GoDaddy

ADDENDUM GEGEVENSVERWERKING (KLANTEN)

Laatst herzien: 27/09/2021

Dit Addendum Gegevensverwerking (de "Addendum"), wordt uitgevoerd door en tussen GoDaddy.com, LLC, a Delaware limited liability company en haar partners ("GoDaddy") en u ("Klant"), en is bijgevoegd bij en is ter aanvulling op onze Universele servicevoorwaarden, Privacybeleid en alle overeenkomsten die de Gedekte diensten (samen "Servicevoorwaarden") behandelen.  Tenzij anders aangeduid in dit Addendum, hebben termen met een hoofdletter die in deze Overeenkomst worden gebruikt, maar niet zijn gedefinieerd, de betekenis die daaraan is toegekend in de Algemene Servicevoorwaardenovereenkomst.

1. Definities

Partners wil zeggen: elke rechtspersoon die wordt beheerd door, die zich bezighoudt met het beheer van of die in het algemeen het beheer heeft over GoDaddy.

CCPA staat voor California Consumer Privacy Act, California Civil Code 1798.100 e.v., waaronder eventuele amendementen en eventuele implementatievoorschriften in verband daarmee die van kracht worden op of na de ingangsdatum van dit Addendum voor gegevensverwerking.

Gedekte services, zoals gedefinieerd in deze sectie en in de DPA, omvatten gehoste services die vallen onder de bepalingen en voorwaarden van de volgende Overeenkomsten: (1) E-mailmarketingservices, (2) Hosting, (3) Webwinkel/snelle winkelwagen, (4) Websiteservices, (5) Workspaceservice.

Klantgegevens wil zeggen: de persoonsgegevens van een betrokkene die door GoDaddy worden verwerkt binnen het GoDaddy-netwerk, namens de klant en in overeenstemming of in verband met de servicevoorwaarden.

Gegevensbeheerder wil zeggen: de Klant, als de rechtspersoon die de doeleinden van en middelen voor de verwerking van persoonsgegevens bepaalt.

Gegevensverwerker wil zeggen: GoDaddy, als de rechtspersoon die persoonsgegevens verwerkt namens de gegevensbeheerder of de serviceprovider, zoals deze term is gedefinieerd in de CCPA.

Wetgeving omtrent gegevensbescherming betekent alle wetten en voorschriften met betrekking tot gegevensbescherming en privacy die toepasselijk zijn op de Verwerking van persoonsgegevens volgens de overeenkomst, waaronder de (i) de Australische Privacy Principles en de Australische Privacy Act (1988), (ii) de Lei Geral de Proteção de Dados (LGDP), (iii) de California Consumer Privacy Act (CCPA), (iv) de Canadese federale Personal Information Protection and Electronic Documents Act (PIPEDA), (v) de Algemene verordening gegevensbescherming (AVG) van de Europese Unie, (vi) alle nationale gegevensbeschermingswetten die onder of overeenkomstig met de AVG ontworpen zijn, (vii) de e-privacyrichtlijn (Richtlijn 2002/58/EC), de Personal Data Protection Act 2012 (PDPA) van Singapore, (ix) de Zwitserse federale wet inzake gegevensbescherming van 19 juni 1992 en de bijbehorende verordeningen, (x) de AVG van het Verenigd Koninkrijk of de Data Protection Act 2018; in alle gevallen zoals gerectificeerd, afgeschaft of vervangen.

Betrokkene wil zeggen: de persoon op wie de persoonsgegevens betrekking hebben.

EER staat voor de Europese Economische Ruimte.

AVG staat voor Algemene verordening gegevensbescherming, ofwel voorschrift (EU) 2016/679 van het Europese Parlement en van de Raad van 27 april 2016, inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, via welk voorschrift Richtlijn 95/46/EC (Algemene verordening gegevensbescherming) is ingetrokken.

GoDaddy-netwerk wil zeggen: datacentrumfaciliteiten, servers, netwerkapparatuur en hostsoftwaresystemen (zoals virtuele firewalls) van GoDaddy die onder beheer van GoDaddy staan en die worden gebruikt voor het verzorgen van de Gedekte services.

Persoonsgegevens wil zeggen: elke informatie die betrekking heeft op een geïdentificeerd of identificeerbaar persoon of huishouden zoals bepaald door Wetgeving omtrent gegevensbescherming.

Verwerken/Verwerking wil zeggen: elke bewerking of reeks handelingen die wordt uitgevoerd op persoonsgegevens, al dan niet met automatische middelen, zoals verzameling, opname, organisatie, structurering, opslag, aanpassing of wijziging, opvraging, raadpleging, gebruik, openbaarmaking door verzending, verspreiding of het anderszins beschikbaar stellen, uitlijnen of combineren, beperken, wissen of vernietigen. 'Verwerken', 'verwerkt' en andere afgeleiden daarvan zullen dienovereenkomstig worden geïnterpreteerd. Details van verwerken/verwerking worden in Bijlage 1 uiteengezet.

Beveiligingsincident betekent ofwel: (a) een inbreuk op de beveiliging van de GoDaddy-beveiligingsnormen die leidt tot het onbedoeld of onrechtmatig vernietigen, verliezen, wijzigen, ongeoorloofd openbaar maken of weergeven van eventuele klantgegevens; of (b) ongeoorloofde toegang tot apparatuur of faciliteiten van GoDaddy, waarbij in beide gevallen een dergelijke toegang resulteert in vernietiging, verlies, ongeoorloofde openbaarmaking of wijziging van klantgegevens.

Beveiligingsnormen wil zeggen: de beveiligingsnormen die aan dit addendum zijn toegevoegd als Bijlage 2.

Gevoelige informatie wil zeggen: (a) een burgerservicenummer, paspoortnummer, rijbewijsnummer of vergelijkbaar identificatiemiddel (of deel daarvan); (b) creditcard- of bankpasnummer (afgezien van het ingekorte deel (de laatste vier cijfers) van een credit- of debetkaart), financiële gegevens, bankrekeningnummers en -wachtwoorden; (c) beroep, financiën en genetische, biometrische en medische informatie; (d) etniciteit, politieke en religieuze voorkeuren, lidmaatschap van een (vak)bond, seksleven en seksuele geaardheid; (e) accountwachtwoorden, meisjesnaam van moeder en geboortedatum; (f) strafblad; en (g) alle andere informatie of combinaties van gegevens die onder de definitie van ‘bijzondere gegevenscategorieën’ van de AVG vallen of onder elke andere toepasselijke wet of verordening met betrekking tot privacy en gegevensbescherming.

Modelcontractbepalingen of SCC’s betekent: de standaardbepalingen met betrekking tot gegevensbescherming voor de overdracht van persoonsgegevens van verwerkingsverantwoordelijke naar een verwerker gevestigd in derde landen die niet voldoen aan het juiste niveau van gegevensbescherming of die niet garanderen, zoals beschreven in Artikel 46 van de AVG en goedgekeurd door het besluit 2021/914 van de Europese Commissie op 4 juni 2021. Module twee (verwerkingsverantwoordelijke naar verwerker) Modelcontractbepalingen staan in Bijlage 4.

Subverwerker staat voor een Gegevensverwerker betrokken namens de verwerker om gegevens te verwerken namens Gegevensbeheerder.

Modelcontractbepalingen van het Verenigd Koninkrijk betekent de standaardbepalingen met betrekking tot gegevensbescherming voor de overdracht van persoonsgegevens naar verwerkers gevestigd in derde landen die niet voldoen aan het juiste niveau van gegevensbescherming of die niet garanderen, zoals beschreven in Artikel 46 van de AVG van het Verenigd Koninkrijk en goedgekeurd door het besluit 2010/87/EU van de Europese Commissie. De Modelcontractbepalingen van het Verenigd Koninkrijk staan in Bijlage 4.                            

2. Gegevensverwerking

2.1 Omvang en rollen. Dit Addendum is van kracht wanneer klantgegevens door GoDaddy worden verwerkt, waarbij GoDaddy handelt als de Gegevensverwerker namens de klant en als de Gegevensbeheerder met betrekking tot de klantgegevens.

2.2 Details van gegevensverwerking. Het doel van de verwerking van klantgegevens door GoDaddy is de uitvoering van de Gedekte services overeenkomstig de Servicevoorwaarden. GoDaddy zal klantgegevens alleen namens en in overeenstemming met de gedocumenteerde instructies van de klant voor de volgende doeleinden verwerken: (i) Verwerking in overeenstemming met de Servicevoorwaarden; (ii) Verwerking geïnitieerd door eindgebruikers bij gebruik van de Gedekte services; (iii) Verwerking om te voldoen aan andere gedocumenteerde, redelijke instructies die door klanten worden verstrekt (zoals via e-mail), wanneer dergelijke instructies in overeenstemming zijn met de Servicevoorwaarden. GoDaddy zal zich onthouden van: (a) Het verwerken, vasthouden, gebruiken, verkopen of openbaar maken van klantgegevens behalve voor zover dat nodig is voor het in overeenkomst met de Servicevoorwaarden verzorgen van Gedekte services of uit hoofde van de wet; (b) De verkoop van klantgegevens aan eventuele derde partijen; (c) Het vasthouden, gebruiken of openbaar maken van dergelijke klantgegevens buiten de directe zakelijke relatie tussen GoDaddy en de klant.

Om elke twijfel te vermijden, moeten instructies van de klant voor de verwerking van persoonsgegevens voldoen aan alle toepasselijke wetgeving op het gebied van gegevensprivacy. klanten zijn zelf volledig verantwoordelijk voor de nauwkeurigheid, kwaliteit en rechtmatigheid van eventuele persoonsgegevens en de wijze waarop de klant persoonsgegevens heeft verkregen. GoDaddy is niet gehouden te voldoen aan instructies van de klant als dergelijke instructies een schending inhouden van Wetgeving omtrent gegevensbescherming. De duur van de Verwerking, de aard en het doel van de Verwerking, de soorten persoonsgegevens en categorieën van betrokkenen verwerkt onder dit Addendum, zijn nader gespecificeerd in Bijlage 1 (Details van de Verwerking) bij dit Addendum.

3. Geheimhouding van Klantgegevens

GoDaddy zal klantgegevens niet bekendmaken aan overheden of andere derde partijen, tenzij dit nodig is om te voldoen aan de wet of een geldig en bindend bevel van een wetshandhavingsinstantie (zoals een dagvaarding of gerechtelijk bevel). In het geval dat GoDaddy een geldige civiele dagvaarding ontvangt, probeert GoDaddy voor zover toegestaan de Klant op redelijke wijze op de hoogte te brengen van de eis via e-mail of post zodat de klant een beschermingsbevel of een ander toepasselijk rechtsmiddel kan aanvragen.

4. Beveiliging

4.1 GoDaddy heeft de technische en organisatorische maatregelen geïmplementeerd en zal deze onderhouden voor het GoDaddy-netwerk zoals beschreven in deze Sectie en zoals verder beschreven in Bijlage 2, Beveiligingsstandaarden, van dit Addendum. Met name heeft GoDaddy de volgende technische en organisatorische maatregelen geïmplementeerd en zal zorgen voor het onderhoud daarvan, namelijk betreffende (i) de veiligheid van het GoDaddy-netwerk; (ii) de fysieke veiligheid van de faciliteiten; (iii) controles voor de toegang van medewerkers en aannemers tot (i) en/of (ii); en (iv) processen voor het testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen die door GoDaddy zijn geïmplementeerd. In het geval wij niet in staat zijn om te voldoen aan een van de hierin uiteengezette verplichtingen, zullen wij u hiervan zo snel als praktisch mogelijk is schriftelijk (via onze website en e-mail) op de hoogte stellen.

4.2 GoDaddy stelt enkele beveiligingskenmerken en -functionaliteiten beschikbaar die de Klant kan gebruiken voor de Gedekte services. De Klant is verantwoordelijk voor (a) de juiste configuratie van de Gedekte services, (b) het gebruik van de beschikbare controles in verband met de Gedekte services (inclusief de beveiligingscontroles) om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en tolerantie van verwerkingssystemen en -services te waarborgen, (c) het gebruik van de beschikbare controles in verband met de Gedekte diensten (inclusief de beveiligingscontroles) om de Klant in staat te stellen de beschikbaarheid van en toegang tot Klantgegevens tijdig te herstellen in geval van een fysiek of technisch incident (bijv. back-ups en routinematige archivering van Klantgegevens), en (d) het nemen van maatregelen die de Klant passend acht om de juiste beveiliging, bescherming en verwijdering van Klantgegevens uit te voeren, waaronder het gebruik van versleutelingstechnologie om Klantgegevens te beschermen tegen ongeoorloofde toegang en maatregelen om toegangsrechten voor Klantgegevens te beheren.

5. Rechten betrokkenen

Rekening houdend met de aard van de Gedekte diensten, biedt GoDaddy de Klant bepaalde beheeropties, als omschreven in de sectie "Beveiliging" van dit Addendum, die de Klant kan kiezen om Klantgegevens op te halen, te corrigeren, te verwijderen of het gebruik ervan te beperken, als uiteengezet in de Gedekte diensten. De Klant kan deze beheeropties gebruiken als technische en organisatorische maatregelen ter assistentie bij zijn/haar verplichtingen onder toepasselijke privacywetten, inclusief zijn/haar verplichting voor wat betreft het reageren op verzoeken van betrokkenen. Voor zover commercieel redelijk is, en wettelijk vereist of toegestaan, zal GoDaddy de Klant meteen op de hoogte stellen wanneer GoDaddy rechtstreeks een verzoek van een Betrokkene ontvangt om dergelijke rechten uit te oefenen volgens toepasselijke privacywetten ("Verzoek Betrokkene"). Wanneer het gebruik van de Gedekte diensten door de Klant zijn mogelijkheid om een Verzoek betrokkene te adresseren beperkt, kan GoDaddy, indien wettelijk toegestaan en passend, en op verzoek van de Klant, commercieel redelijke ondersteuning worden geboden bij het behandelen van het verzoek, op kosten van de Klant (indien van toepassing).

6. Subverwerking

6.1 Geautoriseerde subverwerkers. Klant gaat ermee akkoord dat GoDaddy subverwerkers kan gebruiken om haar contractuele verplichtingen te voldoen onder haar Servicevoorwaarden en dit Addendum, of om namens de Klant bepaalde diensten te leveren, zoals het bieden van support. De Klant gaat hierbij akkoord met de inzet van Subverwerkers door GoDaddy, als omschreven in deze Sectie. Behalve zoals uiteengezet in deze Sectie, of zoals anderszins uitdrukkelijk door u is geautoriseerd, staat GoDaddy geen andere subverwerkingactiviteiten toe.

6.2 Verplichtingen Subverwerkers. Waar GoDaddy geautoriseerde subverwerkers gebruikt als omschreven in Sectie 6.1:

(i) GoDaddy zal de toegang van de subverwerker beperken aan de Klantgegevens tot wat slechts nodig is om de Gedekte diensten te onderhouden, of om de Gedekte diensten aan de klant en andere eindgebruikers te leveren in overeenstemming met de Gedekte diensten. GoDaddy ontzegt de subverwerker toegang tot Klantgegevens voor welk ander doel dan ook;

(ii) GoDaddy zal een schriftelijke overeenkomst aangaan met de Subverwerker en, in de mate dat de Subverwerker dezelfde gegevensverwerkingsdiensten uitvoert als die door GoDaddy onder dit Addendum worden geboden, zal GoDaddy aan de Subverwerker dezelfde contractuele verplichtingen opleggen die GoDaddy onder dit Addendum heeft; en

(iii) GoDaddy blijft verantwoordelijk voor de naleving met de verplichtingen van dit Addendum en voor alle handelingen of nalatigheden van de Subverwerker waardoor GoDaddy schending pleegt van een van de verplichtingen van GoDaddy onder dit Addendum.

6.3 Nieuwe subverwerkers.  Van tijd tot tijd kunnen we nieuwe subverwerkers inschakelen volgens en onderworpen aan de voorwaarden van dit Addendum  In een dergelijk geval zullen we u 30 dagen van tevoren op de hoogte stellen (via onze website en e-mail) voordat een nieuwe subverwerker klantgegevens ontvangt. Als de klant een nieuwe subverwerker niet goedkeurt, kan de klant Gedekte diensten kosteloos beëindigen door binnen 10 dagen of na ontvangst van een kennisgeving van ons een schriftelijke kennisgeving van beëindiging te verstrekken met een uitleg van de redenen voor uw niet-geleverde goedkeuring. Als de Gedekte diensten onderdeel uitmaken van een bundel of gebundelde aankoop, dan is een beëindiging van toepassing op het geheel.

7. Beveiligingsincident

7.1 Beveiligingsincident. Als GoDaddy zich bewust wordt van een Beveiligingsincident, zal GoDaddy zonder onnodige vertraging: (a) de klant op de hoogte stellen van het Beveiligingsincident; en (b) de redelijke stappen ondernemen om de gevolgen te verzachten en eventuele schade als gevolg van het Beveiligingsincident tot een minimum te beperken.

7.2 GoDaddy Assistentie.  Om de Klant te helpen met betrekking tot eventuele kennisgevingen van inbreuk op persoonsgegevens die de Klant moet doen volgens toepasselijke privacywetten, zal GoDaddy in de kennisgeving dergelijke informatie opnemen over het Beveiligingsincident zoals GoDaddy redelijkerwijs in staat is om aan de Klant bekend te maken, rekening houdend met de aard van de Gedekte Services, de beschikbare informatie die beschikbaar is voor GoDaddy, en eventuele beperkingen op het bekendmaken van de informatie, zoals vertrouwelijkheid.  

7.3 Mislukte beveiligingsincidenten. Klant gaat akkoord dat:

(i) Een Mislukt beveiligingsincident zal niet onderhevig zijn aan de voorwaarden van dit Addendum. Een Mislukt beveiligingsincident is een die resulteert in geen onbevoegde toegang tot Klantgegevens of onbevoegde toegang tot het netwerk, de apparatuur of faciliteiten van GoDaddy waar Klantgegevens zijn opgeslagen, en kunnen, zonder beperking, pings en andere broadcast-aanvallen op firewalls of edge-servers, port scans, mislukte inlogpogingen, denial of service attacks, packet sniffing omvatten (of andere onbevoegde toegang tot verkeersgegevens die niet resulteren in toegang verder dan headers), of gelijksoortige incidenten; en

(ii) GoDaddy's verplichting om een Beveiligingsincident te rapporteren of erop te reageren onder deze Sectie is niet, en zal niet worden opgevat als een schulderkenning door GoDaddy of aansprakelijkheid van GoDaddy wat betreft het Beveiligingsincident.

7.4 Melding. Kennisgeving van Beveiligingsincidenten, indien van toepassing, worden naar een of meerdere verwerkingsverantwoordelijken van de klant gestuurd, op een manier die GoDaddy zal kiezen, inclusief via e-mail. Het is de verantwoordelijkheid van de klant om ervoor te zorgen dat de verwerkingsverantwoordelijke van de klant de juiste en accurate contactgegevens bijhouden op de beheerconsole van GoDaddy en beveiligde transmissie.

8. Rechten van de klant

8.1 Onafhankelijke bepaling. Klant is verantwoordelijk voor het controleren van de informatie die door GoDaddy beschikbaar is gesteld, wat betreft gegevensbeveiliging en haar Beveiligingsstandaarden, en om een onafhankelijke bepaling te maken of de Gedekte diensten voldoen aan de vereisten en wettelijke verplichtingen van de Klant, alsmede de verplichtingen van de Klant onder dit Addendum. De informatie is beschikbaar is gesteld, is bedoeld om de Klant bij te staan bij het voldoen aan de verplichtingen van de Klant onder de toepasselijke privacywetten, inclusief de AVG, wat betreft de impact van gegevensbeschermingsbeoordelingen en voorafgaande raadpleging.

8.2 Controlerechten Klant. Klant heeft het recht om zelf te bevestigen dat GoDaddy conform dit Addendum handelt, zoals van toepassing op de Gedekte services, door een uitdrukkelijk schriftelijk verzoek in te dienen, met redelijke tussenpozen, aan het adres gespecificeerd in Servicevoorwaarden. Als GoDaddy weigert om instructies op verzoek van de klant te volgen met betrekking tot een op juiste wijze aangevraagde en uitgevoerde controle of inspectie, heeft de klant het recht om dit Addendum en de Servicevoorwaarden te ontbinden.

9. Overdrachten van klantgegevens

9.1 In de Verenigde Staten gebaseerde Verwerking. Behalve waar specifiek aangegeven in de Servicevoorwaarden, worden klantgegevens buiten het Verenigd Koninkrijk en de EER overgedragen en verwerkt in de Verenigde Staten.

9.2 Toepassing van Modelcontractbepalingen. De Modelcontractbepalingen zijn van toepassing op de klantgegevens die buiten de EER (Europese Economische Ruimte) worden overgedragen, rechtstreeks of via doorgifte, naar een land dat niet door de Europese Commissie wordt erkend voor het bieden van adequate bescherming van klantgegevens. De Modelcontractbepalingen zijn niet van toepassing op de klantgegevens die niet naar buiten de EER worden overgedragen, rechtstreeks of via doorgifte. Niettegenstaande het voorgaande zijn de Modelcontractbepalingen niet van toepassing wanneer de gegevens worden overgedragen in overeenstemming met een erkende nalevingsnorm voor de rechtmatige overdracht van persoonsgegevens buiten de EER, zoals noodzakelijk voor de uitvoering van Gedekte Services overeenkomstig de Servicevoorwaarden of met uw toestemming.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Beëindiging van de Addendum

Dit Addendum blijft van kracht tot de beëindiging van onze verwerking in overeenstemming met de Servicevoorwaarden (de "Beëindigingsdatum").   

11. Retourneren of verwijderen van klantgegevens

Zoals beschreven in de Gedekte services, kan de klant worden voorzien van bedieningselementen die kunnen worden gebruikt om klantgegevens op te halen of te verwijderen. Klantgegevens worden dertig (30) dagen na de Datum van beëindiging verwijderd, onderhevig aan de voorwaarden van de specifieke Gedekte service.

12. Aansprakelijkheidsbeperkingen

De aansprakelijkheid van elke partij onder dit Addendum is onderhevig aan de uitzonderingen en beperkingen van aansprakelijkheid die in de Servicevoorwaarden uiteen zijn gezet. Klant stemt ermee in dat eventuele boetes die zijn opgelegd door GoDaddy met betrekking tot de Klantgegevens die ontstaan zijn als gevolg van of in verband met het niet naleven door Klant van zijn verplichtingen onder dit Addendum en toepasselijke privacywetten, tellen voor en verminderen de aansprakelijkheid van GoDaddyonder de Servicevoorwaarden alsof het volgens de Servicevoorwaarden aansprakelijkheid tegenover de Klant was.

13. Volledige Servicevoorwaarden; Conflict

Dit Addendum overstijgt en vervangt alle eerdere of gelijktijdige vertegenwoordigingen, afspraken, overeenkomsten en communicatie tussen klant en GoDaddy, schriftelijk en mondeling, met betrekking tot het onderwerp van dit Addendum, inclusief alle gegevensverwerkingsaddenda die zijn afgesloten tussen GoDaddy en de klant met betrekking tot de verwerking van persoonsgegevens en over het vrije verkeer van dergelijke gegevens.  Behalve zoals gewijzigd door dit Addendum, blijven de Servicevoorwaarden onverminderd van kracht.  Als er strijdigheid is tussen de Servicevoorwaarden en dit Addendum, zullen de voorwaarden van dit Addendum van kracht zijn.

Bijlage 1

 DETAILS VAN DE VERWERKING

 1. Aard en doel van verwerking. GoDaddy zal persoonsgegevens verwerken zoals noodzakelijk om de Gedekte services uit te voeren overeenkomstig de Servicevoorwaarden en zoals verder geïnstrueerd door de klant tijdens het gebruik van de Gedekte diensten.

 2. Duur van verwerking. Behoudens Sectie 10 en 11 van dit Addendum, zal GoDaddy klantgegevens verwerken vanaf de ingangsdatum van de Servicevoorwaarden. Niettegenstaande het voorgaande heeft GoDaddy het recht om klantgegevens, of een deel daarvan, te bewaren wanneer dit volgens toepasselijke wetten of verordeningen verplicht is, waaronder de toepasselijke Wetgeving omtrent gegevensbescherming, op voorwaarde dat dergelijke klantgegevens beschermd blijven volgens de voorwaarden in dit Addendum en de toepasselijke Wetgeving omtrent gegevensbescherming.

3. Gegevenscategorieën. De Klant mag persoonlijke gegevens uploaden tijdens zijn gebruik van de Gedekte diensten, naar het oordeel van de Klant en onder controle van de Klant, en die de volgende categorieën van Persoonlijke gegevens kunnen omvatten, maar niet zijn beperkt tot persoonlijke gegevens van Betrokken:

  • Prospects, klanten, zakelijke partners en leveranciers van de klant (die natuurlijke personen zijn)
  • Werknemers of contactpersonen van de prospects, klanten, zakelijke partners en leveranciers van de klant
  • Werknemers, agenten, adviseurs, freelancers of Klant (die natuurlijke personen zijn)
  • Gebruikers van de Klant, geautoriseerd om de Gedekte diensten te gebruiken

4. Categorieën van persoonsgegevens. De klant mag persoonsgegevens uploaden tijdens de gebruiksduur van de Gedekte services. Het soort en de hoedanigheid daarvan wordt bepaald en beheerd naar eigen inzicht van de klant, en mag de volgende categorieën van persoonsgegevens van betrokkenen bevatten, maar is daartoe niet gelimiteerd: 

  • Naam
  • Adres
  • Telefoonnummer
  • Geboortedatum
  • E-mailadres
  • Andere verzamelde gegevens die de betrokkene direct of indirect kunnen identificeren.

5. Gevoelige informatie en bijzondere gegevenscategorieën. De klant mag gevoelige informatie uploaden tijdens de gebruiksduur van de Gedekte services. Het soort en de hoedanigheid daarvan wordt bepaald en beheerd naar eigen inzicht van de klant. De klant is verantwoordelijk voor het toepassen van beperkingen en voorzorgsmaatregelen die de gevoelige aard van de gegevens en het risico dat bij verzending en verwerking van gevoelige informatie via de Gedekte service komt kijken volledig in acht nemen.

Bijlage 2

Beveiligingsstandaarden

I. Technische en organisatorische maatregelen  

We doen er alles aan om de informatie van onze klanten te beschermen.  Rekening houdend met de beste praktijken, de kosten van implementatie en de aard, omvang, omstandigheden en doeleinden van verwerking evenals de verschillende waarschijnlijkheden van voorkomen en de ernst van het risico voor de rechten en vrijheden van natuurlijke personen, nemen we de volgende technische en organisatorische maatregelen.  Bij het selecteren van de maatregelen worden de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen overwogen. Een snel herstel na een fysiek of technisch incident is gegarandeerd.

II.  Gegevensprivacyprogramma  

Ons Gegevensprivacyprogramma is opgesteld om een wereldwijde data-governance-structuur te handhaven en informatie te beveiligen gedurende de gehele levenscyclus. Dit programma wordt gestuurd door de afdeling van de gegevensbeschermingsofficier, die toezicht houdt op de implementatie van privacypraktijken en beveiligingsmaatregelen. Wij testen regelmatig en beoordelen en evalueren de effectiviteit van het Gegevensprivacyprogramma en Beveiligingsstandaarden.

1. Geheimhouding. "Vertrouwelijkheid betekent dat persoonlijke gegevens zijn beschermd tegen onbevoegde openbaarmaking."  

Wij gebruiken een reeks fysieke en logische maatregelen om de vertrouwelijkheid van de persoonlijke gegevens van klanten te beschermen. Dergelijke maatregelen omvatten:   

  Fysieke beveiliging  

  • Fysieke controlesystemen voor toegang op zijn plaats (toegangscontrole via een badge, Beveiliging evenement monitoring, etc.) 
  • Bewakingssystemen inclusief alarmen en, waar van toepassing, CCTV-bewaking
  • Schoon-bureaubeleid en controles geïmplementeerd (afsluiten van onbeheerde computers, afgegrendelde kasten, ect.)  
  • Beheer bezoekerstoegang
  • Vernietiging van gegevens op fysieke media en documenten (versnipperen, demagnesiteren, etc.)

  Toegangscontrole en preventie van onbevoegde toegang 

  • Toegangsbeperkingen gebruikers toegepast en rolgebaseerde toegangstoestemmingen verstrekt/beoordeeld, gebaseerd op scheiding van functiescheiding principe
  • Sterke authenticatie- en autorisatiemethoden (Multi-factor-authenticatie, certificatie-gebaseerde autorisatie, automatische deactivering/log-off, etc.) 
  • Gecentraliseerd wachtwoordbeheer en sterk/complex wachtwoordbeleid (minimum lengte, complexiteit van tekens, vervallen van wachtwoorden, etc.)   
  • Beheerde toegang tot e-mailberichten en het internet
  • Anti-virus management
  • Management van systemen voor het voorkomen van binnendringing

Codering   

  • Codering van externe en interne communicatie via stevige cryptografische protocollen
  • Codering PII/SPII data-at-rest (databases, gedeelde mappen, etc.)   
  • Volledige schijfversleuteling voor bedrijfscomputers en laptops
  • Codering van opslagmedia
  • Externe verbindingen met de bedrijfsnetwerken worden gecodeerd via VPN
  • De levensduur van de coderingssleutels verzekeren

 Dataminimalisatie    

  • PII/SPI minimalisatie bij toepassing, debugging en beveiligingslogs
  • Pseudonimisering van persoonlijke gegevens om directe identificatie van een persoon te voorkomen
  • Scheiding van opgeslagen gegevens op functie (test, staging, live)
  • Logische scheiding van gegevens op rolgebaseerde toegangsrechten
  • Vastgestelde gegevensbehoudperiodes voor persoonlijke gegevens 

Beveiligingstesten     

  • Penetratietests voor kritieke bedrijfsnetwerken en platforms die persoonlijke gegevens hosten
  • Regelmatige netwerk- en kwetsbaarheidscans

2. Integriteit. "Integriteit verwijst naar het verzekeren van de juistheid (ongeschondenheid) van gegevens en de juist-functionerende systemen. Wanneer de term 'integriteit' wordt gebruikt in verband met de term 'data/gegevens', betekent dit dat de gegevens volledig en ongewijzigd zijn."  

Er zijn geschikte besturingselementen voor wijzigen en logboekbeheer aanwezig, naast toegangscontroles om de integriteit van persoonlijke gegevens te behouden, zoals:    

Wijziging- en vrijgavemanagement    

  • Beheerproces wijzigen en vrijgeven, inclusief (impactanalyse, goedkeuringen, testen, beveiligingsbeoordelingen, staging, monitoring, etc.)  
  • Rol- en functie-gebaseerd (Scheiding van functies) toegang voor productieomgevingen

Logboekregistratie en monitoring

  • Logboekregistratie van toegang en wijzigingen aan gegevens
  • Gecentraliseerde audit- en beveiligingslogs
  • Het monitoren van de volledigheid en juistheid van de gegevensoverdracht (end-to-end controle)

3. Beschikbaarheid. "De beschikbaarheid van diensten en IT-systemen, IT-applicaties en IT-netwerkfuncties of indien informatie is gegarandeerd, als de gebruikers in staat zijn deze altijd te gebruiken, zoals bedoeld."    

Wij implementeren passende continuïteits- en beveiligingsmaatregelen om de beschikbaarheid van de services en de gegevens binnen deze services te behouden:    

  • Regelmatige fail-over tests toegepast voor kritieke diensten
  • Uitgebreide prestatie/beschikbaarheidsmonitoring en verslaglegging voor kritieke systemen
  • Respons voor beveiligingsprogramma
  • Kritieke gegevens gerepliceerd of een back-up van gemaakt (Cloud back-ups/Harde schijven/Database replicatie, etc.) 
  • Geplande software-, infrastructuur- en beveiligingsonderhoud (Software-updates, beveiligingspatches, etc.)   
  • Redundante en veerkrachtige systemen (serverclusters, gespiegelde DB's, high availability-instellingen, enz.) op externe en/of geografisch gescheiden locaties gevestigd
  • Gebruik van niet-onderbreekbare voedingen, fail-redundante hardware en netwerksystemen
  • Alarm, beveiligingssystemen ingesteld
  • Fysieke beschermingsmaatregelen ingesteld voor kritieke sites (overspanningsbeveiliging, verhoogde vloeren, koelsystemen, brand- en/of rookmelders, brandonderdrukkingssystemen, etc.) 
  • DDOD-bescherming voor behoud van beschikbaarheid
  • Load- en stresstesten

4Instructies dataverwerking. "Instructies voor dataverwerking zorgen ervoor dat persoonsgegevens alleen worden verwerkt in overeenstemming met de instructies van de Gegevensbeheerder en de verwante bedrijfsmaatregelen"  

We hebben een intern privacybeleid en overeenkomsten opgesteld en houden regelmatig privacytrainingen voor werknemers om ervoor te zorgen dat persoonsgegevens in overeenstemming met de voorkeuren en instructies van klanten worden verwerkt.   

  • Privacy- en geheimhoudingsverklaringen die van kracht zijn in werknemerscontracten 
  • Geregeld training voor gegevensprivacy en -beveiliging voor werknemers 
  • De juiste contractuele voorzieningen in de overeenkomsten met onderaannemers voor het behouden van de instructierechten 
  • Regelmatige privacycontroles voor externe serviceproviders 
  • Klanten volledige controle geven over hun voorkeuren wat betreft gegevensverwerking 
  • Regelmatige beveiligingscontroles 

Bijlage 3: GoDaddy-subverwerkers

Bedrijfsnaam
Land van oprichting
Beschrijving van service
Gegevenscategorieën
Acronis International GmbH Zwitserland Back-ups van klanten Back-up snapshots.
Automattic Inc Verenigde Staten WooCommerce-plug-in en -add-ons in E-commerce WordPress. WordPress-gebruikersprofielen van klanten (inclusief naam en e-mailadres) en van alle werknemers/contractanten.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Verenigd Koninkrijk, Duitsland, Verenigde Staten Netwerkoplossingen leveren en beheren als onderdeel van ons netwerk, waaronder analyse van metagegevens. Verwerkt metagegevens van IP-adressen, tijdstempels en netwerkverkeer
cPanel Inc Verenigde Staten cPanel-beheersoftware voor hosting- en serverproducten. Alle klantgegevens die binnen cPanel bewaard worden.
DENIC eG Duitsland Registratie van .de-domeinen Alle accountgegevens die nodig zijn om het domein te leveren. Whois-informatie.
Equinix Netherlands BV Nederland Datacentrum colocatiefaciliteiten in Nederland. Persoonsgegevens worden niet opzettelijk verwerkt.
EURid vzw België Registratie van .eu-domeinen Alle accountgegevens die nodig zijn om het domein te leveren. Whois-informatie.
Juniper Networks Inc Verenigde Staten Netwerkoplossingen leveren en beheren als onderdeel van ons netwerk, waaronder analyse van metagegevens. IP-adressen, tijdstempels en netwerkverkeer
LivePerson Inc Verenigde Staten Chattool ‘LiveEngage’ op onze website. Transcripties van chats, geautomatiseerde gegevens zoals IP-adressen, besturingssysteem en soort apparaat.
LvivIT Oekraïne Operationele support voor het platform leveren. Alle accountgegevens van klanten.
OVH Grouppe SAS Frankrijk Datacentrum colocatiefaciliteiten in Duitsland, doorverkoop van serverproducten. Door klanten gehoste gegevens waaronder maar niet beperkt tot websites, applicaties en gegevens van de klant c.q. klanten.  Hieronder valt mogelijk ook netwerkverkeer.
Plesk International GmbH Duitsland Plesk-regelpaneel voor VPS en dedicated servers en Websitebouwer Plus. Alle klantgegevens die in het Plesk-regelpaneel bewaard worden, evenals alle klantgegevens die bewaard worden op een gehoste website.
Datadock SARL Frankrijk Datacentrum colocatiefaciliteiten in Frankrijk. Hardware- en netwerkservices. Persoonsgegevens worden niet opzettelijk verwerkt.
GoDaddy Media Temple Inc d/b/a Sucuri Verenigde Staten
SAAS-product: bescherm websites van klanten tegen malware
Alle accountgegevens die nodig zijn voor de levering van de website, evenals de klantgegevens die op de gehoste website worden opgeslagen.
GoDaddy Media Temple Inc d/b/a Sucuri Verenigde Staten Intern: Firewall-webapplicatie op onze merkwebsites en in beheerpanelen van klanten om merk-IT en klantgegevens te beschermen. Toezicht op websiteverkeer. Metagegevens van IP-adressen, tijdstempels en netwerkverkeer.
Starfield Technologies LLC Verenigde Staten SSL-certificaten. Alle accountgegevens van klanten die benodigd zijn voor een SSL-certificaat.
DomainsByProxy LLC Verenigde Staten Services voor domeinprivacy. Domeinregistratie- en contactgegevens.
GoDaddy Sellbrite, Inc. Verenigde Staten Online retailtool. Transactie- en productgegevens uit webwinkel.
GoDaddy Payments LLC Verenigde Staten Betaalverwerkingstools.  

Bijlage 4

Zie Sectie 9.2 van het Addendum voor toepasselijkheid van deze SCC's

Modelcontractbepalingen (verwerkingsverantwoordelijke naar verwerkers

SECTIE I

Bepaling 1

Aard en omvang

  1. Het doel van deze Modelcontractbepalingen is om naleving te verzekeren van de vereisten van Verordening (EU) 2016/679 van het Europees Parlement en van de Raad van 27 april 2016 over de bescherming van natuurlijke personen met betrekking tot het verwerken van persoonsgegevens en over het vrije verkeer van dergelijke gegevens (Algemene verordening gegevensbescherming) voor het overdragen van gegevens naar een derde land.
  2. De Partijen:
    1. natuurlijke of rechtspersoon/-personen, overheidsinstantie(s), agentschap(pen) of ander(e) orgaan/organen (hierna allen ‘entiteit(en)’ genoemd) die persoonsgegevens overdraagt, zoals in Bijzondere bepaling I.A (hierna alle ‘gegevensexporteur’ genoemd), en
    2. de entiteit(en) in een derde land die persoonsgegevens van de gegevensexporteur ontvangt, direct en indirect via een andere entiteit die ook Partij bij deze Bepalingen is, zoals beschreven in Bijzondere bepaling I.A (hierna alle ‘gegevensimporteur’ genoemd) en akkoord zijn gegaan met deze Modelcontractbepalingen (hierna: ‘Bepalingen’ genoemd).
  3. Deze Bepalingen zijn van toepassing op de overdracht van persoonsgegevens zoals beschreven in Bijzondere bepaling I.B.
  4. De Bijlage bij deze Bepalingen, die de Bijzondere bepalingen bevat waarnaar verwezen wordt, vormt een wezenlijk onderdeel van deze Bepalingen.

Bepaling 2

Uitwerking en onveranderlijkheid van de Bepalingen

  1. Deze Bepalingen bevatten gepaste voorzorgsmaatregelen, waaronder af te dwingen rechten van de betrokkene en doeltreffende rechtsmiddelen, overeenkomstig Artikel 46(1) en Artikel 46(2) van Verordening (EU) 2016/679 en, betreffende gegevensoverdrachten van verwerkingsverantwoordelijken naar verwerkers en/of verwerkers naar verwerkers, Modelcontractbepalingen overeenkomstig Artikel 28(7) van Verordening (EU) 2016/679, op voorwaarde dat deze Bepalingen niet aangepast worden, behalve waar de gepaste Module(s) worden geselecteerd of om informatie aan de Bijlagen toe te voegen of hierin te bewerken. Dit weerhoudt de Partijen er niet van om de Modelcontractbepalingen beschreven in deze Bepalingen aan een breder contract toe te voegen en/of om andere bepalingen of extra voorzorgsmaatregelen toe te voegen, op voorwaarde dat deze niet strijdig zijn met deze Bepalingen, direct of indirect, of de fundamentele rechten en vrijheden van betrokkenen schenden.
  2. Deze Bepalingen doen geen afbreuk aan de verplichtingen waaraan de gegevensexporteur moet voldoen volgens de Verordening (EU) 2016/679.

Bepaling 3

Derde-begunstigden

  1. Betrokkenen hebben het recht om zich, als derde-begunstigden, te beroepen op deze Bepalingen en deze af te dwingen bij de gegevensexporteur en/of de gegevensimporteur, met de volgende uitzonderingen:
    1. Bepaling 1, Bepaling 2, Bepaling 3, Bepaling 6, Bepaling 7;
    2. Bepaling 8.1(b), (c), (d) en (e);
    3. Bepaling 9(a), (c), (d) en (e);
    4. Bepaling 12(a), (d) en (f);
    5. Bepaling 13;
    6. Bepaling 15.1(c), (d) en (e);
    7. Bepaling 16(e); (viii) Bepaling 18(a) en (b).
  2. Paragraaf (a) doet geen afbreuk aan de rechten van de betrokkenen volgens Verordening (EU) 2016/679.

Bepaling 4

Interpretatie

  1. De termen die in deze Bepalingen voorkomen en die zijn gedefinieerd in de Verordening (EU) 2016/679, hebben dezelfde betekenis als in die Verordening.
  2. Deze Bepalingen moeten worden gelezen en geïnterpreteerd met het oog op de bepalingen in de Verordening (EU) 2016//679.
  3. Deze Bepalingen zullen niet op zo’n manier worden geïnterpreteerd dat ze in strijd zijn met de rechten en verplichtingen vastgelegd in Verordening (EU) 2016/679.

Bepaling 5

Hiërarchie

In het geval dat deze Bepalingen in strijd zijn met de bepalingen van gerelateerde overeenkomsten tussen de Partijen, in werking toen er met deze Bepalingen akkoord is gegaan of daarna ingetreden, hebben deze Bepalingen voorrang.

Bepaling 6

Beschrijving van de overdracht(en)

De details van de overdracht(en), en in het bijzonder de persoonsgegevenscategorieën die worden overgedragen en het doel/de doelen van de overdracht, zijn beschreven in Bijzondere bepaling I.B.

Bepaling 7 - OPZETTELIJK WEGLATEN

SECTIE II: VERPLICHTINGEN VAN DE PARTIJEN

Bepaling 8

Garanties inzake gegevensbescherming

De gegevensexporteur garandeert dat deze redelijke moeite heeft gedaan om te bepalen of de gegevensimporteur aan de verplichtingen volgens deze Bepalingen kan voldoen, door middel van implementatie van toepasselijke technische en organisatorische maatregelen.

8.1 Instructies

  1. De gegevensimporteur zal de persoonsgegevens alleen verwerken volgens gedocumenteerde instructies van de gegevensexporteur. De gegevensexporteur kan dergelijke instructies tijdens de gehele contractsduur uitgeven
  2. De gegevensimporteur zal de gegevensexporteur onmiddellijk op de hoogte stellen als er niet voldaan kan worden aan deze instructies.

8.2 Doelbinding

De gegevensimporteur zal alleen persoonsgegevens verwerken voor het specifieke doel/de specifieke doelen van de overdracht, zoals uiteengezet in Bijzondere bepaling I.B, tenzij deze verdere instructies van de gegevensexporteur heeft ontvangen.

8.3 Transparantie

Op verzoek zal de gegevensexporteur zonder compensatie een kopie beschikbaar stellen van deze Bepalingen, inclusief de Bijlagen zoals overeengekomen door de Partijen. De gegevensexporteur heeft het recht om delen van de tekst van de Bijlage van deze Bepalingen te redigeren voordat deze gedeeld worden, voor zover nodig om bedrijfsgeheimen en andere gevoelige informatie te bewaken, inclusief de maatregelen die beschreven staan in Bijzondere bijlage II en persoonsgegevens. Er moet een samenvatting worden gegeven van de weggelaten delen als de inhoud onbegrijpelijk wordt voor de betrokkene, zodat deze zijn/haar rechten toch kan uitoefenen. Op verzoek van de betrokkene overleggen de Partijen hun redenen tot redigeren, in zoverre dat mogelijk is zonder de geredigeerde informatie te openbaren. Deze Bepaling doet geen afbreuk aan de verplichtingen van de gegevensexporteur volgens Artikel 13 en 14 van Verordening (EU) 2016/679.

8.4 Nauwkeurigheid

Als de gegevensimporteur zich ervan bewust wordt dat de persoonsgegevens die zijn ontvangen niet juist zijn of achterhaald zijn, zal deze de gegevensexporteur direct hiervan op de hoogte stellen. In dat geval zal de gegevensimporteur met de gegevensexporteur samenwerken om de gegevens te corrigeren of te wissen.

8.5 Duur van verwerking en gegevens wissen of retourneren

De gegevensimporteur zal gegevens alleen verwerken gedurende de periode bepaald in Bijzondere bijlage I.B. Als de bepaalde duur van de verwerkingsservice ten einde is, zal de gegevensimporteur, naar wens van de gegevensexporteur, alle persoonsgegevens wissen die uit naam van de gegevensexporteur zijn verwerkt en dit aan de gegevensexporteur bevestigen wanneer dit voltooid is, of alle persoonsgegevens die uit naam van de gegevensexporteur zijn verwerkt retourneren aan de gegevensexporteur en bestaande kopieën verwijderen. Tot de gegevens zijn verwijderd of geretourneerd, zal de gegevensimporteur naleving van deze Bepalingen blijven garanderen. Als er plaatselijke wetgeving van toepassing is waardoor het voor de gegevensimporteur niet is toegestaan om persoonsgegevens te retourneren of verwijderen, zal de gegevensimporteur naleving van deze Bepalingen blijven garanderen en de gegevens alleen blijven verwerken voor zolang dat vereist is volgens de plaatselijke wetgeving. Dit doet geen afbreuk aan Bepaling 14, met name de verplichting van de gegevensimporteur volgens Bepaling 14(e) om de gegevensexporteur voor de duur van het contract op de hoogte te stellen als de gegevensimporteur redenen heeft om te denken dat er wetten of werkwijzen op hen van toepassing zijn/worden die strijdig zijn met de verplichtingen volgens Bepaling 14(a).

8.6 Beveiliging van de verwerking

  1. De gegevensimporteur en, tijdens de overdracht, ook de gegevensexporteur zullen gepaste technische en organisatorische maatregelen treffen om de bescherming van de gegevens te garanderen, waaronder beveiliging tegen veiligheidslekken die tot accidentele of onwettige verwijdering, verlies, bewerking, onbevoegde openbaarmaking van of toegang tot de gegevens (hierna ‘inbreuk op persoonsgegevens’) leiden. Bij het bepalen van het juiste beveiligingsniveau zullen de Partijen naar behoren rekening houden met de stand van de technologie, de kosten van implementatie, de aard, schaal, context en het doel/de doelen van de verwerking en de risico’s die bij gegevensverwerking komen kijken voor betrokkenen. De Partijen zullen in het bijzonder overwegen versleuteling of pseudonimisering te gebruiken, waaronder tijdens de overdracht, als de doel van de verwerking zo niet wordt gehinderd. Bij pseudonimisering zal, waar mogelijk, de extra informatie die de persoonsgegevens aan een specifieke betrokkene koppelt onder het exclusieve beheer van de gegevensexporteur vallen. De gegevensimporteur zal, in overeenstemming met de verplichting volgens deze paragraaf, op zijn minst de technische en organisatorische maatregelen invoeren die in Bijzondere bijlage II gespecificeerd zijn. De gegevensimporteur zal regelmatig controles uitvoeren om zich ervan te verzekeren dat deze maatregelen nog het juiste beveiligingsniveau leveren.
  2. De gegevensimporteur zal alleen toegang tot de gegevens geven aan personeelsleden in de hoedanigheid waarin dat nodig is voor implementatie, beheer en bewaking van het contract. De gegevensimporteur zal ervoor zorgen dat degenen die bevoegd zijn om de persoonsgegevens te verwerken, streven naar vertrouwelijkheid of een gepaste wettelijke geheimhoudingsplicht hebben.
  3. Bij inbreuk van persoonsgegevens van persoonsgegevens die door de gegevensimporteur volgens deze Bepalingen zijn bewerkt, zal de gegevensimporteur gepaste maatregelen nemen om het lek aan te pakken, waaronder maatregelen om de nadelige gevolgen ervan te beperken. Zodra de gegevensimporteur zich bewust wordt van een lek zal deze de gegevensexporteur direct op de hoogte stellen. Dergelijke meldingen moeten het volgende bevatten: de details van een contactpunt waar meer informatie te vinden is, een beschrijving van de aard van het lek (waaronder, waar mogelijk, categorieën en geschatte aantallen van de getroffen betrokkenen en persoonsgegevens), de waarschijnlijke consequenties en de maatregelen die zijn genomen of voorgesteld om het lek te verhelpen waaronder, waar gepast, maatregelen om de nadelige gevolgen van het lek te beperken. Als, en in zoverre, het niet mogelijk is om al deze informatie tegelijkertijd te leveren, zal de eerste melding de informatie bevatten die op dat tijdstip beschikbaar is. Verdere informatie zal direct, zonder vertraging worden aangeleverd zodra deze beschikbaar komt.
  4. De gegevensimporteur zal samenwerken met de gegevensexporteur en deze helpen de verplichtingen volgens Verordening (EU) 2016/679 na te leven, in het bijzonder om de bevoegde toezichthoudende autoriteit en de getroffen betrokkenen in te lichten, rekening houdend met de aard van de verwerking en de informatie die voor de gegevensimporteur beschikbaar is.

8.7 Gevoelige informatie

Waar de overdracht persoonsgegevens bevat over ras of etniciteit, politieke, religieuze of filosofische opvattingen, lidmaatschap van (vak)bonden, genetische informatie of biometrische gegevens met als doeleind een uniek natuurlijk persoon te identificeren, medische gegevens of informatie over het seksleven van een persoon, of de seksuele geaardheid, of gegevens over criminele veroordelingen of overtredingen (hierna ‘gevoelige informatie’), zal de gegevensimporteur de specifieke beperkingen en/of extra voorzorgsmaatregelen toepassen zoals beschreven in Bijzondere bijlage I.B.

8.8 Doorgiften

De gegevensimporteur zal de persoonsgegevens alleen aan een derde partij openbaar maken volgens gedocumenteerde instructies van de gegevensexporteur. Daarnaast mogen de gegevens alleen openbaar gemaakt worden aan een derde partij die zich buiten de Europese Unie bevindt (in hetzelfde land als de gegevensimporteur of in een derde land, hierna ‘doorgifte’ genoemd) als de derde partij akkoord is of gaat met deze bindende Bepalingen, volgens de gepaste Module, of als:

  1. de doorgifte naar een land is dat in aanmerking komt voor een adequaatheidsbesluit overeenkomstig Artikel 45 van Verordening (EU) 2016/679 met betrekking tot doorgiften;
  2. de derde partij anderszins de voorzorgsmaatregelen garandeert overeenkomstig Artikel 46 of 47 van Verordening (EU) 2016/679 met betrekking tot de betreffende verwerking;
  3. de doorgifte nodig is voor de vaststelling, uitoefening of verdediging van juridische vorderingen in de context van specifieke administratieve, regelgevende of gerechtelijke procedures; of (iv) de doorgifte nodig is om de essentiële belangen van de betrokkene of een ander natuurlijk persoon te beschermen.
  4. Alle doorgiften zijn onderworpen aan naleving door de gegevensimporteur van alle andere voorzorgsmaatregelen volgens deze Bepalingen, en in het bijzonder doelbinding.

8.9 Documentatie en naleving

  1. De gegevensimporteur zal direct en adequaat reageren op vragen van de gegevensexporteur met betrekking tot de verwerking volgens deze Bepalingen.
  2. De Partijen moeten naleving van deze Bepalingen aan kunnen tonen. De gegevensimporteur zal in het bijzonder de juiste documentatie bijhouden over de verwerkingsactiviteiten die uit naam van de gegevensexporteur worden uitgevoerd.
  3. De gegevensimporteur zal de gegevensexporteur van alle informatie voorzien die nodig is om naleving van de verplichtingen uiteengezet in deze Bepalingen aan te tonen en op verzoek van de gegevensexporteur controles toestaan van de verwerkingsactiviteiten behandeld in deze Bepaling en eraan bijdragen, in een redelijk tijdsbestek of als er aanwijzingen zijn van niet-naleving. De gegevensexporteur mag bij het besluiten tot een beoordeling of controle alle relevante certificeringen van de gegevensimporteur in acht nemen.
  4. De gegevensexporteur heeft het recht om ervoor te kiezen de controle zelf uit te voeren of een onafhankelijke controleur in te schakelen. Inspecties van het pand of de fysieke faciliteiten van de gegevensimporteur kunnen onderdeel uitmaken van controles en zullen, waar mogelijk, een redelijke tijd van tevoren aangekondigd worden.
  5. De Partijen zullen de informatie die in paragraaf (b) en (c) wordt besproken, waaronder de uitkomsten van alle controles, op verzoek beschikbaar stellen aan de bevoegde toezichthoudende autoriteit.

Bepaling 9

Gebruik van subverwerkers

  1. De gegevensimporteur heeft algemene toestemming van de gegevensexporteur voor het inzetten van subverwerkers uit een overeengekomen lijst. De gegevensimporteur stelt de gegevensexporteur minstens vijftien (15) dagen van tevoren schriftelijk op de hoogte van alle voorgenomen veranderingen aan die lijst met het oog op toevoegingen of vervangingen van subverwerkers. Daarmee heeft de gegevensexporteur voldoende tijd om bezwaar te maken tegen dergelijke veranderingen voordat er afspraken met de subverwerker(s) worden gemaakt. De gegevensimporteur stelt de benodigde informatie beschikbaar aan de gegevensexporteur, zodat deze zijn/haar recht om bezwaar te maken kan uitoefenen.
  2. Als de gegevensimporteur een subverwerker aanneemt om specifieke verwerkingstaken uit te voeren (in naam van de gegevensexporteur), moet dat gebeuren met behulp van een schriftelijk contract waarin, inhoudelijk, dezelfde verplichtingen voor gegevensbescherming staan beschreven als die waartoe de gegevensimporteur verplicht is volgens deze Bepalingen, waaronder de rechten van de derde-begunstigde van de betrokkene. De Partijen gaan ermee akkoord dat, door deze Bepaling na te leven, de gegevensimporteur aan zijn/haar verplichtingen volgens Bepaling 8.8 voldoet. De gegevensimporteur zal ervoor zorgen dat de subverwerker zich aan de verplichtingen houdt waaraan de gegevensimporteur overeenkomstig deze Bepaling is gebonden.
  3. De gegevensimporteur zal, op verzoek van de gegevensexporteur, een kopie van een dergelijke subverwerkersovereenkomst en alle daaropvolgende wijzigingen aan de gegevensexporteur beschikbaar stellen. De gegevensimporteur heeft het recht de tekst van de overeenkomst te bewerken voordat deze een kopie ervan deelt, in zoverre dat nodig is om bedrijfsgeheimen en andere vertrouwelijke informatie, waaronder persoonsgegevens, te beschermen.
  4. De gegevensimporteur blijft volledig aansprakelijk jegens de gegevensexporteur voor de verplichtingen van de subverwerker volgens zijn/haar contract met de gegevensimporteur. De gegevensimporteur zal de gegevensexporteur informeren als de subverwerker op enig moment de verplichtingen uit dat contract niet nakomt.
  5. De gegevensimporteur met de subverwerker een Bepaling overeenkomen over de rechten van de derde-begunstigde waarin, in het geval dat de eigenlijke gegevensimporteur verdwijnt, op houdt te bestaan of failliet wordt verklaard, de gegevensexporteur het recht heeft het contract met de subverwerker op te zeggen en de subverwerker op te dragen alle persoonsgegevens te wissen of te retourneren.

Bepaling 10

Rechten van de betrokkene

  1. De gegevensimporteur zal de gegevensexporteur direct op de hoogte stellen van alle ontvangen verzoeken van de betrokkene. De gegevensimporteur zal niet zelf op de verzoeken reageren tenzij hiervoor expliciete toestemming is van gegevensexporteur.
  2. De gegevensimporteur zal de gegevensexporteur helpen aan de verplichting om op het verzoek van de betrokkene te reageren te voldoen, zodat de betrokkene zijn/haar rechten volgens Verordening (EU) 2016/679 kan uitoefenen. De Partijen zullen in dit opzicht in Bijzondere bijlage II de toepasselijke technische en organisatorische maatregelen uiteenzetten, in acht nemend de aard van de verwerking, waarbij assistentie wordt geboden, evenals de schaal en de hoedanigheid van de benodigde assistentie.
  3. Bij het voldoen aan de verplichting volgens paragraaf (a) en (b) zal de gegevensimporteur de instructie van de gegevensexporteur opvolgen.

Bepaling 11

Schadeloos stellen

  1. De gegevensimporteur informeert de betrokkenen op een transparante en eenvoudig te begrijpen manier, door middel van persoonlijk bericht of op zijn/haar website, over een contactpunt dat bevoegd is om klachten te behandelen. Dit contactpunt handelt direct klachten van de betrokkene af.
  2. In het geval van een geschil tussen een betrokkene en een van de Partijen over de naleving van deze Bepalingen, zal de betreffende Partij haar uiterste best doen om de onenigheid vriendelijk en snel op te lossen. De Partijen zullen elkaar op de hoogte houden van dergelijke geschillen en, waar gepast, samenwerken om deze op te lossen.
  3. Als de betrokkene beroep doet op de rechten van de derde-begunstigde overeenkomstig Bepaling 3, moet de gegevensimporteur het besluit van de betrokkene accepteren en:
    1. een klacht indienen bij de toezichthoudende instantie van de lidstaat of van het land waarin de betrokkene normaal woont of werkt, of de bevoegde toezichthoudende autoriteit overeenkomstig Bepaling 13;
    2. het geschil voorleggen aan de bevoegde rechtbank volgens de definitie in Bepaling 18.
  4. De Partijen accepteren dat de betrokkene vertegenwoordigd mag worden door een non-profitorganisatie of vereniging onder de voorwaarden uiteengezet in Artikel 80(1) van Verordening (EU) 2016/679.
  5. De gegevensimporteur houdt zich aan de beslissing die geldt volgens de toepasselijke EU-wetgeving of wetgeving van de lidstaat.
  6. De gegevensimporteur gaat ermee akkoord dat de keuzes die de betrokkene maakt geen afbreuk doen aan zijn/haar materiële en procedurele rechten om op grond van toepasselijke wetgeving gebruik te maken van rechtsmiddelen.

Bepaling 12

Aansprakelijkheid

  1. Alle Partijen zijn aansprakelijk jegens de andere Partijen voor enige schade, veroorzaakt door het niet-naleven van deze Bepalingen, die zij berokkenen bij een andere Partij/andere Partijen.
  2. De gegevensimporteur is aansprakelijk jegens de betrokkene en bij materiële of immateriële schade, veroorzaakt door het niet-naleven van de rechten van de derde-begunstigde volgens deze Bepalingen, die de gegevensimporteur of zijn/haar subverwerker bij de betrokkene berokkent, heeft de betrokkene recht op schadevergoeding.
  3. Niettegenstaande paragraaf (b) is de gegevensexporteur aansprakelijk jegens de betrokkene en heeft de betrokkene recht op schadevergoeding bij enige materiële of immateriële schade, veroorzaakt door het niet-naleven van de rechten van de derde-begunstigde volgens deze Bepalingen, berokkend door de gegevensexporteur of -importeur (of zijn/haar subverwerkers). Dit doet geen afbreuk aan de aansprakelijkheid van de gegevensexporteur en, voor zover de gegevensexporteur een verwerker is in dienst van een verwerkingsverantwoordelijke, aan de aansprakelijkheid van de verwerkingsverantwoordelijke volgens Verordening (EU) 2016/679 en Verordening (EU) 2018/1725, indien van toepassing.
  4. De Partijen gaan ermee akkoord dat als de gegevensexporteur aansprakelijk wordt gesteld volgens paragraaf (c) voor schade berokkend door de gegevensimporteur (of een subverwerker), het deel van de schadevergoeding dat overeenkomt met het aandeel van de gegevensimporteur in de schade van hen teruggevraagd kan worden door de gegevensexporteur.
  5. Als er meer dan één Partij verantwoordelijk is voor enige schade die aan de betrokkene is berokkend als gevolg van het niet-naleven van deze Bepalingen, zijn de verantwoordelijke Partijen gezamenlijk en hoofdelijk aansprakelijk en heeft de betrokkene het recht een rechtszaak tegen al deze Partijen aan te spannen.
  6. De Partijen gaan ermee akkoord dat als één Partij aansprakelijk wordt gesteld volgen paragraaf (e), deze Partij het recht heeft om het deel van de schadevergoeding waarvoor een andere Partij/andere Partijen verantwoordelijk is/zijn terug te vragen.
  7. De gegevensimporteur kan het gedrag van een subverwerker niet aanvoeren om onder zijn/haar eigen verantwoordelijkheid uit te komen.

Bepaling 13

Toezicht

  1. De toezichthoudende autoriteit is verantwoordelijk voor het garanderen van naleving van Verordening (EU) 2016/679 door de gegevensexporteur met betrekking tot de gegevensoverdracht, zoals beschreven in Bijzondere bijlage I.C., en zal optreden als bevoegd toezichthoudende autoriteit.
  2. De gegevensimporteur gaat ermee akkoord zich te onderwerpen aan de rechtsbevoegdheid van en samen te werken met de bevoegde toezichthoudende autoriteit bij alle procedures die gericht zijn op het garanderen van naleving van deze Bepalingen. De gegevensimporteur zal in het bijzonder reageren op vragen, zich onderwerpen aan controles en zich schikken naar maatregelen die door de toezichthoudende autoriteit worden ingevoerd, waaronder verbeterende en compenserende maatregelen. De gegevensimporteur zal de toezichthoudende autoriteit voorzien van schriftelijke bevestiging dat de nodige acties ondernomen zijn.

SECTIE III: LOCALE WETGEVING EN VERPLICHTINGEN IN GEVAL VAN TOEGANG DOOR OVERHEIDSINSTANTIES

Bepaling 14

Plaatselijke wetgeving en werkwijzen die van invloed zijn op naleving van de Bepalingen

  1. De Partijen verklaren dat ze geen redenen hebben om te denken dat de wetten en werkwijzen die in het derde land van bestemming van toepassing zijn op het verwerken van persoonsgegevens door de gegevensimporteur, waaronder alle vereisten om persoonsgegevens openbaar te maken en maatregelen die overheidsinstanties toegang geven, de gegevensimporteur ervan weerhouden om aan zijn/haar verplichtingen volgens deze Bepalingen te voldoen. Dit is gebaseerd op de veronderstelling dat deze wetten en werkwijzen, die de essentie van de fundamentele rechten en vrijheden respecteren en niet overschrijden wat in een democratische samenleving nodig en proportioneel is om een van de doelstellingen te beschermen, omschreven in Artikel 23(1) van Verordening (EU) 2016/679, die niet in strijd zijn met deze Bepalingen.
  2. De Partijen verklaren dat bij de garantie gegeven in paragraaf (a) ze ook de volgende factoren in acht hebben genomen:
    1. de specifieke omstandigheden van de overdracht, waaronder de lengte van de verwerkingsketen; het aantal betrokken actoren en de overdrachtskanalen die gebruikt worden; voorgenomen doorgiften; het soort ontvanger; het verwerkingsdoel; de categorieën en indelingen van de overgedragen persoonsgegevens; de economische sector waarin de overdracht gebeurt; de opslaglocatie van de overgedragen gegevens;
    2. de wetten en werkwijzen van het derde land van bestemming, waaronder die waarbij openbaarmaking van gegevens aan overheidsinstanties vereist is of die toegang geven aan dergelijke autoriteiten, die relevant zijn door de specifieke omstandigheden van de overdracht en de toepasselijke beperkingen en voorzorgsmaatregelen;
    3. alle relevante contractuele, technische en organisatorische voorzorgsmaatregelen die van kracht zijn om de voorzorgsmaatregelen volgens deze Bepalingen aan te vullen, waaronder maatregelen die tijdens de overdracht en de verwerking van persoonsgegevens toegepast worden in het land van bestemming.
  3. De gegevensimporteur verklaart dat, bij het uitvoeren van de beoordeling volgens paragraaf (b), ze hun best hebben gedaan om de gegevensexporteur van relevante informatie te voorzien en dat ze blijven meewerken met de gegevensexporteur om ervoor te zorgen dat deze Bepalingen worden nageleefd.
  4. De Partijen gaan ermee akkoord om de beoordeling volgens paragraaf (b) te documenteren en deze op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.
  5. De gegevensimporteur gaat ermee akkoord de gegevensexporteur direct in te lichten, na met deze Bepalingen akkoord te zijn gegaan en voor de duur van het contract, wanneer deze redenen heeft te denken dat er wetten of werkwijzen worden ingevoerd die op hen van toepassing zullen zijn en strijdig zijn met de vereisten volgens paragraaf (a), waaronder na wijziging van de wet in het derde land of een maatregel (zoals een verzoek om openbaarmaking) waaruit blijkt dat een dergelijke wet in praktijk wordt gebracht die strijdig is met de vereisten volgens paragraaf (a).
  6. Na een melding overeenkomstig paragraaf (e) of als de gegevensexporteur anderszins redenen heeft om te denken dat de gegevensimporteur niet meer aan de verplichtingen volgens deze Bepalingen kan voldoen, zal de gegevensexporteur direct vaststellen welke toepasselijke maatregelen (bv. technische of organisatorische maatregelen om veiligheid en vertrouwelijkheid te kunnen garanderen) genomen moeten worden door de gegevensexporteur en/of de gegevensimporteur om de situatie aan te pakken. De gegevensexporteur zal de gegevensoverdracht staken wanneer deze ziet dat er geen geschikte voorzorgsmaatregelen voor een dergelijk overdracht genomen kunnen worden, of als ze daartoe de opdracht krijgen van de bevoegde toezichthoudende autoriteit. In dat geval zal de gegevensexporteur het recht hebben om het contract te ontbinden, in zoverre het betrekking heeft op de verwerking van persoonsgegevens volgens deze Bepalingen. Als er meer dan twee Partijen bij het contract betrokken zijn, heeft de gegevensexporteur alleen het recht om de overeenkomst met de relevante Partij op te zeggen, tenzij de Partijen anders overeengekomen zijn. Als het contract overeenkomstig deze Bepaling ontbonden wordt, worden Bepaling 16(d) en (e) van kracht.

Bepaling 15

Verplichtingen van de gegevensimporteur in het geval dat overheidsinstanties toegang willen

15.1 Melding

  1. De gegevensimporteur gaat ermee akkoord de gegevensexporteur en, waar mogelijk, de betrokkene direct op de hoogte te stellen (zo nodig met de hulp van de gegevensexporteur) wanneer de gegevensimporteur:
    1. een wettelijk bindend verzoek ontvangt van een overheidsinstantie, waaronder gerechtelijke instanties, volgens de wetgeving van het land van bestemming voor de openbaarmaking van persoonsgegevens overgedragen overeenkomstig deze Bepalingen; een dergelijke melding moet informatie over de opgevraagde persoonsgegevens bevatten, de instantie die hierom verzoekt, de wettelijke grond waarop het verzoek gebaseerd is en het gegeven antwoord hierop; of
    2. zich bewust is van overheidsinstanties die directe toegang hebben tot persoonsgegevens overgedragen overeenkomstig deze Bepalingen volgens de wetgeving in het land van bestemming; een dergelijke melding moet alle beschikbare informatie bevatten waarover de importeur beschikt.
  2. Als de gegevensimporteur de gegevensexporteur en/of de betrokkene volgens de wetgeving van het land van bestemming hiervan niet op de hoogte mag stellen, gaat de gegevensimporteur ermee akkoord zijn/haar uiterste best te doen om een vrijstelling voor dit verbod te bemachtigen, met de bedoeling om zo snel mogelijk, zo veel mogelijk informatie te verstrekken. De gegevensimporteur gaat ermee akkoord dat deze de pogingen om de vrijstelling te verkrijgen documenteert, zodat deze documentatie overlegd kan worden op aanvraag van de gegevensexporteur.
  3. Waar toegestaan volgens de wetgeving van het land van bestemming, gaat de gegevensimporteur ermee akkoord dat deze de gegevensexporteur zoveel mogelijk, periodiek en voor zo lang het contract duurt, relevante informatie verstrekt over het ingediende verzoek (met name het aantal verzoeken, de soorten opgevraagde gegevens, de verzoekende instantie(s), welke verzoeken zijn aangevochten en de uitkomsten van dergelijke aanvechtingen. enz.).
  4. De gegevensimporteur gaat ermee akkoord de informatie te bewaren overeenkomstig paragrafen (a) tot (c) voor zolang het contract duurt en deze op verzoek beschikbaar te stellen aan de bevoegde toezichthoudende autoriteit.
  5. Paragrafen (a) tot (c) doen geen afbreuk aan de verplichting van de gegevensimporteur overeenkomstig Bepaling 14(e) en Bepaling 16 om de gegevensexporteur direct te informeren dat er niet volgens deze Bepalingen gehandeld kan worden.

15.2 Toetsing van wettigheid en gegevensminimalisering

  1. De gegevensimporteur gaat ermee akkoord om de wettigheid van het verzoek openbaarmaking te toetsen, met name of de verzoekende instantie wel het recht heeft om het verzoek in te dienen, en om het verzoek aan te vechten als er na zorgvuldig onderzoek blijkt dat het verzoek onwettig is volgens de toepasselijke wetgeving van het land van bestemming, de toepasselijke verplichtingen volgens internationaal recht en de wetten van de internationale courtoisie. De gegevensimporteur zal onder dezelfde voorwaarden gebruikmaken van de mogelijkheden tot beroep. Bij het aanvechten van een verzoek zal de gegevensimporteur tijdelijke maatregelen proberen te treffen, met de bedoeling om de gevolgen van het verzoek pas in werking te laten treden zodra een bevoegde rechterlijke instantie uitspraak heeft gedaan over of het verzoek gegrond is. De persoonsgegevens waarom verzocht is mogen niet worden vrijgegeven voordat dit volgens toepasselijke procedurele regels verplicht is. Deze vereisten doen geen afbreuk aan de verplichtingen van de gegevensimporteur volgens Bepaling 14(e).
  2. De gegevensimporteur gaat ermee akkoord om zijn/haar gehele juridische beoordeling te documenteren en alle aanvechtingen van het verzoek om openbaarmaking en, voor zover toegestaan volgens de wetgeving van het land van bestemming, deze documentatie beschikbaar te stellen aan de gegevensexporteur. Op aanvraag stelt de gegevensimporteur de documentatie ook beschikbaar aan de bevoegde toezichthoudende autoriteit.
  3. De gegevensimporteur gaat ermee akkoord om de minimaal toegestane hoeveelheid informatie over te dragen als reactie op een verzoek om openbaarmaking, op basis van een aannemelijke interpretatie van het verzoek.

SECTIE IV - SLOTBEPALINGEN

Bepaling 16

Niet-naleven van de Bepalingen en ontbinding

  1. De gegevensimporteur zal de gegevensexporteur direct op de hoogte stellen als zij deze Bepalingen om welke reden dan ook niet na kunnen leven.
  2. In het geval dat de gegevensimporteur in strijd met deze Bepalingen handelt of deze Bepalingen niet kan naleven, zal de gegevensexporteur de overdracht van persoonsgegevens naar de gegevensimporteur staken totdat naleving weer gegarandeerd is of het contract wordt ontbonden. Dit doet geen afbreuk aan Bepaling 14(f).
  3. De gegevensexporteur heeft het recht het contract te ontbinden, in zoverre het betrekking heeft op de persoonsgegevens volgens deze Bepalingen, als:
    1. de gegevensexporteur de overdracht van persoonsgegevens naar de gegevensimporteur heeft gestaakt overeenkomstig paragraaf (b) en naleving van deze Bepalingen niet hersteld is binnen een redelijk tijdsbestek en in ieder geval binnen een maand na staking;
    2. de gegevensimporteur ernstige of voortdurende schending van deze Bepalingen begaat; of
    3. de gegevensimporteur een bindende beslissing niet kan naleven van een bevoegde rechtbank of toezichthoudende autoriteit m.b.t. hun verplichtingen volgens deze Bepalingen. In deze gevallen zal de gegevensexporteur de bevoegde toezichthoudende autoriteit op de hoogte stellen van dergelijke niet-naleving. Als het contract meer dan twee Partijen betreft, heeft de gegevensexporteur alleen het recht om het contract met de relevante Partij te ontbinden, tenzij de Partijen anders overeengekomen zijn.
  4. Persoonsgegevens die voor beëindiging van het contract zijn overgedragen overeenkomstig paragraaf (c) zullen per direct naar wens van de gegevensexporteur geretourneerd of geheel verwijderd worden. Hetzelfde geldt voor alle kopieën van gegevens. De gegevensimporteur zal de verwijdering van de gegevens bevestigen aan de gegevensexporteur. Tot de gegevens zijn verwijderd of geretourneerd, zal de gegevensimporteur naleving van deze Bepalingen blijven garanderen. In het geval dat er plaatselijke wetgeving van toepassing is op de gegevensimporteur die het retourneren of verwijderen van de overgedragen persoonsgegevens verbiedt, zal de gegevensimporteur naleving van deze Bepalingen blijven garanderen en de gegevens alleen verwerken in de hoedanigheid waarop en zolang het verplicht is volgens die plaatselijke wetgeving.
  5. Beide Partijen hebben het recht om de overeenkomst te ontbinden waardoor ze zich aan deze Bepalingen moeten houden als (i) de Europese Commissie een besluit aanneemt op grond van Artikel 45(3) van de Verordening (EU) 2016/679 met betrekking tot de overdracht van persoonsgegevens die van toepassing is op deze Bepalingen; of (ii) Verordening (EU) 2016/679 onderdeel wordt van het rechtskader van het land waarnaar de persoonsgegevens overgedragen worden. Dit doet geen afbreuk aan andere verplichtingen die van toepassing zijn op de betreffende verwerking volgens Verordening (EU) 2016/679.

Bepaling 17

Toepasselijk recht

Deze Bepalingen vallen onder het rechtsstelsel van een van de EU-lidstaten, mits hier de rechten van de derde-begunstigde gelden. De Partijen gaan ermee akkoord dat dit het rechtsstelsel van de Bondsrepubliek Duitsland zal zijn.

Bepaling 18

Rechtskeuzen en forum

  1. Alle geschillen die uit deze Bepalingen voortvloeien zullen worden beslecht door de rechtbanken van een EU-lidstaat.
  2. De Partijen gaan ermee akkoord dat dit de rechtbanken van de Bondsrepubliek Duitsland zullen zijn.
  3. De betrokkene mag ook rechtszaken aanspannen tegen de gegevensexporteur en/of de gegevensimporteur bij de rechtbanken van de Lidstaat waarvan de betrokkene inwoner is.
  4. De Partijen gaan ermee akkoord zich aan dergelijke rechtbanken te onderwerpen.

Bijzondere bepaling I van de Modelcontractbepalingen

A. LIJST VAN PARTIJEN
Gegevensexporteur(s): de gegevensexporteur is de entiteit die als "klant" in het Addendum wordt geïdentificeerd
Handtekening en datum: de gegevensexporteur wordt geacht deze Modelcontractbepalingen te hebben ondertekend vanaf de datum waarop de gegevensexporteur de Servicevoorwaarden voor de Gegevensimporteur elektronisch heeft geaccepteerd.
Functie: Verwerkingsverantwoordelijke

Gegevensimporteur(s): GoDaddy.com, LLC
Contactgegevens: functionaris voor gegevensbescherming - privacy@godaddy.com
Handtekening en datum: de gegevensimporteur wordt geacht deze Modelcontractbepalingen te hebben ondertekend vanaf de datum waarop de gegevensexporteur de Servicevoorwaarden voor de Gegevensimporteur elektronisch heeft geaccepteerd.
Functie: verwerker

B. BESCHRIJVING VAN OVERDRACHT Categorieën van betrokkenen wiens persoonsgegevens worden overgedragen staan beschreven in Bijlage 1 van het Addendum.

Categorieën van persoonsgegevens die worden overgedragen staan beschreven in Bijlage 1 van het Addendum.

Gevoelige informatie die wordt overgedragen staat beschreven in Bijlage 1 van het Addendum.

Gegevens worden op constante basis overgedragen voor zolang de Servicevoorwaarden van kracht zijn.

De aard van de verwerking is beschreven in Sectie 2.2 en Bijlage 1 van het Addendum.

Doel(en) van de gegevensoverdracht en verdere verwerking zijn beschreven in Sectie 2.2 en Bijlage 1 van het Addendum.

De periode waarin de persoonsgegevens bewaard worden staat beschreven in Bijlage 1 van het Addendum.

Voor de overdracht naar (sub)verwerkers staan het onderwerp, de aard, en de verwerkingsduur beschreven in Bijzondere bepaling III van de Modelcontractbepalingen.

C. BEVOEGDE TOEZICHTHOUDENDE AUTORITEITEN De commissaris voor gegevensbescherming en informatievrijheid van de Duitse staat Noordrijn-Westfalen (‘LDI NRW’) is de bevoegde toezichthoudende autoriteit.

Bijzondere bepaling II van de Modelcontractbepalingen

De technische en organisatorische beveiligingsmaatregelen die door de gegevensimporteur zijn geïmplementeerd zijn zoals beschreven in Bijzondere bepaling 2 van het Addendum.

Bijzondere bepaling III van de Modelcontractbepalingen

Lijst van subverwerkers staat beschreven in Bijlage 3 van het Addendum.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Vertaalde versies van juridische overeenkomsten en beleidsregels zijn uitsluitend bedoeld om het lezen te vergemakkelijken en het inhoudelijke begrip van de Engelse versies te vergroten. Deze vertalingen worden niet verschaft als wettelijk bindende overeenkomst en zijn geen vervanging voor de Engelse versies, die als enige wettelijk geldig zijn. In geval van een geschil of conflict zijn uitsluitend de Engelse versies van de juridische overeenkomsten en beleidsregels van toepassing en hebben deze voorrang boven de voorwaarden in elke andere taal.