Neem contact met ons opHelp
Aanmelden
Nieuwe klant
Nieuw bij GoDaddy? Maak een account aan en ga vandaag nog aan de slag.
GoDaddy - ADDENDUM GEGEVENSVERWERKING
Laatst herzien: 13/09/2024
Dit Addendum inzake gegevensverwerking (het 'Addendum') uitgevoerd door en tussen u ('Klant') en de entiteit GoDaddy die een partij is bij de Universele servicevoorwaarden en elke andere overeenkomst tussen u en GoDaddy (gezamenlijk, de 'Overeenkomst'). Er wordt hierin naar GoDaddy en de Klant afzonderlijk verwezen als de 'Partij' en gezamenlijk als de 'Partijen'. Deze DPA wordt op de ingangsdatum van de Overeenkomst van kracht (''Ingangsdatum') en prevaleert alle Verwerkingen van Persoonlijke gegevens van de Klant conform deze Overeenkomst.
1. Definities. Tenzij anders gedefinieerd in toepasselijke Wetgeving inzake gegevensbescherming (zoals hieronder gedefinieerd), betekenen de begrippen met een hoofdletter in deze Sectie het volgende:
1.1 Met 'Partner' wordt bedoeld elke entiteit die zeggenschap heeft over een Partij of onder de gemeenschappelijke zeggenschap van een Partij staat. Met 'Zeggenschap' wordt bedoeld een directe of indirecte eigendom van of zeggenschap over vijftig procent (50%) of hoger van de stemrechten van een entiteit.
2. Omvang van gegevensverwerking en en relaties van partijen
1.2. Met 'Verwerkingsverantwoordelijke' wordt bedoeld elk natuurlijk persoon, rechtspersoon, publieksrechtelijke instelling, instantie of entiteit die, alleen of gezamenlijk met anderen, het doeleinde en de middelen voor het verwerken van Persoonlijke gegevens van de Klant conform de Overeenkomst bepaalt.
1.3 Met 'Persoonlijke gegevens van de Klant' wordt bedoeld alle Persoonlijke gegevens (zoals hieronder uiteengezet) die worden verwerkt door GoDaddy namens de Klant en die verband houden met het gebruik van de Services van de Klant. Gegevens van GoDaddy vallen niet onder Persoonlijke gegevens van de Klant.
1.4 Met 'Wetgeving omtrent gegevensbescherming' wordt bedoeld elke wet of verordening die van toepassing is op het verwerken van de Persoonlijke gegevens van de Klant conform de Overeenkomst.
1.5 Met 'Betrokkene' wordt bedoeld een geïdentificeerd of identificeerbaar natuurlijk persoon met wie Persoonlijke gegevens verband houden.
1.6 Met 'Geanonimiseerde gegevens' wordt bedoeld gegevens die niet redelijkerwijs direct of indirect een Betrokkene identificeren, in verband staan met een Betrokkene, een Betrokkene beschrijven of de mogelijkheid hebben om te worden geassocieerd met of te worden verbonden aan een Betrokkene.
1.7 Met 'Gegevens van GoDaddy' wordt bedoeld (a) alle informatie met betrekking tot de bedrijfsvoering van GoDaddy en het leveren van de Services, waaronder maar niet beperkt tot (a) Persoonlijke gegevens van de Klant en de werknemers of vertegenwoordigers; (b) andere gegevens omtrent of met betrekking tot het account, de transactiegeschiedenis, het gebruik van de Services en identiteitsverificatie van de Klant; en (c) onderworpen aan beperkingen van toepasselijke Wetgeving omtrent gegevensbescherming, geanonimiseerde gegevens.
1.8 Met 'Persoonlijke gegevens' wordt bedoeld gegevens die betrekking hebben op een geïdentificeerd of een identificeerbaar natuurlijk persoon, waaronder alle gegevens die in toepasselijke Wetgevingen inzake gegevensbescherming worden gedefinieerd als Persoonlijke gegevens, Persoonlijke informatie of Persoonsgegevens ('PII'). Geanonimiseerde gegevens vallen niet onder Persoonlijke gegevens.
1.10 Met 'Verwerker' wordt bedoeld elk natuurlijk persoon, rechtspersoon, publieksrechtelijke instelling, instantie of entiteit die Persoonlijke gegevens van de Klant verwerkt namens een Verwerkingsverantwoordelijke conform de Overeenkomst.
1.9 Met 'Verwerken' wordt bedoeld elke handeling die wordt uitgevoerd met de Persoonlijke gegevens van de Klant, zoals verzameling, gebruik, bewaring, openbaarmaking, analyse, verwijdering of aanpassing, zowel handmatig als geautomatiseerd.
1.11 Met 'Gevoelige persoonlijke gegevens' wordt bedoeld: (a) burgerservicenummer, paspoortnummer, rijbewijsnummer of vergelijkbaar identificatiemiddel; (b) creditcard- of bankpasgegevens, financiële gegevens, bankrekeningnummers en -accountwachtwoorden; (c) beroep, financiën en genetische, biometrische en medische informatie; (d) etniciteit, politieke en religieuze voorkeuren, lidmaatschap van een (vak)bond, seksleven en seksuele geaardheid; (e) accountwachtwoorden, meisjesnaam van moeder, geboortedatum en dergelijke gegevens die worden gebruikt voor het authentiseren van de identiteit van een gebruiker; (f) strafblad; (g) biometrische gegevens die worden gebruikt om een specifiek persoon te identificeren (bijv. vingerafdrukken); en (h) alle andere gegevens of combinaties van gegevens die onder de definities van ‘bijzondere gegevenscategorieën’ van de AVG vallen of onder elke andere toepasselijke Wetgeving omtrent gegevensbescherming.
1.12 Met 'Services' wordt bedoeld de producten of services waarvan GoDaddy heeft ingestemd deze te leveren conform de Overeenkomst met betrekking tot het verwerken van Persoonlijke gegevens van de Klant.
1.13 Met 'Subverwerker' wordt bedoeld elk natuurlijk persoon, rechtspersoon, publieksrechtelijke instelling, instantie of entiteit met wie GoDaddy een overeenkomst afsluit voor het verwerken van Persoonlijke gegevens van de Klant.
1.14 Met 'Overdracht' wordt bedoeld (a) de overdracht van Persoonlijke gegevens van de Klant van een Verwerkingsverantwoordelijke aan een Verwerker, zowel via een fysieke overdracht als door toegang te verlenen tot Persoonlijke gegevens van de Klant die worden bewaard of anderszins beheerd door de Verwerkingsverantwoordelijke of (b) een verdere overdracht van Persoonlijke gegevens van de Klant van een Verwerker aan een Subverwerker (en elke volgende verdere overdracht van een Subverwerker aan een andere Subverwerker).
2.1 De Klant als Verwerkingsverantwoordelijke of Verwerker
2.1.1 Wanneer de Klant optreedt als Verwerkingsverantwoordelijke, (a) draagt de Klant als enige de verantwoordelijkheid voor het bepalen van de doeleinden en middelen voor het verwerken van Persoonlijke gegevens van de Klant, (b) heeft de Klant alle noodzakelijke bevoegdheden, gronden, rechten en toestemmingen om Persoonlijke gegevens van de Klant te verschaffen aan GoDaddy en (c) zal de Klant de verplichtingen van een Verwerkingsverantwoordelijke naleven conform de toepasselijke Wetgeving inzake gegevensbescherming.
2.1.2 Wanneer de Klant optreedt als Verwerker, (a) draagt de Klant als enige de verantwoording voor de naleving van de overeenkomst(en) met de Verwerkingsverantwoordelijke namens wie de Klant de Persoonlijke gegevens van de Klant verwerkt, (b) heeft de Klant alle noodzakelijke toestemmingen van de Verwerkingsverantwoordelijke om Persoonlijke gegevens van de Klant te verschaffen aan GoDaddy en (c) zal de Klant de verplichtingen van een Verwerker naleven conform de toepasselijke Wetgeving inzake gegevensverwerking.
2.1.2 Wanneer de Klant optreedt als Verwerker, (a) draagt de Klant als enige de verantwoording voor de naleving van de overeenkomst(en) met de Verwerkingsverantwoordelijke namens wie de Klant de Persoonlijke gegevens van de Klant verwerkt, (b) heeft de Klant alle noodzakelijke toestemmingen van de Verwerkingsverantwoordelijke om Persoonlijke gegevens van de Klant te verschaffen aan GoDaddy en (c) zal de Klant de verplichtingen van een Verwerker naleven conform de toepasselijke Wetgeving inzake gegevensverwerking.
2.2 GoDaddy als Verwerker of Subverwerker.
2.2.1 GoDaddy zal alle redelijkerwijs noodzakelijke stappen ondernemen om de Klant in staat te stellen om de verplichtingen van de Klant als Verwerkingsverantwoordelijke en/of Verwerker na te leven conform de Wetgeving inzake gegevensbescherming overeenkomend met de aard, de natuur, de reikwijdte en het doel van de Services die worden geleverd door GoDaddy. Ter verduidelijking: GoDaddy is niet verplicht om stappen te ondernemen om de Services van GoDaddy aan te passen op of overeen te laten komen met het specifieke gebruik van de Klant. Het enige rechtsmiddel van de Klant in het geval dat er wordt vastgesteld dat de Services niet overeenkomen met het specifieke gebruik van de Klant, is de beëindiging van elk gedeelte van de Overeenkomst dat betrekking heeft op het verwerken van Persoonlijke gegevens van de Klant.
2.2.2 GoDaddy zal alleen Persoonlijke gegevens van de Klant verwerken bij gedocumenteerde aanwijzingen over het beperkte en specifieke doeleinden zoals uiteengezet in deze Overeenkomst, in deze DPA of wanneer dit wordt vereist door de wetgeving.
2.2.3 GoDaddy zal geen Persoonlijke gegevens van de Klant verkopen, bewaren, gebruiken of openbaar maken voor commerciële doeleinden naast het leveren van de Services.
2.2.4 GoDaddy zal geen Persoonlijke gegevens van de Klant verwerken buiten de directe zakelijke relatie van de Partijen zoals uiteengezet in de Overeenkomst en deze DPA.
2.2.5 GoDaddy zal geen Persoonlijke gegevens van de Klant combineren met andere gegevens die GoDaddy verzamelt (direct of indirect via een derde partij) buiten die gegevens die uitdrukkelijk zijn toegestaan conform de Overeenkomst.
2.2.6 GoDaddy zal al het Verwerken beëindigen en de Klant binnen drie (3) dagen op de hoogte brengen indien GoDaddy: (a) redenen heeft om te geloven dat een Klanteninstructie enige toepasselijke Wetgeving inzake gegevensverwerking schendt of (b) bepaalt dat GoDaddy enige Wetgeving inzake gegevensverwerking of haar verplichtingen conform deze DPA niet kan naleven.
2.2.2 GoDaddy zal alleen Persoonlijke gegevens van de Klant verwerken bij gedocumenteerde aanwijzingen over het beperkte en specifieke doeleinden zoals uiteengezet in deze Overeenkomst, in deze DPA of wanneer dit wordt vereist door de wetgeving.
2.2.3 GoDaddy zal geen Persoonlijke gegevens van de Klant verkopen, bewaren, gebruiken of openbaar maken voor commerciële doeleinden naast het leveren van de Services.
2.2.4 GoDaddy zal geen Persoonlijke gegevens van de Klant verwerken buiten de directe zakelijke relatie van de Partijen zoals uiteengezet in de Overeenkomst en deze DPA.
2.2.5 GoDaddy zal geen Persoonlijke gegevens van de Klant combineren met andere gegevens die GoDaddy verzamelt (direct of indirect via een derde partij) buiten die gegevens die uitdrukkelijk zijn toegestaan conform de Overeenkomst.
2.2.6 GoDaddy zal al het Verwerken beëindigen en de Klant binnen drie (3) dagen op de hoogte brengen indien GoDaddy: (a) redenen heeft om te geloven dat een Klanteninstructie enige toepasselijke Wetgeving inzake gegevensverwerking schendt of (b) bepaalt dat GoDaddy enige Wetgeving inzake gegevensverwerking of haar verplichtingen conform deze DPA niet kan naleven.
2.3 Partners.
3. Subverwerking
2.3.1 Klantenpartners. Ten behoeve van deze DPA, zullen alle Persoonlijke gegevens die worden verschaft aan GoDaddy of de Partners van GoDaddy door een Klantenpartner voor het verwerken namens de Klant en/of de Partner van de Klant worden beschouwd als Persoonlijke gegevens van de Klant en als verschaft door de Klant. De Klant verklaart om alle redelijkerwijs noodzakelijk maatregelen te treffen om ervoor te zorgen dat zijn/haar Partners alle verplichtingen van de Klant naleven met betrekking tot deze DPA. De Klant is verantwoordelijk voor de naleving van zijn/haar Partners met betrekking tot de voorwaarden van deze DPA.
2.3.2 Partners van GoDaddy. Ten behoeve van deze DPA, zullen alle Persoonlijke gegevens van de Klant die de Partners van GoDaddy ontvangen, worden beschouwd als ontvangen door GoDaddy. GoDaddy verklaart om alle redelijkerwijs noodzakelijke maatregelen te treffen om ervoor te zorgen dat haar Partners de verplichtingen van GoDaddy naleven met betrekking tot het verwerken van de Persoonlijke gegevens van de Klant conform deze DPA. GoDaddy is verantwoordelijk voor de naleving van de Partners van GoDaddy met betrekking tot de voorwaarden van deze DPA.
2.3.2 Partners van GoDaddy. Ten behoeve van deze DPA, zullen alle Persoonlijke gegevens van de Klant die de Partners van GoDaddy ontvangen, worden beschouwd als ontvangen door GoDaddy. GoDaddy verklaart om alle redelijkerwijs noodzakelijke maatregelen te treffen om ervoor te zorgen dat haar Partners de verplichtingen van GoDaddy naleven met betrekking tot het verwerken van de Persoonlijke gegevens van de Klant conform deze DPA. GoDaddy is verantwoordelijk voor de naleving van de Partners van GoDaddy met betrekking tot de voorwaarden van deze DPA.
3.1 De Klant geeft een algemene autorisatie aan GoDaddy om subverwerkers in te schakelen.
3.2 U wordt verzocht onze lijst met onze Subverwerkers te bekijken
3.3 Voordat Persoonlijke gegevens van de Klant worden overgedragen aan een Subverwerker, zal GoDaddy (a) een schriftelijke overeenkomst aangaan met een Subverwerker die de Persoonlijke gegevens van de Klant minstens zo beschermt als deze DPA; (b) gepaste zorgvuldigheid toepassen om te bevestigen dat de Subverwerker de materiële voorwaarden van deze DPA en de Wetgeving inzake gegevensbescherming kan naleven met betrekking tot de verwerking van Klantgegevens door GoDaddy, waaronder de gegevensbeveiligingsvereisten van Secties 5, 6 en 8 en van Appendix 2 van deze DPA.
3.4 GoDaddy is aansprakelijk voor de handelingen en het verzuim van haar Subverwerkers, waaronder alle handelingen of verzuimen van de subverwekers van haar Subverwerkers. 3.5 Nieuwe Subverwerkers; Recht van bezwaar.
4. Juridische procedure en Andere verzoeken voor Persoonlijke gegevens van de Klant door derden
3.2 U wordt verzocht onze lijst met onze Subverwerkers te bekijken
3.3 Voordat Persoonlijke gegevens van de Klant worden overgedragen aan een Subverwerker, zal GoDaddy (a) een schriftelijke overeenkomst aangaan met een Subverwerker die de Persoonlijke gegevens van de Klant minstens zo beschermt als deze DPA; (b) gepaste zorgvuldigheid toepassen om te bevestigen dat de Subverwerker de materiële voorwaarden van deze DPA en de Wetgeving inzake gegevensbescherming kan naleven met betrekking tot de verwerking van Klantgegevens door GoDaddy, waaronder de gegevensbeveiligingsvereisten van Secties 5, 6 en 8 en van Appendix 2 van deze DPA.
3.4 GoDaddy is aansprakelijk voor de handelingen en het verzuim van haar Subverwerkers, waaronder alle handelingen of verzuimen van de subverwekers van haar Subverwerkers. 3.5 Nieuwe Subverwerkers; Recht van bezwaar.
3.5.1 GoDaddy zal zich redelijkerwijs inspannen om de Klant binnen zestig (60) dagen schriftelijk op de hoogte te stellen wanneer GoDaddy van plan is een nieuwe Subverwerker aan te stellen. Indien het echter noodzakelijk is dat er een nieuwe Subverwerker wordt aangesteld om de beveiliging van de Persoonlijke gegevens van de Klant te waarborgen of om de toepasselijke wetgeving na te leven, hoeft GoDaddy de Klant niet binnen zestig (60) dagen op de hoogte te stellen, maar zal deze de Klant zonder onnodige vertraging op de hoogte stellen nadat er een nieuwe Subverwerker is aangesteld.
3.5.2 Indien de Klant redelijkerwijs bezwaar maakt tegen een nieuwe Subverwerker, moet de Klant GoDaddy schriftelijk op de hoogte stellen binnen dertig (30) dagen na het aanstellen van de Subverwerker. Naar eigen goeddunken van GoDaddy, mag GoDaddy commercieel redelijkerwijze inspanningen gebruiken om het bezwaar van de Klant te behandelen. Indien de Partijen het bezwaar van de Klant niet binnen dertig (30) dagen kunnen oplossen, mag de Klant deze DPA en elk gedeelte van de Overeenkomst met betrekking tot het verwerken van de Persoonlijke gegevens van de Klant beëindigen.
3.5.3 Indien de Klant geen bezwaar indient tegen een nieuwe Subverwerker binnen dertig (30) dagen na de kennisgeving over het aanstellen van een nieuwe Subverwerker, wordt er verondersteld dat de Klant akkoord is met de nieuwe Subverwerker.
3.5.4 Een nieuwe Subverwerker mag bekend worden gemaakt door de lijst met Subverwerkers zoals uiteengezet in Sectie 3.2 bij te werken.
4.1 GoDaddy zal niet reageren op informele aanvragen naar Persoonlijke gegevens van de Klant van een overheidsinstantie, wetshandhavingsinstantie of een ander persoon behalve wanneer dit een dagvaarding, huiszoekingsbevel, rechterlijk bevel of een ander dergelijk juridische procedure (gezamenlijk, 'Juridische procedure') betreft, tenzij GoDaddy naar eigen redelijkwijs goeddunken vaststelt dat dergelijke openbaarmakingen (a) wettelijk vereist zijn, (b) noodzakelijk zijn voor het beschermen van de systemen van GoDaddy of het beschermen van gegevens tegen schade of misbruik, of (c) noodzakelijk zijn voor het beschermen van GoDaddy of een ander persoon tegen schade of fysiek letsel.
5. Gegevensbeveiliging
4.2 Tenzij bij de wet verboden, zal GoDaddy de Klant onmiddellijk op de hoogte stellen wanneer een Juridische procedure vereist dat GoDaddy toegang geeft tot Persoonlijke gegevens van de Klant of deze openbaart.
4.3 Tenzij anders vereist door de wet, zal GoDaddy meewerken met de inspanningen van de Klant (tegen aanvaardbare kosten van de Klant) om openbaarmaking van de Persoonlijke gegevens van de Klant te voorkomen als reactie op een Juridische procedure.
5.1 GoDaddy hanteert een gegevensbeveiligingsprogramma. Dit programma bevat passende en gedocumenteerde technische en organisatorische maatregelen om een niveau van beveiliging in stand te houden dat passend is voor het risico dat de Persoonlijke gegevens van de Klant loopt, conform de Overeenkomst, waaronder specifieke maatregelen die zijn vastgelegd in de toepasselijke Wetgeving inzake gegevensbescherming.
6. Gegevensbeveiligingsincidenten
5.2 De Klant erkent uitdrukkelijk dat GoDaddy beveiligingsfuncties en -functionaliteiten biedt die de Klant kan gebruiken om Persoonlijke gegevens van de Klant te beschermen. De Klant is als enige verantwoordelijk voor het ondernemen van passende, risicogebaseerde acties met betrekking tot de beveiliging van het account en de Persoonlijke gegevens van de Klant die binnen de controle van de klant vallen. Onder deze acties valt ook het gebruik van de beveiligingsfuncties en -functionaliteiten die GoDaddy biedt. Ook is de Klant als enige verantwoordelijk voor het veiligstellen van alle content die binnen de Services wordt geplaatst door of naar aanleiding van de Klant tegen kwetsbaarheden die kunnen leiden tot een compromittering van de Persoonlijke gegevens van de Klant en de systemen van GoDaddy, waaronder maar niet beperkt tot kwaadaardige software. GoDaddy is niet verantwoordelijk voor het maken van een back-up van de Persoonlijke gegevens van de Klant.
5.3 De Klant moet alle vereisten van de Payment Card Industry Data Security Standard ('PCI-DSS') naleven en mag alleen die Persoonlijke gegevens van de Klant verschaffen aan GoDaddy die gegevens over kaarthouders met credit, debet of andere betalingswijzen ('PCI-DSS-gegevens') bevat en die betrekking hebben op die Services van GoDaddy die als doeleinde hebben om dergelijke PCI-DSS-gegevens te verwerken. Alleen de Klant is verantwoordelijk voor enige schending van de PCI-DSS-vereisten wanneer de Klant de Services van GoDaddy gebruikt om PCI-DSS-gegevens te verwerken of te bewaren buiten de Service-aanbiedingen van GoDaddy die PCI-DSS naleven.
5.4 Ter aanvulling op de vereiste maatregelen die GoDaddy moet bewerkstelligen om haar verplichtingen na te leven conform de toepasselijke Wetgeving inzake gegevensbescherming en PCI-DSS-vereisten voor PCI-DSS-conforme Services van GoDaddy, zal GoDaddy specifieke technische en organisatorische maatregelen implementeren zoals vastgesteld in Appendix 2 van deze DPA.
6.1 GoDaddy biedt de Klant vergaande mogelijkheden om Persoonlijke gegevens van de Klant die zijn verwerkt namens de Klant te bekijken en te beheren. GoDaddy is niet aansprakelijk voor onvoorziene of onwettige vernietiging, derving, wijzigingen, onbevoegde openbaarmaking van/toegang tot Persoonlijke gegevens van de Klant die niet zijn ontstaan door het compromitteren van de systemen van GoDaddy. Voorbeelden van Beveiligingsincidenten waarvoor GoDaddy niet aansprakelijk is, zijn de nalatigheid van de Klant met betrekking tot het geheimhouden van wachtwoorden, het downloaden van kwaadwillige content of elke andere kwetsbaarheid die door de Klant wordt veroorzaakt of geïntroduceerd in de Services en gehoste omgeving van de Klant.
7. Rechten van Betrokkenen
6.2 GoDaddy zal zich redelijkerwijs inspannen om de Klant binnen het termijn dat is vastgesteld in de toepasselijke wetgeving op de hoogte te stellen van een beveiligingsinbreuk op de systemen van GoDaddy die leiden tot een onvoorziene of onwettige vernietiging, derving, wijzigingen, onbevoegde openbaarmaking van/toegang tot Persoonlijke gegevens van de Klant ('Beveiligingsincident').
6.3 GoDaddy zal passende, risicogebaseerde stappen ondernemen die redelijkerwijs noodzakelijk zijn voor het inperken, bestrijden en herstellen van Beveiligingsincidenten zonder onredelijke vertraging.
6.4 GoDaddy zal gegevens verschaffen die redelijkerwijs zijn aangevraagd door de Klant om de invloed van een Beveiligingsincident met Persoonlijke gegevens van de Klant te beoordelen en zodat de Klant overheidsinstanties, getroffen Betrokkenen en eenieder op de hoogte kan stellen van het Beveiligingsincident.
6.5 Enige erkenning door GoDaddy van een Beveiligingsincident of een besluit om de Klant op de hoogte te stellen van een Beveiligingsincident is geen bekentenis van schuld of aansprakelijkheid.
7.1 De Klant is als enige verantwoordelijk voor het beantwoorden van aanvragen van Betrokkenen conform de Wetgeving inzake gegevensbescherming, het privacybeleid van de Klant of de voorwaarden van de Klant, waaronder maar niet beperkt tot aanvragen om Persoonlijke gegevens van de Klant kennis te geven, hier toegang tot te geven, te wijzigen of te verwijderen ('Aanvragen van Betrokkenen').
8. Impactbeoordelingen van gegevensbescherming, Voorafgaande raadpleging en Nalevingsonderzoeken
7.2 GoDaddy zal niet reageren op een Aanvraag van een Betrokkene tenzij na gedocumenteerde aanwijzingen van de Klant of wanneer vereist door de toepasselijke wetgeving.
7.3 GoDaddy zal de Klant op de hoogte stellen van Aanvragen van Betrokkenen. De Klant is als enige verantwoordelijk voor het reageren op Aanvragen van Betrokkenen. Indien de Klant alle beschikbare middelen heeft uitgeput voor het reageren op Aanvragen van Betrokkenen – onderworpen aan de instemming van de Klant om de aanvaardbare kosten van GoDaddy vooraf te betalen – zal GoDaddy de Klant de redelijkerwijs noodzakelijke steun bieden, zodat de Klant kan reageren op Aanvragen van Betrokkenen.
8.1 Impactbeoordelingen van gegevensbescherming, Voorafgaande raadpleging. GoDaddy zal op de kosten van de Klant redelijkerwijs noodzakelijke steun bieden aan de Klant om impactbeoordelingen van gegevensbescherming en raadplegingen uit te voeren met overheidsinstanties of toezichthouders met betrekking tot het verwerken van de Persoonlijke gegevens van de Klant.
9. Vereisten voor specifieke rechtsgebieden en Internationale gegevensoverdracht van Persoonlijke gegevens
8.2 Nalevingsonderzoeken. De Klant kan periodiek een aanvraag doen naar redelijkerwijs noodzakelijke informatie om te bevestigen dat GoDaddy haar verplichtingen conform toepasselijke Wetgeving inzake gegevensbescherming naleeft. Indien GoDaddy verzuimt om binnen vijfenveertig (45) dagen te reageren op de aanvraag van de Klant, mag de Klant de Overeenkomst beëindigen. Ter verduidelijking: niks in deze DPA geeft de Klant het recht om een audit uit te voeren naar de bedrijfsvoering, systemen of services van GoDaddy. De verplichting van GoDaddy in deze sectie is beperkt tot het bieden van redelijkerwijs noodzakelijke informatie aan de Klant om te bevestigen dat GoDaddy de verplichtingen naleeft conform de Wetgeving inzake gegevensbescherming.
9.1 Het Verwerken van Persoonlijke gegevens van de Klant conform deze DPA kan Verwerking omvatten die wordt gereglementeerd door één of meer Wetgevingen inzake gegevensbescherming en/of de internationale overdracht van Persoonlijke gegevens van de Klant.
10. Algemeen
9.2 Indien de Persoonlijke gegevens van de Klant afkomstig zijn uit de Verenigde Staten, zijn de voorwaarden betreffende de Amerikaanse Wetgeving omtrent gegevensbescherming zoals uiteengezet in Appendix 3 (Sectie 1) van deze DPA van toepassing.
Wanneer Persoonlijke gegevens van de Klant afkomstig zijn uit de Europese Unie/Europese Economische Ruimte ('EU/EER'), het Verenigd Koninkrijk ('VK') of Zwitserland, of wanneer de Klant gevestigd is in één of meer van deze rechtsgebieden, zijn de voorwaarden van de toepasselijke EU/EER, VK en/of Zwitserse Wetgeving inzake gegevensbescherming zoals genoemd in Appendix 9.3 (Sectie 3) van deze DPA van toepassing.
9.4 Indien een rechtsgeldig internationaal gegevensoverdrachtsmechanisme ('Verplicht overdrachtsmechanisme') rechtmatig Persoonlijke gegevens van de Klant moet overdragen, zijn de voorwaarden zoals uiteengezet in Appendix 4 van deze DPA van toepassing.
10.1 Volledige overeenstemming; interpretatie. Deze DPA vormt de volledige overeenstemming tussen de Partijen met betrekking tot het onderwerp van deze DPA en prevaleert alle voorgaande of gelijktijdige verklaringen, overeenstemmingen, overeenkomsten en verbindingen tussen de Partijen, zowel schriftelijk als mondeling, met betrekking tot het onderwerp van deze DPA. Indien deze DPA en de Overeenkomst (of elke andere overeenkomst tussen de Partijen) tegenstrijdig zijn, dan is deze DPA van kracht en leidend met betrekking tot het onderwerp van deze DPA. Indien de voorwaarden in deze DPA en de Verplichte overdrachtsbepalingen zoals uiteengezet in Appendix 4 tegenstrijdig zijn, dan prevaleren de Verplichte overdrachtsbepalingen.
Appendix 2: Details omtrent het Verwerken van Persoonlijke gegevens van de Klant.
10.2 Amendement. Deze DPA mag door GoDaddy, geheel naar eigen goeddunken, worden gewijzigd of aangepast in overeenstemming met de procedures zoals uiteengezet in de Overeenkomst. Indien de Klant het oneens is met dergelijk amendement, is het enige rechtsmiddel voor de Klant om het gedeelte van de Overeenkomst met betrekking tot het verwerken van de Persoonlijke gegevens van de Klant te beëindigen binnen het opzegtermijn van dertig (30) dagen. Een amendement is enkel van kracht op Verwerkingen die plaatsvinden na de datum van een dergelijk amendement, tenzij uitdrukkelijk en schriftelijk goedgekeurd door beide Partijen.
10.3 Afstandsverklaring. De afstandsverklaring van een schending van deze DPA is alleen van kracht indien schriftelijk ingediend door een bevoegde vertegenwoordiger van de Partij die afstand doet van dergelijke schending en een dergelijke afstandsverklaring zal niet worden geïnterpreteerd als een afstandsverklaring voor een volgende schending.
10.4Verbreking. Indien een van de bepalingen in deze DPA niet uitvoerbaar is, dient de betreffende bepaling zover noodzakelijk te worden aangepast om deze uitvoerbaar te maken. De rest van deze DPA blijft van kracht zoals schriftelijk vastgesteld. Indien het aanpassen van de niet-uitvoerbare bepaling echter als gevolg heeft dat het essentiële doel van deze DPA wordt verzuimd, wordt de gehele DPA nietig verklaard conform Sectie 10.2.
10.5 Kennisgevingen. Uitgezonderd dat wat uitdrukkelijk hierin wordt vermeld, worden kennisgevingen die zijn verplicht conform deze DPA gedaan in overeenstemming met de vereisten omtrent Kennisgevingen zoals uiteengezet in de Overeenkomst.
10.6 Aansprakelijkheid. Deze DPA dient niet als basis voor een van de Partijen of elk ander persoon om een schadevergoeding aan te vragen naast degene die uiteen zijn gezet in de Overeenkomst en die zijn onderworpen aan de beperkingen die daarin zijn beschreven.
10.7 Handhaving. De voorwaarden van deze DPA mogen alleen worden gehandhaafd door de Partijen namens zichzelf en hun respectievelijke Partners in overeenkomst met de bepalingen inzake geschillenbeslechting zoals uiteengezet in de Overeenkomst. Deze beperking van de handhaving heeft geen invloed op de bevoegdheid van een individuele Betrokkene om zijn/haar rechten uit te oefenen conform de Wetgeving inzake gegevensbescherming.
10.8 Beëindiging. Tenzij deze DPA eerder wordt beëindigd conform de Overeenkomst, een andere toepasselijke bepaling van deze DPA of een andere toepasselijke Wetgeving inzake gegevensbescherming, wordt deze DPA beëindigd nadat Verwerking is voltooid of wanneer deze Overeenkomst wordt beëindigd, naargelang welke later plaatsvindt. Na de beëindiging van deze DPA, zal GoDaddy Persoonlijke gegevens van de Klant terugbrengen, verwijderen of anonimiseren conform de voorwaarden van deze Overeenkomst en deze DPA, tenzij GoDaddy de Persoonlijke gegevens van de Klant moet behouden conform de toepasselijke wetgeving. Indien GoDaddy verplicht is de Persoonlijke gegevens van de Klant te bewaren na de beëindiging van de Overeenkomst, zal GoDaddy de verplichtingen met betrekking tot het Verwerken van de Persoonlijke gegevens van de Klant voortzetten conform deze DPA en onmiddellijk dergelijke Persoonlijke gegevens van de Klant terugbrengen of verwijderen wanneer de retentie niet meer wettelijk vereist is.
10.9 Rechtskeuze en rechtsgebied. Deze DPA is onderworpen aan de wetgeving in de Overeenkomst, tenzij de reikwijdte van de Wetgeving omtrent gegevensbescherming verder strekt. In dit geval is de wetgeving van het rechtsgebied dat is vastgesteld door de Wetgeving omtrent gegevensbescherming van toepassing. Geen enkele bepaling van deze DPA wordt geacht de rechten of verplichtingen van eenieder te beperken onder de toepasselijke Wetgeving omtrent gegevensbescherming.
Appendix 1 bevat details omtrent het Verwerken van Persoonlijke gegevens van de Klant conform de Wetgeving inzake gegevensbescherming.
Onderwerp en duur van het Verwerken van Persoonlijke gegevens van de Klant:
Het onderwerp en de duur van het Verwerken van Persoonlijke gegevens van de Klant worden uiteengezet in de Overeenkomst.
De aard en het doel van de details omtrent het Verwerken van Persoonlijke gegevens van de Klant:
Het Verwerken van Persoonlijke gegevens van de Klant door GoDaddy wordt redelijkerwijs geacht de Services te leveren zoals uiteengezet in de Overeenkomst.
De aard van de Persoonlijke gegevens en de categorieën van Betrokkenen:
De aard van de Persoonlijke gegevens van de Klant en de categorieën van Betrokkenen worden beheerd door de Klant en/of de Verwerkingsverantwoordelijke die Persoonlijke gegevens van de Klant heeft verschaft aan de Klant naar zijn/haar eigen goeddunken.
Gevoelige gegevens en bijzondere gegevenscategorieën:
Van tijd tot tijd kunnen Gevoelige gegevens Verwerkt worden conform de Overeenkomst. De aard van de Gevoelige gegevens die worden Verwerkt conform de Overeenkomst worden bepaald door de Klant en/of de Verwerkingsverantwoordelijke die Gevoelige gegevens verschaft aan de Klant naar zijn/haar eigen goeddunken.
Verplichtingen en rechten van de Verwerkingsverantwoordelijke:
De verplichtingen en rechten van de Klant worden uiteengezet in de Overeenkomst en deze DPA.
Appendix 2: Technische en organisatorische beveiligingsmaatregelen1. Toepasselijkheid
1.1 De vereisten van Appendix 2 zijn van toepassing op GoDaddy en elke Subverwerker (waaronder maar niet beperkt tot alle cloudserviceproviders) die GoDaddy gebruikt om Services te leveren en/of Persoonlijke gegevens van de Klant te verwerken.
1.2 Indien GoDaddy een Subverwerker inzet om Services te leveren en/of Persoonlijke gegevens van de Klant te verwerken, zal GoDaddy ervoor zorgen dat dergelijke Subverwerker alle vereisten van dit Appendix naleeft.
2. Gegevensprivacy en Gegevensbeveiligingsbeheer
2.1 Proces voor risicobeheer. GoDaddy dient een passend proces voor risicobeheer te hanteren om gevaren voor gegevens te formuleren, te beoordelen, erop te reageren en er toezicht op te houden in overeenstemming met de verplichtingen van GoDaddy conform de Overeenkomst, de DPA en de toepasselijke wetgeving.
2.2 Reikwijdte van het gegevensbeveiligingsprogramma. Het gegevensbeveiligingsprogramma van GoDaddy, waaronder de toepasselijke beleidsregels inzake privacy en gegevensbescherming, dient ten minste:
2.2.1 De vertrouwelijkheid, integriteit en de toegankelijkheid van Persoonlijke gegevens van de Klant die in het bezit of onder het toezicht van GoDaddy zijn of waar GoDaddy toegang tot heeft, te beschermen; en
2.2.2 Te beschermen tegen redelijkerwijs te anticiperen bedreigingen of gevaren voor de vertrouwelijkheid, integriteit en de toegankelijk van de Persoonlijke gegevens van de Klant.
2.3 Het bijwerken van het gegevensbeveiligingsprogramma. GoDaddy zal regelmatig het gegevensbeveiligingsprogramma beoordelen en bijwerken overeenkomstig met de gebruikelijke praktijken en kaders van de branche die passen bij het type, het volume en de gevoeligheid van de Persoonlijke gegevens van de Klant die door GoDaddy worden verwerkt.
2.4 Risicobeoordeling en -testen. GoDaddy zal regelmatig risicobeoordelingen uitvoeren voor alle systemen die Persoonlijke gegevens van de Klant verwerken en zal ook periodiek penetratietesten door derden uitvoeren voor toepassingen en infrastructuur die worden gebruikt om Services te leveren, zoals redelijkerwijs noodzakelijk wordt geacht door GoDaddy.
2.5 Continuïteit en veerkracht. GoDaddy zal passende maatregelen implementeren om de integriteit en toegankelijkheid van de systemen die Persoonlijke gegevens van de Klant verwerken te beschermen, waaronder maatregelen zoals monitoring van prestaties en toegankelijkheid, het ontwerpen van redundante en veerkrachtige systemen, het gebruiken van noodstroomvoeding, beveiliging tegen DDoS, load- en stresstesten en dergelijke maatregelen.3. Organisatorische beveiliging
3.1 Aansprakelijkheid. GoDaddy zal schriftelijke beleidsregels en procedure inzake gegevensbeveliging uitwerken en implementeren. Hierin wordt de aansprakelijkheid voor de bescherming van Persoonlijke gegevens van de Klant binnen GoDaddy gedefinieerd en worden er één of meerdere specifieke individuen aangesteld als verantwoordelijk voor de uitvoering van het gegevensbeveiligingsprogramma van GoDaddy en de bescherming van de Persoonlijke gegevens van de Klant.
3.2 Assetbeheer en controlemaatregelen voor assets. GoDaddy zal een assetbeheerbeleid en controlemaatregelen voor assets hanteren, waaronder assetclassificatie en een inventaris van apparaten en system die worden gebruikt om Services te leveren en/of Persoonlijke gegevens van de klant te verwerken.
3.3 Fysieke beveiliging. GoDaddy zal ook risiscogebaseerde controlemaatregelen implementeren om de fysieke beveiliging van faciliteiten in stand te houden, waaronder de implementatie van passende maatregelen om te verzekeren dat alleen bevoegde gebruikers toegang hebben tot de elektronische apparatuur, het netwerk, de kritieke systemen, de toepassingen, de serverruimte, de communicatieruimte en de werkomgevingen van GoDaddy. Maatregelen die GoDaddy mogelijk kan aanwenden, indien passend, zijn onder andere, maar niet beperkt tot, alarminstallaties, CCTV-monitoring, toegangsbeheer voor bezoekers en vernietiging van Persoonlijk gegevens op fysieke apparaten voordat deze worden weggegooid/gerecycled.
4. Beveiligingsbewerkingen
4.1 Veilige systeemconfiguratie. GoDaddy zal controlemaatregelen bewerkstelligen om te garanderen dat de systemen die worden gebruikt om de Services te leveren en/of Persoonlijke gegevens van de Klant te Verwerken veilig worden geconfigureerd.
4.2 Kwetsbaarheids- en patchbeheer. GoDaddy zal een systeem voor kwetsbaarheids- en patchebeheer bewerkstelligen en onderhouden dat ervoor zorgt dat alle systemen die worden gebruikt om de Services te leveren en/of Persoonlijke gegevens van de Klant te Verwerken worden gepatcht tegen bekende beveiligingskwetsbaarheden binnen een redelijk termijn op basis van de ernst van de patch en de gevoeligheid van de Persoonlijke gegevens van de Klant.
4.3 Malwarepreventie. GoDaddy zal detectie, preventie en saneringsmaatregelen implementeren ter bescherming tegen kwaadaardige software (waaronder passende bewustzijnprogramma's voor gebruikers).
4.4 Logs en audits. GoDaddy zal een logbeheerprogramma bewerkstelligen dat de reikwijdte, het aanmaken, de opslag, de analyse en de verwijdering van logs definieert op basis van risicogebaseerde branchenormen.
4.5 Detectie van en reactie op beveiligingsincidenten. GoDaddy zal een risicogebaseerd systeem voor het detecteren van Beveiligingsincidenten onderhouden conform Sectie 6 van de Overeenkomst, waaronder het gebruik van indringerdetectie en systemen voor beveiliging tegen indringers.
5. Training
GoDaddy zal ervoor zorgen dat werknemers regelmatig worden geschoold op het gebied van vertrouwelijkheid en gegevensbeschermingverplichtingen met betrekking tot Persoonlijke gegevens van de Klant.
6. Toegangscontroles
6.1 Unieke identificatie. GoDaddy zal individuele, unieke toegangsgegevens voor gebruikers toewijzen aan personeel met toegang tot de Persoonlijke gegevens van de Klant, waaronder maar niet beperkt tot personeel met administratieve toegang.
6.2 Wachtwoordbeheer. GoDaddy zal beleidsregels en procedures implementeren voor wachtwoordbeheer, waaronder gecentraliseerd wachtwoordbeheer en beleidsregels omtrent wachtwoorden.
6.3 Meervoudige verificatie. GoDaddy zal een meervoudige verificatie implementeren voor toegang op afstand tot netwerken, systemen of toepassingen die worden gebruikt om Persoonlijke gegevens van de Klant te Verwerken en/of te bewaren.
6.4 Minimale rechten. GoDaddy zal toegang tot Persoonlijke gegevens van de Klant beperken voor personeel dat is gebonden door passende vertrouwelijkheidsverplichtingen en dat ten behoeve van het leveren van de Services 'moeten weten' of 'toegang moeten hebben' .
7. Gegevensbeveiligingscontroles
7.1 Scheiding van gegevens. GoDaddy zal Persoonlijke gegevens van de Klant bewaren in logischerwijs gescheiden en veilige omgevingen.
7.2 Versleuteling en andere maatregelen. GoDaddy zal passende risicogebaseerde maatregelen bewerkstelligen om de Persoonlijke gegevens van de Klant te beschermen, waaronder versleuteling, pseudonimisatie en andere passende maatregelen zoals het gebruik van algoritmes voor het hashen van geheimen, waaronder wachtwoorden en API-tokens die worden gebruikt om toegang te krijgen tot systemen met Persoonlijke gegevens van de Klant.
Appendix 3: Rechtsgebied specifieke termen
1. Verenigde Staten
1.1 Californië.
1.1.1 Definities.
1.1.1.1 De volgende termen zijn specifiek gedefinieerd volgens de definities zoals uiteengezet in de Wetgeving inzake gegevensbescherming van Californië: 'Bedrijf', 'Commercieel doeleinde', 'Serviceprovider', 'Verkopen', 'Delen' en 'Derde'.
1.1.1.2 De term 'Persoonlijke gegevens van de Klant' omvat persoonlijke gegevens van een geïdentificeerd of een identificeerbaar natuurlijk persoon of huishouden.
1.1.2 De rollen van de Partijen.
1.1.2.1 Indien de Klant door de toepasselijke Wetgeving inzake gegevensbescherming van Californië wordt aangeduid als een Bedrijf, wordt er verondersteld dat alle verwijzingen naar de rechten en de verplichtingen van de Klant als Verwerkingsverantwoordelijke conform deze DPA ook verwijzen naar de rechten en de verplichtingen van de Klant als een Bedrijf. Indien de Klant door de toepasselijke Wetgeving inzake gegevensbescherming van Californië wordt aangeduid als een Serviceprovider, wordt er verondersteld dat alle verwijzingen naar de rechten en de verplichtingen van de Klant als Verwerker conform deze DPA ook verwijzen naar de rechten en de verplichtingen van de Klant als een Serviceprovider.
1.1.2.2 Indien GoDaddy door de toepasselijke Wetgeving inzake gegevensbescherming van Californië wordt aangeduid als een Serviceprovider of een Derde, wordt er verondersteld dat alle verwijzingen naar de rechten en de verplichtingen van GoDaddy als Verwerker of Subverwerker conform deze DPA ook verwijzen naar de rechten en de verplichtingen van GoDaddy als een Serviceprovider of een Derde, zoals van toepassing.
1.2 Alle Amerikaanse staten (inclusief Californië).
1.2.1 GoDaddy mag Persoonlijke gegevens van de Klant niet (a) verkopen of delen, (b) bewaren, gebruiken of openbaar maken voor een doeleinde anders dan de zakelijke doeleinden zoals vastgesteld in de Overeenkomst, of (c) bewaren, gebruiken of openbaar maken buiten de directe zakelijke relatie tussen GoDaddy en het Bedrijf.
1.2.2 De toegang die GoDaddy heeft tot de Persoonlijke gegevens van de Klant is geen onderdeel van de tegenprestaties die de Partijen uitwisselen conform de Overeenkomst.
1.2.3 De Klant heeft het recht om redelijkerwijze stappen te ondernemen om: (a) te verifiëren dat GoDaddy de Persoonlijke gegevens van de Klant verwerkt op een manier die consistent is met deze DPA, waaronder het uitoefenen van de rechten die uiteen zijn gezet in Sectie 8 van deze DPA; (b) het beëindigen en herstellen te eisen van de Verwerkingsactiviteiten van GoDaddy die worden uitgevoerd met schending van de voorwaarden van de DPA, en (c) de naleving van GoDaddy met deze DPA te garanderen, hiertoe mag de Klant naar eigen goeddunken redelijkerwijze stappen ondernemen. Indien GoDaddy niet in staat of bereid is om gehoor te geven aan de redelijke aanvragen van de Klant conform Sectie 1.2.3, is het enige rechtsmiddel van de Klant om deze DPA en het gedeelte van de Overeenkomst dat betrekking heeft op het verwerken van Persoonlijke gegevens van de Klant te beëindigen.
1.2.4 GoDaddy verklaart de verplichtingen conform de Wetgeving inzake gegevensbescherming en deze DPA te begrijpen en na te leven, waaronder alle beperkingen op het Verwerken van Persoonlijke gegevens van de Klant.
2. Europese Unie/Europese Economische Ruimte
2.1 Subverwerker
Indien GoDaddy een Subverwerker betrekt, zal deze:
2.2 Aansprakelijkheid voor wettelijke sancties. Ongeacht elke andere voorwaarde uiteengezet in deze DPA of een andere Overeenkomst (waaronder de verplichtingen van Partijen tot schadevergoedingen conform deze Overeenkomst), is geen van beide Partijen verantwoordelijk voor boetes die worden uitgegeven of opgelegd door een regelgevende instantie of overheidsinstantie aan de andere Partij, waaronder boetes onder Artikel 83 van de EU AVG.2.1.1.1 De Subverwerker verplichten om de technische en organisatorische maatregelen na te leven, zoals uiteengezet in Secties 5, 6 en 8 van de DPA, en Appendix 2 van de DPA die passen bij de aard van de verwerking door de Subverwerker, waaronder maar niet beperkt tot alle technische en organisatorische maatregelen die worden verplicht in Artikel 28 van de Algemene verordening gegevensbescherming van de EU ('AVG'); en
2.1.1.2 De Subverwerker verplichten om schriftelijk in te stemmen enkel Persoonlijke gegevens van de Klant te verwerken (a) in de EU/EER, (b) in een land dat volgens de Europese Commissie een 'adequaat' niveau van gegevensbescherming biedt of (c) in het geval van voorwaarden die uiteen worden gezet in Appendix 4 inzake internationale Overdrachten van Persoonlijke gegevens van de Klant.
3. Zwitserland
3.1 Indien GoDaddy een Subverwerker betrekt, zal deze:
3.1.1 De Subverwerker verplichten om de Technische en Organisatorische maatregelen na te leven, zoals uiteengezet in Secties 5, 6 en 8 en Appendix 2 van de DPA, die passen bij de aard van de verwerking door de Subverwerker, waaronder maar niet beperkt tot alle Technische en Organisatorische maatregelen die worden verplicht in Artikel 28 van de AVG; en
3.1.2 Subverwerker verplichten om schriftelijk in te stemmen enkel Persoonlijke gegevens van de Klant te verwerken (a) in Zwitserland, (b) in de EU/EER, (c) in een ander land dat volgens de Europese Commissie een 'adequaat' niveau van gegevensbescherming biedt of (d) in het geval van voorwaarden die uiteen worden gezet in Appendix 4 inzake internationale Overdrachten van Persoonlijke gegevens van de Klant.
3.2 Zover Overdrachten van de Persoonlijke gegevens van de Klant zijn onderworpen aan de Standaardcontractbepalingen van de EU (zoals uiteengezet in Appendix 4) zullen de volgende amendementen van toepassing zijn:
3.2.1 Verwijzingen naar 'Lidstaat' omvatten ook Zwitserland; en
3.2.2 Zover Overdrachten zijn onderworpen aan de Federal Act on Data Protection ('FADP'), zullen verwijzingen naar 'Verordening (EU) 2016/679' ook worden beschouwd als verwijzingen naar de FADP.
3.3 Zover vereist door de FADP, wordt er verondersteld dat de Standaardcontractbepalingen van de EU ook gegevens betreffende juridische entiteiten omvatten als Persoonlijke gegevens van de Klant.4. Verenigd Koninkrijk
4.1 Verwijzingen naar 'AVG' zijn verwijzingen naar de overeenkomstige wetgevingen en regelgevingen van het VK, waaronder maar niet beperkt tot de Britse AVG en de Britse Data Protection Act (DPA) van 2018.
4.2 Indien het Bedrijf een Subverwerker betrekt, zal deze:
Appendix 4: Internationale grensoverschrijdende verplichte Overdrachtsmechanismen
4.2.1 De Subverwerker verplichten om de technische en organisatorische maatregelen na te leven, zoals uiteengezet in Secties 5, 6 en 8 en Appendix 2 van de DPA, die passen bij de aard van de verwerking door de Subverwerker, waaronder maar niet beperkt tot alle technische en organisatorische maatregelen die worden verplicht in Artikel 28 van de Britste AVG; en
4.2.2 De Subverwerker verplichten om schriftelijk in te stemmen enkel Persoonlijke gegevens van de Klant te verwerken in (a) het VK, (b) de EU/EER, (c) een ander land dat volgens het Verenigd Koninkrijk een 'adequaat' niveau van gegevensbescherming biedt of (d) in het geval van voorwaarden die uiteen worden gezet in Appendix 4 inzake internationale Overdrachten van Persoonlijke gegevens van de Klant.
1. Definities
1.1 Met het 'Data Privacy Framework ("DPF")' wordt bedoeld de EU-VS, Zwitsers-VK of VK-VS Data Privacy Framework-certificeringsprogramma's die worden uitgevoerd door de Amerikaanse Department of Commerce [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Met de 'VK-VS Data Bridge' wordt bedoeld de Aanvulling van het VK op het EU-VS Data Privacy Framework.
1.3 Met de 'Standaardcontractbepalingen van de EU' wordt bedoeld de standaardcontractbepalingen die zijn goedgekeurd door de Europese Commissie en zijn bijgevoegd in het uitvoeringsbesluit 2021/914 van juni 2021.
1.4 De Overeenkomst inzake Internationale gegevensoverdrachten van het VK ('VK IDTA') dat wordt uitgegeven door de Commissaris voor informatievoorziening van het VK, Versie B1.0, wordt geacht te worden uitgevoerd door de Partijen vanaf de Ingangsdatum van de Overeenkomst en de Standaardcontractbepalingen van de EU worden geacht te worden aangepast zoals vastgesteld door de VK IDTA met betrekking tot gegevensoverdrachten uit het VK.
2. Volgorde van prioriteit
2.1 Er wordt geen Verplicht overdrachtsmechanisme gebruikt indien er een overdracht wordt gedaan naar een land dat is aangeduid als een land met een adequaat niveau van gegevensbescherming door de Wetgeving inzake gegevensbescherming van het land waaruit dergelijke Persoonlijke gegevens van de Klant worden overgedragen.
2.2 Indien er een Overdracht wordt vereist en dergelijke Overdracht onder meer dan één Verplicht overdrachtsmechanisme valt, is de Overdracht onderworpen aan één enkel Verplicht overdrachtsmechanisme in overeenstemming met de volgende volgorde van prioriteit: (a) het toepasselijke EU of Zwitsers DPF; (b) de VK-VS Data Bridge; (c) de Standaardcontractbepalingen van de EU; (d) de VK IDTA; of (e) ieder ander toepasselijk Verplicht overdrachtsmechanisme dat de toepasselijke Wetgeving inzake gegevensbescherming toestaat.
2.3 Indien een Verplicht overdrachtsmechanisme onwettig wordt geacht na de uitvoering van deze Overeenkomst, moeten alle toekomstige Overdrachten worden uitgevoerd door het volgende toepasselijke en geldige Verplichte overdrachtsmechanisme.
3. Data Privacy Framework
3.1 Zelfcertificering.
3.1.1 Certificering van GoDaddy. GoDaddy verklaart zelfgecertificeerd te zijn conform het DPF. GoDaddy stemt in om (a) tenminste hetzelfde niveau van bescherming te bieden voor Persoonlijke gegevens van de Klant als wordt vereist door de Gegevensprivacyprincipes van het DPF; (b) de Klant schriftelijk op de hoogte te stellen zonder onnodige vertraging indien de certificering van GoDaddy voor het DPF wordt teruggetrokken, beëindigd, ingetrokken of anderszins ongeldig wordt gemaakt; (c) na aanleiding van een schriftelijke kennisgeving van de Klant redelijkerwijze en passende stappen te ondernemen om onbevoegde verwerking van de Persoonlijke gegevens van de Klant te beëindigen of te herstellen.
3.1.2 Certificering van het Bedrijf. Zover het Bedrijf is gecertificeerd onder dit DPF, stemt het bedrijf in om (a) tenminste hetzelfde niveau van bescherming te bieden voor Persoonlijke gegevens van de Klant als wordt vereist door de Gegevensprivacyprincipes van het DPF; (b) GoDaddy schriftelijk op de hoogte te stellen zonder onnodige vertraging indien de certificering van het Bedrijf voor het DPF wordt teruggetrokken, beëindigd, ingetrokken of anders ongeldig wordt gemaakt; (c) na aanleiding van een schriftelijke kennisgeving van GoDaddy redelijkerwijze en passende stappen te ondernemen om onbevoegde verwerking van de Persoonlijke gegevens van de Klant te beëindigen of te herstellen.
3.2 Status
3.2.1 EU-VS DPF. De Europese Commissie heeft vastgesteld dat het EU-VS DPF een adequaat niveau van gegevensbescherming biedt conform een besluit omtrent adequaatheid van 10 juli 2023 dat vanaf 10 oktober 2023 van kracht is.
3.2.2 VK-VS Data Bridge. De Britste staatssecretaris voor Wetenschap, Innovatie en Technologie heeft vastgesteld dat de VK-VS Data Bridge een adequaat niveau van gegevensbescherming biedt. De staatssecretaris heeft hiertoe met ingang van 21 september 2023 een verordening vastgelegd in het Parlement. De verordeningen van de VK-VS Data Bridge zijn vanaf 12 oktober 2023 van kracht en toepasselijke Overdrachten worden vanaf deze datum conform de VK-VS Data Bridge uitgevoerd.
3.2.3 Zwitsers-VK DPF. Het Zwitsers-VK DPF is nog niet van kracht.
3.3 Het Bedrijf en de Subverwerker van het Bedrijf zullen alle noodzakelijke stappen ondernemen om ervoor te zorgen dat GoDaddy de verplichtingen van een Verwerkingsverantwoordelijke en/of Verwerker naleeft, waaronder maar niet beperkt tot het ondersteunen van GoDaddy en/of de Verwerkingsverantwoordelijke bij het beantwoorden van aanvragen van individuen die hun recht van Betrokkenen willen uitvoeren.3.2.3.1 De Partijen stemmen ermee in om toepasselijke Overdrachten van Persoonlijke gegevens van de Klant te behandelen alsof deze worden gedaan conform het Zwitsers DPF, zover de voorwaarden van deze DPA overeenkomen met het Zwitsers DPF of hier redelijkerwijs analoog aan zijn wanneer deze van kracht gaat.
3.2.3.2 Zover er nader voorwaarden moeten worden toegevoegd aan deze DPA door toedoen van het Zwitsers DPF, stemmen de Partijen ermee in dat zulke voorwaarden automatisch worden opgenomen zonder verdere handelingen van de Partijen; mits dergelijke aanvullende voorwaarden geen bijkomende materiële verplichtingen opleggen aan een van de Partijen en niet fundamenteel afbreuk doen aan de originele voorwaarden van de Overeenkomst.
3.2.3.3 Zover aanvullende voorwaarden niet automatisch kunnen worden toegevoegd aan deze DPA, mag deze DPA worden gewijzigd om Overdrachten conform het Zwitsers DPF toe te staan.
3.2.3.4 Ongeacht elke andere voorwaarde in deze DPA, zal niks in deze DPA de mogelijkheid van de Partijen om Persoonlijke gegevens over te dragen conform een ander wettelijk gegevensoverdrachtsmechanisme inperken, beperken of op een andere wijze beïnvloeden.
4. De Standaardcontractbepalingen van de EU
4.1 Voor Overdrachten van Persoonlijke gegevens vanuit de EU/EER en Zwitserland die zijn onderworpen aan de Standaardcontractbepalingen van de EU, zijn Module twee (Verwerkingsverantwoordelijke naar Verwerker) of Module drie (Verwerker naar Verwerker) van toepassing afhankelijk van welke rol (Verwerkingsverantwoordelijke of Verwerker) GoDaddy inneemt met betrekking tot de Persoonlijke gegevens van de Klant die worden Overgedragen.
4.2 Met betrekking tot Module twee en Module drie van de Standaardconctractbepalingen van de EU (EU SCC):
4.2.1 Voor Bepaling 7 is de optionele docking-bepaling niet van toepassing.
4.2.2 Voor Bepaling 9 is Optie 2 van toepassing en het proces omtrent kennisgeving en het termijn voor het aantekenen van bezwaar tegen wijzigingen betreffende de Subverwerker zijn zoals uiteengezet in Sectie 3 van de DPA.
4.2.3 Voor Bepaling 11 is de optionele taal niet van toepassing.
4.2.4 Voor Bepaling 17 (Optie 1) zijn de Standaardcontractbepalingen van de EU onderworpen aan de nationale wetgeving van Duitsland.
4.2.5 Voor Bepaling 18(b) zullen alle geschillen met betrekking tot de DPA worden opgelost in de Bondsrepubliek Duitsland.
4.3 Ten behoeve van Bijlage 1, Deel A:
4.3.1 Gegevensexporteur
4.3.1.1 De Gegevensexporteur is het Bedrijf.
4.3.1.2 Er mag contact worden opgenomen met het Bedrijf via de adressen uiteengezet in de kennisgeving van de Overeenkomst.
4.3.1.3 Door deze DPA af te sluiten, wordt geacht dat het Bedrijf deze Standaardcontractbepalingen van de EU, waaronder de bijhorende Bijlagen, heeft ondertekend, vanaf de Ingangsdatum van de Overeenkomst.
4.3.2 Gegevensimporteur
4.3.2.1 De Gegevensimporteur is en/of bevoegde partners van GoDaddy.GoDaddy
4.3.2.2 Er mag contact worden opgenomen met GoDaddy via de adressen uiteengezet in de kennisgeving van de Overeenkomst of via privacy@GoDaddy.com.
4.3.2.3 Door deze DPA af te sluiten, wordt er verondersteld dat GoDaddy deze Standaardcontractbepalingen van de EU, waaronder de bijhorende Bijlagen, heeft ondertekend, vanaf de Ingangsdatum van de Overeenkomst.
4.4 4.3 Ten behoeve van Bijlage 1, Deel B:
4.4.1 De categorieën van Betrokkenen zoals uiteengezet in Appendix 1.
4.4.2 De gevoelige gegevens (indien aanwezig) die worden Overgedragen worden uiteengezet in Appendix 1.
4.4.3 De frequentie van Overdrachten is de duur van de Overeenkomst en de DPA.
4.4.4 De aard van de Verwerking wordt uiteengezet in Appendix 1.
4.4.5 Het doeleinde van de Verwerking wordt uiteengezet in Appendix 1.
4.4.6 Het termijn van de Verwerking wordt uiteengezet in Appendix 1.
4.5 Ten behoeve van Bijlage 1, Deel C, in overeenstemming met bepaling 13, wordt de competente toezichthoudende autoriteit als volgt gedefinieerd:
4.5.1 Voor overdrachten van Persoonlijke gegevens uit de EU/EER is de Toezichthoudende autoriteit de Staatscommissaris voor gegevens en vrijheid van informatie van de Duitse staat Noordrijn-Westfalen.
4.5.2 De Zwitserse Federale commissaris voor gegevensbescherming en informatie treedt op als competente toezichthoudende autoriteit in zoverre de relevante Overdracht of Verdere overdracht is onderworpen aan de Zwitserse Wetgeving en regelgeving inzake gegevensbescherming.
4.6 In Bijlage II van de Standaardcontractbepalingen van de EU bevat Appendix 2 de technische en organisatorische maatregelen die het Bedrijf implementeert als Gegevensimporteur conform deze DPA.
4.7 In Bijlage III van de Standaardcontractbepalingen van de EU kunt u de lijst bekijken met de Subverwerkers van het Bedrijf.5. Overeenkomst inzake Internationale gegevensoverdrachten van het Verenigd Koninkrijk ('VK IDTA')
5.1 De VK IDTA is van toepassing op Overdrachten van Persoonlijke gegevens van de Klant die van het Verenigd Koninkrijk worden overgedragen aan een ander land buiten het Verenigd Koninkrijk en dat niet door een competente regelgevende instantie of overheidsinstantie is aangeduid als een land met een adequaat niveau van bescherming van Persoonlijke gegevens.
5.2 Voor Overdrachten die zijn onderworpen aan de VK IDTA, wordt er verondersteld dat de Partijen de VK IDTA als volgt hebben afgesloten en uitgevoerd:
5.2.1 In Tabel 1 van de IDTA worden de gegevens en de belangrijkste contactgegevens van de Partijen weergegeven in Sectie 4.3 van Appendix 4.
5.2.2 In Tabel 2 van de IDTA wordt informatie over de versie van de Standaardcontractbepalingen, modulen en geselecteerde bepalingen van de EU waaraan de VK IDTA is verbonden weergegeven in Sectie 4 van het Appendix.
5.2.3 In Tabel 3 van de VK IDTA:
5.2.3.1 Wordt de lijst met Partijen weergegeven in Sectie 4.3 van Appendix 4.
5.2.3.2 Wordt de beschrijving van de overdracht uiteengezet in Appendix 1.
5.2.3.3 Wordt Bijlage II weergegeven in Appendix 2.
5.2.3.4 Wordt de lijst met Subverwerkers van het Bedrijf weergegeven in Appendix 5.
5.2.3.5 In Tabel 4 van de VK IDTA, mogen zowel GoDaddy als het Bedrijf de VK IDTA beëindiging in overeenstemming met de voorwaarden.
5.3 De Commissaris voor informatievoorziening van het VK treedt op als competente toezichthoudende autoriteit in zoverre de relevante Overdracht is onderworpen aan de Wetgeving en regelgeving inzake gegevensbescherming van het VK.
5.4 Geschillen. Zover er sprake is van enig geschil of tegenstrijdigheden tussen de Standaardcontractbepalingen van de EU en het VK IDTA en enige andere voorwaarden in dit Addendum inzake gegevensbescherming, zullen de bepalingen in de Standaardcontractbepalingen van de EU of het VK IDTA prevaleren, indien van toepassing.
Vertaalde versies van juridische overeenkomsten en beleidsregels zijn uitsluitend bedoeld om het lezen te vergemakkelijken en het inhoudelijke begrip van de Engelse versies te vergroten. Deze vertalingen worden niet verschaft als wettelijk bindende overeenkomst en zijn geen vervanging voor de Engelse versies, die als enige wettelijk geldig zijn. In geval van een geschil of conflict zijn uitsluitend de Engelse versies van de juridische overeenkomsten en beleidsregels van toepassing en hebben deze voorrang boven de voorwaarden in elke andere taal.