 4(a)-(i) 条的要求。
第 5 条
数据导入方同意并保证:
(a) | 仅代表数据导出方并按照数据导出方的指示以及这些条款的规定处理数据。如出于任何原因无法遵守此 规定,数据导入方同意,就其无法遵守此规定的事宜立即通知数据导出方,在这种情况下,数据导出方有权暂停数据传输和/或终止合同; |
(b) | 如其无理由认为适用法律妨碍其遵守数据导出方的指示以及履行其合同义务,且在适用法律发生变更时,可能对这些条款下的保证和义务造成实质性不利影响,则其应在知悉此类情况后及时将此类变更通知数据导出方,在这种情况下,数据导出方有权暂停数据传输和/或终止合同; |
(c) | 其在处理所传输的个人数据之前已实施附录 2 规定的技术和组织安全措施; |
(d)如出现下列情形,其将立即向数据导出方通知相关事宜:
(i) | 执法机构提出任何具有法律约束力的个人数据披露要求,除非另有禁止规定(例如根据刑法,为保护 执法调查的机密性而禁止此类披露); |
(ii)任何意外的或未经授权的访问;以及
(iii) | 数据主体直接提出任何要求,但此类要求并得到回应,除非已另经授权做出回应; |
(e) | 如数据导出方就数据导入方处理所传输的个人数据提出任何问询,及时对此类问询进行合理处理,并遵 守监管机构就处理所传输的数据提出的建议; |
(f) | 经数据导出方要求,提交其数据处理设施,用以对这些条款规定的处理活动进行审计,此类审计应由数 据导出方或数据导出方选定的检查机构实施,此类检查机构需由独立成员组成且拥有所需专业资质并能承担保密义务,必要时,还需获得监管机构的认可; |
(g) | 如数据主体无法从数据导出方获得这些条款或任何现有分包处理合同的副本,则经数据主体要求,为数 据主体提供此类副本,除非这些条款或合同包含商业信息,在这种情况下,可移除此类商业信息。在提供此类副本时,不应包括附录 2,该附录应替换为一份安全措施摘要说明; |
(h)如需进行分包处理,其已事先通知数据导出方并获得数据导出方的书面同意; | |
(i)分包处理方应根据第 11 条提供数据处理服务; | |
(j)及时将根据这些条款订立的任何分包处理方协议副本发送给数据导出方。 | |
第 6 条责任
1. | 双方同意,如任何一方或分包处理方以任何方式违反第 3 条或第 11 条中规定的义务,致使任何数据主体 遭受损失,则该数据主体有权从数据导出方处获得补偿,以弥补其遭受的损失。 |
2. | 如数据导入方或其分包处理方未履行第 3 条或第 11 条为其规定的任何义务,而数据主体因数据导出方在 事实上已不存在、被取消法律资格或丧失偿债能力而无法根据第 1 款向数据导出方提出索赔要求,则数据导入方同意,数据主体可将数据导入方视为数据导出方,并向数据导入方发起索赔,除非任何继任实体已根据合同或法律规定承担数据导出方的全部法律义务,在这种情况下,数据主体可以对此类实体强制行使其权利。 数据导入方不得因分包处理方不履行其义务来逃避自身责任。 |
3. | 如分包处理方未履行第 3 条或第 11 条为其规定的义务,而数据主体因数据导出方和数据导入方在事实上 均已不存在、被取消法律资格或丧失偿债能力而无法根据第 1 款和第 2 款向数据导出方或数据导入方提出索赔要求,则分包处理方同意,数据主体可将数据分包处理方视为数据导出方或数据导入方,并就数据分包处理方自身根据这些条款进行的处理操作向数据分包处理方发起索赔,除非任何继任实体已根据合同或法律规定承担数据导出方或数据导入方的全部法律义务,在这种情况下,数据主体可以对此类实体强制行使其权利。分包处理方的责任应仅限于其自身根据这些条款进行的处理操作。 |
第 7 条
调解与司法管辖
1.数据导入方同意,如数据主体向其申索第三方受益人权利和/或根据这些条款对所遭受的损失提出补偿,数据导入方应接受数据主体的决定:
(a) | 将此类争议转交给独立个人或监管机构(如适用)进行调解; |
(b) | 将此类争议转交给数据导出方所在成员国的法院。 |
2. | 双方同意,数据主体所做的选择不会影响其根据国内或国际法律的其他条款规定寻求补救的实质性或程序 性权利。 |
第 8 条
与监管机构合作
1. | 如监管机构要求备案一份本协议的副本,或者适用数据保护法要求进行此类备案,则数据导出方同意进行 此类备案。 |
2. | 双方同意,监管机构有权对数据导入方及其任何分包处理方进行审计,且此类审计的范围与条件与根据适 用数据保护法对数据导出方进行的审计相同。 |
3. | 如果存在任何适用于数据导入方或其任何分包处理方且阻止根据第 2 款对数据导入方或其任何分包处理方 执行审计的法律,则数据导入方应及时通知数据导出方。在此类情况下,数据导出方应有权采取第 5(b) 条中预见的措施。 |
第 9 条
管辖法律
这些条款受数据导出方所在成员国的法律管辖。
第 10 条
合同变更
双方承诺不会变更或修正这些条款。该承诺不妨碍双方在需要时就业务相关问题添加相应条款,但前提是,这些条款不会与该条款冲突。
第 11 条分包处理
1. | 未经数据导出方事先书面同意,数据导入方不得将其根据这些条款代表数据导出方执行的任何处理操作进 行分包。如数据导入方经数据导出方同意将其根据这些条款应承担的义务进行分包,则其必须与分包处理方签署书面协议,此类协议对分包处理方规定的义务应与数据导入方根据这些条款应承担的义务完全相同(3)。如分包处理方未能根据此类书面协议履行其数据保护义务,则数据导入方应承担对数据导出方的全部责任并根据此类协议履行分包处理方的义务。 |
2. | 此外,数据导入方与分包处理方之间事先订立的书面合同还应提供第 3 条中规定的第三方受益人条款,如 数据主体因数据导出方或数据导入方在事实上已不存在、被取消法律资格或丧失偿债能力而无法根据第 6 条第 1 款向数据导出方或数据导入方提出赔偿要求,并且没有任何继任实体根据合同或法律规定承担数据导出方或数据导入方的全部法律义务,则应援引此类第三方受益人条款。分包处理方所应承担的此类第三 方责任仅限于其自身根据这些条款执行的处理操作。 |
3. | 第 1 款所提及协议中有关数据保护分包处理的规定应受数据导出方所在成员国的法律管辖,即…... |
4. | 数据导出方应留存一份根据这些条款达成的分包处理协议的清单,数据导入方应按照第 5(j) 条中的规定将此类协议通知数据导出方,此类协议应至少每年更新一次。该清单应提供给数据导出方的数据保护监管机构。 |
第 12 条
个人数据处理服务终止后的义务
1. | 双方同意,在数据处理服务条款终止后,数据导入方和分包处理方应按照数据导出方选择的方式,将所有 已传输的个人数据及其副本退还给数据导出方,或者销毁所有此类个人数据并向数据导出方证明此类数据已被销毁,除非法律禁止数据导入方退还或销毁全部或部分已传输的个人数据。在这种情况下,数据导入 方应保证其能够确保已传输的个人数据的机密性,并且不会再主动处理此类已传输的个人数据。 |
2. | 数据导入方和分包处理方应保证,如数据导出方和/或监管机构提出要求,其可提交相应的数据处理设 施,以供对第 1 款提及的措施进行审计。 |
谨代表数据导出方: 姓名(全名手写):…职务: …
地址: …
本协议生效所需其他信息(如有):
签名…
谨代表数据导入方:
姓名(全名手写):Xxxxxxx Xxxxx
职务:高级副总裁兼总法律顾问
签名…
地址:851 West Cypress Road, Ft. Lauderdale, FL 33309(USA)本协议生效所需其他信息(如有):
(1) 如双方认为第 95/46/EC 号指令中所述的定义和含义有助于构成独立合同,则其可以在这些条款中复用这些定义和含义。
(2) 适用于数据导入方的国内法律规定的强制性要求,只要在第 95/46/EC 号指令第 13(1) 条所列的某项利益基础上不超出民主社会所需遵循的范围,也就是说,这些要求作为一项必备措施,用于维护国家安全、国防和公共安全,或者针对刑事犯罪或违反职业道德的行为开展防范、调查、侦查和起诉活动、保障国家的重要经济或财政利益、保护数据主体安全或他人的权利和自由,则不视为与标准合同条款冲突。例如,此类不超出民主社会所需遵循范围的强制性要求包括:国际上公认的制裁活动、税务报告要求或反洗钱报告要求等。
(3) 要满足此项要求,可以让分包处理方共同签署数据导出方与数据导入方在此决议下达成的合同。
标准合同条款附录 1
本附录构成这些条款的一部分,须由双方完善并签署
成员国可根据本国规程完善或指定本附录应包含的任何其他必要信息
数据导出方
数据导出方(请简要说明与数据传输相关的活动):
使用 Citrix 服务说明中描述的 Citrix IT 产品、服务和解决方案。
数据导入方
数据导入方(请简要说明与数据传输相关的活动):
提供 Citrix 服务说明中描述的IT 产品、服务和解决方案。
数据主体
传输的个人数据涉及以下类别的数据主体(请说明):如本协议第 3 条所述。
数据类别
传输的个人数据涉及以下类别的数据(请说明):如本协议第 3 条所述。
特殊数据类别(如适用)
传输的个人数据涉及以下特殊数据类别(请说明):如本协议第 3 条所述。
处理操作
传输的个人数据可能参与以下基本处理活动(请说明):如服务说明中所述。
数据导出方 姓名: 职务: 授权签名 | 数据导入方 姓名:Xxxxxxx Xxxxx 职务: 高级副总裁兼 总法律顾问 授权签名 |
标准合同条款附录 2
本附录构成这些条款的一部分,须由双方完善并签署。
数据导入方根据第 4(d) 条和第 5(c) 条(或所附文档/法律)实施的技术和组织安全措施说明:有关技术和组织安全措施,详见 Citrix 服务安全附件(本协议附件 2)。
数据导出方 姓名: 职务: 授权签名 | 数据导入方 姓名:Xxxxxxx Xxxxx 职务: 高级副总裁兼 总法律顾问 授权签名 |