Niniejszy Aneks dotyczący Przetwarzania Danych („Aneks”) zostaje zawarty pomiędzy firmą GoDaddy.com, LLC, a Delaware limited liability company i jej Partnerami („firma GoDaddy”) a klientem („Klient”) oraz jest dołączony do Regulaminu ogólnego, Zasad ochrony danych osobowych oraz wszelkich umów regulujących Świadczone usługi (łącznie „Warunki świadczenia usług”) i stanowi uzupełnienie wyżej wymienionych dokumentów.

1. Definicje

1.1 O ile niniejszy Aneks nie stanowi inaczej, wszelkie terminy zapisane wielką literą i niezdefiniowane w niniejszym Aneksie posiadają znaczenie nadane im w Warunkach świadczenia usług.

„Partnerzy” to wszelkie podmioty kontrolowane przez firmę GoDaddy, kontrolujące ją lub pozostające z nią pod wspólną kontrolą.

„Świadczone usługi” obejmują usługi hostowane, które mogą obejmować przetwarzanie przez nas danych osobowych i podlegają regulaminom następujących Umów: (1) na usługi marketingu e-mail, (2) hostingowej, (3) sklepu internetowego / szybkiego koszyka na zakupy, (4) na usługi związane z witryną, (5) na usługę Workspace.

„Dane Klienta” oznaczają Dane osobowe każdego podmiotu danych podlegające Przetwarzaniu przez firmę GoDaddy w obrębie Sieci firmy GoDaddy w imieniu Klienta na mocy Warunków świadczenia usług lub w związku z nimi.

„Przepisy o ochronie danych” oznaczają wszystkie przepisy dotyczące ochrony danych lub prywatności oraz regulacje mające zastosowanie do przetwarzania danych osobowych na mocy postanowień umowy, w tym między innymi: (i) australijskie zasady ochrony prywatności i australijska ustawa o prywatności (1988), (ii) brazylijska ustawa Lei Geral de Proteção de Dados (LGPD), (iii) ustawa California Consumer Privacy Act (CCPA), (iv) kanadyjska ustawa federalna o ochronie danych osobowych i o dokumentach elektronicznych (PIPEDA), (v) RODO, (vi) wszystkie krajowe przepisy dotyczące ochrony danych wynikające z RODO, (vii) Dyrektywa UE o e-prywatności (Dyrektywa 2002/58/WE), (viii) singapurska ustawa o ochronie danych osobowych z 2012 r. (PDPA), (ix) szwajcarska ustawa federalna o ochronie danych z 19 czerwca 1992 r. i uchwały z nią związane, oraz (x) UK GDPR lub ustawa o ochronie danych z 2018 r., które w każdym przypadku mogą zostać zmienione lub zastąpione.

„EOG” oznacza Europejski Obszar Gospodarczy.

„RODO” oznacza Rozporządzenie Parlamentu Europejskiego i Rady Europy (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, uchylające dyrektywę 95/46/WE.

„Standardowe klauzule umowne UE” oznaczają standardowe klauzule o ochronie danych zatwierdzone przez Komisję Europejską decyzją nr 2021/914 z dnia 4 czerwca 2021 r., włączone do niniejszego Aneksu przez odniesienie. Moduł drugi (przekazywanie przez administratora podmiotowi przetwarzającemu) i moduł trzeci (przekazywanie między podmiotami przetwarzającymi) Standardowych klauzul umownych UE można pobrać z portalu EUR-Lex.

„Sieć firmy GoDaddy” oznacza obiekty firmy GoDaddy będące centrami danych, serwery, urządzenia sieciowe oraz oprogramowanie instalowane na hoście (np. wirtualną zaporę ogniową) znajdujące się pod kontrolą firmy GoDaddy i wykorzystywane do dostarczania Świadczonych usług.

„Zdarzenie naruszające bezpieczeństwo” oznacza naruszenie zabezpieczeń Standardów bezpieczeństwa GoDaddy powodujące przypadkowe lub bezprawne zniszczenie, utracenie, zmodyfikowanie, nieupoważnione ujawnienie lub uzyskanie nieupoważnionego dostępu do jakichkolwiek Danych Klienta w systemach zarządzanych lub kontrolowanych przez GoDaddy.

„Standardy bezpieczeństwa” oznaczają standardy bezpieczeństwa załączone do niniejszego Aneksu jako Załącznik 2.

„Dane wrażliwe” oznaczają (a) numer ubezpieczenia społecznego, numer paszportu, numer prawa jazdy lub podobny identyfikator (lub jego dowolną część); (b) numer karty kredytowej lub debetowej (dłuższy niż ostatnie cztery cyfry), informacje finansowe, numery i hasła rachunków bankowych; (c) informacje dotyczące zatrudnienia, informacje finansowe, genetyczne, biometryczne lub o zdrowiu; (d) informacje dotyczące rasy, przynależności etnicznej, poglądów politycznych i religijnych, przynależności do związków zawodowych albo informacje o życiu seksualnym i orientacji seksualnej; (e) hasła do konta, nazwisko panieńskie matki lub data urodzenia; (f) dane o karalności lub (g) wszystkie inne informacje lub połączenie informacji, które mieszczą się w definicji „specjalnych kategorii danych” na mocy RODO lub innych przepisów albo regulacji odnoszących się do ochrony prywatności i danych.

„Podwykonawca przetwarzania” oznacza każdy podmiot przetwarzający zaangażowany przez Podmiot przetwarzający w celu Przetwarzania danych w imieniu administratora danych.

„UK GDPR” oznacza rozporządzenie RODO dostosowane i wprowadzone do prawa brytyjskiego na mocy Umowy o wystąpieniu między Unią Europejską a Wielką Brytanią z 2018 r. oraz mających zastosowanie wtórnych aktów prawnych uchwalonych na mocy Umowy.

„Brytyjski aneks dotyczący międzynarodowego transferu danych” oznacza aneks dotyczący międzynarodowego transferu danych do Standardowych klauzul umownych UE opracowany przez Brytyjskie biuro ds. danych osobowych, w wersji B1.0, która weszła w życie 21 marca 2022 r., włączony do niniejszego Aneksu przez odniesienie. Brytyjski aneks dotyczący międzynarodowego transferu danych można pobrać ze strony Brytyjskiego biura ds. danych osobowych.

1.2 Pojęcia „dane osobowe”, „osoba, której dane dotyczą”, „przetwarzanie”, „administrator” i „podmiot przetwarzający” używane w niniejszym Aneksie mają znaczenie nadane w RODO, niezależnie od obowiązujących przepisów o ochronie danych.

2. Zakres przetwarzania danych i powiązania między stronami

2.1 GoDaddy występuje jako Podmiot przetwarzający. Strony uznają i zgadzają się, że: (i) GoDaddy jest podmiotem przetwarzającym Dane Klienta zgodnie z przepisami ochrony danych; (ii) Klient jest odpowiednio administratorem lub podmiotem przetwarzającym Dane Klienta zgodnie z przepisami ochrony danych; oraz (iii) każda ze stron będzie wypełniać swoje zobowiązania zgodnie z odpowiednimi przepisami o ochronie danych w związku z przetwarzaniem Danych Klienta.

2.2 Szczegóły przetwarzania danych. Przedmiotem operacji Przetwarzania Danych Klienta przez firmę GoDaddy jest wykonywanie Świadczonych usług zgodnie z Warunkami świadczenia usług. Firma GoDaddy przetwarza Dane klienta wyłącznie w imieniu Klienta oraz zgodnie z jego pisemnymi instrukcjami w następujących celach: (i) przetwarzanie zgodnie z Warunkami świadczenia usług; (ii) przetwarzanie zainicjowane przez użytkowników końcowych podczas korzystania ze Świadczonych usług; (iii) przetwarzanie w celu zachowania zgodności z innymi udokumentowanymi, zasadnymi instrukcjami dostarczonymi przez Klientów (np. pocztą elektroniczną), które są zgodne z warunkami Umowy. Firma GoDaddy nie będzie: (a) przetwarzać, przechowywać, wykorzystywać, sprzedawać ani ujawniać Danych klienta, z wyjątkiem sytuacji, gdy jest to konieczne do wykonywanie Świadczonych usług zgodnie z Warunkami świadczenia usług lub gdy jest to wymagane przez prawo; (b) sprzedawać takich Danych klienta stronom trzecim; (c) przechowywać, wykorzystywać ani ujawniać takich Danych Klienta poza bezpośrednimi relacjami biznesowymi pomiędzy firmą GoDaddy a Klientem.

Aby uniknąć wątpliwości, instrukcje Klienta w zakresie przetwarzania Danych Klienta powinny być zgodne ze wszystkimi obowiązującymi przepisami o ochronie danych. Odpowiedzialność za dokładność, jakość i legalność Danych Klienta oraz środków uzyskania Danych Klienta spoczywa wyłącznie na Kliencie. Jeśli Klient jest administratorem Danych Klienta, wówczas Klient uznaje i zgadza się (i) podjąć starania w uzasadnionym handlowo zakresie, aby wyraźnie ujawnić i uzyskać zgodę na wszelkie zbieranie, udostępnianie i wykorzystywanie danych, które ma miejsce w dowolnej ze Świadczonych usług; oraz (ii) ujawnić, że w wyniku korzystania ze Świadczonych usług dane Użytkownika końcowego mogą być przetwarzane poza krajem pochodzenia. Jeśli Klient jest podmiotem przetwarzającym Dane Klienta, wówczas Klient gwarantuje, że jego instrukcje i działania związane z Danymi Klienta, w tym wyznaczenie GoDaddy jako kolejnego podmiotu przetwarzającego, zostały zatwierdzone przez odpowiedniego administratora. Firma GoDaddy nie będzie zobowiązana przestrzegać instrukcji Klienta, jeśli takowe naruszałyby przepisy o ochronie danych. Czas trwania operacji Przetwarzania, charakter oraz cel Przetwarzania, rodzaje Danych osobowych oraz kategorie podmiotów danych objętych Przetwarzaniem zgodnie z warunkami niniejszego Aneksu zostały szczegółowo opisane w Załączniku 1 („Szczegóły procesu przetwarzania”) do niniejszego Aneksu.

3. Poufność Danych Klienta

Firma GoDaddy nie ujawnia Danych Klienta jakimkolwiek instytucjom rządowym ani jakimkolwiek innym podmiotom trzecim, z wyjątkiem przypadków, w których jest to niezbędne do zachowania zgodności z przepisami prawa lub do zastosowania się do ważnego i wiążącego nakazu organu ścigania (takiego jak wezwanie sądowe lub nakaz sądowy). W przypadku, gdy firma GoDaddy otrzyma ważne wezwanie do postępowania cywilnego, i w dozwolonym zakresie, firma GoDaddy dołoży starań, aby dostarczyć Klientowi rozsądne powiadomienie o wezwaniu za pośrednictwem poczty elektronicznej lub tradycyjnej, aby umożliwić mu uzyskanie nakazu ochrony lub innego odpowiedniego środka zaradczego.

4. Model współdzielonej odpowiedzialności

4.1 Firma GoDaddy wdrożyła i będzie stosować środki techniczne oraz organizacyjne w odniesieniu do Sieci firmy GoDaddy opisane w niniejszej sekcji oraz w Dodatku 2 do niniejszego Aneksu pt. „Standardy bezpieczeństwa”. W szczególności firma GoDaddy wdrożyła oraz będzie stosować następujące środki techniczne i organizacyjne dotyczące (i) bezpieczeństwa Sieci firmy GoDaddy; (ii) bezpieczeństwa fizycznego obiektów; (iii) środków kontroli dostępu pracowników oraz wykonawcy do (i) i/lub (ii); oraz (iv) procesy testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych wdrożonych przez firmę GoDaddy. W przypadku niemożności wywiązania się z któregokolwiek ze zobowiązań określonych w niniejszym dokumencie wystosujemy pisemne zawiadomienie (za pośrednictwem swojej witryny lub poczty e-mail) tak szybko, jak jest to praktycznie możliwe.

4.2 Firma GoDaddy udostępnia szereg form oraz funkcji zabezpieczeń, które Klient może wykorzystywać w stosunku do Świadczonych usług. Klient jest odpowiedzialny za (a) prawidłową konfigurację Świadczonych usług, (b) korzystanie z dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu stałego zapewnienia poufności, integralności, dostępności oraz odporności systemów oraz usług Przetwarzania, (c) wykorzystywanie dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu umożliwienia Klientowi przywrócenia dostępności oraz dostępu do Danych Klienta w odpowiednim czasie w przypadku wystąpienia incydentu fizycznego lub technicznego (np. tworzenie kopii zapasowych oraz rutynową archiwizację Danych Klienta), oraz (d) podejmowanie kroków, które Klient uzna za stosowne w celu zachowania właściwego bezpieczeństwa, ochrony oraz w celu usuwania Danych Klienta, w tym wykorzystywania technologii szyfrowania w celu ochrony Danych Klienta przed nieautoryzowanym dostępem oraz środków kontroli praw dostępu do Danych Klienta.

5. Prawa Osoby, której dane dotyczą

Mając na uwadze charakter Świadczonych usług, firma GoDaddy zapewnia Klientowi określone środki kontroli, umożliwiające Klientowi pobieranie, sprostowanie, usuwanie lub ograniczanie wykorzystywania i przekazywania Danych Klienta opisanych w Świadczonych usługach. Klient może wykorzystywać takie środki kontroli jako środki techniczne i organizacyjne w związku z jego zobowiązaniami wynikającymi z mających zastosowanie przepisów o ochronie danych, łącznie ze zobowiązaniami związanymi z odpowiedzią na żądania osób, których dane dotyczą. W sposób gospodarczo uzasadniony oraz w zakresie wymaganym lub dozwolonym przez prawo firma GoDaddy niezwłocznie powiadomi Klienta w przypadku, gdy firma GoDaddy otrzyma od osoby, której dane dotyczą, bezpośrednie żądanie wykonania praw wynikających z mających zastosowanie przepisów o ochronie danych („Żądanie Osoby, której dane dotyczą”). Ponadto, w przypadku korzystania przez Klienta ze Świadczonych usług w sposób ograniczający możliwość odniesienia się do Żądania Osoby, której dane dotyczą, firma GoDaddy może – jeżeli jest to prawnie dozwolone i właściwe oraz po otrzymaniu żądania od Klienta – dostarczyć gospodarczo uzasadnioną pomoc w odnoszeniu się do żądania, na koszt Klienta (jeśli taki wystąpi).

6. Podwykonawstwo Przetwarzania

6.1 Upoważnieni Podwykonawcy przetwarzania. Klient akceptuje, iż firma GoDaddy może korzystać z usług Podwykonawców przetwarzania w celu realizacji swoich zobowiązań umownych wynikających z Warunków świadczenia usług oraz niniejszego Aneksu lub w celu dostarczenia określonych usług w swoim imieniu, takich jak usługi wsparcia. Klient wyraża niniejszym zgodę na korzystanie przez firmę GoDaddy z usług Podwykonawców przetwarzania zgodnie z postanowieniami niniejszej sekcji.

6.2 Obowiązki Podwykonawców przetwarzania. W przypadkach, w których firma GoDaddy korzysta z usług autoryzowanych podwykonawców przetwarzania zgodnie z postanowieniami sekcji 6.1:

(i) firma GoDaddy ograniczy dostęp podwykonawcy przetwarzania do Danych Klienta wyłącznie do zakresu niezbędnego do utrzymania Świadczonych usług lub do dostarczania Świadczonych usług Klientowi oraz użytkownikom końcowym zgodnie z Warunkami świadczenia usług. Firma GoDaddy uniemożliwi podwykonawcy przetwarzania uzyskiwanie dostępu do Danych Klienta w jakimkolwiek innym celu;

(ii) firma GoDaddy zawrze pisemną umowę z podwykonawcą przetwarzania oraz – w zakresie, w jakim podwykonawca przetwarzania świadczy te same usługi przetwarzania danych, które są oferowane przez firmę GoDaddy zgodnie z niniejszym Aneksem – firma GoDaddy nakłada na podwykonawcę przetwarzania zasadniczo podobne obowiązki umowne, jakie spoczywają na firmie GoDaddy na mocy niniejszego Aneksu; oraz

(iii) firma GoDaddy ponosi odpowiedzialność za zachowanie zgodności z obowiązkami określonymi w niniejszym Aneksie oraz za wszelkie działania lub zaniechania ze strony podwykonawcy przetwarzania, które przyczyniają się do złamania przez firmę GoDaddy którychkolwiek ze zobowiązań firmy GoDaddy wynikających z niniejszego Aneksu.

6.3 Nowi Podwykonawcy przetwarzania.  Okresowo nasza firma może korzystać z pomocy nowych Podwykonawców przetwarzania zgodnie z warunkami przedstawionymi w niniejszym Aneksie.  W takich przypadkach nasza firma przekazuje informację (za pośrednictwem swojej witryny lub poczty e-mail) 30 dni przed uzyskaniem przez nowego podwykonawcy przetwarzania dostępu do jakichkolwiek Danych Klienta. Jeśli Klient nie zatwierdzi nowego podwykonawcy przetwarzania, Klientowi będzie przysługiwać prawo do wypowiedzenia dowolnych Świadczonych usług bez ponoszenia jakiejkolwiek kary poprzez przekazanie w terminie 10 dni od otrzymania zawiadomienia od naszej firmy pisemnego wypowiedzenia, obejmującego wyjaśnienie przyczyn odmowy zatwierdzenia. Jeżeli Świadczone usługi są częścią pakietu lub zakupu pakietowego, wszelkie wypowiedzenie będzie miało zastosowanie do całości takich usług.

7. Zdarzenie naruszające bezpieczeństwo

7.1 Zdarzenie naruszające bezpieczeństwo. Jeżeli firma GoDaddy posiądzie wiedzę o wystąpieniu Zdarzenia naruszającego bezpieczeństwo, firma GoDaddy niezwłocznie: (a) powiadomi Klienta o zaistnieniu Zdarzenia naruszającego bezpieczeństwo oraz (b) podejmie właściwe kroki w celu złagodzenia skutków oraz zminimalizowania wszelkich szkód będących efektem danego Zdarzenia naruszającego bezpieczeństwo.

7.2 GoDaddy Pomoc. W celu udzielenia Klientowi pomocy w związku z wszelkimi powiadomieniami o naruszeniach ochrony danych osobowych, które Klient jest zobowiązany przekazać na mocy wszelkich obowiązujących przepisów o ochronie danych, firma GoDaddy umieści w odpowiednim powiadomieniu takie informacje dotyczące Zdarzenia naruszającego bezpieczeństwo, jakie firma GoDaddy jest w stanie ujawnić Klientowi w rozsądnych granicach, biorąc pod uwagę charakter Świadczonych usług, informacje dostępne firmie GoDaddy oraz wszelkie ograniczenia w zakresie ujawniania informacji, takie jak poufność danych.

7.3 Nieudane zdarzenia naruszające bezpieczeństwo. Klient zgadza się, że nieudane Zdarzenie naruszające bezpieczeństwo nie podlega warunkom niniejszego Aneksu. Nieudane Zdarzenie naruszające bezpieczeństwo stanowi nieudaną próbę uzyskania nieautoryzowanego dostępu do Danych Klienta lub do jednej z Sieci firmy GoDaddy, jej urządzeń lub budynków, w których przechowywane są Dane Klienta. Zdarzenia tego typu mogą obejmować m.in. polecenia ping i inne ataki na zapory sieciowe lub serwery brzegowe, polegające na nadaniu klucza publicznego trzem lub więcej użytkownikom, skanowanie portów, nieudane próby logowania, ataki typu DoS, zbieranie pakietów (lub inne sposoby uzyskania nieautoryzowanego dostępu do danych dotyczących ruchu sieciowego, w wyniku którego pozyskiwane są jedynie dane nagłówków) lub podobne zdarzenia.

7.4 Powiadomienie. Powiadomienie dotyczące Zdarzeń naruszających bezpieczeństwo, jeśli takie wystąpią, będzie dostarczane do co najmniej jednego administratora Klienta przy pomocy któregokolwiek środka komunikacji wybranego przez firmę GoDaddy łącznie z pocztą e-mail. Klient ponosi wyłączną odpowiedzialność za zapewnienie, że administratorzy Klienta posiadają aktualne dane kontaktowe w konsoli zarządzania firmy GoDaddy oraz za zapewnienie bezpiecznej transmisji danych.

7.5 Wyłączenie odpowiedzialności GoDaddy za uchybienia: Obowiązek zgłoszenia przez GoDaddy Zdarzenia naruszającego bezpieczeństwo lub zareagowania na nie zgodnie z niniejszą sekcją nie stanowi i nie będzie stanowić uznania przez GoDaddy żadnych uchybień lub odpowiedzialności GoDaddy w odniesieniu do takiego Zdarzenia naruszającego bezpieczeństwo.

8. Prawa Klienta

8.1 Niezależne określanie. Klient jest odpowiedzialny za zapoznanie się z informacjami udostępnionymi przez firmę GoDaddy, które odnoszą się do bezpieczeństwa danych i Standardów bezpieczeństwa, a także za sprawdzenie, czy Świadczone usługi spełniają wymagania Klienta oraz zobowiązania prawne, jak również z obowiązkami Klienta opisanymi w niniejszym Aneksie. Udostępnione informacje mają na celu wsparcie Klienta w wypełnianiu obowiązków Klienta zgodnie z mającymi zastosowanie przepisami o ochronie danych. Klient zgadza się, że Świadczone usługi i Standardy bezpieczeństwa wdrożone i utrzymywane przez GoDaddy zapewniają poziom bezpieczeństwa odpowiedni w stosunku do ryzyka, na jakie narażone są dane osobowe (biorąc pod uwagę stan techniki, koszty wdrożenia oraz istotę, zakres, kontekst i cele przetwarzania danych osobowych, a także ryzyko dla osób fizycznych).

8.2 Prawo Klienta do przeprowadzenia audytu. Klient ma prawo zażądać potwierdzenia stosowania się przez firmę GoDaddy do postanowień niniejszego Aneksu w zakresie Świadczonych usług przez złożenie konkretnego żądania na piśmie, w rozsądnych odstępach czasu, na adres podany w Warunkach świadczenia usług. W przypadku, kiedy firma GoDaddy odmówi zastosowania się do jakichkolwiek instrukcji Klienta dotyczących prawidłowo zażądanego audytu lub inspekcji o należycie określonym zakresie, Klienta ma prawo do wypowiedzenia warunków niniejszego Aneksu oraz Warunków świadczenia usług.

9. Transfer Danych klienta

9.1 Przetwarzanie na terenie Stanów Zjednoczonych. Z wyjątkiem przypadków wyraźnie określonych w Warunkach świadczenia usług, Dane klienta będą przekazywane poza Wielką Brytanię i EOG oraz przetwarzane na terenie USA.

9.2 Zastosowanie Standardowych klauzul umownych UE. Moduł drugi (przekazywanie przez administratora podmiotowi przetwarzającemu) lub moduł trzeci (przekazywanie między podmiotami przetwarzającymi) Standardowych klauzul umownych UE będą miały zastosowanie dla Danych Klienta, które będą przekazywane poza EOG, zarówno bezpośrednio, jak i przy dalszym przekazywaniu danych do jakiegokolwiek kraju uznanego przez Komisję Europejską za niezapewniający wystarczających środków bezpieczeństwa dla Danych Klienta. Standardowe klauzule umowne UE nie mają zastosowania do Danych Klienta, które nie są przekazywane – zarówno bezpośrednio, jak i w ramach dalszego przekazywania – poza EOG. Niezależnie od powyższego, Standardowe klauzule umowne UE nie mają zastosowania, gdy dane są przekazywane zgodnie z uznanym standardem zgodnego z prawem transferu Danych osobowych poza EOG, na przykład gdy jest to konieczne do wykonywania Świadczonych usług zgodnie z Warunkami świadczenia usług lub za zgodą Klienta.

1. W przypadku każdego Modułu, którego dotyczy:
   1. w Klauzuli 7 Standardowych klauzul umownych UE nieobowiązkowa klauzula dokowania nie będzie mieć zastosowania;
   2. w Klauzuli 9 Standardowych klauzul umownych UE zastosowana będzie Opcja 2, a okres wcześniejszego pisemnego powiadomienia o zmianie podwykonawcy przetwarzania zostanie przedstawiony w Sekcji 6.3 (Nowi Podwykonawcy przetwarzania) niniejszego Aneksu;
   3. w Klauzuli 11 Standardowych klauzul umownych UE nieobowiązkowy język nie będzie zastosowany;
   4. w Klauzuli 17 (Opcja 1) Standardowe klauzule umowne UE będą podlegać prawu niemieckiemu;
   5. w Klauzuli 18(b) Standardowych klauzul umownych UE spory będą rozstrzygane przed sądami Republiki Federalnej Niemiec;
   6. w Aneksie I, części A Standardowych klauzul umownych UE:
      • Lista stron
        
        Podmiot(y) przekazujący(-e) dane: podmiotem przekazującym dane jest jednostka zdefiniowana jako „Klient” w niniejszym Aneksie
        Podpis i data: W dniu elektronicznej akceptacji przez Podmiot przekazujący dane Warunków świadczenia usług Podmiotu odbierającego dane uznaje się, że Podmiot przekazujący dane podpisał niniejsze Standardowe klauzule umowne UE.
        Rola: Administrator (zgodnie z Modułem drugim) lub Podmiot przetwarzający (zgodnie z Modułem trzecim)
        
        Podmiot(y) odbierający(-e) dane: GoDaddy.com, LLC
        Informacje kontaktowe: Biuro inspektora ds. ochrony danych – privacy@godaddy.com
        Podpis i data: W dniu elektronicznej akceptacji przez Podmiot przekazujący dane Warunków świadczenia usług Podmiotu odbierającego dane uznaje się, że Podmiot odbierający dane podpisał niniejsze Standardowe klauzule umowne UE.
        Rola: Podmiot przetwarzający
   7. w Aneksie I, części B Standardowych klauzul umownych UE:
      • Opis transferu
        
        Kategorie osób, których dane dotyczą, których dane osobowe są przekazywane, są opisane w Załączniku 1 niniejszego Aneksu.
        Kategorie przekazywanych danych osobowych są opisane w Załączniku 1 niniejszego Aneksu. Przekazywane dane wrażliwe są opisane w Załączniku 1 niniejszego Aneksu.
        Częstotliwość transferów jest stałą podstawą okresu obowiązywania Warunków świadczenia usług.
        Istota przetwarzania jest opisana w Sekcji 2.2 i Załączniku 1 niniejszego Aneksu.
        Cel(e) transferu danych i dalszego przetwarzania są opisane w Sekcji 2.2 i Załączniku 1 niniejszego Aneksu.
        Okres przechowywania danych osobowych jest opisany w Załączniku 1 niniejszego Aneksu.
        W przypadku przekazywania do podmiotów przetwarzających lub podwykonawców przetwarzania przedmiot, istota i okres przetwarzania są przedstawione w Aneksie III Standardowych klauzul umownych.
   8. w Aneksie I, części C Standardowych klauzul umownych:
      • Właściwy organ nadzorczy
        Krajowy Komisarz ds. Ochrony Danych i Wolności Informacji dla Nadrenii Północnej-Westfalii (LDI NRW) jest właściwym organem nadzorczym.
   9. w Aneksie II Standardowych klauzul umownych UE:
      
      Techniczne i organizacyjne środki bezpieczeństwa wprowadzone przez Podmiot odbierający dane są takie, jak opisano w Załączniku 2 niniejszego Aneksu.
   10. w Aneksie II Standardowych klauzul umownych UE:
       
       Lista podwykonawców przetwarzania znajduje się w Załączniku 3 niniejszego Aneksu.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. W przypadku transferów danych, które podlegają Brytyjskiemu aneksowi dotyczącemu międzynarodowego transferu danych, Brytyjski aneks dotyczący międzynarodowego transferu danych zostanie uznany za dołączony (i włączony) do niniejszego Aneksu przez odniesienie oraz uzupełniony, jak następuje:
   1. W Tabeli 1 Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych dane stron i informacje kontaktowe są umieszczone w sekcji 9.2 (i)(f) niniejszego Aneksu.
   2. W Tabeli 2 Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych informacje o wersji, modułach i wybranych klauzulach Standardowych klauzul umownych UE, do których odnosi się Brytyjski aneks dotyczący międzynarodowego transferu danych są umieszczone w sekcji 9.2 (Standardowe klauzule umowne UE) niniejszego Aneksu.
   3. W Tabeli 3 Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych:
      1. Lista Stron umieszczona jest w sekcji 9.2 (i)(f) niniejszego Aneksu.
      2. Opis transferu jest przedstawiony w sekcji 1 (Istota i cel przetwarzania) Załącznika 1 (Szczegóły przetwarzania) niniejszego Aneksu.
      3. Aneks II jest umieszczony w Załączniku 2 (Standardy bezpieczeństwa) niniejszego Aneksu.
      4. Lista podwykonawców przetwarzania znajduje się w Załączniku 3 niniejszego Aneksu.
   4. W Tabeli 4 Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych zarówno Podmiot odbierający, jak i Podmiot przekazujący mogą zakończyć Brytyjski aneks dotyczący międzynarodowego transferu danych zgodnie z warunkami Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych.

10. Wypowiedzenie Aneksu

Niniejszy Aneks pozostaje w mocy do czasu zakończenia czynności Przetwarzania zgodnie z Warunkami świadczenia usług („Data zakończenia Przetwarzania”).   

11. Zwrot lub usuwanie Danych Klienta

Tak jak zostało to opisane w Świadczonych usługach, Klient może otrzymać narzędzia kontroli, które mogą być wykorzystywane do odzyskiwania lub usuwania Danych Klienta. Usunięcie Danych Klienta nastąpi trzydzieści (30) dni po dacie Rozwiązania umowy na mocy warunków poszczególnych Świadczonych usług. Klient przyjmuje do wiadomości, że do jego obowiązków należy eksport wszelkich Danych Klienta przed datą Rozwiązania umowy, jeśli chce je zatrzymać po Rozwiązaniu umowy.

12. Ograniczenie odpowiedzialności

Odpowiedzialność każdej ze stron na mocy niniejszego Aneksu podlega wyłączeniom oraz ograniczeniom odpowiedzialności określonym w Warunkach świadczenia usług. Klient akceptuje fakt, iż wszelkie kary regulaminowe poniesione przez firmę GoDaddy w związku z Danymi Klienta, a wynikające z niedopełnienia przez Klienta jego obowiązków wynikających z postanowień niniejszego Aneksu oraz wszelkich mających zastosowanie przepisów o ochronie danych lub związane z takim niedopełnieniem obowiązków, zostaną zaliczone w poczet odpowiedzialności firmy GoDaddy wynikającej z Warunków świadczenia usług oraz zmniejszą ją, tak jakby stanowiły one odpowiedzialność Klienta wynikającą z Warunków świadczenia usług.

13. Całość Warunków świadczenia usług; Konflikt

Niniejszy Aneks zastępuje wszelkie wcześniejsze lub równoczesne oświadczenia, porozumienia, umowy lub komunikaty pomiędzy Klientem a firmą GoDaddy, zarówno w formie pisemnej, jak i ustnej, dotyczące przedmiotu niniejszego Aneksu, w tym wszelkie załączniki dotyczące przetwarzania danych zawarte pomiędzy firmą GoDaddy a Klientem w odniesieniu do przetwarzania danych osobowych i swobodnego przepływu tych danych.  W zakresie, w jakim wystąpią jakiekolwiek sprzeczności bądź nieścisłości między Standardowymi klauzulami umownymi UE lub Brytyjskim aneksem dotyczącym międzynarodowego transferu danych (UK International Data Transfer Addendum) a jakimkolwiek warunkiem zawartym w tym Aneksie lub Warunkach świadczenia usług, przeważają zapisy odpowiednio Standardowych klauzul umownych UE lub Brytyjskiego aneksu dotyczącego międzynarodowego transferu danych. Z wyjątkiem postanowień zmienionych na mocy niniejszego Aneksu Warunki świadczenia usług pozostają w mocy.  W przypadku konfliktu pomiędzy Warunkami świadczenia usług a niniejszym Aneksem postanowienia niniejszego Aneksu mają moc rozstrzygającą.

---

Załącznik 1

 SZCZEGÓŁY PRZETWARZANIA DANYCH

 1. Charakter i cel przetwarzania. Firma GoDaddy przetwarza Dane klienta w zakresie niezbędnym do realizacji Świadczonych usług zgodnie z Warunkami świadczenia usług i dalszymi instrukcjami Klienta otrzymywanymi w trakcie korzystania przez niego ze Świadczonych usług.

 2. Okres Przetwarzania danych. Na mocy Sekcji 10 i 11 niniejszego Aneksu GoDaddy będzie przetwarzać Dane klienta w okresie obowiązywania Warunków świadczenia usług. Niezależnie od powyższego, firma GoDaddy może zachować Dane klienta lub ich część, jeśli jest to wymagane przez obowiązujące przepisy lub regulacje, w tym obowiązujące przepisy o ochronie danych, pod warunkiem, że te Dane klienta pozostają chronione zgodnie z warunkami niniejszego Aneksu i obowiązujących przepisów o ochronie danych.

3. Kategorie Osób, których dane dotyczą. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. Dane osobowe odnoszące się do następujących kategorii Osób, których dane dotyczą:

• Potencjalnych klientów, klientów, partnerów biznesowych oraz dystrybutorów Klienta (będących osobami fizycznymi)
• Pracowników lub osób kontaktowych potencjalnych klientów, klientów, partnerów biznesowych i dostawców Klienta
• Pracowników, agentów, doradców Klienta oraz osób świadczących usługi na rzecz Klienta jako przedstawiciele wolnych zawodów (będących osobami fizycznymi)
• Użytkowników Klienta, którzy zostali upoważnieni przez Klienta do korzystania ze Świadczonych usług

4. Kategorie Danych osobowych. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Rodzaj i zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. następujące kategorie Danych osobowych podmiotów danych: 

• Imię i nazwisko
• Adres
• Numer telefonu
• Data urodzenia
• Adres e-mail
• Inne gromadzone dane, które mogą pozwolić na bezpośrednią lub pośrednią identyfikację Klienta.

5. Dane wrażliwe i specjalne kategorie danych. Klient może przesłać dane wrażliwe w trakcie korzystania ze Świadczonych usług, a ich rodzaj i zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania. Klient jest odpowiedzialny za zastosowanie ograniczeń lub zabezpieczeń, które w pełni uwzględniają charakter danych i ryzyko z tym związane przed przesłaniem lub przetworzeniem jakichkolwiek Danych wrażliwych za pośrednictwem Świadczonych usług.

---

Załącznik 2

Standardy bezpieczeństwa

I.  Środki techniczne i organizacyjne  

Dbamy o ochronę informacji o naszych klientach.  Biorąc pod uwagę najlepsze praktyki, koszty wdrożenia oraz charakter, zakres, okoliczności i cele przetwarzania, a także różne prawdopodobieństwo wystąpienia oraz ciężar zagrożenia dla praw i swobód osób fizycznych, podejmujemy następujące środki techniczne i organizacyjne.  Podczas dobierania tych środków uwzględniamy poufność, integralność, dostępność i odporność systemów.

II.  Program prywatności danych  

Nasz program prywatności danych został przyjęty w celu utrzymania globalnej struktury zarządzania danymi oraz zabezpieczenia danych przez cały cykl ich życia. Program jest prowadzony przez biuro inspektora ochrony danych, który nadzoruje wdrażanie zasad ochrony danych osobowych oraz środków bezpieczeństwa. Regularnie przeprowadzamy testy, ocenę i ewaluację skuteczności programu ochrony danych osobowych oraz Standardów bezpieczeństwa.

1. Poufność. „Poufność oznacza ochronę danych osobowych przed nieautoryzowanym ujawnieniem.”  

Wykorzystujemy różnorodne środki fizyczne oraz logiczne mające na celu ochronę poufności danych osobowych klientów. Środki te obejmują:   

  Ochronę fizyczną  

• Funkcjonujące fizyczne systemy kontroli dostępu (kontrola dostępu przy pomocy identyfikatorów, monitorowanie zdarzeń związanych z bezpieczeństwem itd.) 
• Systemy nadzoru, w tym alarmy, oraz – w stosownych przypadkach – monitoring z wykorzystaniem kamer przemysłowych  
• Politykę czystego biurka oraz środki kontroli dokumentacji (blokowanie komputerów przy pustych stanowiskach, zamykane szafki itd.)  
• Zarządzanie dostępem gości 
• Niszczenie danych na nośnikach fizycznych oraz dokumentów (fizyczne niszczenie dokumentów, rozmagnesowywanie itd.)

  Kontrolę dostępu oraz zapobieganie dostępowi osób niepowołanych 

• Zastosowane ograniczenia dostępu użytkownika oraz nadane/zrewidowane uprawnienia dostępu oparte na rolach, utworzone zgodnie z zasadą rozdziału obowiązków  
• Silne narzędzia uwierzytelniania i autoryzacji (wielostopniowe uwierzytelnianie, autoryzację opartą na certyfikatach, automatyczną deaktywacja/wylogowanie itd.) 
• Centralne zarządzanie hasłami oraz silne/skomplikowane zasady tworzenia haseł (minimalna długość, różnorodność znaków, okres ważności haseł itd.)   
• Kontrolowany dostęp do poczty e-mail i Internetu 
• Zarządzanie programami antywirusowymi  
• Zarządzanie systemem ochrony przed intruzami

Szyfrowanie   

• Szyfrowanie komunikacji zewnętrznej oraz wewnętrznej przy pomocy silnych protokołów szyfrujących 
• Szyfrowanie danych osobowych i danych wrażliwych w stanie spoczynku (bazy danych, wspólne katalogi itp.)   
• Pełne szyfrowanie dysków w komputerach stacjonarnych oraz laptopach należących do firmy
• Szyfrowanie nośników danych
• Połączenia zdalne z sieciami należącymi do firmy realizowane są za pomocą wirtualnej sieci prywatnej VPN
• Zabezpieczenie cyklu użytkowania kluczy szyfrujących

 Minimalizację danych    

• Minimalizację danych PII i SPII w dziennikach aplikacji, debugowania i bezpieczeństwa  
• Pseudonimizację danych osobowych w celu zapobiegania bezpośredniej identyfikacji osoby fizycznej 
• Segregację przechowywanych danych ze względu na funkcję (testy, środowiska tymczasowe, żywe dane) 
• Logiczne segregowanie danych według praw dostępu opartych o role 
• Zdefiniowane okresy przechowywania danych w odniesieniu do danych osobowych 

Testy bezpieczeństwa     

• Testowanie możliwości penetracji krytycznych sieci należących do firmy oraz platform przechowujących dane osobowe 
• Regularne skanowanie sieci oraz wrażliwości systemu

2. Integralność. „Pojęcie integralności odnosi się do zapewnienia poprawności (nienaruszalności) danych oraz poprawnego funkcjonowania systemów. Zestawienie terminu „integralność” z rzeczownikiem „dane” oznacza, że dane są kompletne i nienaruszone.”  

Stosowane są odpowiednie środki kontroli dotyczące zarządzania zmianami oraz rejestrami, stanowiące uzupełnienie środków kontroli dostępu służących zachowaniu integralności danych osobowych, takie jak:    

Zarządzanie zmianami i wersjami    

• Proces zarządzania zmianami i wersjami obejmujący (analizę wpływu, akceptacje, testowanie, przeglądy bezpieczeństwa, środowiska testowe, monitoring itd.)  
• Udzielanie dostępu w oparciu o funkcje i role (rozdział obowiązków) w odniesieniu do środowisk produkcyjnych

Rejestrowanie i monitorowanie

• Rejestrowanie dostępu do danych i wprowadzania w nich zmian  
• Scentralizowane rejestry audytów i bezpieczeństwa   
• Monitorowanie kompletności i poprawności przesyłania danych (sprawdzanie od punktu wyjścia do punktu docelowego)

3. Dostępność. „Dostępność usług oraz systemów informatycznych, aplikacji IT oraz funkcji sieciowych IT lub informacji jest gwarantowana, jeżeli użytkownicy mają możliwość korzystania z nich w dowolnym czasie.”    

Wdrażamy stosowne środki zapewnienia ciągłości i bezpieczeństwa w celu utrzymania dostępności naszych usług oraz danych znajdujących się w takich usługach:    

• Regularne testy odporności na awarie usług krytycznych  
• Rozległe monitorowanie wydajności/dostępności oraz raportowanie systemów krytycznych  
• Program reagowania na zdarzenia naruszające bezpieczeństwo  
• Kopiowanie lub tworzenie kopii zapasowych danych krytycznych (kopia zapasowa w chmurze/kopiowanie twardych dysków lub baz danych itd.) 
• Stosowanie planowanych konserwacji oprogramowania, infrastruktury oraz bezpieczeństwa (aktualizacje oprogramowania, łatki bezpieczeństwa itd.)   
• Systemy nadmiarowe oraz zapewniające odporność (klastry serwerów, lustrzane kopie baz danych, konfiguracje o wysokiej dostępności itd.) położone poza terenem i/lub w miejscach oddzielonych geograficznie    
• Wykorzystywanie zasilaczy bezprzerwowych (UPS), urządzeń oraz systemów sieciowych odpornych na uszkodzenia i awarie  
• Stosowanie alarmów i systemów bezpieczeństwa  
• Stosowanie środków ochrony fizycznej w krytycznych obiektach (ochrona antyprzepięciowa, podniesione podłogi, systemy chłodzenia, detektory ognia i/lub dymu, systemy przeciwpożarowe itd.) 
• Ochrona przed atakami typu DDoS w celu zachowania dostępności usług   
• Testy obciążeń

4. Instrukcje dotyczące przetwarzania danych. „Instrukcje dotyczące przetwarzania danych dotyczą gwarancji przetwarzania danych osobowych tylko zgodnie z instrukcjami dostarczonymi przez administratora danych oraz powiązanymi środkami firmy”  

Wdrożyliśmy wewnętrzne zasady ochrony danych osobowych i umowy oraz przeprowadzamy regularne szkolenia pracownicze dotyczące prywatności, aby zapewnić przetwarzanie danych osobowych zgodnie z preferencjami i instrukcjami klientów.   

• Postanowienia dotyczące prywatności i poufności w umowach pracowniczych 
• Regularne szkolenia pracownicze na temat bezpieczeństwa oraz poufności danych 
• Odpowiednie zapisy w umowach z podwykonawcami w celu zachowania uprawnień kontroli instruktażowej 
• Regularne kontrole prywatności dla zewnętrznych usługodawców 
• Zapewnienie klientom pełnej kontroli nad preferencjami dotyczącymi przetwarzania danych 
• Regularne audyty bezpieczeństwa 

---

Załącznik 3 – Administratorzy wtórnie przetwarzający dane osobowe GoDaddy

Nazwa firmy	Kraj założenia	Opis usługi	Kategorie danych
Acronis International GmbH	Szwajcaria	Kopie zapasowe Klienta	Migawki kopii zapasowej.
Automattic Inc	Stany Zjednoczone	Wtyczka WooCommerce i dodatki w zakresie WordPressa dla handlu elektronicznego.	Profile użytkowników systemu WordPress Klienta (w tym nazwa i adres e-mail) oraz wszystkich pracowników/wykonawców.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc	Wielka Brytania, Niemcy, Stany Zjednoczone	Zapewnianie rozwiązań sieciowych i zarządzanie nimi jako częścią naszej sieci, w tym analiza metadanych.	Przetwarzanie metadanych adresów IP, sygnatur czasowych i ruchu sieciowego
cPanel Inc	Stany Zjednoczone	Oprogramowanie do zarządzania panelem cPanel dla produktów związanych z hostingiem i serwerem.	Wszystkie dane Klienta przechowywane w panelu cPanel.
DENIC eG	Niemcy	Rejestracja domen .de	Wszystkie informacje dotyczące konta niezbędne do świadczenia usług związanych z domeną. Informacje WHOIS.
Equinix Netherlands BV	Holandia	Obiekty kolokacyjne ośrodków przetwarzania danych w Holandii.	Obiekty kolokacyjne ośrodków przetwarzania danych w Holandii.
EURid vzw	Belgia	Rejestracja domen .eu	Wszystkie informacje dotyczące konta niezbędne do świadczenia usług związanych z domeną. Informacje WHOIS.
Juniper Networks Inc	Stany Zjednoczone	Zapewnianie rozwiązań sieciowych i zarządzanie nimi jako częścią naszej sieci, w tym analiza metadanych.	Adresy IP, sygnatury czasowe, ruch sieciowy
LivePerson Inc	Stany Zjednoczone	Chat „LiveEngage” w naszej witrynie.	Zapisy czatów, zautomatyzowane informacje, takie jak: adresy IP, system operacyjny i typ urządzenia.
LvivIT	Ukraina	Zapewnianie pomocy technicznej dla platformy operacyjnej.	Wszystkie informacje o koncie klienta.
OVH Grouppe SAS	Francja	Obiekty kolokacyjne ośrodków przetwarzania danych w Niemczech, odsprzedaż produktów związanych z serwerem.	Hostowane dane Klienta, w tym m.in. witryny, aplikacje i dane klientów Klienta. Mogą one obejmować ruch sieciowy.
Plesk International GmbH	Niemcy	Panel kontrolny Plesk dla VPS i serwery dedykowane oraz Kreator stron www Plus.	Wszystkie dane klienta przechowywane w panelu kontrolnym Plesk oraz dane klienta przechowywane w hostowanej witrynie.
Datadock SARL	Francja	Obiekty kolokacyjne ośrodków przetwarzania danych we Francji.	Usługi związane ze sprzętem i siecią. Żadne dane osobowe nie są przetwarzane w sposób umyślny.
GoDaddy Media Temple Inc d/b/a Sucuri	Stany Zjednoczone	Produkty związane z SAAS: Zabezpieczanie witryn Klienta przed złośliwym oprogramowaniem	Wszystkie informacje o koncie wymagane do świadczenia usług związanych z witryną oraz dane Klienta przechowywane w hostowanej witrynie.
GoDaddy Media Temple Inc d/b/a Sucuri	Stany Zjednoczone	Wewnętrznie: Zapora aplikacji sieci Web w naszych firmowych witrynach i w panelach sterowania klienta w celu chronienia technologii informatycznych marki i danych klienta.	Monitorowanie ruchu w witrynie. Metadane adresów IP, sygnatur czasowych i ruchu sieciowego.
Starfield Technologies LLC	Stany Zjednoczone	Certyfikaty SSL.	Wszystkie informacje o koncie Klienta wymagane dla certyfikatu SSL.
DomainsByProxy LLC	Stany Zjednoczone	Usługi związane z prywatnością domeny.	Rejestracja domeny i szczegółowe informacje kontaktowe.
GoDaddy Sellbrite, Inc.	Stany Zjednoczone	Narzędzie do sprzedaży online	Dane transakcji i produktów ze sklepu internetowego.
GoDaddy Payments LLC	Stany Zjednoczone	Narzędzia do przetwarzania płatności.