Clauses contractuelles types (CCT) (du responsable du traitement au sous-traitant)
L’exportateur de données et l’importateur de données, tel que définis dans l’addendum relatif au traitement des données de monday.com ou par tout autre accord ou addendum effectivement régissant le traitement des données personnelles par l’importateur de données pour le compte de l’exportateur de données, dont tous les annexes, et pièces y afférents («DPA»), chacune étant une « partie » ; ensemble, les « parties », ont accepté les Clauses contractuelles (« Clauses ») suivantes (afin de présenter des garanties appropriées en ce qui concerne la protection de la vie privée et les droits fondamentaux et libertés des personnes pour le transfert par l’exportateur de données à l’importateur de données personnelles spécifiées à l’annexe 1.
Clause 1 – Définitions
Aux fins des Clauses :
a) « données personnelles », « catégories particulières de données », « processus/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relatives à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données ;
(b) « l’exportateur de données » désigne le responsable du traitement qui transfère les données personnelles ;
c) « l’importateur de données » désigne le sous-traitant qui accepte de recevoir de l’exportateur de données des données personnelles destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n’est pas soumis au système d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;
d) « le sous-traitant ultérieur » désigne tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de l’importateur de données qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de l’importateur de données, des données personnelles exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;
(e) « la loi applicable en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des individus et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données personnelles applicables à un responsable du traitement dans l’État membre dans lequel l’exportateur de données est établi ;
f) « les mesures techniques et organisationnelles de sécurité » désignent les mesures visant à protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisés, en particulier lorsque le traitement implique la transmission de données par réseau, et contre toute autre forme illicite de traitement.
Clause 2 – Détails du transfert
Les détails du transfert et, en particulier, les catégories spéciales des données personnelles, le cas échéant, sont spécifiés à l’annexe 1 qui fait partie intégrante des Clauses.
Clause 3 – Clause de tiers bénéficiaire
1. La personne concernée peut faire valoir à l’égard de l’exportateur de données la présente clause, la clause 4(b) à (i), la clause 5(a) à (e) et (g) à (j), la clause 6(1) et (2), la clause 7, la clause 8(2) et les clauses 9 à 12 en tant que bénéficiaire tiers.
2. La personne concernée peut faire valoir à l’égard de l’importateur de données la présente Clause, la Clause 5 (a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l’exportateur de données a disparu matériellement ou a cessé d’exister en droit, à moins qu’une entité remplaçante n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou par effet de la loi, de sorte qu’elle assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire valoir à l’encontre de cette entité.
3. La personne concernée peut faire appliquer à l’encontre du sous-traitant ultérieur la présente Clause, Clause 5(a) à (e) et (g), Clause 6, Clause 7, Clause 8(2) et Clauses 9 à 12, dans les cas où l’exportateur de données et l’importateur de données ont disparu matériellement ou ont cessé d’exister en droit ou sont devenus insolvables, à moins qu’une entité successeur n’ait assumé l’ensemble des obligations juridiques de l’exportateur de données par contrat ou par effet de la loi à la suite desquelles il prend en charge les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire valoir à cette entité. Cette responsabilité tierce du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des clauses.
4. Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.
Clause 4 – Obligations de l’exportateur de données
L’exportateur de données accepte et garantit :
(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d’être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre où l’exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;
(b) qu’il a donné des instructions et que, pendant toute la durée des services de traitement des données personnelles, il donnera des instructions à l’importateur de données afin de traiter les données personnelles transférées uniquement pour le compte de l’exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
(c) que l’importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’Annexe 2 du présent contrat ;
(d) qu’après évaluation des exigences de la loi applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre destruction ou perte, modification, divulgation ou accès accidentels ou illicites, en particulier lorsque le traitement implique la transmission de données par réseau, et contre toutes les autres formes de traitement illicites, et que ces mesures garantissent un niveau de sécurité approprié aux risques présentés par le traitement et la nature des données à protéger compte tenu des techniques les plus récentes et du coût de leur mise en œuvre ;
(e) qu’il veillera au respect des mesures de sécurité ;
(f) que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou le plus tôt possible après, le transfert que ses données pourraient être transmises à un pays tiers n’assurant pas une protection adéquate au sens de la directive 95/46/CE ;
(g) de transmettre toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la Clause 5(b), et à la Clause 8(3), à l’autorité de contrôle de la protection des données si l’exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
(h) de mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l’exception de l’annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;
(i) que, en cas de sous-traitance, l’activité de traitement soit effectuée conformément à la Clause 11 par un sous-traitant offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données en vertu des Clauses et
(j) qu’il garantira le respect de la Clause 4(a) à (i).
Clause 4 – Obligations de l’exportateur de données
L’exportateur de données accepte et garantit :
(a) de traiter les données personnelles uniquement pour le compte de l’exportateur de données et conformément à ses instructions et aux Clauses ; s’il ne peut assurer cette conformité pour quelque raison que ce soit, il accepte d’informer rapidement l’exportateur de données de son incapacité, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
(b) qu’il n’a aucune raison de croire que la législation qui s’y applique l’empêche de remplir les instructions reçues de l’exportateur de données et ses obligations en vertu du contrat et qu’en cas de modification de cette législation susceptible d’avoir un effet négatif substantiel sur les garanties et obligations fournies par les Clauses, il en informera rapidement l’exportateur de données dès qu’il en est informé, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
(c) qu’il a mis en œuvre les mesures techniques et organisationnelles de sécurité spécifiées à l’annexe 2 avant de traiter les données personnelles transférées ;
(d) qu’il informera rapidement l’exportateur de données des éléments suivants :
(i) toute demande légalement contraignante de divulgation des données personnelles par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu de la loi pénale de préserver la confidentialité d’une enquête d’application de la loi,
(ii) tout accès accidentel ou non autorisé et
(iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf autorisation contraire ;
(e) de traiter rapidement et correctement toutes les demandes de l’exportateur de données relatives à son traitement des données personnelles faisant l’objet du transfert et de se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;
(f) à la demande de l’exportateur de données de soumettre ses installations de traitement des données pour vérification des activités de traitement couvertes par les Clauses qui doivent être effectuées par l’exportateur de données ou un organisme d’inspection composé de membres indépendants et en possession des qualifications professionnelles requises liées par une obligation de confidentialité, sélectionnée par l’exportateur de données, le cas échéant, en accord avec l’autorité de contrôle ;
(g) de mettre à la disposition de la personne concernée par les données sur demande une copie des Clauses, ou tout contrat de sous-traitance existant, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas elles peuvent supprimer ces informations commerciales, à l’exception de l’Annexe 2 qui doit être remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée ne soit pas en mesure d’obtenir une copie de l’exportateur de données ;
(h) qu’en cas de sous-traitance, il a préalablement informé l’exportateur de données et obtenu son consentement écrit préalable ;
(i) que les services de traitement effectués par le sous-traitant ultérieur seront effectués conformément à la Clause 11 ;
(j) d’envoyer rapidement à l’exportateur de données une copie de tout accord de sous-traitance secondaire qu’il conclut en accord avec les Clauses.
Clause 6 – Responsabilité
1. Les parties conviennent que toute personne concernée, qui aurait subi des dommages résultant d’une violation des obligations définies à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant ultérieur, a le droit de recevoir une compensation de l’exportateur de données pour dommages subis.
2. Si une personne concernée n’est pas en mesure de déposer une demande d’indemnisation conformément au paragraphe 1 à l’encontre de l’exportateur de données, en cas de violation par l’importateur de données ou son sous-traitant ultérieur de l’une de ses obligations définies à la Clause 3 ou à la Clause 11, parce que l’exportateur de données a disparu matériellement ou a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une demande contre l’importateur de données comme s’il s’agissait de l’exportateur de données, à moins qu’une entité remplaçante n’ait assumé l’intégralité des obligations juridiques de l’exportateur de données par contrat, par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité.
L’importateur de données ne saurait invoquer une violation de la part d’un sous-traitant ultérieur de ses obligations pour s’exonérer de ses propres responsabilités.
2. Si une personne concernée n’est pas en mesure de déposer une demande d’indemnisation conformément au paragraphe 1 à l’égard de l’exportateur de données, en cas de violation par l’importateur de données ou son sous-traitant ultérieur de l’une de ses obligations définies à la Clause 3 ou à la Clause 11, parce que l’exportateur de données a disparu matériellement ou a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une demande contre l’importateur de données comme s’il s’agissait de l’exportateur de données, à moins qu’une entité remplaçante n’ait assumé l’intégralité des obligations juridiques de l’exportateur de données par contrat, par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits à l’égard de cette entité. Cette responsabilité tierce du sous-traitant ultérieur sera limitée à ses propres opérations de traitement conformément aux clauses.
Clause 7 – Médiation et juridiction
1. L’importateur de données convient que si la personne concernée invoque une compensation pour dommages en vertu des Clauses, l’importateur de données acceptera la décision de la personne concernée :
(a) de soumettre le litige à la médiation, par une personne indépendante ou, le cas échéant, par l’autorité de surveillance ;
(b) de signaler le litige aux tribunaux de l’État membre dans lequel l’exportateur de données est établi.
2. Les parties conviennent que le choix effectué par la personne concernée ne portera pas préjudice à ses droits substantiels ou procéduraux de demander des recours conformément à d’autres dispositions du droit national ou international.
Clause 8 – Coopération avec les autorités de contrôle
1. L’exportateur de données s’engage à déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé par la loi applicable en matière de protection des données.
2. Les parties conviennent que l’autorité de contrôle a le droit de procéder à un audit de l’importateur de données, et de tout sous-traitant ultérieur, qui ait le même champ d’application et est soit aux mêmes conditions que celles qui s’appliqueraient à un audit de l’exportateur de données en vertu de la loi applicable sur la protection des données.
3. L’importateur de données devra notifier sans délai l’exportateur de données de l’existence d’une législation applicable à lui-même ou à tout sous-traitant ultérieur empêchant la réalisation d’un audit de l’importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l’exportateur de données est autorisé à prendre les mesures prévues à la Clause 5 (b).
Clause 9 – Loi applicable
Les Clauses seront régies par le droit de l’État membre dans lequel l’exportateur de données est établi.
Clause 10 – Variation du contrat
Les parties s’engagent à ne pas modifier les Clauses. Cela n’empêche pas les parties d’ajouter des clauses concernant des questions liées à l’entreprise, si nécessaire, tant qu’elles ne contredisent pas la Clause.
Clause 11 – Sous-traitance
1. L’importateur de données ne devra sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l’exportateur de données en vertu des Clauses sans le consentement écrit préalable de l’exportateur de données. Lorsque l’importateur de données sous-traitera ses obligations aux termes des Clauses, avec le consentement de l’exportateur de données, il ne le fera que par le biais d’un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l’importateur de données en vertu des Clauses. Là où le sous-traitant ne parvient pas à remplir
ses obligations en matière de protection des données en conformité avec un tel accord écrit, l’importateur de données restera pleinement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu dudit accord.
2. Le contrat écrit préalablement entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée ne soit pas en mesure d’introduire la demande d’indemnisation mentionnée à la Clause 6, paragraphe 1, à l’encontre de l’exportateur de données ou de l’importateur de données parce qu’ils ont disparu matériellement ou ont cessé d’exister en droit ou sont devenus insolvables et qu’aucune entité remplaçante n’a assumé l’ensemble des obligations légales de l’exportateur de données ou de l’importateur de données par contrat ou de plein droit. Cette responsabilité tierce du sous-traitant ultérieur sera limitée à ses propres opérations de traitement en vertu des clauses.
3. Les dispositions relatives aux aspects de la protection des données pour la sous-traitance du contrat mentionné au paragraphe 1 sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.
4. L’exportateur de données devra établir une liste des accords de sous-traitance secondaire conclus sous les Clauses et notifiés par l’importateur de données conformément à la Clause 5 (j), qui sera mise à jour au moins une fois par an. La liste devra être accessible à l’autorité de contrôle de la protection des données de l’exportateur de données.
Clause 12 – Obligation après la résiliation des services de traitement des données personnelles
1. Les parties conviennent qu’à la fin de la prestation de services de traitement des données, l’importateur de données et le sous-traitant ultérieur doivent, au choix de l’exportateur de données, renvoyer toutes les données personnelles transférées et leurs copies à l’exportateur de données ou détruire toutes les données personnelles et certifier à l’exportateur de données qu’elles l’ont fait, sauf si la législation imposée à l’importateur de données l’empêche de renvoyer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l’importateur de données garantira la confidentialité des données à caractère personnel transférées et ne traitera plus activement les données personnelles transférées.
2. L’importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures en vertu du paragraphe 1.
ANNEXE A: AUTRES DISPOSITIONS
A. Règlement général sur la protection des données : Dans la totalité des clauses présentes, les références à la directive 95/46/CE doivent être lues comme des références au Règlement général sur la protection des données (2016/679) (le « Règlement »), ou, si l’exportateur de données est établi au Royaume-Uni (le « Royaume-Uni »), au Règlement et/ou à toute loi locale britannique qui met en application ou complète le Règlement, tel qu’applicable de temps à autre, et dans chaque cas, les références à des articles ou des dispositions spécifiques de la directive doivent être lues comme des références à l’article ou disposition équivalente dans le Règlement ou la loi locale britannique, lorsque cela est possible et approprié.
B. Sous-traitance ultérieure : Aux fins de la Clause 11 des présentes clauses, l’exportateur de données consent par la présente à ce que l’importateur de données sous-traite tout ou partie de ses opérations de traitement de données effectuées en vertu des présentes clauses conformément au DPA.
C. Importateurs de données établis dans des pays « adéquats » : dans la mesure où monday.com Ltd. est le destinataire et le sous-traitant des données à caractère personnel conformément aux présentes Clauses et soit :
(i) établi dans une juridiction reconnue par la Commission européenne (ou, si l’exportateur de données est établi au Royaume-Uni, reconnue par les autorités compétentes du Royaume-Uni) comme assurant un niveau de protection adéquat des données à caractère personnel, les conditions du DPA concernant les transferts de données personnelles vers d’autres pays s’appliquent, de sorte que les présentes clauses s’appliquent uniquement au transfert ultérieur des données importées vers les sous-traitants de monday.com Ltd. qui sont situés dans une juridiction non reconnue par la Commission européenne comme assurant un niveau de protection adéquat des données personnelles ou
(ii) établi dans une juridiction non reconnue par la Commission européenne comme assurant un niveau de protection adéquat des données personnelles, monday.com Ltd. sera l’importateur de données aux fins des présentes Clauses.
D. Exportateurs de données établis en dehors de l’Espace économique européen : dans la mesure où l’exportateur de données conformément aux présentes clauses est établi dans une juridiction située en dehors de l’Espace économique européen, les présentes clauses s’appliquent uniquement aux transferts de données personnelles concernant des personnes résidant à l’intérieur de l’Espace économique européen. Dans ce cas, les références à « l’État membre » doivent être lues comme des références à l’État membre applicable relativement aux activités de traitement de l’exportateur de données en relation avec les présentes clauses qui concernent les données personnelles de personnes résidant dans l’Espace économique européen.
E. Instructions : Aux fins de la Clause 5(a) des Clauses contractuelles standard, le traitement décrit dans le DPA et tout autre document écrit convenu mutuellement par l’exportateur de données et l’importateur de données constituent les instructions de l’exportateur de données à l’importateur de données au moment de la conclusion du DPA et/ou dudit document écrit, pour traiter les données personnelles au nom de l’exportateur de données. Toute instruction supplémentaire ou alternative sera soumise aux conditions du DPA.
F. Suspension des transferts de données et de la résiliation : si, conformément à la Clause 5(a), l’exportateur de données a l’intention de suspendre le transfert de données personnelles et/ou de résilier ces Clauses, il devra notifier l’importateur de données et fournir à l’importateur de données 30 jours pour remédier à la non-conformité (« Période de remède »). Si, après la Période de remède, l’importateur de données n’a pas ou ne peut pas remédier à la non-conformité, l’exportateur de données peut suspendre ou résilier le
transfert de données personnelles immédiatement. L’exportateur de données ne doit pas être tenu de fournir cet notification dans les cas où il considère qu’il existe un risque important de préjudice pour les personnes concernées ou leurs données personnelles. Nonobstant toute autre disposition de la présente section F, dans le cas où les présentes clauses cessent de constituer une garantie appropriée du transfert des données personnelles conformément à la législation applicable en matière de protection des données en vertu d’une décision contraignante d’une autorité de contrôle compétente, les dispositions de l’APD concernant les modifications nécessaires en raison de changements législatifs et réglementaires s’appliquent.
G. Assistance de l’importateur de données : dans le cas où l’exportateur de données cherche à effectuer une évaluation de l’adéquation de ces Clauses pour la protection des données personnelles transférées, l’importateur de données est tenu de fournir une assistance raisonnable à l’exportateur de données aux fins de cette évaluation.
H. Droits d’audit : l’exportateur de données reconnaît et accepte qu’il exerce son droit d’audit sous la Clause 5(f) et la Clause 12.2 en demandant à l’importateur de données de se conformer aux mesures d’audit décrites dans le DPA.
I. Transferts à partir de la Suisse : Nonobstant la section D ci-dessus, en ce qui concerne les transferts de données à partir d’un exportateur de données établi en Suisse, les présentes Clauses seront interprétées conformément au droit applicable en Suisse. Dans ce cas, les références à la directive 95/46/CE dans la totalité des clauses présentes doivent être lues comme des références à la législation suisse pertinente concernant la protection des données, la vie privée, la sécurité des données ou le traitement des informations sur les personnes, applicable à l’exportateur de données, et les termes définis à la clause 1 doivent avoir la signification qui leur est donnée (ou des termes raisonnablement équivalents) dans cette législation. Les références à « État membre » doivent être lues comme des références à la Suisse. Sans préjudice de la section A ci-dessus, les parties conviennent en outre que, en ce qui concerne les transferts de données pour lesquels, en vertu des lois applicables sur la protection de la vie privée, la définition des « données personnelles » (ou un terme raisonnablement équivalent) s’étend aux informations relatives aux personnes morales, les références aux « données personnelles » dans les présentes clauses doivent également inclure les informations relatives aux personnes morales. Les parties conviennent en outre que, lorsque la loi applicable l’exige ou à la demande de l’autorité de surveillance compétente, elles accompliront tous les actes supplémentaires qui peuvent raisonnablement être requis pour donner effet à la présente section H, y compris (mais sans s’y limiter) l’exécution de tous les documents.
ANNEXE 1
des Clauses contractuelles types
Exportateur de données
L’exportateur de données est l’entité identifiée comme « Client » ou « Responsable du traitement » dans le DPA. Importateur de données
L’importateur de données est monday.com Ltd., un fournisseur de services web et/ou son sous-traitant ultérieur (selon le terme utilisé dans le DPA), tel que déterminé par monday.com Ltd. conformément aux conditions du DPA concernant les transferts de données transfrontaliers.
Données concernées
Les données personnelles transférées concernent les catégories de personnes concernées définies dans le DPA. Catégories des données
Les données personnelles transférées concernent les catégories de données définies dans le DPA. Opérations de traitement
Les données personnelles transférées seront soumises aux activités de traitement de base définies à l’annexe 1 du DPA.
ANNEXE 2
des Clauses contractuelles types
Description des mesures techniques et organisationnelles de sécurité appliquées par l’importateur de données conformément à la Clause 4(d) et à la Clause 5(c) (ou document/législation joint) :
Les mesures techniques et organisationnelles de sécurité appliquées par l’importateur de données sont celles décrites dans le DPA.
AVERTISSEMENT : Cette version est une traduction de l’original en anglais et est fournie uniquement à des fins de commodité. L’original anglais est la version officielle et juridiquement contraignante et c’est elle qui prévaudra en cas de divergence.
The data exporter and the data importer, as defined under the monday.com Data Processing Addendum or other agreement or addendum effectively governing the processing of personal data by the data importer on behalf of the data exporter, including all annexes, exhibits and appendices thereto (“DPA”), each a « party« ; together the « parties« , have agreed on the following Contractual Clauses (« Clauses« ) in order to adduce adequate safeguards with respect to the protection of privacy and fundamental rights and freedoms of individuals for the transfer by the data exporter to the data importer of the personal data specified in Appendix 1.
Clause 1 – Definitions
For the purposes of the Clauses:
(a) ‘personal data’, ‘special categories of data’, ‘process/processing’, ‘controller’, ‘processor’, ‘data subject’ and ‘supervisory authority’ shall have the same meaning as in Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;
(b) ‘the data exporter’ means the controller who transfers the personal data;
(c) ‘the data importer’ means the processor who agrees to receive from the data exporter personal data intended for processing on his behalf after the transfer in accordance with his instructions and the terms of the Clauses and who is not subject to a third country’s system ensuring adequate protection within the meaning of Article 25(1) of Directive 95/46/EC;
(d) ‘the subprocessor’ means any processor engaged by the data importer or by any other subprocessor of the data importer who agrees to receive from the data importer or from any other subprocessor of the data importer personal data exclusively intended for processing activities to be carried out on behalf of the data exporter after the transfer in accordance with his instructions, the terms of the Clauses and the terms of the written subcontract;
(e) ‘the applicable data protection law‘ means the legislation protecting the fundamental rights and freedoms of individuals and, in particular, their right to privacy with respect to the processing of personal data applicable to a data controller in the Member State in which the data exporter is established;
(f) ‘technical and organisational security measures’ means those measures aimed at protecting personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
Clause 2 – Details of the transfer
The details of the transfer and in particular the special categories of personal data where applicable are specified in Appendix 1 which forms an integral part of the Clauses.
Clause 3 – Third-party beneficiary clause
1. The data subject can enforce against the data exporter this Clause, Clause 4(b) to (i), Clause 5(a) to (e), and (g) to (j), Clause 6(1) and (2), Clause 7, Clause 8(2), and Clauses 9 to 12 as third-party beneficiary.
2. The data subject can enforce against the data importer this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where the data exporter has factually disappeared or has ceased to exist in law unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law, as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity.
3. The data subject can enforce against the subprocessor this Clause, Clause 5(a) to (e) and (g), Clause 6, Clause 7, Clause 8(2), and Clauses 9 to 12, in cases where both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, unless any successor entity has assumed the entire legal obligations of the data exporter by contract or by operation of law as a result of which it takes on the rights and obligations of the data exporter, in which case the data subject can enforce them against such entity. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.
4. The parties do not object to a data subject being represented by an association or other body if the data subject so expressly wishes and if permitted by national law.
Clause 4 – Obligations of the data exporter
The data exporter agrees and warrants:
(a) that the processing, including the transfer itself, of the personal data has been and will continue to be carried out in accordance with the relevant provisions of the applicable data protection law (and, where applicable, has been notified to the relevant authorities of the Member State where the data exporter is established) and does not violate the relevant provisions of that State;
(b) that it has instructed and throughout the duration of the personal data processing services will instruct the data importer to process the personal data transferred only on the data exporter’s behalf and in accordance with the applicable data protection law and the Clauses;
(c) that the data importer will provide sufficient guarantees in respect of the technical and organisational security measures specified in Appendix 2 to this contract;
(d) that after assessment of the requirements of the applicable data protection law, the security measures are appropriate to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing, and that these measures ensure a level of security appropriate to the risks presented by the processing and the nature of the data to be protected having regard to the state of the art and the cost of their implementation;
(e) that it will ensure compliance with the security measures;
(f) that, if the transfer involves special categories of data, the data subject has been informed or will be informed before, or as soon as possible after, the transfer that its data could be transmitted to a third country not providing adequate protection within the meaning of Directive 95/46/EC;
(g) to forward any notification received from the data importer or any subprocessor pursuant to Clause 5(b) and Clause 8(3) to the data protection supervisory authority if the data exporter decides to continue the transfer or to lift the suspension;
(h) to make available to the data subjects upon request a copy of the Clauses, with the exception of Appendix 2, and a summary description of the security measures, as well as a copy of any contract for subprocessing services which has to be made in accordance with the Clauses, unless the Clauses or the contract contain commercial information, in which case it may remove such commercial information;
(i) that, in the event of subprocessing, the processing activity is carried out in accordance with Clause 11 by a subprocessor providing at least the same level of protection for the personal data and the rights of data subject as the data importer under the Clauses; and
(j) that it will ensure compliance with Clause 4(a) to (i).
Clause 5 – Obligations of the data importer
The data importer agrees and warrants:
(a) to process the personal data only on behalf of the data exporter and in compliance with its instructions and the Clauses; if it cannot provide such compliance for whatever reasons, it agrees to inform promptly the data exporter of its inability to comply, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(b) that it has no reason to believe that the legislation applicable to it prevents it from fulfilling the instructions received from the data exporter and its obligations under the contract and that in the event of a change in this legislation which is likely to have a substantial adverse effect on the warranties and obligations provided by the Clauses, it will promptly notify the change to the data exporter as soon as it is aware, in which case the data exporter is entitled to suspend the transfer of data and/or terminate the contract;
(c) that it has implemented the technical and organisational security measures specified in Appendix 2 before processing the personal data transferred;
(d) that it will promptly notify the data exporter about:
(i) any legally binding request for disclosure of the personal data by a law enforcement authority unless otherwise prohibited, such as a prohibition under criminal law to preserve the confidentiality of a law enforcement investigation,
(ii) any accidental or unauthorised access, and
(iii) any request received directly from the data subjects without responding to that request, unless it has been otherwise authorised to do so;
(e) to deal promptly and properly with all inquiries from the data exporter relating to its processing of the personal data subject to the transfer and to abide by the advice of the supervisory authority with regard to the processing of the data transferred;
(f) at the request of the data exporter to submit its data processing facilities for audit of the processing activities covered by the Clauses which shall be carried out by the data exporter or an inspection body composed of independent members and in possession of the required professional qualifications bound by a duty of confidentiality, selected by the data exporter, where applicable, in agreement with the supervisory authority;
(g) to make available to the data subject upon request a copy of the Clauses, or any existing contract for subprocessing, unless the Clauses or contract contain commercial information, in which case it may remove such commercial information, with the exception of Appendix 2 which shall be replaced by a summary description of the security measures in those cases where the data subject is unable to obtain a copy from the data exporter;
(h) that, in the event of subprocessing, it has previously informed the data exporter and obtained its prior written consent;
(i) that the processing services by the subprocessor will be carried out in accordance with Clause 11;
(j) to send promptly a copy of any subprocessor agreement it concludes under the Clauses to the data exporter.
Clause 6 – Liability
1. The parties agree that any data subject, who has suffered damage as a result of any breach of the obligations referred to in Clause 3 or in Clause 11 by any party or subprocessor is entitled to receive compensation from the data exporter for the damage suffered.
2. If a data subject is not able to bring a claim for compensation in accordance with paragraph 1 against the data exporter, arising out of a breach by the data importer or his subprocessor of any of their obligations referred to in Clause 3 or in Clause 11, because the data exporter has factually disappeared or ceased to exist in law or has become insolvent, the data importer agrees that the data subject may issue a claim against the data importer as if it were the data exporter, unless any successor entity has assumed the entire legal obligations of the data exporter by contract of by operation of law, in which case the data subject can enforce its rights against such entity.
The data importer may not rely on a breach by a subprocessor of its obligations in order to avoid its own liabilities.
3. If a data subject is not able to bring a claim against the data exporter or the data importer referred to in paragraphs 1 and 2, arising out of a breach by the subprocessor of any of their obligations referred to in Clause 3 or in Clause 11 because both the data exporter and the data importer have factually disappeared or ceased to exist in law or have become insolvent, the subprocessor agrees that the data subject may issue a claim against the data subprocessor with regard to its own processing operations under the Clauses as if it were the data exporter or the data importer, unless any successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law, in which case the data subject can enforce its rights against such entity. The liability of the subprocessor shall be limited to its own processing operations under the Clauses.
Clause 7 – Mediation and jurisdiction
1. The data importer agrees that if the data subject invokes against it third-party beneficiary rights and/or claims compensation for damages under the Clauses, the data importer will accept the decision of the data subject:
(a) to refer the dispute to mediation, by an independent person or, where applicable, by the supervisory authority;
(b) to refer the dispute to the courts in the Member State in which the data exporter is established.
2. The parties agree that the choice made by the data subject will not prejudice its substantive or procedural rights to seek remedies in accordance with other provisions of national or international law.
Clause 8 – Cooperation with supervisory authorities
1. The data exporter agrees to deposit a copy of this contract with the supervisory authority if it so requests or if such deposit is required under the applicable data protection law.
2. The parties agree that the supervisory authority has the right to conduct an audit of the data importer, and of any subprocessor, which has the same scope and is subject to the same conditions as would apply to an audit of the data exporter under the applicable data protection law.
3. The data importer shall promptly inform the data exporter about the existence of legislation applicable to it or any subprocessor preventing the conduct of an audit of the data importer, or any subprocessor, pursuant to paragraph 2. In such a case the data exporter shall be entitled to take the measures foreseen in Clause 5 (b).
Clause 9 – Governing Law
The Clauses shall be governed by the law of the Member State in which the data exporter is established.
Clause 10 – Variation of the contract
The parties undertake not to vary or modify the Clauses. This does not preclude the parties from adding clauses on business related issues where required as long as they do not contradict the Clause.
Clause 11 – Subprocessing
1. The data importer shall not subcontract any of its processing operations performed on behalf of the data exporter under the Clauses without the prior written consent of the data exporter. Where the data importer subcontracts its obligations under the Clauses, with the consent of the data exporter, it shall do so only by way of a written agreement with the subprocessor which imposes the same obligations on the subprocessor as are imposed on the data importer under the Clauses. Where the subprocessor fails to fulfil
its data protection obligations under such written agreement the data importer shall remain fully liable to the data exporter for the performance of the subprocessor’s obligations under such agreement.
2. The prior written contract between the data importer and the subprocessor shall also provide for a third-party beneficiary clause as laid down in Clause 3 for cases where the data subject is not able to bring the claim for compensation referred to in paragraph 1 of Clause 6 against the data exporter or the data importer because they have factually disappeared or have ceased to exist in law or have become insolvent and no successor entity has assumed the entire legal obligations of the data exporter or data importer by contract or by operation of law. Such third-party liability of the subprocessor shall be limited to its own processing operations under the Clauses.
3. The provisions relating to data protection aspects for subprocessing of the contract referred to in paragraph 1 shall be governed by the law of the Member State in which the data exporter is established.
4. The data exporter shall keep a list of subprocessing agreements concluded under the Clauses and notified by the data importer pursuant to Clause 5 (j), which shall be updated at least once a year. The list shall be available to the data exporter’s data protection supervisory authority.
Clause 12 – Obligation after the termination of personal data processing services
1. The parties agree that on the termination of the provision of data processing services, the data importer and the subprocessor shall, at the choice of the data exporter, return all the personal data transferred and the copies thereof to the data exporter or shall destroy all the personal data and certify to the data exporter that it has done so, unless legislation imposed upon the data importer prevents it from returning or destroying all or part of the personal data transferred. In that case, the data importer warrants that it will guarantee the confidentiality of the personal data transferred and will not actively process the personal data transferred anymore.
2. The data importer and the subprocessor warrant that upon request of the data exporter and/or of the supervisory authority, it will submit its data processing facilities for an audit of the measures referred to in paragraph 1.
ANNEX A: FURTHER PROVISIONS
A. General Data Protection Regulation: References throughout these Clauses to Directive 95/46/EC shall be read as references to the General Data Protection Regulation (2016/679) (the “Regulation”), or, if the data exporter is established in the United Kingdom (the “UK”), to the Regulation and/or any UK local law which implements or supplements the Regulation, as applicable from time to time, and in each case references to specific articles or provisions of the Directive shall be read as references to the equivalent article or provision in the Regulation or UK local law, where possible and as appropriate.
B. Onward Subprocessing: For the purposes of Clause 11 of these Clauses, the data exporter hereby consents to the data importer subcontracting any or all of its data processing operations performed under these Clauses in accordance with the DPA.
C. Data importers established in ‘adequate’ countries: To the extent monday.com/l Ltd. is the recipient and processor of personal data pursuant to these Clauses and is:
(i) established in a jurisdiction recognised by the European Commission (or, if the data exporter is established in the UK, then recognized by the relevant authorities in the UK) as providing an adequate level of protection for personal data, the terms of the DPA concerning transfers of personal data to other countries shall apply, such that these Clauses will apply solely on onward transfer of the imported data to monday.com/l Ltd.’s sub-processors that are located in a jurisdiction not recognised by the European Commission as providing an adequate level of protection for personal data; or
(ii) established in a jurisdiction not recognised by the European Commission as providing an adequate level of protection for personal data, monday.com/l Ltd. shall be the data importer for the purposes of these Clauses.
D. Data exporters established outside the European Economic Area: To the extent the data exporter pursuant to these Clauses is established in a jurisdiction outside the European Economic Area, these Clauses shall apply solely in respect of transfers of personal data concerning individuals residing within the European Economic Area. In such cases, references to “Member State” shall be read as references to the Member State applicable in respect of the data exporter’s processing activities in relation to these Clauses which concern personal data of individuals residing within the European Economic Area.
E. Instructions: For the purposes of Clause 5(a) of the Standard Contractual Clauses, the processing described in the DPA and any other mutually agreed upon written instrument by data exporter and data importer constitute as data exporter’s instructions to data importer at the time of entering the DPA and/or such written instrument, to process Personal Data on data exporter’s behalf. Any additional or alternate instructions shall be subject to the terms of the DPA.
F. Suspension of Data Transfers and Termination: If, pursuant to Clause 5(a), the data exporter intends to suspend the transfer of personal data and/or terminate these Clauses, it shall provide notice to the data importer and provide data importer with 30 days to cure the non-compliance (“Cure Period”). If after the Cure Period the data importer has not or cannot cure the non-compliance then the data exporter may suspend or terminate the
transfer of personal data immediately. The data exporter shall not be required to provide such notice in instances where it considers there is a material risk of harm to data subjects or their personal data. Notwithstanding any other terms in this Section F, in the event these Clauses cease to be an appropriate safeguard for the transfer of the personal data in accordance with the applicable data protection law by virtue of a binding decision by a competent supervisory authority, the terms of the DPA concerning modifications necessary pursuant to legislative and regulatory changes shall apply.
G. Data importer’s assistance: In the event the data exporter seeks to conduct any assessment of the adequacy of these Clauses for the protection of the personal data being transferred, the data importer shall provide reasonable assistance to the data exporter for the purpose of any such assessment.
H. Audit Rights: Data exporter acknowledges and agrees that it exercises its audit right under Clause 5(f) and Clause 12.2 by instructing data importer to comply with the audit measures described in the DPA.
I. Transfers from Switzerland: Notwithstanding Section D above, in respect of data transfers from a data exporter established in Switzerland, these Clauses shall be interpreted in accordance with the governing law in Switzerland. In such cases, references throughout these Clauses to Directive 95/46/EC shall be read as references to the relevant legislation in Switzerland concerning data protection, privacy, data security or the handling of information about individuals applicable to the data exporter, and defined terms in Clause 1 shall have the meanings given to them (or reasonably equivalent terms) in such legislation. References to “Member State” shall be read as references to Switzerland. Without prejudice to Section A above, the parties further agree that that in respect of data transfers where, under applicable privacy laws, the definition of “personal data” (or such reasonably equivalent term) extends to information relating to legal entities, references in these Clauses to “personal data” shall also include information relating to legal entities. The parties further agree that, where required by applicable law or upon the request of the relevant supervisory authority, they will do all such further acts as may reasonably be required to grant effect to this Section H, including (but not limited to) executing all documents.
APPENDIX 1
to the Standard Contractual Clauses
Data exporter
The data exporter is the entity identified as “Customer” or “Controller” in the DPA. Data importer
The data importer is monday.com/l Ltd., a provider of web services, and/or its sub-processor (as such term is used in the DPA), as determined by monday.com/l Ltd. in accordance with the terms of the DPA concerning cross-border data transfers.
Data subjects
The personal data transferred concern the categories of data subjects defined in the DPA. Categories of data
The personal data transferred concern the categories of data defined in the DPA. Processing operations
The personal data transferred will be subject to the basic processing activities defined in Annex 1 to the DPA.
APPENDIX 2
to the Standard Contractual Clauses
Description of the technical and organisational security measures implemented by the data importer in accordance with Clauses 4(d) and 5(c) (or document/legislation attached):
The technical and organisational security measures implemented by the data importer are as described in the DPA.