CITRIX 数据处理附件欧盟标准合同条款
CITRIX 数据处理附件欧盟标准合同条款
根据 Citrix 数据处理附件(版本:2020 年 5 月 27 日)(发布于位于 xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxx-xxxxxxxxxx-xxxxxxxxx.xxxx 的 Citrix 信任中心)(下称“DPA”)第 7 条的规定,这些通过引用纳入DPA 的欧盟标准合同条款可供购买了受DPA 约束的服务的客户实体签署。
附件 1:标准合同条款(“处理方”)
关于将个人数据传输到第三国/地区设立的处理方的欧盟委员会标准合同条款
依据第 95/46/EC 号指令第 26(2) 条关于将个人数据传输到无法提供充分数据保护的第三国/地区处理方的规定
您
以及
数据导入机构名称
Citrix Systems, Inc. (含其附属机构)
地址:851 West Cypress Road, Ft. Lauderdale, FL 33309
电话:x0 000 000 0000;传真:+ 1 805 690 6471;电子邮件:xxxxxxxxxxxx@xxxxxx.xxx
单称“一方”,合称“双方”,
(数据 导出方)
(数据 导入方)
已就以下合同条款(下称“条款”)达成一致,以便在将附件 1 中规定的数据从数据导出方传输到数据导入方过程中,为保护个人隐私和基本权利与自由而提供充分的保障。
第 1 条 定义
在这些条款中:
(a) “个人数据”、“特殊数据类别”、“处理/正在处理”、“控制方”、“处理方”、“数据主体”和 “监管机构”的定义与欧洲议会和欧盟理事会于 1995 年 10 月 24 日通过的第 95/46/EC 号指令中关于个人数据处理方面保护个人安全以及此类数据的自由流动的规定中的定义一致(1);
(b) “数据导出方”指传输个人数据的控制方;
(c) “数据导入方”指同意从数据导出方处接收个人数据以在传输后代表数据导出方并根据数据导出方的指示和这些条款中的规定处理此类数据的处理方,并且该处理方不受第三国/地区的系统约束,可确保提供第 95/46/EC 号指令第 25(1) 条中规定的充分保护;
(d) “分包处理方”指数据导入方或数据导入方的任何其他分包处理方雇用的任何处理方,该处理方同意从数据导入方或数据导入方的任何其他分包处理方处接收个人数据,以在传输后代表数据导出方并根据数据导出方的指示、这些条款中的规定以及书面分包合同中的条款规定对此类数据执行处理活动;
(e)“适用数据保护法”指在处理数据导出方所在成员国的数据控制方的适用个人数据期间保护个人基本权
利和自由特别是保护个人隐私权的法律;
(f)“技术和组织安全措施”指用于保护个人数据的措施,通过这些措施,可以防止个人数据遭到意外或非 法破坏或者意外丢失、修改、未经授权的披露或访问(特别是在处理活动涉及到通过网络传输数据时)以及所有其他非法形式的处理活动。
第 2 条
传输内容
数据传输的内容,特别是个人数据的特殊类别,将在适用时在附录 1 中进行说明,附录 1 构成这些条款不可缺少的一部分。
第 3 条
第三方受益人条款
1.数据主体可以作为第三方受益人针对数据导出方强制执行本条、第 4(b)-(i) 条、第 5(a)-(e) 和 (g)-(j) 条、 第 6(1) 和(2) 条、第 7 条、 第 8(2) 条以及第 9-12 条。
2.如数据导出方在事实上已不存在或被取消法律资格,数据主体可以针对数据导入方强制执行本条、
第 5(a)-(e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9-12 条,除非任何继任实体根据合同或法律规定承担数据导出方的全部法律义务,并据此接管数据导出方的权利和义务,此时,数据主体可以针对此类实体强制执行上述条款。
3.如数据导出方和数据导入方在事实上均已不存在、被取消法律资格或丧失偿债能力,数据主体可以针对分 包处理方强制执行本条、第 5(a)-(e) 和 (g) 条、第 6 条、第 7 条、第 8(2) 条以及第 9-12 条,除非任何继任 实体根据合同或法律规定承担数据导出方的全部法律义务,并据此接管数据导出方的权利和义务,此时,数据主体可以针对此类实体强制执行上述条款。分包处理方所应承担的此类第三方责任仅限于其自身根据
这些条款执行的处理操作。
4.在数据主体明确希望且国内法律许可的情况下,数据主体可指定某一团体或其他机构代表其利益,双方对
此无任何异议。
数据导出方同意并保证:
第 4 条
数据导出方的义务
(a)个人数据的处理(包括数据传输本身)已经遵守并将持续遵守适用数据保护法的相关规定(并已在必要
时通知数据导出方所在成员国的相关机构),且不违反该国的其他相关规定;
(b)已经要求并在个人数据处理服务期间持续要求数据导入方仅代表数据导出方且根据适用数据保护法以及
这些条款对所传输的个人数据进行处理;
(c)数据导入方将提供充分的保证以实施本协议附录 2 规定的技术和组织安全措施;
(d)已经对适用数据保护法的要求进行评估,确认所采取的安全措施合理适当,可以防止个人数据遭到意外或非法破坏或者意外丢失、修改、未经授权的披露或访问(特别是在处理活动涉及到通过网络传输数据时)以及所有其他非法形式的处理活动,并且这些措施就现有技术水平和实施成本而言,可确保达到防范数据处理以及要保护的数据特征所产生的风险所需的适当安全级别;
(e)确保遵守相关安全措施;
(f)如传输涉及特殊数据类别,在数据传输之前已经或在数据传输之后将尽快通知数据主体,说明此类数据可能传输到无法提供第 95/46/EC 号指令规定的充分保护的第三国/地区;
(g 如数据导出方决定继续传输或暂停数据传输,则根据第 5(b) 条和第 8(3) 条的规定,将从数据导入方或任 何分包处理方处收到的通知转交给数据保护监督机构;
(h)经数据主体要求,向其提供这些条款的一份副本(附录 2 除外)、一份安全措施摘要说明以及一份有关 任何分包处理服务的合同副本(此合同须根据这些条款订立),除非这些条款或此类合同含有商业信
息,在这种情况下,可移除此类商业信息;
(i)如需进行分包处理,分包处理方应根据第 11 条执行处理活动,并为个人数据以及数据主体的权利提供至 少与这些条款针对数据导入方规定的保护级别同等的保护;
(j)确保遵守第 4(a)-(i) 条的要求。
数据导入方同意并保证:
第 5 条
数据导入方的义务(2)
(a)仅代表数据导出方并按照数据导出方的指示以及这些条款的规定处理数据。如出于任何原因无法遵守此 规定,数据导入方同意,就其无法遵守此规定的事宜立即通知数据导出方,在这种情况下,数据导出方有权暂停数据传输和/或终止合同;
(b)如其无理由认为适用法律妨碍其遵守数据导出方的指示以及履行其合同义务,且在适用法律发生变更时,可能对这些条款下的保证和义务造成实质性不利影响,则其应在知悉此类情况后及时将此类变更通知数据导出方,在这种情况下,数据导出方有权暂停数据传输和/或终止合同;
(c) 其在处理所传输的个人数据之前已实施附录 2 规定的技术和组织安全措施;
(d)如出现下列情形,其将立即向数据导出方通知相关事宜:
(i)执法机构提出任何具有法律约束力的个人数据披露要求,除非另有禁止规定(例如根据刑法,为保护
执法调查的机密性而禁止此类披露);
(ii)任何意外的或未经授权的访问;以及
(iii) 数据主体直接提出任何要求,但此类要求并得到回应,除非已另经授权做出回应;
(e)如数据导出方就数据导入方处理所传输的个人数据提出任何问询,及时对此类问询进行合理处理,并遵
守监管机构就处理所传输的数据提出的建议;
(f)经数据导出方要求,提交其数据处理设施,用以对这些条款规定的处理活动进行审计,此类审计应由数 据导出方或数据导出方选定的检查机构实施,此类检查机构需由独立成员组成且拥有所需专业资质并能承担保密义务,必要时,还需获得监管机构的认可;
(g)如数据主体无法从数据导出方获得这些条款或任何现有分包处理合同的副本,则经数据主体要求,为数 据主体提供此类副本,除非这些条款或合同包含商业信息,在这种情况下,可移除此类商业信息。在提供此类副本时,不应包括附录 2,该附录应替换为一份安全措施摘要说明;
(h)如需进行分包处理,其已事先通知数据导出方并获得数据导出方的书面同意; (i)分包处理方应根据第 11 条提供数据处理服务;
(j)及时将根据这些条款订立的任何分包处理方协议副本发送给数据导出方。
第 6 条责任
1.双方同意,如任何一方或分包处理方以任何方式违反第 3 条或第 11 条中规定的义务,致使任何数据主体 遭受损失,则该数据主体有权从数据导出方处获得补偿,以弥补其遭受的损失。
2.如数据导入方或其分包处理方未履行第 3 条或第 11 条为其规定的任何义务,而数据主体因数据导出方在事实上已不存在、被取消法律资格或丧失偿债能力而无法根据第 1 款向数据导出方提出索赔要求,则数据导入方同意,数据主体可将数据导入方视为数据导出方,并向数据导入方发起索赔,除非任何继任实体已根据合同或法律规定承担数据导出方的全部法律义务,在这种情况下,数据主体可以对此类实体强制行使其权利。
数据导入方不得因分包处理方不履行其义务来逃避自身责任。
3.如分包处理方未履行第 3 条或第 11 条为其规定的义务,而数据主体因数据导出方和数据导入方在事实上 均已不存在、被取消法律资格或丧失偿债能力而无法根据第 1 款和第 2 款向数据导出方或数据导入方提出索赔要求,则分包处理方同意,数据主体可将数据分包处理方视为数据导出方或数据导入方,并就数据分
包处理方自身根据这些条款进行的处理操作向数据分包处理方发起索赔,除非任何继任实体已根据合同或法律规定承担数据导出方或数据导入方的全部法律义务,在这种情况下,数据主体可以对此类实体强制行使其权利。分包处理方的责任应仅限于其自身根据这些条款进行的处理操作。
第 7 条
调解与司法管辖
1.数据导入方同意,如数据主体向其申索第三方受益人权利和/或根据这些条款对所遭受的损失提出补偿,
数据导入方应接受数据主体的决定:
(a) 将此类争议转交给独立个人或监管机构(如适用)进行调解;
(b) 将此类争议转交给数据导出方所在成员国的法院。
2.双方同意,数据主体所做的选择不会影响其根据国内或国际法律的其他条款规定寻求补救的实质性或程序
性权利。
第 8 条
与监管机构合作
1.如监管机构要求备案一份本协议的副本,或者适用数据保护法要求进行此类备案,则数据导出方同意进行
此类备案。
2.双方同意,监管机构有权对数据导入方及其任何分包处理方进行审计,且此类审计的范围与条件与根据适
用数据保护法对数据导出方进行的审计相同。
3.如果存在任何适用于数据导入方或其任何分包处理方且阻止根据第 2 款对数据导入方或其任何分包处理方 执行审计的法律,则数据导入方应及时通知数据导出方。在此类情况下,数据导出方应有权采取第 5(b)
条中预见的措施。
第 9 条
管辖法律 这些条款受数据导出方所在成员国的法律管辖。
第 10 条
合同变更
双方承诺不会变更或修正这些条款。该承诺不妨碍双方在需要时就业务相关问题添加相应条款,但前提是, 这些条款不会与该条款冲突。
第 11 条分包处理
1.未经数据导出方事先书面同意,数据导入方不得将其根据这些条款代表数据导出方执行的任何处理操作进 行分包。如数据导入方经数据导出方同意将其根据这些条款应承担的义务进行分包,则其必须与分包处理方签署书面协议,此类协议对分包处理方规定的义务应与数据导入方根据这些条款应承担的义务完全相同 (3)。如分包处理方未能根据此类书面协议履行其数据保护义务,则数据导入方应承担对数据导出方的全部责任并根据此类协议履行分包处理方的义务。
2.此外,数据导入方与分包处理方之间事先订立的书面合同还应提供第 3 条中规定的第三方受益人条款,如 数据主体因数据导出方或数据导入方在事实上已不存在、被取消法律资格或丧失偿债能力而无法根据第 6 条第 1 款向数据导出方或数据导入方提出赔偿要求,并且没有任何继任实体根据合同或法律规定承担数据 导出方或数据导入方的全部法律义务,则应援引此类第三方受益人条款。分包处理方所应承担的此类第三
方责任仅限于其自身根据这些条款执行的处理操作。
3.第 1 款所提及协议中有关数据保护分包处理的规定应受数据导出方所在成员国的法律管辖,即…...
4.数据导出方应留存一份根据这些条款达成的分包处理协议的清单,数据导入方应按照第 5(j) 条中的规定将此类协议通知数据导出方,此类协议应至少每年更新一次。该清单应提供给数据导出方的数据保护监管机构。
第 12 条
个人数据处理服务终止后的义务
1.双方同意,在数据处理服务条款终止后,数据导入方和分包处理方应按照数据导出方选择的方式,将所有
已传输的个人数据及其副本退还给数据导出方,或者销毁所有此类个人数据并向数据导出方证明此类数据已被销毁,除非法律禁止数据导入方退还或销毁全部或部分已传输的个人数据。在这种情况下,数据导入
方应保证其能够确保已传输的个人数据的机密性,并且不会再主动处理此类已传输的个人数据。
2.数据导入方和分包处理方应保证,如数据导出方和/或监管机构提出要求,其可提交相应的数据处理设
施,以供对第 1 款提及的措施进行审计。
谨代表数据导出方: 姓名(全名手写):… 职务:…
地址:…
本协议生效所需其他信息(如有):
签名…
谨代表数据导入方:
姓名(全名手写):Xxxxx M. Lefkowitz
职务:副总裁兼首席隐私和数字风险官
地址:851 West Cypress Road, Ft. Lauderdale, FL 33309(USA)
本协议生效所需其他信息(如有):
签名…
(1)如双方认为第 95/46/EC 号指令中所述的定义和含义有助于构成独立合同,则其可以在这些条款中复用这些定义和含义。
(2)适用于数据导入方的国内法律规定的强制性要求,只要在第 95/46/EC 号指令第 13(1) 条所列的某项利益基础上不超出民主社会所需遵循的范围,也就是说,这些要求作为一项必备措施,用于维护国家安全、国防和公共安全,或者针对刑事犯罪或违反职业道德的行为开展防范、调查、侦查和起诉活动、保障国家的重要经济或财政利益、保护数据主体安全或他人的权利和自由,则不视为与标准合同条款冲突。例如,此类不超
出民主社会所需遵循范围的强制性要求包括:国际上公认的制裁活动、税务报告要求或反洗钱报告要求等。
(3)要满足此项要求,可以让分包处理方共同签署数据导出方与数据导入方在此决议下达成的合同。
标准合同条款附录 1本附录构成这些条款的一部分,须由双方完善并签署
成员国可根据本国规程完善或指定本附录应包含的任何其他必要信息
数据导出方
数据导出方(请简要说明与数据传输相关的活动):
使用 Citrix 服务说明中描述的 Citrix IT 产品、服务和解决方案。
数据导入方
数据导入方(请简要说明与数据传输相关的活动):
提供 Citrix 服务说明中描述的IT 产品、服务和解决方案。
数据主体
传输的个人数据涉及以下类别的数据主体(请说明):请参见 DPA 第 5 条。
数据类别
传输的个人数据涉及以下类别的数据(请说明):请参见 DPA 第 5 条。
特殊数据类别(如适用)
传输的个人数据涉及以下特殊数据类别(请说明):
传输的个人数据由数据导出方确定和控制,且可能包括诸如政府标识符、宗教信仰等敏感数据,或为提供服务而有必要处理的任何其他敏感数据。
处理操作
传输的个人数据可能参与以下基本处理活动(请说明):请参见 DPA 第 4 条。
数据导出方
姓名:
职务:
授权签名
数据导入方
姓名:Xxxxx M. Lefkowitz
职务: 副总裁兼首席隐
私和数字风险官 授权签名
标准合同条款附录 2本附录构成这些条款的一部分,须由双方完善并签署。
数据导入方根据第 4(d) 条和第 5(c) 条(或所附文档/法律)实施的技术和组织安全措施说明: 技术和组织安全措施详载于 Citrix 服务安全附件,其位于
xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx。
数据导出方 姓名:
职务:
授权签名
数据导入方
姓名:Xxxxx M. Lefkowitz
职务: 副总裁兼首席隐
私和数字风险官 授权签名