GoDaddy - ADENDUM PEMROSESAN DATA

Adendum Pemrosesan Data ("Adendum") ini dijalankan oleh dan antara GoDaddy.com, LLC, a Delaware limited liability company beserta Afiliasinya ("GoDaddy") dan Anda ("Pelanggan") serta dilampirkan ke dan melengkapi Ketentuan Layanan Universal, Kebijakan Privasi serta setiap dan semua perjanjian yang mengatur Layanan Tercakup (secara keseluruhan disebut "Ketentuan Layanan").

1.1 Kecuali jika didefinisikan dalam Adendum ini, semua ketentuan dalam huruf besar yang tidak didefinisikan dalam Adendum ini akan dijelaskan maknanya dalam Ketentuan Layanan

"Afiliasi" berarti setiap entitas yang dikontrol oleh, mengontrol, atau sama-sama dikontrol oleh GoDaddy.

"Layanan Tercakup" berarti layanan yang di-host yang dapat melibatkan Pemrosesan Data Pribadi serta tunduk pada syarat dan ketentuan Perjanjian berikut: (1) Layanan Pemasaran Email, (2) Hosting, (3) Toko Online/Keranjang Belanja Cepat, (4) Layanan Situs Web, (5) Layanan Workspace.

"Data Pelanggan" berarti Data Pribadi setiap Subjek Data yang Diproses oleh GoDaddy dalam Jaringan GoDaddy atas nama Pelanggan sesuai dengan atau terkait Ketentuan Layanan.

"Undang-Undang Perlindungan Data" berarti semua undang-undang dan peraturan perlindungan atau privasi data yang berlaku untuk Pemrosesan Data Pribadi berdasarkan Perjanjian, termasuk, tetapi tidak terbatas pada (i) Prinsip Privasi Australia dan Undang-Undang Privasi Australia (1988), (ii) Lei Geral de Proteção de Dados (LGPD) Brasil, (iii) Undang-Undang Privasi Konsumen California (CCPA), (iv) Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) Federal Kanada, (v) GDPR UE, (vi) undang-undang perlindungan data nasional apa pun yang dibuat berdasarkan atau sesuai dengan GDPR, (vii) Petunjuk e-Privacy (Petunjuk 2002/58/EC) UE, (viii) Undang-Undang Perlindungan Data Pribadi (PDPA) Singapura tahun 2012, (ix) Undang-Undang Perlindungan Data Federal Swiss tertanggal 19 Juni 1992 dan Ordonansinya, dan (x) GDPR atau Undang-Undang Perlindungan Data Inggris tahun 2018; dalam setiap kasus sebagaimana dapat diamendemen, ditiadakan, atau digantikan.

"EEA" berarti European Economic Area (Wilayah Ekonomi Eropa).

"GDPR UE" berarti Peraturan (UE) 2016/679 Parlemen Eropa dan Dewan Eropa tertanggal 27 April 2016 tentang perlindungan orang pribadi terkait pemrosesan data pribadi dan pergerakan bebas data tersebut, serta pembatalan Petunjuk 95/46/EC.

"Klausul Kontrak Standar UE" berarti klausul perlindungan data standar yang disetujui berdasarkan keputusan Komisi Eropa 2021/914 tertanggal 4 Juni 2021, yang disertakan di sini melalui rujukan. Modul Dua (Pengontrol ke Pemroses) Klausul Kontrak Standar UE dan Modul Tiga (Pemroses ke Pemroses) Klausul Kontrak Standar UE tersedia untuk diunduh di situs web EUR-Lex.

"Jaringan GoDaddy" berarti fasilitas, server, peralatan jaringan, serta sistem perangkat lunak host pusat data GoDaddy (misalnya, firewall virtual) yang berada dalam kontrol GoDaddy dan digunakan untuk menyediakan Layanan Tercakup.

"Insiden Keamanan" berarti pelanggaran keamanan pada Standar Keamanan GoDaddy yang mengakibatkan kerusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak disengaja atau tidak sah ke Data Pelanggan pada sistem yang dikelola atau dikontrol oleh GoDaddy.

"Standar Keamanan" berarti standar keamanan yang tercantum dalam Adendum ini sebagai Apendiks 2.

"Data Sensitif" berarti (a) nomor jaminan sosial, nomor paspor, nomor SIM, atau tanda pengenal serupa (maupun bagiannya); (b) nomor kartu kredit atau debit (selain yang terpotong (empat digit terakhir) dari kartu kredit atau debit), informasi keuangan, nomor rekening bank, atau kata sandi; (c) informasi pekerjaan, keuangan, genetik, biometrik, atau kesehatan; (d) afiliasi ras, etnis, politik, atau agama, keanggotaan serikat pekerja, atau informasi tentang kehidupan seksual maupun orientasi seksual; (e) kata sandi akun, nama gadis ibu, atau tanggal lahir; (f) riwayat kriminal; atau (g) informasi atau kombinasi informasi lain yang termasuk dalam definisi "kategori data khusus" berdasarkan GDPR atau undang-undang maupun peraturan lain yang berlaku terkait privasi dan perlindungan data.

"Subpemroses" berarti setiap pemroses yang dilibatkan oleh Pemroses untuk Memproses data atas nama pengontrol.

"GDPR INGGRIS" berarti GDPR UE sebagaimana diamendemen dan dimasukkan ke dalam undang-undang Inggris berdasarkan Undang-Undang Uni Eropa (Pengunduran Diri) Inggris tahun 2018, dan legislasi sekunder yang berlaku yang dibuat berdasarkan Undang-Undang tersebut.

"Adendum Transfer Data Internasional Inggris" berarti Adendum Transfer Data Internasional untuk Klausul Kontrak Standar UE yang diterbitkan oleh Komisioner Informasi Inggris, Versi B1.0, berlaku efektif pada 21 Maret 2022 yang disertakan di sini melalui rujukan. Adendum Transfer Data Internasional Inggris tersedia untuk diunduh di Situs Web Komisioner Informasi Inggris

1.2 Ketentuan "data pribadi", "subjek data", "pemrosesan", "pengontrol", dan "pemroses" sebagaimana digunakan dalam Adendum ini akan dijelaskan maknanya dalam GDPR UE terlepas dari Undang-Undang Perlindungan Data yang berlaku.

2.1 GoDaddy sebagai Pemroses. Para pihak menyatakan dan menyetujui hal berikut: (i) bahwa GoDaddy adalah pemroses Data Pelanggan berdasarkan Undang-Undang Perlindungan Data; (ii) bahwa Pelanggan adalah pengontrol atau pemroses, sebagaimana berlaku, Data Pelanggan berdasarkan Undang-Undang Perlindungan Data; dan (iii) bahwa masing-masing pihak akan mematuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang berlaku terkait pemrosesan Data Pelanggan.

2.2 Detail Pemrosesan Data. Pokok bahasan pemrosesan Data Pelanggan oleh GoDaddy merupakan pelaksanaan Layanan Tercakup sesuai dengan Ketentuan Layanan. GoDaddy hanya boleh memproses Data Pelanggan atas nama dan sesuai dengan instruksi Pelanggan yang didokumentasikan untuk tujuan berikut: (i) pemrosesan sesuai dengan Ketentuan Layanan; (ii) pemrosesan yang dimulai oleh pengguna akhir dalam penggunaan Layanan Tercakup; (iii) pemrosesan untuk mematuhi instruksi lain yang wajar dan terdokumentasi yang disediakan oleh Pelanggan (misalnya, melalui email) yang instruksinya sesuai dengan Ketentuan Layanan. GoDaddy tidak boleh: (a) memproses, menyimpan, menggunakan, menjual, atau mengungkapkan Data Pelanggan kecuali sebagaimana diperlukan untuk menyediakan Layanan Tercakup sesuai dengan Ketentuan Layanan, atau sebagaimana diwajibkan oleh undang-undang; (b) menjual Data Pelanggan tersebut kepada pihak ketiga; (c) menyimpan, menggunakan, atau mengungkapkan Data Pelanggan tersebut di luar hubungan bisnis langsung antara GoDaddy dan Pelanggan.

Guna menghindari keraguan, instruksi Pelanggan untuk pemrosesan Data Pelanggan harus mematuhi semua Undang-Undang Perlindungan Data. Pelanggan harus bertanggung jawab penuh atas keakuratan, kualitas, dan keabsahan Data Pelanggan, serta cara Pelanggan memperoleh Data Pelanggan. Jika Pelanggan adalah pengontrol Data Pelanggan, berarti Pelanggan menyatakan dan menyetujui hal berikut: (i) Anda harus menggunakan upaya yang wajar secara komersial untuk mengungkapkan dengan jelas, dan mendapatkan persetujuan atas pengumpulan, pembagian, dan penggunaan data yang dilakukan di Layanan Tercakup; dan (ii) Anda harus menjelaskan bahwa sebagai konsekuensi atas penggunaan Layanan Tercakup oleh Anda, data Pengguna Akhir dapat diproses di luar negara asalnya. Jika Pelanggan adalah pemroses Data Pelanggan, berarti Pelanggan menjamin bahwa instruksi dan tindakan Pelanggan terkait Data Pelanggan, termasuk penetapan GoDaddy sebagai pemroses lain, telah diberi otorisasi oleh pengontrol yang relevan. GoDaddy tidak diwajibkan untuk mematuhi atau menjalankan instruksi Pelanggan jika instruksi tersebut akan melanggar Undang-Undang Perlindungan Data. Durasi Pemrosesan, sifat dan tujuan Pemrosesan, jenis Data Pribadi, serta kategori Subjek Data yang Diproses berdasarkan Adendum ini dijelaskan lebih lanjut di Apendiks 1 ('Detail Pemrosesan') pada Adendum ini.

GoDaddy tidak akan mengungkapkan Data Pelanggan kepada pemerintah atau pihak ketiga mana pun, kecuali jika diperlukan untuk mematuhi hukum atau perintah yang valid dan mengikat dari lembaga penegak hukum (seperti panggilan pengadilan atau perintah pengadilan). Apabila GoDaddy menerima surat panggilan pengadilan sipil yang valid, dan sejauh diizinkan, GoDaddy akan berupaya keras untuk menyampaikan, dengan waktu pemberitahuan yang masuk akal, panggilan tersebut kepada Pelanggan melalui email atau surat pos sehingga Pelanggan berkesempatan untuk berupaya mendapatkan surat perintah perlindungan dari pengadilan atau upaya hukum lain yang sesuai.

4.1 GoDaddy telah menerapkan dan akan mempertahankan tindakan teknis dan organisasi untuk Jaringan GoDaddy sebagaimana dijelaskan di Bagian ini dan sebagaimana dijelaskan lebih lanjut di Lampiran 2 pada Adendum ini, Standar Keamanan. Secara khusus, GoDaddy telah menerapkan dan akan mempertahankan tindakan teknis dan organisasi berikut yang menangani (i) keamanan Jaringan GoDaddy; (ii) keamanan fisik fasilitas; (iii) kontrol terhadap akses karyawan dan kontraktor ke (i) dan/atau (ii); dan (iv) proses untuk menguji, menilai, serta mengevaluasi efektivitas tindakan teknis dan organisasi yang diterapkan oleh GoDaddy. Jika kami tidak dapat memenuhi salah satu kewajiban yang diuraikan di sini, kami akan segera menyampaikan pemberitahuan tertulis (melalui situs web atau email kami).

4.2 GoDaddy menyediakan sejumlah fitur dan fungsionalitas keamanan yang dapat digunakan oleh Pelanggan sehubungan dengan Layanan yang Tercakup. Pelanggan bertanggung jawab untuk (a) mengonfigurasi Layanan yang Tercakup dengan benar, (b) menggunakan kontrol yang tersedia sehubungan dengan Layanan yang Tercakup (termasuk kontrol keamanan) untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem pemrosesan dan layanan yang berkelanjutan, (c) menggunakan kontrol yang tersedia sehubungan dengan Layanan yang Tercakup (termasuk kontrol keamanan) untuk memungkinkan Pelanggan mengembalikan ketersediaan dan akses ke Data Pelanggan tepat waktu jika terjadi insiden fisik atau teknis (misalnya pencadangan dan pengarsipan rutin Data Pelanggan), dan (d) mengambil langkah yang dianggap memadai oleh Pelanggan untuk mempertahankan keamanan, perlindungan, dan penghapusan Data Pelanggan yang sesuai, yang mencakup penggunaan teknologi enkripsi untuk melindungi Data Pelanggan dari akses dan tindakan tidak sah untuk mengontrol hak akses ke Data Pelanggan.

Dengan mempertimbangkan sifat Layanan Tercakup, GoDaddy menawarkan kontrol tertentu kepada Pelanggan yang dapat digunakan Pelanggan untuk mengambil, memperbaiki, menghapus, atau membatasi penggunaan dan pembagian Data Pelanggan sebagaimana dijelaskan dalam Layanan Tercakup. Pelanggan dapat menggunakan kontrol ini sebagai tindakan teknis dan organisasi untuk membantu terkait kewajibannya berdasarkan Undang-Undang Perlindungan Data, termasuk kewajibannya dalam menanggapi permintaan dari subjek data. Selama wajar secara komersial, dan sejauh diwajibkan atau diizinkan secara sah, GoDaddy harus segera memberi tahu Pelanggan jika GoDaddy menerima permintaan secara langsung dari subjek data untuk melaksanakan hak tersebut berdasarkan Undang-Undang Perlindungan Data yang berlaku ("Permintaan Subjek Data"). Selain itu, jika penggunaan Layanan Tercakup oleh Pelanggan membatasi kemampuannya untuk menangani Permintaan Subjek Data, GoDaddy mungkin, jika diizinkan secara hukum serta sesuai dan atas permintaan khusus Pelanggan, menyediakan bantuan yang wajar secara komersial dalam menangani permintaan, dengan biaya yang ditanggung Pelanggan (jika ada).

6.1 Subpemroses yang Diberi Otorisasi. Pelanggan setuju bahwa GoDaddy dapat menggunakan Subpemroses untuk memenuhi kewajiban kontraknya berdasarkan Ketentuan Layanan dan Adendum ini atau menyediakan layanan tertentu atas namanya, seperti menyediakan layanan dukungan. Dengan ini, Pelanggan menyetujui penggunaan Subpemroses oleh GoDaddy sebagaimana dijelaskan di Bagian ini.

6.2 Kewajiban Subpemroses. Jika GoDaddy menggunakan subpemroses resmi sebagaimana dijelaskan di Bagian 6.1:

(i) GoDaddy akan membatasi akses subpemroses ke Data Pelanggan hanya untuk hal yang diperlukan guna mempertahankan Layanan Tercakup atau menyediakan Layanan Tercakup bagi Pelanggan dan pengguna akhir sesuai dengan Ketentuan Layanan. GoDaddy akan melarang subpemroses mengakses Data Pelanggan untuk tujuan lainnya;

(ii) GoDaddy akan menyepakati perjanjian tertulis dengan subpemroses dan, sejauh subpemroses melakukan layanan pemrosesan data yang sama seperti yang disediakan oleh GoDaddy berdasarkan Adendum ini, GoDaddy akan memberlakukan kewajiban kontrak kepada subpemroses yang pada dasarnya mirip dengan yang dimiliki GoDaddy berdasarkan Adendum ini; dan

(iii) GoDaddy akan tetap bertanggung jawab atas kepatuhannya terhadap kewajiban Adendum ini dan atas tindakan atau kelalaian subpemroses yang menyebabkan GoDaddy melanggar salah satu kewajiban GoDaddy berdasarkan Adendum ini.

6.3 Subpemroses Baru.  Dari waktu ke waktu, kami mungkin melibatkan Subpemroses baru berdasarkan dan dengan tunduk pada ketentuan Adendum ini.  Pada kasus tersebut, kami akan menyampaikan pemberitahuan awal dalam 30 hari (melalui situs web atau email kami) sebelum subpemroses baru memperoleh Data Pelanggan. Jika tidak menyetujui Subpemroses baru, maka Pelanggan dapat mengakhiri Layanan Tercakup tanpa dikenakan penalti dengan menyampaikan pemberitahuan tertulis, dalam waktu 10 hari atau sejak menerima pemberitahuan dari kami, terkait pengakhiran yang mencantumkan penjelasan tentang alasan penolakan Anda. Jika Layanan Tercakup merupakan bagian dari bundle atau pembelian bundle, maka pengakhiran akan berlaku untuk seluruh bundle tersebut.

7.1 Insiden Keamanan. Jika GoDaddy mengetahui adanya Insiden Keamanan, tanpa penundaan yang tidak perlu, GoDaddy akan: (a) memberi tahu Pelanggan tentang Insiden Keamanan; dan (b) mengambil langkah-langkah yang wajar untuk mengurangi dampak dan meminimalkan kerugian yang diakibatkan oleh Insiden Keamanan.

7.2 GoDaddy Bantuan. Untuk membantu Pelanggan terkait pemberitahuan pelanggaran data pribadi yang wajib disampaikan oleh Pelanggan berdasarkan Undang-Undang Perlindungan Data, GoDaddy akan menyertakan informasi tersebut dalam pemberitahuan tentang Insiden Keamanan karena GoDaddy secara wajar dapat mengungkapkan kepada Pelanggan, dengan mempertimbangkan sifat Layanan Tercakup, informasi yang tersedia untuk GoDaddy, dan pembatasan apa pun untuk mengungkapkan informasi, seperti kerahasiaan.

7.3 Insiden Keamanan yang Gagal. Pelanggan setuju bahwa Insiden Keamanan yang gagal tidak akan tunduk pada ketentuan Adendum ini. Insiden Keamanan yang gagal adalah insiden yang tidak mengakibatkan akses tidak sah ke Data Pelanggan atau ke salah satu Jaringan, perlengkapan, atau fasilitas GoDaddy yang menyimpan Data Pelanggan, serta dapat mencakup, tetapi tidak terbatas pada, ping dan serangan siaran lainnya terhadap firewall atau server tepi, pindaian port, upaya masuk yang tidak berhasil, penolakan terhadap serangan layanan, sniffing paket (atau akses lain yang tidak sah ke data lalu lintas yang tidak mengakibatkan akses di luar header), maupun insiden serupa.

7.4 Pemberitahuan. Pemberitahuan Insiden Keamanan, jika ada, akan dikirim ke salah satu atau beberapa administrator Pelanggan dengan cara apa pun yang dipilih GoDaddy, termasuk melalui email. Pelanggan bertanggung jawab sepenuhnya untuk memastikan administrator Pelanggan memiliki informasi kontak yang akurat di konsol manajemen GoDaddy dan transmisi aman setiap saat.

7.5 Tidak Ada Pengakuan Kesalahan oleh GoDaddy: Kewajiban GoDaddy untuk melaporkan atau menanggapi Insiden Keamanan berdasarkan Bagian ini tidak dan tidak akan dianggap sebagai pengakuan oleh GoDaddy atas setiap kesalahan atau kewajiban GoDaddy terkait Insiden Keamanan.

8.1 Penentuan Independen. Pelanggan bertanggung jawab untuk meninjau informasi yang disediakan oleh GoDaddy terkait keamanan data dan Standar Keamanannya, serta melakukan penentuan independen apakah Layanan Tercakup memenuhi persyaratan Pelanggan dan kewajiban hukum, serta kewajiban Pelanggan berdasarkan Adendum ini. Informasi yang tersedia ditujukan untuk membantu Pelanggan dalam mematuhi kewajiban Pelanggan berdasarkan Undang-Undang Perlindungan Data yang berlaku. Pelanggan setuju bahwa Layanan Tercakup dan Standar Keamanan yang diterapkan dan dikelola oleh GoDaddy menyediakan tingkat keamanan yang sesuai dengan risiko terhadap data pribadi (dengan mempertimbangkan kecanggihan, biaya penerapan, serta sifat, ruang lingkup, konteks, dan tujuan pemrosesan data pribadi serta risiko terhadap individu).

8.2 Hak Audit Pelanggan. Pelanggan berhak mengonfirmasi kepatuhan GoDaddy terhadap Adendum ini sebagaimana berlaku untuk Layanan Tercakup dengan membuat permintaan khusus secara tertulis, pada interval yang wajar, ke alamat yang diuraikan dalam Ketentuan Layanan. Jika GoDaddy menolak untuk mengikuti instruksi apa pun yang diminta oleh Pelanggan terkait audit atau inspeksi yang diminta dan diperiksa dengan benar, Pelanggan berhak mengakhiri Adendum ini dan Ketentuan Layanan.

9.1 Pemrosesan yang Berlokasi di AS. Kecuali jika secara khusus disebutkan dalam Ketentuan Layanan, Data Pelanggan akan ditransfer ke luar Inggris atau EEA dan diproses di Amerika Serikat.

9.2 Penerapan Klausul Kontrak Standar UE. Modul Dua (Pengontrol ke Pemroses) Klausul Kontrak Standar UE atau Modul Tiga (Pemroses ke Pemroses) Klausul Kontrak Standar UE akan berlaku untuk Data Pelanggan yang ditransfer ke luar WEE, baik secara langsung maupun melalui transfer selanjutnya, ke negara mana pun yang tidak diakui oleh Komisi Eropa sebagai negara yang menyediakan tingkat perlindungan yang memadai bagi Data Pelanggan. Klausul Kontrak Standar UE ini tidak akan berlaku untuk Data Pelanggan yang tidak ditransfer, baik secara langsung maupun melalui transfer selanjutnya, ke luar WEE. Tanpa mengabaikan pernyataan sebelumnya, Klausul Kontrak Standar UE tidak akan berlaku jika data ditransfer berdasarkan standar kepatuhan yang diakui untuk transfer Data Pribadi yang sah ke luar WEE, misalnya, bila diperlukan dalam pelaksanaan Layanan Tercakup sesuai dengan Ketentuan Layanan atau dengan persetujuan Anda.

1. Untuk masing-masing Modul, jika berlaku:
   1. dalam Klausul 7 pada Klausul Kontrak Standar UE, klausul docking opsional tidak akan berlaku;
   2. dalam Klausul 9 pada Klausul Kontrak Standar UE, Pilihan 2 akan berlaku dan periode waktu untuk pemberitahuan tertulis sebelumnya tentang perubahan subpemroses sebagaimana diuraikan di Bagian 6.3 (Subpemroses Baru) Adendum ini;
   3. dalam Klausul 11 pada Klausul Kontrak Standar UE, bahasa opsional tidak akan berlaku;
   4. dalam Klausul 17 (Pilihan 1), Klausul Kontrak Standar UE akan diatur oleh undang-undang Jerman;
   5. dalam Klausul 18(b) pada Klausul Kontrak Standar UE, sengketa akan diselesaikan di hadapan pengadilan Republik Federal Jerman;
   6. dalam Lampiran I, Bagian A Klausul Kontrak Standar UE:
      • Daftar Para Pihak
        
        Pengekspor Data: Pengekspor data adalah entitas yang diidentifikasi sebagai "Pelanggan" dalam Adendum
        Tanda tangan dan tanggal: Sejak tanggal Pengekspor Data menerima Ketentuan Layanan Pengimpor Data secara elektronik, Pengekspor Data dianggap telah menandatangani Klausul Kontrak Standar UE ini.
        Peran: Pengontrol (dalam Modul Dua) atau Pemroses (dalam Modul Tiga)
        
        Pengimpor data: GoDaddy.com, LLC
        Detail kontak: Office of the Data Protection Officer – privacy@godaddy.com
        Tanda tangan dan tanggal: Sejak tanggal Pengekspor Data menerima Ketentuan Layanan Pengimpor Data secara elektronik, Pengimpor Data dianggap telah menandatangani Klausul Kontrak Standar UE ini.
        Peran: Pemroses
   7. dalam Lampiran I, Bagian B dari Klausul Kontrak Standar UE:
      • Deskripsi Transfer
        
        Kategori subjek data yang data pribadinya ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum.
        Kategori data pribadi yang ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum. Data sensitif yang ditransfer akan dijelaskan dalam Apendiks 1 dari Adendum ini.
        Frekuensi transfer merupakan dasar yang berkelanjutan selama jangka waktu Ketentuan Layanan.
        Sifat pemrosesan dijelaskan di Bagian 2.2 dan Apendiks 1 dari Adendum.
        Tujuan transfer data dan pemrosesan lebih lanjut akan dijelaskan di Bagian 2.2 dan Apendiks 1 dari Adendum ini.
        Jangka waktu penyimpanan data pribadi dijelaskan dalam Apendiks 1 dari Adendum ini.
        Untuk transfer ke (sub) pemroses, pokok bahasan, sifat, dan durasi pemrosesan diuraikan dalam Lampiran III pada Klausul Kontrak Standar.
   8. pada Lampiran I, Bagian C dari Klausul Kontrak Standar EU:
      • Otoritas Pengawas yang Berwenang
        Komisioner Negara Bagian North Rhine-Westphalia untuk Perlindungan Data dan Kebebasan Informasi ('LDI NRW') adalah otoritas pengawas yang berwenang.
   9. pada Lampiran II dari Klausul Kontrak Standar UE:
      
      Tindakan keamanan teknis dan organisasi yang diterapkan oleh Pengimpor Data dijelaskan dalam Apendiks 2 dari Adendum.
   10. pada Lampiran III dari Klausul Kontrak Standar UE:
       
       Daftar subpemroses terdapat dalam Apendiks 3 dari Adendum ini.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Untuk transfer data dari Inggris yang tunduk pada Adendum Transfer Data Internasional Inggris, Adendum Transfer Data Internasional Inggris akan dianggap telah dimasukkan ke (dan disertakan melalui rujukan ke dalam Adendum ini) dan diselesaikan sebagai berikut:
   1. Dalam Tabel 1 Adendum Transfer Data Internasional Inggris, detail para pihak dan informasi kontak utama terdapat di Bagian 9.2 (i)(f) dari Adendum ini.
   2. Dalam Tabel 2 Adendum Transfer Data Internasional Inggris, informasi tentang versi Klausul Kontrak Standar UE, modul, dan klausul terpilih yang ditambahkan oleh Adendum Transfer Data Internasional Inggris ini terdapat di Bagian 9.2 (Klausul Kontrak Standar UE) dari Adendum ini.
   3. Dalam Tabel 3 Adendum Data Internasional Inggris:
      1. Daftar Para Pihak terdapat di Bagian 9.2 (i)(f) dari Adendum ini.
      2. Deskripsi transfer diuraikan di Bagian 1 (Sifat dan Tujuan Pemrosesan) Apendiks 1 (Detail Pemrosesan) Adendum ini.
      3. Lampiran II terdapat di Apendiks 2 (Standar Keamanan) dari Adendum ini
      4. Daftar subpemroses tersedia di Apendiks 3 dari Adendum ini.
   4. Dalam Tabel 4 Adendum Transfer Data Internasional Inggris, baik Pengimpor dan Pengekspor dapat mengakhiri Adendum Transfer Data Internasional Inggris sesuai dengan ketentuan Adendum Transfer Data Internasional Inggris.

Adendum ini akan terus berlaku hingga penghentian pemrosesan yang sesuai dengan Ketentuan Layanan (“Tanggal Penghentian”).   

Sebagaimana dijelaskan dalam Layanan Tercakup, Pelanggan mungkin diberikan kontrol yang dapat digunakan untuk mengambil atau menghapus Data Pelanggan. Penghapusan Data Pelanggan akan dilakukan dalam 30 (tiga puluh) hari setelah Tanggal Pengakhiran, dengan tunduk pada ketentuan Layanan Tercakup yang dimaksud. Pelanggan menyatakan bahwa Pelanggan bertanggung jawab untuk mengekspor, sebelum Tanggal Pengakhiran, Data Pelanggan apa pun yang ingin Anda simpan setelah Tanggal Pengakhiran.

Tanggung jawab masing-masing pihak berdasarkan Adendum ini akan tunduk pada pengecualian dan batasan tanggung jawab yang ditetapkan dalam Ketentuan Layanan. Pelanggan setuju bahwa setiap penalti peraturan yang dikeluarkan oleh GoDaddy terkait Data Pelanggan yang muncul akibat, atau berhubungan dengan, kegagalan Pelanggan dalam mematuhi kewajibannya berdasarkan Adendum ini, serta setiap Undang-Undang Perlindungan Data yang berlaku akan diperhitungkan dan mengurangi tanggung jawab GoDaddy berdasarkan Ketentuan Layanan seolah-olah tanggung jawab tersebut ditujukan kepada Pelanggan berdasarkan Ketentuan Layanan.

Adendum ini meniadakan dan menggantikan semua pernyataan, pemahaman, perjanjian, atau komunikasi sebelumnya atau yang ada antara Pelanggan dan GoDaddy, baik secara tertulis maupun lisan, terkait pokok bahasan Adendum ini, termasuk setiap adendum pemrosesan data yang disepakati antara GoDaddy dan Pelanggan terkait pemrosesan data pribadi dan pergerakan bebas data tersebut.  Sejauh ada pertentangan atau ketidaksesuaian antara Klausul Kontrak Standar UE atau Adendum Transfer Data Internasional Inggris, serta ketentuan lainnya dalam Adendum ini atau Ketentuan Layanan, maka ketentuan Klausul Kontrak Standar UE atau Adendum Transfer Data Internasional Inggris, sebagaimana berlaku, akan diterapkan. Kecuali sebagaimana diubah oleh Adendum ini, Ketentuan Layanan akan tetap berlaku efektif dan memiliki kekuatan penuh.  Jika terdapat pertentangan antara Ketentuan Layanan dan Adendum ini, maka ketentuan Adendum ini yang akan berlaku.

 DETAIL PEMROSESAN

 1. Sifat dan Tujuan Pemrosesan. GoDaddy akan Memproses Data Pelanggan sebagaimana diperlukan untuk melaksanakan Layanan Tercakup sesuai dengan Ketentuan Layanan dan sebagaimana diinstruksikan lebih lanjut oleh Pelanggan selama penggunaan Layanan Tercakup.

 2. Durasi Pemrosesan. Berdasarkan Bagian 10 dan 11 dalam Adendum ini, GoDaddy akan Memproses Data Pelanggan selama tanggal berlaku efektif Ketentuan Layanan. Tanpa mengabaikan pernyataan sebelumnya, GoDaddy dapat menyimpan Data Pelanggan, atau sebagian darinya, jika diwajibkan oleh undang-undang atau peraturan yang berlaku, termasuk Undang-Undang Perlindungan Data yang berlaku, dengan ketentuan bahwa Data Pelanggan tersebut tetap dilindungi sesuai dengan ketentuan Adendum ini dan Undang-Undang Perlindungan Data yang berlaku.

3. Kategori Subjek Data. Pelanggan dapat mengunggah Data Pribadi selama menggunakan Layanan Tercakup, sejauh yang ditentukan dan dikontrol oleh Pelanggan berdasarkan kebijaksanaan tunggalnya dan yang dapat termasuk, tetapi tidak terbatas pada Data Pribadi terkait kategori Subjek Data berikut:

• Calon pelanggan, pelanggan, mitra bisnis, dan vendor Pelanggan (yang merupakan orang pribadi)
• Karyawan atau kontak calon pelanggan, pelanggan, mitra bisnis, dan vendor Pelanggan
• Karyawan, agen, penasihat, pekerja lepas Pelanggan (yang merupakan orang pribadi)
• Pengguna Pelanggan yang telah diotorisasi Pelanggan untuk menggunakan Layanan Tercakup

4. Kategori Data Pribadi. Pelanggan dapat mengunggah Data Pribadi selama menggunakan Layanan Tercakup, yang jenis dan cakupannya ditentukan dan dikendalikan oleh Pelanggan berdasarkan kebijaksanaannya sendiri dan yang dapat mencakup, tetapi tidak terbatas pada, kategori Data Pribadi dari Subjek Data berikut: 

• Nama
• Alamat
• Nomor telepon
• Tanggal lahir
• Alamat email
• Data lain yang dikumpulkan yang dapat mengidentifikasi subjek data baik secara langsung maupun tidak langsung.

5. Data Sensitif atau Kategori Data Khusus. Pelanggan dapat mengunggah Data Sensitif selama menggunakan Layanan Tercakup, yang jenis dan cakupannya ditentukan dan dikendalikan oleh Pelanggan berdasarkan kebijaksanaannya sendiri. Pelanggan bertanggung jawab untuk menerapkan pembatasan atau pengamanan yang sepenuhnya mempertimbangkan sifat data dan risiko terkait sebelum mentransmisi atau memproses Data Sensitif melalui Layanan Tercakup.

Standar Keamanan

I. Tindakan Teknis dan Organisasi  

Kami berkomitmen untuk melindungi informasi pelanggan.  Dengan mempertimbangkan praktik terbaik, biaya penerapan dan sifat, ruang lingkup, situasi dan tujuan pemrosesan, serta berbagai kemungkinan kejadian dan tingkat keparahan risiko terhadap hak dan kebebasan orang pribadi, kami melakukan tindakan teknis dan organisasi berikut.  Saat memilih tindakan, kami mempertimbangkan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem ini.

II.  Program Privasi Data  

Program Privasi Data kami diciptakan untuk mempertahankan struktur tata kelola data global dan mengamankan informasi selama siklus hidupnya. Program ini dikelola oleh departemen perlindungan data, yang mengawasi pelaksanaan praktik privasi dan tindakan keamanan. Kami menguji, menilai, dan mengevaluasi efektivitas Program Privasi Data dan Standar Keamanan secara berkala.

1. Kerahasiaan. “Kerahasiaan artinya data pribadi terlindung dari pengungkapan yang tidak sah.”  

Kami menggunakan berbagai tindakan fisik dan logis untuk melindungi kerahasiaan data pribadi pelanggannya. Tindakan tersebut meliputi:   

  Keamanan Fisik  

• Sistem kontrol akses fisik yang tepat (Kontrol akses lencana, Pemantauan kejadian keamanan, dll.) 
• Sistem pengawasan termasuk alarm dan, jika diperlukan, pemantauan CCTV  
• Kebijakan dan kontrol meja bersih yang tepat (Mengunci komputer yang tidak digunakan, mengunci lemari, dll.)  
•  Manajemen Akses Pengunjung 
• Penghancuran data pada media dan dokumen fisik (pemotongan, demagnetisasi, dll.)

  Kontrol Akses & Pencegahan Akses yang Tidak Sah 

• Pembatasan akses pengguna yang diterapkan dan izin akses berbasis peran yang diberikan/ditinjau berdasarkan prinsip pemisahan tugas  
• Metode autentikasi dan otorisasi yang kuat (Autentikasi multifaktor, otorisasi berdasarkan sertifikat, penonaktifan/penerapan sistem keluar otomatis, dll.) 
• Manajemen kata sandi terpusat dan kebijakan kata sandi kuat/rumit (panjang minimum, kerumitan karakter, masa berlaku kata sandi, dll.)   
• Akses terkontrol ke email dan Internet 
• Manajemen anti-virus  
• Manajemen Sistem Pencegahan Penerobosan

Enkripsi   

• Enkripsi komunikasi eksternal dan internal melalui protokol kriptografi yang kuat  
• Mengenkripsi data pribadi dan data sensitif yang disimpan dalam bentuk digital (database, direktori bersama, dsb.)   
• Enkripsi disk penuh untuk PC dan laptop perusahaan   
• Enkripsi media penyimpanan  
• Sambungan jarak jauh ke jaringan perusahaan dienkripsi melalui VPN  
• Mengamankan masa pakai kunci enkripsi

 Minimalisasi Data    

• Minimalisasi PII/SPI dalam aplikasi, penerapan debug, dan log keamanan  
• Penerapan pseudonim pada data pribadi untuk mencegah identifikasi individu secara langsung 
• Segregasi data yang disimpan menurut fungsi (pengujian, perencanaan, penerapan) 
• Segregasi data logis menurut hak akses berbasis peran 
• Periode retensi data yang telah ditetapkan untuk data pribadi 

Pengujian Keamanan     

• Pengujian Penetrasi untuk jaringan dan platform perusahaan penting yang menghosting data pribadi 
• Pemindaian jaringan dan kerentanan berkala

2. Integritas. “Integritas artinya memastikan kebenaran (keutuhan) data dan fungsi sistem yang benar. Jika istilah integritas digunakan sehubungan dengan istilah “data”, integritas menyatakan bahwa data lengkap dan tidak berubah.”  

Kontrol manajemen log dan perubahan yang sesuai berlaku, selain kontrol akses, agar dapat menjaga integritas data pribadi seperti:    

Manajemen Rilis & Perubahan    

• Mengubah dan merilis proses manajemen yang termasuk (analisis dampak, persetujuan, pengujian, peninjauan keamanan, perencanaan, pemantauan, dll.)  
• Penyediaan akses berbasis Peran & Fungsi (Pemisahan Tugas) di lingkungan produksi

Pencatatan & Pemantauan

• Pencatatan akses dan perubahan data  
• Log keamanan & audit terpusat   
• Memantau kelengkapan dan kebenaran transfer data (pemeriksaan menyeluruh)

3. Ketersediaan. “Ketersediaan layanan dan sistem TI, aplikasi TI, dan fungsi jaringan TI atau informasi dijamin, jika pengguna dapat menggunakannya setiap saat sebagaimana dimaksud.”    

Kami menerapkan tindakan berkelanjutan dan keamanan yang sesuai untuk mempertahankan ketersediaan layanannya dan data yang berada dalam layanan tersebut:    

• Pengujian kegagalan (fail-over) berkala yang diterapkan untuk layanan penting  
• Pemantauan dan pelaporan kinerja/ketersediaan ekstensif untuk sistem penting  
• Rancangan respons insiden  
• Data penting baik yang direplikasi maupun dicadangkan (Pencadangan Awan/Hard Disk/Replikasi Database, dll.) 
• Pemeliharaan perangkat lunak, infrastruktur, dan keamanan terencana yang tepat (Pembaruan perangkat lunak, patch keamanan, dll.)   
• Sistem yang canggih dan melimpah (kluster server, database yang dicerminkan, penyiapan ketersediaan tinggi, dll.) yang berada di lokasi berbeda (off-site) dan/atau terpisah secara geografis    
• Penggunaan penyedia daya yang tidak pernah terputus, perangkat keras dan sistem jaringan melimpah yang gagal  
• Alarm, sistem keamanan yang tepat  
• Tindakan Perlindungan Fisik yang tepat untuk situs penting (pelindung lonjakan, lantai yang lebih tinggi, sistem pendingin, pendeteksi api dan/atau asap, sistem pemadaman api, dll.) 
• Perlindungan DDOS untuk mempertahankan ketersediaan   
• Pengujian Muatan & Beban

4. Instruksi Pemrosesan Data. "Instruksi Pemrosesan Data berarti memastikan data pribadi hanya akan diproses sesuai dengan instruksi pengontrol data dan tindakan perusahaan yang terkait"  

Kami telah menetapkan kebijakan privasi internal, perjanjian, dan melakukan pelatihan privasi secara rutin bagi karyawan untuk memastikan data pribadi diproses sesuai dengan preferensi dan instruksi pelanggan.   

• Ketentuan privasi dan kerahasiaan diterapkan dalam kontrak karyawan 
• Pelatihan privasi dan keamanan data secara rutin bagi karyawan 
• Ketetapan kontrak yang sesuai untuk perjanjian dengan subkontraktor guna mempertahankan hak kontrol instruksional 
• Pemeriksaan privasi secara rutin untuk penyedia layanan eksternal 
• Memberikan kontrol penuh kepada pelanggan atas preferensi pemrosesan data mereka 
• Audit keamanan secara rutin