GoDaddy

ANEKS DOTYCZĄCY PRZETWARZANIA DANYCH (KLIENCI)

Ostatnia zmiana: 27.09.2021

Niniejszy Aneks dotyczący Przetwarzania Danych („Aneks”) zostaje zawarty pomiędzy firmą GoDaddy.com, LLC, a Delaware limited liability company i jej Partnerami („firma GoDaddy”) a klientem („Klient”) oraz jest dołączony do Regulaminu ogólnego, Zasad ochrony danych osobowych oraz wszelkich umów regulujących Świadczone usługi (łącznie „Warunki świadczenia usług”) oraz stanowi uzupełnienie wyżej wymienionych dokumentów.  O ile niniejszy Aneks nie stanowi inaczej, wszelkie terminy zapisane wielką literą i niezdefiniowane w niniejszym Aneksie posiadają znaczenie nadane im w Warunkach świadczenia usług.

1. Definicje

Partnerzy” to wszelkie podmioty kontrolowane przez firmę GoDaddy, kontrolujące ją lub pozostające z nią pod wspólną kontrolą.

CCPA” oznacza ustawę California Consumer Privacy Act (Ustawa o ochronie prywatności konsumentów w stanie Kalifornia), Kodeks Cywilny stanu Kalifornia 1798.100 i następne, w tym wszelkie zmiany i wszelkie przepisy wykonawcze do niej, które wchodzą w życie w dniu lub po dniu wejścia w życie niniejszego Aneksu dotyczącego przetwarzania danych.

Świadczone usługi” obejmują usługi hostowane, które mogą obejmować przetwarzanie przez nas danych osobowych i podlegające regulaminom następujących Umów: (1) na usługi marketingu e-mail, (2) hostingowej, (3) sklepu internetowego / szybkiego koszyka na zakupy, (4) na usługi związane z witryną, (5) na usługę Workspace.

Dane klienta” oznaczają Dane osobowe każdego podmiotu danych podlegające Przetwarzaniu przez firmę GoDaddy w obrębie Sieci firmy GoDaddy w imieniu Klienta na mocy Warunków świadczenia usług lub w związku z nimi.

Administrator Danych” oznacza Klienta jako podmiot ustalający cele oraz sposoby Przetwarzania danych osobowych.

Przetwarzający dane” oznacza firmę GoDaddy jako podmiot przeprowadzający Przetwarzanie Danych osobowych w imieniu Administratora danych lub usługodawcy, zgodnie z definicją tego terminu w ustawie CCPA.

Przepisy o ochronie danych”oznacza wszystkie przepisy dotyczące ochrony danych lub prywatności oraz regulacje mające zastosowanie do przetwarzania danych osobowych na mocy postanowień umowy, w tym (i) australijskie zasady ochrony prywatności i australijska ustawa o prywatności (1988), (ii) brazylijska ustawa Lei Geral de Proteção de Dados (LGPD), (iii) ustawa California Consumer Privacy Act (CCPA), (iv) kanadyjska ustawa federalna o ochronie danych osobowych i o dokumentach elektronicznych (PIPEDA), (v) Ogólne Rozporządzenie o Ochronie Danych (RODO), (vi) wszystkie krajowe przepisy dotyczące ochrony danych wynikające z RODO (vii) Dyrektywa UE o e-prywatności (Dyrektywa 2002/58/WE), (viii) singapurska ustawa o ochronie danych osobowych z 2012 r. (PDPA), (ix) szwajcarska ustawa federalna o ochronie danych z 19 czerwca 1992 r. i uchwały z nią związane, (x) UK GDPR lub ustawa o ochronie danych z 2018 r., które w każdym przypadku mogą zostać zmienione lub zastąpione.

Podmiot danych” oznacza osobę fizyczną, której dotyczą Dane osobowe.

EOG” oznacza Europejski Obszar Gospodarczy.

RODO” oznacza rozporządzenie Parlamentu Europejskiego i Rady Europy (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, uchylające dyrektywę 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych).

Sieć firmy GoDaddy oznacza obiekty firmy GoDaddy będące centrami danych, serwery, urządzenia sieciowe oraz oprogramowanie instalowane na hoście (np. wirtualną zaporę ogniową) znajdujące się pod kontrolą firmy GoDaddy i wykorzystywane do dostarczania Świadczonych usług.

Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej lub gospodarstwa domowego, zgodnie z definicją w przepisach o ochronie danych.

Przetwarzanie danych” oznacza każdą operację lub ciąg operacji dokonywanych na Danych osobowych, także za pomocą metod zautomatyzowanych, takich jak gromadzenie, zapisywanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub przekształcanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub kompilowanie, ograniczanie, usuwanie lub niszczenie. „Przetwarzać”, „przetworzone” oraz inne formy tego terminu będą interpretowane w analogiczny sposób. Szczegóły przetwarzania danych zostały opisane w Załączniku 1.

Zdarzenie naruszające bezpieczeństwo” oznacza (a) naruszenie Standardów bezpieczeństwa firmy GoDaddy prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, przekształcenia, nieautoryzowanego ujawnienia lub dostępu do wszelkich Danych klienta lub (b) każde uzyskanie nieautoryzowanego dostępu do urządzeń lub obiektów firmy GoDaddy, skutkujące zniszczeniem, utratą, nieautoryzowanym ujawnieniem lub przekształceniem Danych klienta.

Standardy bezpieczeństwa” oznaczają standardy bezpieczeństwa załączone do niniejszego Aneksu jako Załącznik 2.

Dane wrażliwe”oznacza (a) numer ubezpieczenia społecznego, numer paszportu, numer prawa jazdy lub podobny identyfikator (lub jego dowolną część); (b) numer karty kredytowej lub debetowej (inny niż ostatnie cztery cyfry, informacje finansowe, numery i hasła rachunków bankowych; (c) informacje dotyczące zatrudnienia, informacje finansowe, genetyczne, biometryczne lub o zdrowiu; (d) informacje dotyczące rasy, przynależności etnicznej, poglądów politycznych i religijnych, przynależności do związków zawodowych albo informacje o życiu seksualnym i orientacji seksualnej; (e) hasła do konta, nazwisko panieńskie matki lub data urodzenia; (f) dane o karalności lub (g) wszystkie inne informacje lub połączenie informacji, które mieszczą się w definicji „specjalnych kategorii danych” na mocy RODO lub innych przepisów albo regulacji odnoszących się do ochrony prywatności i danych.

Standardowe klauzule umowne” oznacza standardowe klauzule umowne dotyczące ochrony danych dla transferu danych osobowych od administratora danych do przetwarzającego mającego siedzibę w krajach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych, który opisano w Artykule 46 RODO i Decyzji 2021/914 z 4 czerwca 2021 r. zatwierdzonej przez Komisję Europejską. Moduł Drugi (Administrator danych do przetwarzającego) Standardowych klauzul umownych znajduje się w Załączniku 4.

Administrator wtórnie przetwarzający dane” oznacza każdego Przetwarzającego dane zaangażowanego przez Przetwarzającego w celu Przetwarzania danych w imieniu Administratora danych.

Standardowe klauzule umowne dla Wielkiej Brytanii” oznacza standardowe klauzule dotyczące ochrony danych dla transferu danych osobowych do przetwarzających mających siedzibę w krajach trzecich, które nie zapewniają odpowiedniego poziomu ochrony danych, który opisano w Artykule 46 UK GDPR i Decyzji 2010/87 z 4 czerwca 2021 r. zatwierdzonej przez Komisję Europejską. Standardowe klauzule umowne dla Wielkiej Brytanii przedstawiono w Załączniku 4.                            

2. Przetwarzanie danych

2.1 Zakres i role. Niniejszy Aneks znajduje zastosowanie w sytuacji, gdy Dane klienta są przetwarzane przez GoDaddy a GoDaddy występuje w roli podmiotu przetwarzającego dane w imieniu Klienta będącego administratorem danych w odniesieniu do Danych klienta.

2.2 Szczegóły przetwarzania danych. Przedmiotem operacji Przetwarzania Danych Klienta przez firmę GoDaddy jest wykonywanie Świadczonych usług zgodnie z Warunkami świadczenia usług. Firma GoDaddy przetwarza Dane klienta wyłącznie w imieniu Klienta oraz zgodnie z jego pisemnymi instrukcjami w następujących celach: (i) przetwarzanie zgodnie z Warunkami świadczenia usług; (ii) przetwarzanie zainicjowane przez użytkowników końcowych podczas korzystania ze Świadczonych usług; (iii) przetwarzanie w celu zachowania zgodności z innymi udokumentowanymi, zasadnymi instrukcjami dostarczonymi przez Klientów (np. pocztą elektroniczną), które są zgodne z warunkami Umowy. Firma GoDaddy nie będzie: (a) przetwarzać, przechowywać, wykorzystywać, sprzedawać ani ujawniać Danych klienta, z wyjątkiem sytuacji, gdy jest to konieczne do wykonywanie Świadczonych usług zgodnie z Warunkami świadczenia usług lub gdy jest to wymagane przez prawo; (b) sprzedawać takich Danych klienta stronom trzecim; (c) przechowywać, wykorzystywać ani ujawniać takich Danych Klienta poza bezpośrednimi relacjami biznesowymi pomiędzy firmą GoDaddy a Klientem.

Aby uniknąć wątpliwości, instrukcje Klienta w zakresie Przetwarzania Danych osobowych powinny być zgodne ze wszystkimi obowiązującymi przepisami o ochronie danych osobowych. Klient ponosi wyłączną odpowiedzialność za dokładność, jakość i zgodność z prawem Danych osobowych oraz środków, za pomocą których Klient uzyskał Dane osobowe. Firma GoDaddy nie jest zobowiązana do przestrzegania instrukcji Klienta lub ich wykonywania, jeśli takie instrukcje naruszałyby przepisy o ochronie danych. Czas trwania operacji Przetwarzania, charakter oraz cel Przetwarzania, rodzaje Danych osobowych oraz kategorie podmiotów danych objętych Przetwarzaniem zgodnie z warunkami niniejszego Aneksu zostały szczegółowo opisane w Załączniku 1 („Szczegóły procesu przetwarzania”) do niniejszego Aneksu.

3. Poufność Danych Klienta

Firma GoDaddy nie ujawnia Danych Klienta jakimkolwiek instytucjom rządowym ani jakimkolwiek innym podmiotom trzecim, z wyjątkiem przypadków, w których jest to niezbędne do zachowania zgodności z przepisami prawa lub do zastosowania się do ważnego i wiążącego nakazu organu ścigania (takiego jak wezwanie sądowe lub nakaz sądowy). W przypadku, gdy firma GoDaddy otrzyma ważne wezwanie do postępowania cywilnego, i w dozwolonym zakresie, firma GoDaddy dołoży starań, aby dostarczyć Klientowi rozsądne powiadomienie o wezwaniu za pośrednictwem poczty elektronicznej lub tradycyjnej, aby umożliwić mu uzyskanie nakazu ochrony lub innego odpowiedniego środka zaradczego.

4. Zabezpieczenia

4.1 Firma GoDaddy wdrożyła i będzie stosować środki techniczne oraz organizacyjne w odniesieniu do Sieci firmy GoDaddy, opisane w niniejszej sekcji oraz w Załączniku 2 do niniejszego Aneksu pt. „Standardy bezpieczeństwa”. W szczególności, firma GoDaddy wdrożyła oraz będzie stosować następujące środki techniczne i organizacyjne dotyczące (i) bezpieczeństwa Sieci firmy GoDaddy; (ii) bezpieczeństwa fizycznego obiektów; (iii) środków kontroli dostępu pracowników oraz wykonawcy do (i) i/lub (ii); oraz (iv) procesy testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych wdrożonych przez firmę GoDaddy. W przypadku niemożności wywiązania się z któregokolwiek z zobowiązań określonych w niniejszym dokumencie, wystosujemy pisemne zawiadomienie (za pośrednictwem swojej witryny oraz poczty e-mail) tak szybko, jak jest to praktycznie możliwe.

4.2 Firma GoDaddy udostępnia szereg form oraz funkcji zabezpieczeń, które Klient może wykorzystywać w stosunku do Świadczonych usług. Klient jest odpowiedzialny za (a) prawidłową konfigurację Świadczonych usług, (b) korzystanie z dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu stałego zapewnienia poufności, integralności, dostępności oraz odporności systemów oraz usług Przetwarzania, (c) wykorzystywanie dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu umożliwienia Klientowi przywrócenia dostępności oraz dostępu do Danych Klienta w odpowiednim czasie w przypadku wystąpienia incydentu fizycznego lub technicznego (np. tworzenie kopii zapasowych oraz rutynową archiwizację Danych Klienta), oraz (d) podejmowanie kroków, które Klient uzna za stosowne w celu zachowania właściwego bezpieczeństwa, ochrony oraz w celu usuwania Danych Klienta, w tym wykorzystywania technologii szyfrowania w celu ochrony Danych Klienta przed nieautoryzowanym dostępem oraz środków kontroli praw dostępu do Danych Klienta.

5. Prawa Osoby, której dane dotyczą

Mając na uwadze charakter Świadczonych usług, firma GoDaddy zapewnia Klientowi określone środki kontroli opisane w sekcji „Bezpieczeństwo” niniejszego Aneksu, umożliwiające Klientowi pobieranie, sprostowanie, usuwanie lub ograniczanie wykorzystywania i przekazywania Danych Klienta opisanych w Świadczonych usługach. Klient może wykorzystywać takie środki kontroli jako środki techniczne i organizacyjne w związku z jego zobowiązania wynikającymi z mających zastosowanie przepisów dotyczących prywatności, łącznie ze zobowiązaniami związanymi z odpowiedzią na żądania Osób, których dane dotyczą. W sposób gospodarczo uzasadniony oraz w zakresie wymaganym lub dozwolonym przez prawo, firma GoDaddy niezwłocznie powiadomi Klienta w przypadku, gdy firma GoDaddy otrzyma od Osoby, której dane dotyczą bezpośrednie żądanie wykonania praw wynikających z mających zastosowanie przepisów o ochronie danych osobowych („Żądanie Osoby, której dane dotyczą”). Ponadto, w przypadku korzystania przez Klienta ze Świadczonych usług w sposób ograniczający możliwość odniesienia się do Żądania Osoby, której dane dotyczą, firma GoDaddy może – jeżeli jest to prawnie dozwolone i właściwe oraz po otrzymaniu żądania od Klienta – dostarczyć gospodarczo uzasadnioną pomoc w odnoszeniu się do żądania, na koszt Klienta (jeśli taki wystąpi).

6. Podwykonawstwo Przetwarzania

6.1 Upoważnieni Podwykonawcy Przetwarzania. Klient akceptuje, iż firma GoDaddy może korzystać z usług Podwykonawców Przetwarzania w celu realizacji swoich zobowiązań umownych wynikających z Warunków świadczenia usług oraz niniejszego Aneksu lub w celu dostarczenia określonych usług w swoim imieniu, takich jak usługi wsparcia. Klient wyraża niniejszym zgodę na korzystanie przez firmę GoDaddy z usług Podwykonawców Przetwarzania zgodnie z postanowieniami niniejszej sekcji. Z wyjątkiem przypadków określonych w niniejszej sekcji lub z wyjątkiem innych przypadków wyraźnie zatwierdzonych przez Klienta, firma GoDaddy nie zezwoli na wykonanie jakichkolwiek innych czynności Przetwarzania danych przez Podwykonawców.

6.2 Obowiązki Podwykonawców Przetwarzania. W przypadkach, w których firma GoDaddy korzysta z usług autoryzowanych Podwykonawców Przetwarzania zgodnie z postanowieniami sekcji 6.1:

(i) firma GoDaddy ograniczy dostęp Podwykonawcy Przetwarzania do Danych Klienta wyłącznie do zakresu niezbędnego do utrzymania Świadczonych usług lub do dostarczania Świadczonych usług Klientowi oraz użytkownikom końcowym zgodnie z warunkami Świadczonych usług. Firma GoDaddy uniemożliwi Podwykonawcy Przetwarzania uzyskiwanie dostępu do Danych Klienta w jakimkolwiek innym celu;

(ii) firma GoDaddy zawrze pisemną umowę z Podwykonawcą Przetwarzania oraz – w zakresie, w jakim Podwykonawca Przetwarzania świadczy te same usługi przetwarzania danych, które są oferowane przez firmę GoDaddy zgodnie z niniejszym Aneksem – firma GoDaddy nakłada na Podwykonawcę Przetwarzania te same obowiązki umowne, jakie spoczywają na firmie GoDaddy na mocy niniejszego Aneksu; oraz

(iii) firma GoDaddy ponosi odpowiedzialność za zachowanie zgodności z obowiązkami określonymi w niniejszym Aneksie oraz za wszelkie działania lub zaniechania ze strony Podwykonawcy Przetwarzania, które przyczyniają się do złamania przez firmę GoDaddy którychkolwiek ze zobowiązań firmy GoDaddy wynikających z niniejszego Aneksu.

6.3 Nowi Administratorzy wtórnie przetwarzający dane.  Okresowo nasza firma może korzystać z pomocy nowych Administratorów wtórnie przetwarzających dane zgodnie z warunkami przedstawionymi w niniejszym Aneksie.  W takich przypadkach nasza firma przekazuje informację (za pośrednictwem swojej witryny i poczty e-mail) 30 dni przed uzyskaniem przez nowego administratora wtórnie przetwarzającego dane dostępu do jakichkolwiek Danych klienta. Jeśli Klient nie zatwierdzi nowego administratora wtórnie przetwarzającego dane, Klientowi będzie przysługiwać prawo do wypowiedzenia dowolnych Świadczonych usług bez ponoszenia jakiejkolwiek kary poprzez przekazanie w terminie 10 dni od otrzymania zawiadomienia od naszej firmy pisemnego wypowiedzenia, obejmującego wyjaśnienie przyczyn odmowy zatwierdzenia nowego administratora wtórnie przetwarzającego dane. Jeżeli Świadczone usługi są częścią pakietu lub zakupu pakietowego, wszelkie wypowiedzenie będzie miało zastosowanie do całości takich usług.

7. Zdarzenie naruszające bezpieczeństwo

7.1 Zdarzenie naruszające bezpieczeństwo. Jeżeli firma GoDaddy posiądzie wiedzę o wystąpieniu Zdarzenia naruszającego bezpieczeństwo, firma GoDaddy niezwłocznie: (a) powiadomi Klienta o zaistnieniu Zdarzenia naruszającego bezpieczeństwo oraz (b) podejmie właściwe kroki w celu złagodzenia skutków oraz zminimalizowania wszelkich szkód będących efektem danego Zdarzenia naruszającego bezpieczeństwo.

7.2 GoDaddy Pomoc.  W celu udzielenia Klientowi pomocy w związku z wszelkimi powiadomieniami o naruszeniach ochrony danych osobowych, które Klient jest zobowiązany przekazać na mocy wszelkich obowiązujących przepisów dotyczących prywatności, firma GoDaddy umieści w odpowiednim powiadomieniu takie informacje dotyczące Zdarzenia naruszającego bezpieczeństwo, jakie firma GoDaddy jest w stanie ujawnić Klientowi w rozsądnych granicach, biorąc pod uwagę charakter Świadczonych usług, informacje dostępne firmie GoDaddy oraz wszelkie ograniczenia w zakresie ujawniania informacji, takie jak poufność danych.  

7.3 Nieudane Zdarzenia naruszające bezpieczeństwo. Klient akceptuje, że:

(i) Nieudane Zdarzenie naruszające bezpieczeństwo nie podlega warunkom niniejszego Aneksu. Nieudane Zdarzenie naruszające bezpieczeństwo stanowi nieudaną próbę uzyskania nieautoryzowanego dostępu do Danych Klienta lub do jednej z Sieci firmy GoDaddy, jej urządzeń lub budynków, w których przechowywane są Dane Klienta. Zdarzenia tego typu mogą obejmować m.in. polecenia ping i inne ataki na zapory sieciowe lub serwery brzegowe, polegające na nadaniu klucza publicznego trzem lub więcej użytkownikom, skanowanie portów, nieudane próby logowania, ataki typu DoS, zbieranie pakietów (lub inne sposoby uzyskania nieautoryzowanego dostępu do danych dotyczących ruchu sieciowego, w wyniku którego pozyskiwane są jedynie dane nagłówków) lub podobne zdarzenia; oraz

(ii) obowiązek zgłoszenia przez firmę GoDaddy Zdarzenia naruszającego bezpieczeństwo lub zareagowania na nie zgodnie z niniejszą sekcją nie stanowi i nie będzie stanowić uznania przez firmę GoDaddy wszelkich uchybień lub odpowiedzialności firmy GoDaddy w odniesieniu do takiego Zdarzenia naruszającego bezpieczeństwo.

7.4 Powiadomienie. Powiadomienie dotyczące Zdarzeń naruszających bezpieczeństwo, jeśli takie wystąpią, będzie dostarczane do co najmniej jednego administratora Klienta przy pomocy któregokolwiek środka komunikacji wybranego przez firmę GoDaddy łącznie z pocztą e-mail. Klient ponosi wyłączną odpowiedzialność za zapewnienie, że administratorzy Klienta posiadają aktualne dane kontaktowe w konsoli zarządzania firmy GoDaddy oraz za zapewnienie bezpiecznej transmisji danych.

8. Prawa Klienta

8.1 Niezależne określanie. Klient jest odpowiedzialny za zapoznanie się z informacjami udostępnionymi przez firmę GoDaddy, które odnoszą się do bezpieczeństwa danych i Standardów bezpieczeństwa, a także za sprawdzenie, czy Świadczone usługi spełniają wymagania Klienta oraz zobowiązania prawne, jak również obowiązki Klienta opisane w niniejszym Aneksie. Udostępnione informacje mają za zadanie pomoc Klientowi w zachowaniu zgodności z obowiązkami Klienta wynikającymi z mających zastosowanie przepisów dotyczących prywatności, łącznie z RODO, w odniesieniu do oceny skutków w zakresie ochrony danych oraz wcześniejszych konsultacji.

8.2 Prawo Klienta do przeprowadzenia audytu. Klient ma prawo zażądać potwierdzenia stosowania się przez firmę GoDaddy do postanowień niniejszego Aneksu w zakresie Świadczonych usług przez złożenie konkretnego żądania na piśmie, w rozsądnych odstępach czasu, na adres podany w Warunkach świadczenia usług. W przypadku, kiedy firma GoDaddy odmówi zastosowania się do jakichkolwiek instrukcji Klienta dotyczących prawidłowo zażądanego audytu lub inspekcji o należycie określonym zakresie, Klienta ma prawo do wypowiedzenia warunków niniejszego Aneksu oraz Warunków świadczenia usług.

9. Transfer Danych klienta

9.1 Przetwarzanie na terenie Stanów Zjednoczonych. Z wyjątkiem przypadków wyraźnie określonych w Warunkach świadczenia usług, Dane klienta będą przekazywane poza Wielką Brytanię i EOG oraz przetwarzane na terenie USA.

9.2 Zastosowanie Standardowych klauzul umownych. Standardowe klauzule umowne będą miały zastosowanie dla Danych Klienta, które będą przekazywane poza EOG, zarówno bezpośrednio, jak i przy dalszym przekazywaniu danych do jakiegokolwiek kraju uznanego przez Komisję Europejską za niezapewniający wystarczających środków bezpieczeństwa Danych klienta. Standardowe klauzule umowne nie mają zastosowania do Danych Klienta, które nie są przekazywane – zarówno bezpośrednio, jak i w ramach dalszego przekazywania – poza EOG. Niezależnie od powyższego, Standardowe klauzule umowne nie mają zastosowania, gdy dane są przekazywane zgodnie z uznanym standardem zgodnego z prawem transferu Danych osobowych poza EOG, na przykład gdy jest to konieczne do wykonywania Świadczonych usług zgodnie z Warunkami świadczenia usług lub za zgodą Klienta.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Wypowiedzenie Aneksu

Niniejszy Aneks pozostaje w mocy do czasu zakończenia czynności Przetwarzania zgodnie z Warunkami świadczenia usług („Data zakończenia Przetwarzania”).   

11. Zwrot lub usuwanie Danych Klienta

Tak jak zostało to opisane w Świadczonych usługach, Klient może otrzymać narzędzia kontroli, które mogą być wykorzystywane do odzyskiwania lub usuwania Danych klienta. Usunięcie Danych klienta nastąpi trzydzieści (30) dni po dacie Rozwiązania umowy na mocy warunków poszczególnych Świadczonych Usług.

12. Ograniczenie odpowiedzialności

Odpowiedzialność każdej ze stron na mocy niniejszego Aneksu podlega wyłączeniom oraz ograniczeniom odpowiedzialności określonym w Warunkach świadczenia usług. Klient akceptuje fakt, iż wszelkie kary regulaminowe poniesione przez firmę GoDaddy w związku z Danymi Klienta, a wynikające z niedopełnienia przez Klienta jego obowiązków wynikających z postanowień niniejszego Aneksu oraz wszelkich mających zastosowanie przepisów dotyczących prywatności lub związane z takim niedopełnieniem obowiązków, zostaną zaliczone w poczet odpowiedzialności firmy GoDaddy wynikającej z Warunków świadczenia usług oraz zmniejszą ją, tak jakby stanowiły one odpowiedzialność Klienta wynikającą z Warunków świadczenia usług.

13. Całość Warunków świadczenia usług; Konflikt

Niniejszy Aneks zastępuje wszelkie wcześniejsze lub równoczesne oświadczenia, porozumienia, umowy lub komunikaty pomiędzy Klientem a firmą GoDaddy, zarówno w formie pisemnej, jak i ustnej, dotyczące przedmiotu niniejszego Aneksu, w tym wszelkie załączniki dotyczące przetwarzania danych zawarte pomiędzy firmą GoDaddy a Klientem w odniesieniu do przetwarzania danych osobowych i swobodnego przepływu tych danych.  Z wyjątkiem postanowień zmienionych na mocy niniejszego Aneksu, Warunki świadczenia usług pozostają w mocy.  W przypadku konfliktu pomiędzy Warunkami świadczenia usług a niniejszym Aneksem, postanowienia niniejszego Aneksu mają moc rozstrzygającą.

Załącznik 1

 SZCZEGÓŁY PRZETWARZANIA DANYCH

 1. Charakter i cel przetwarzania. Firma GoDaddy przetwarza Dane klienta w zakresie niezbędnym do realizacji Świadczonych usług zgodnie z Warunkami świadczenia usług i dalszymi instrukcjami Klienta otrzymywanymi w trakcie korzystania przez niego ze Świadczonych usług.

 2. Okres Przetwarzania danych. Na mocy Sekcji 10 i 11 niniejszego Aneksu GoDaddy będzie przetwarzać Dane klienta w okresie obowiązywania Warunków świadczenia usług. Niezależnie od powyższego, firma GoDaddy może zachować Dane klienta lub ich część, jeśli jest to wymagane przez obowiązujące przepisy lub regulacje, w tym obowiązujące przepisy o ochronie danych, pod warunkiem, że te Dane klienta pozostają chronione zgodnie z warunkami niniejszego Aneksu i obowiązujących przepisów o ochronie danych.

3. Kategorie Osób, których dane dotyczą. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. Dane osobowe odnoszące się do następujących kategorii Osób, których dane dotyczą:

  • Potencjalnych klientów, klientów, partnerów biznesowych oraz dystrybutorów Klienta (będących osobami fizycznymi)
  • Pracowników lub osób kontaktowych potencjalnych klientów, klient`ów, partnerów biznesowych i dystrybutorów Klienta
  • Pracowników, agentów, doradców Klienta oraz osób świadczących usługi na rzecz Klienta jako przedstawiciele wolnych zawodów (będących osobami fizycznymi)
  • Użytkowników Klienta, którzy zostali upoważnieni przez Klienta do korzystania ze Świadczonych usług.

4. Kategorie Danych osobowych. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Rodzaj i zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. następujące kategorie Danych osobowych podmiotów danych: 

  • Imię i nazwisko
  • Adres
  • Numer telefonu
  • Data urodzenia
  • Adres e-mail
  • Inne gromadzone dane, które mogą pozwolić na bezpośrednią lub pośrednią identyfikację Klienta.

5. Dane wrażliwe i specjalne kategorie danych. Klient może przesłać dane wrażliwe w trakcie korzystania ze Świadczonych usług, a ich rodzaj i zakres jest określany i kontrolowany przez Klienta według jego wyłącznego uznania. Klient jest odpowiedzialny za zastosowanie ograniczeń lub zabezpieczeń, które w pełni uwzględniają charakter danych i ryzyko z tym związane przed przesłaniem lub przetworzeniem jakichkolwiek Danych wrażliwych za pośrednictwem Świadczonych usług.

Załącznik 2

Standardy bezpieczeństwa

I.  Środki techniczne i organizacyjne  

Dbamy o ochronę informacji o naszych Klientach.  Biorąc pod uwagę najlepsze praktyki, koszty wdrożenia oraz charakter, zakres, okoliczności i cele Przetwarzania, a także różne prawdopodobieństwo wystąpienia oraz ciężar zagrożenia dla praw i swobód osób fizycznych, podejmujemy następujące środki techniczne i organizacyjne.  Podczas dobierania tych środków uwzględniamy poufność, integralność, dostępność i odporność systemów. Gwarantujemy szybkie odzyskanie danych po incydencie fizycznym lub technicznym.

II.  Program prywatności danych  

Nasz program prywatności danych został przyjęty w celu utrzymania globalnej struktury zarządzania danymi oraz zabezpieczenia danych przez cały cykl ich życia. Program jest prowadzony przez biuro inspektora ochrony danych, który nadzoruje wdrażanie zasad ochrony danych osobowych oraz środków bezpieczeństwa. Regularnie przeprowadzamy testy, ocenę i ewaluację skuteczności programu ochrony danych osobowych oraz Standardów bezpieczeństwa.

1. Poufność. „Poufność oznacza ochronę danych osobowych przed nieautoryzowanym ujawnieniem.”  

Wykorzystujemy różnorodne środki fizyczne oraz logiczne mające na celu ochronę poufności danych osobowych klientów. Środki te obejmują:   

  Ochronę fizyczną  

  • Funkcjonujące fizyczne systemy kontroli dostępu (kontrola dostępu przy pomocy identyfikatorów, monitorowanie zdarzeń związanych z bezpieczeństwem itd.) 
  • Systemy nadzoru, w tym alarmy, oraz – w stosownych przypadkach – monitoring z wykorzystaniem kamer przemysłowych  
  • Politykę czystego biurka oraz środki kontroli dokumentacji (blokowanie komputerów przy pustych stanowiskach, zamykane szafki itd.)  
  • Zarządzanie dostępem gości 
  • Niszczenie danych na nośnikach fizycznych oraz dokumentów (fizyczne niszczenie dokumentów, rozmagnesowywanie itd.)

  Kontrolę dostępu oraz zapobieganie dostępowi osób niepowołanych 

  • Zastosowane ograniczenia dostępu użytkownika oraz nadane/zrewidowane uprawnienia dostępu oparte na rolach, utworzone zgodnie z zasadą rozdziału obowiązków  
  • Silne narzędzia uwierzytelniania i autoryzacji (wielostopniowe uwierzytelnianie, autoryzację opartą na certyfikatach, automatyczną deaktywacja/wylogowanie itd.) 
  • Centralne zarządzanie hasłami oraz silne/skomplikowane zasady tworzenia haseł (minimalna długość, różnorodność znaków, okres ważności haseł itd.)   
  • Kontrolowany dostęp do poczty e-mail i Internetu 
  • Zarządzanie programami antywirusowymi  
  • Zarządzanie systemem ochrony przed intruzami

Szyfrowanie   

  • Szyfrowanie komunikacji zewnętrznej oraz wewnętrznej przy pomocy silnych protokołów szyfrujących  
  • Szyfrowanie danych umożliwiających identyfikację (PII) i wrażliwych danych umożliwiających identyfikację (SPII) w stanie spoczynku (bazy danych, udostępnione katalogi itd.)   
  • Pełne szyfrowanie dysków w komputerach stacjonarnych oraz laptopach należących do firmy   
  • Szyfrowanie nośników danych  
  • Połączenia zdalne z sieciami należącymi do firmy realizowane są za pomocą wirtualnej sieci prywatnej VPN  
  • Zabezpieczenie cyklu użytkowania kluczy szyfrujących

 Minimalizację danych    

  • Minimalizację danych PII i SPII w dziennikach aplikacji, debugowania i bezpieczeństwa  
  • Pseudonimizację danych osobowych w celu zapobiegania bezpośredniej identyfikacji osoby fizycznej 
  • Segregację przechowywanych danych ze względu na funkcję (testy, środowiska tymczasowe, żywe dane) 
  • Logiczne segregowanie danych według praw dostępu opartych o role 
  • Zdefiniowane okresy przechowywania danych w odniesieniu do danych osobowych 

Testy bezpieczeństwa     

  • Testowanie możliwości penetracji krytycznych sieci należących do firmy oraz platform przechowujących dane osobowe 
  • Regularne skanowanie sieci oraz wrażliwości systemu

2. Integralność. „Pojęcie integralności odnosi się do zapewnienia poprawności (nienaruszalności) danych oraz poprawnego funkcjonowania systemów. Zestawienie terminu „integralność” z rzeczownikiem „dane” oznacza, że dane są kompletne i nienaruszone.”  

Stosowane są odpowiednie środki kontroli dotyczące zarządzania zmianami oraz rejestrami, stanowiące uzupełnienie środków kontroli dostępu służących zachowaniu integralności danych osobowych, takie jak:    

Zarządzanie zmianami i wersjami    

  • Proces zarządzania zmianami i wersjami obejmujący (analizę wpływu, akceptacje, testowanie, przeglądy bezpieczeństwa, środowiska testowe, monitoring itd.)  
  • Udzielanie dostępu w oparciu o funkcje i role (rozdział obowiązków) w odniesieniu do środowisk produkcyjnych

Rejestrowanie i monitorowanie

  • Rejestrowanie dostępu do danych i wprowadzania w nich zmian  
  • Scentralizowane rejestry audytów i bezpieczeństwa   
  • Monitorowanie kompletności i poprawności przesyłania danych (sprawdzanie od punktu wyjścia do punktu docelowego)

3. Dostępność. „Dostępność usług oraz systemów informatycznych, aplikacji IT oraz funkcji sieciowych IT lub informacji jest gwarantowana, jeżeli użytkownicy mają możliwość korzystania z nich w dowolnym czasie.”    

Wdrażamy stosowne środki zapewnienia ciągłości i bezpieczeństwa w celu utrzymania dostępności naszych usług oraz danych znajdujących się w takich usługach:    

  • Regularne testy odporności na awarie usług krytycznych  
  • Rozległe monitorowanie wydajności/dostępności oraz raportowanie systemów krytycznych  
  • Program reagowania na zdarzenia naruszające bezpieczeństwo  
  • Kopiowanie lub tworzenie kopii zapasowych danych krytycznych (kopia zapasowa w chmurze/kopiowanie twardych dysków lub baz danych itd.) 
  • Stosowanie planowanych konserwacji oprogramowania, infrastruktury oraz bezpieczeństwa (aktualizacje oprogramowania, łatki bezpieczeństwa itd.)   
  • Systemy nadmiarowe oraz zapewniające odporność (klastry serwerów, lustrzane kopie baz danych, konfiguracje o wysokiej dostępności itd.) położone poza terenem i/lub w miejscach oddzielonych geograficznie    
  • Wykorzystywanie zasilaczy bezprzerwowych (UPS), urządzeń oraz systemów sieciowych odpornych na uszkodzenia i awarie  
  • Stosowanie alarmów i systemów bezpieczeństwa  
  • Stosowanie środków ochrony fizycznej w krytycznych obiektach (ochrona antyprzepięciowa, podniesione podłogi, systemy chłodzenia, detektory ognia i/lub dymu, systemy przeciwpożarowe itd.) 
  • Ochrona przed atakami typu DDoS w celu zachowania dostępności usług   
  • Testy obciążeń

4Instrukcje dotyczące przetwarzania danych. „Instrukcje dotyczące przetwarzania danych dotyczą gwarancji przetwarzania danych osobowych tylko zgodnie z instrukcjami dostarczonymi przez administratora danych oraz powiązanymi środkami firmy”  

Wdrożyliśmy wewnętrzne zasady ochrony danych osobowych i umowy oraz przeprowadzamy regularne szkolenia pracownicze dotyczące prywatności, aby zapewnić przetwarzanie danych osobowych zgodnie z preferencjami i instrukcjami klientów.   

  • Postanowienia dotyczące prywatności i poufności w umowach pracowniczych 
  • Regularne szkolenia pracownicze na temat bezpieczeństwa oraz poufności danych 
  • Odpowiednie zapisy w umowach z podwykonawcami w celu zachowania uprawnień kontroli instruktażowej 
  • Regularne kontrole prywatności dla zewnętrznych usługodawców 
  • Zapewnienie klientom pełnej kontroli nad preferencjami dotyczącymi przetwarzania danych 
  • Regularne audyty bezpieczeństwa 

Załącznik 3 – Administratorzy wtórnie przetwarzający dane osobowe GoDaddy

Nazwa firmy
Kraj założenia
Opis usługi
Kategorie danych
Acronis International GmbH Szwajcaria Kopie zapasowe Klienta Migawki kopii zapasowej.
Automattic Inc Stany Zjednoczone Wtyczka WooCommerce i dodatki w zakresie WordPressa dla handlu elektronicznego. Profile użytkowników systemu WordPress Klienta (w tym nazwa i adres e-mail) oraz wszystkich pracowników/wykonawców.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Wielka Brytania, Niemcy, Stany Zjednoczone Zapewnianie rozwiązań sieciowych i zarządzanie nimi jako częścią naszej sieci, w tym analiza metadanych. Przetwarzanie metadanych adresów IP, sygnatur czasowych i ruchu sieciowego
cPanel Inc Stany Zjednoczone Oprogramowanie do zarządzania panelem cPanel dla produktów związanych z hostingiem i serwerem. Wszystkie dane Klienta przechowywane w panelu cPanel.
DENIC eG Niemcy Rejestracja domen .de Wszystkie informacje dotyczące konta niezbędne do świadczenia usług związanych z domeną. Informacje WHOIS.
Equinix Netherlands BV Holandia Obiekty kolokacyjne ośrodków przetwarzania danych w Holandii. Żadne dane osobowe nie są przetwarzane w sposób umyślny.
EURid vzw Belgia Rejestracja domen .eu Wszystkie informacje dotyczące konta niezbędne do świadczenia usług związanych z domeną. Informacje WHOIS.
Juniper Networks Inc Stany Zjednoczone Zapewnianie rozwiązań sieciowych i zarządzanie nimi jako częścią naszej sieci, w tym analiza metadanych. Adresy IP, sygnatury czasowe, ruch sieciowy
LivePerson Inc Stany Zjednoczone Chat „LiveEngage” w naszej witrynie. Zapisy czatów, zautomatyzowane informacje, takie jak: adresy IP, system operacyjny i typ urządzenia.
LvivIT Ukraina Zapewnianie pomocy technicznej dla platformy operacyjnej. Wszystkie informacje o koncie klienta.
OVH Grouppe SAS Francja Obiekty kolokacyjne ośrodków przetwarzania danych w Niemczech, odsprzedaż produktów związanych z serwerem. Hostowane dane Klienta, w tym m.in. witryny, aplikacje i dane klientów Klienta. Mogą one obejmować ruch sieciowy.
Plesk International GmbH Niemcy Panel kontrolny Plesk dla VPS i serwery dedykowane oraz Kreator stron www Plus. Wszystkie dane klienta przechowywane w panelu kontrolnym Plesk oraz dane klienta przechowywane w hostowanej witrynie.
Datadock SARL Francja Obiekty kolokacyjne ośrodków przetwarzania danych we Francji. Usługi związane ze sprzętem i siecią. Żadne dane osobowe nie są przetwarzane w sposób umyślny.
GoDaddy Media Temple Inc d/b/a Sucuri Stany Zjednoczone
Produkty związane z SAAS: Zabezpieczanie witryn Klienta przed złośliwym oprogramowaniem
Wszystkie informacje o koncie wymagane do świadczenia usług związanych z witryną oraz dane Klienta przechowywane w hostowanej witrynie.
GoDaddy Media Temple Inc d/b/a Sucuri Stany Zjednoczone Wewnętrznie: Zapora aplikacji sieci Web w naszych firmowych witrynach i w panelach sterowania klienta w celu chronienia technologii informatycznych marki i danych klienta. Monitorowanie ruchu w witrynie. Metadane adresów IP, sygnatur czasowych i ruchu sieciowego.
Starfield Technologies LLC Stany Zjednoczone Certyfikaty SSL. Wszystkie informacje o koncie Klienta wymagane dla certyfikatu SSL.
DomainsByProxy LLC Stany Zjednoczone Usługi związane z prywatnością domeny. Rejestracja domeny i szczegółowe informacje kontaktowe.
GoDaddy Sellbrite, Inc. Stany Zjednoczone Narzędzie do sprzedaży online Dane transakcji i produktów ze sklepu internetowego.
GoDaddy Payments LLC Stany Zjednoczone Narzędzia do przetwarzania płatności.  

Załącznik 4

Przejdź do sekcji 9.2 niniejszego Aneksu, aby zapoznać się możliwościami zastosowania niniejszych standardowych klauzul umownych

Standardowe klauzule umowne (administrator danych do przetwarzających dane)

SEKCJA I

Klauzula 1

Cel i zakres

  1. Celem tych standardowych klauzul umownych jest zapewnienie zgodności z wymaganiami Rozporządzenia (UE) 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (Ogólne Rozporządzenie o Ochronie Danych) dla transferu danych do kraju trzeciego.
  2. Strony:
    1. osoba fizyczna lub prawna, organy władzy publicznej, agencje lub inne organy (dalej pod nazwą „podmiot/podmioty”) przekazujące dane osobowe, wymienione w Dodatku I.A (dalej pod nazwą „podmiot przekazujący dane”) i
    2. podmiot/podmioty w kraju trzecim, który odbiera dane osobowe od podmiotu przekazującego dane, bezpośrednio lub pośrednio przez inny podmiot będący Stroną niniejszych Klauzul, zgodnie z listą zamieszczoną w Dodatku I.A (dalej pod nazwą „podmiot odbierający dane”) przyjęły niniejsze standardowe klauzule umowne (dalej pod nazwą „Klauzule”).
  3. Te Klauzule mają zastosowanie do transferu danych osobowych w sposób opisany w Dodatku I.B.
  4. Załącznik do niniejszych Klauzul zawierający dodatki odnoszące się do niego tworzą integralną część niniejszych Klauzul.

Klauzula 2

Wpływ i niezmienność Klauzul

  1. Niniejsze Klauzule określają odpowiednie zabezpieczenia, w tym egzekwowalne prawa podmiotów danych i skuteczne środki odwoławcze, na mocy ustępu 1 Artykułu 46 i i ustępu 2 litery c) Artykułu 46 Rozporządzenia (EU) 2016/679 oraz, w odniesieniu do transferu danych od administratorów danych do podmiotów przetwarzających dane i/lub od administratorów do administratorów, standardowe klauzule umowne na mocy ustępu 7 Artykułu 28 Rozporządzenia (EU) 2016/679, pod warunkiem, że nie zostały zmienione, poza wybraniem odpowiednich Modułów lub aby dodać albo zaktualizować informacje w Załączniku. Nie uniemożliwia to stronom uwzględnienia standardowych klauzul umownych określonych w niniejszych Klauzulach w szerszej umowie i/lub dodania innych klauzul lub dodatkowych zabezpieczeń, pod warunkiem, że nie stoją one w sprzeczności, bezpośrednio lub pośrednio, z niniejszymi Klauzulami lub nie ograniczają fundamentalnych praw lub wolności podmiotów danych.
  2. Niniejsze Klauzule nie naruszają zobowiązań, którym podlega podmiot przekazujący dane na mocy Rozporządzenia (UE) 2016/679.

Klauzula 3

Beneficjenci umowy niebędący jej stroną

  1. Podmioty danych mogą się powoływać na postanowienie niniejszych Klauzul i je egzekwować jako beneficjenci umowy niebędący jej stroną względem podmiotu przekazującego dane i/lub podmiotu odbierającego dane z następującymi wyjątkami:
    1. Klauzula 1, Klauzula 2, Klauzula 3, Klauzula 6, Klauzula 7,
    2. ustęp 1, litera b) i ustęp 9 litery a), c), d) i e) Klauzuli 8,
    3. litery a), c), d) i e) Klauzuli 9,
    4. litery a), d) i f) Klauzuli 12,
    5. Klauzula 13,
    6. ustęp 1, litery c), d) i e) Klauzuli 15,
    7. Klauzula 16(e), (viii) Litery a) i b) Klauzuli 18.
  2. Litera a) pozostaje bez uszczerbku dla praw podmiotów danych wynikających z Rozporządzenia (UE) 2016/679.

Klauzula 4

Interpretacja

  1. Jeśli niniejsze Klauzule posługują się terminami zdefiniowanymi w Rozporządzeniu (UE) 2016/679, te terminy mają takie samo znaczenie jak w Rozporządzeniu.
  2. Niniejsze Klauzule należy interpretować w świetle postanowień Rozporządzenia (UE) 2016/679.
  3. Niniejsze Klauzule nie mogą być interpretowane w sposób kolidujący z prawami i obowiązkami przedstawionymi w Rozporządzeniu (UE) 2016/679.

Klauzula 5

Hierarchia

W przypadku sprzeczności pomiędzy niniejszymi Klauzulami a postanowieniami powiązanych umów zawartych pomiędzy Stronami i istniejącymi w momencie uzgodnienia lub wprowadzenia niniejszych Klauzul, charakter rozstrzygający mają niniejsze Klauzule.

Klauzula 6

Opis transferu

Szczegółowe informacje o transferze i poszczególne kategorie przekazywanych danych osobowych oraz cele, dla których są przenoszone, opisano w Dodatku I.B.

Klauzula 7 – CELOWO POMINIETA

SEKCJA II – OBOWIĄZKI STRON

Klauzula 8

Zabezpieczenia w zakresie ochrony danych

Podmiot przekazujący dane gwarantuje, że podjął zasadne kroki w celu ustalenia, czy podmiot odbierający dane ma możliwość, poprzez wprowadzenie odpowiednich środków technicznych i organizacyjnych, wypełnienia swoich zobowiązań wynikających z niniejszych Klauzul.

8.1 Instrukcje

  1. Podmiot odbierajacy dane będzie przetwarzał dane osobowe tylko na podstawie udokuentowanych instrukcji od podmiotu przekazującego dane. Podmiot przekazujący dane może wydawać takie instrukcje przez okres obowiązywania umowy.
  2. Podmiot odbierający dane niezwłocznie poinformuje podmiot przekazujący dane, jeśli nie będzie już w stanie przestrzegać takich instrukcji.

8.2 Ograniczenia celu

Podmiot odbierający dane przetwarza dane osobowe tylko w określonych celach związanych z transferem, które opisano w Dodatku I.B, o ile nie otrzyma dalszych instrukcji od podmiotu przekazującego dane.

8.3 Transparentność

Na żądanie podmiot przekazujący dane sporządzi kopię niniejszych Klauzul, w tym Załącznik wypełniony przez Strony, i udostępni go bezpłatnie podmiotowi danych. W zakresie niezbędnym do ochrony tajemnic przedsiębiorstwa lub innych informacji poufnych, obejmuje to m.in. środki opisane w Dodatku II i dane osobowe, podmiot przekazujący dane może utajnić część tekstu Załącznika do niniejszych Klauzul przed udostępnieniem kopii, ale przedstawi streszczenie, jeśli podmiot danych nie byłby w stanie zrozumieć zawartości lub skorzystać ze swoich praw. Na żądanie Strony podają podmiotowi danych powody utajnienia, w zakresie możliwym bez ujawnienia utajnionych informacji. Ta Klauzula pozostaje bez uszczerbku dla zobowiązań podmiotu przekazującego dane wynikających z Artykułu 13 i 14 Rozporządzenia (UE) 2016/679.

8.4 Dokładność

Jeśli podmiotowi odbierającemu dane stanie się wiadome, że otrzymane dane osobowe nie są dokładne lub stały się nieaktualne, musi niezwłocznie powiadomić o tym fakcie podmiot przekazujący dane. W takim przypadku podmiot odbierający dane będzie współpracował z podmiotem przekazującym dane w celu usunięcia lub skorygowania danych.

8.5 Okres przetwarzania i usunięcie lub zwrot danych

Przetwarzanie przez podmiot odbierający dane będzie się odbywać tylko przez okres określony w Dodatku I.B. Po zakończeniu świadczenia usług związanych z przetwarzaniem podmiot odbierający dane, zgodnie z decyzją podmiotu przekazującego dane, usunie wszystkie dane osobowe przetworzone w imieniu podmiotu przekazującego dane i potwierdzi mu, że zostało to zrobione lub zwróci podmiotowi przekazującemu dane wszystkie dane osobowe przetworzone w jego imieniu i usunie istniejące kopie. Dopóki dane nie zostaną usunięte lub zwrócone, podmiot odbierający dane nadal będzie spełniał postanowienia niniejszych Klauzul. W przypadku, gdy lokalne przepisy mające zastosowanie do podmiotu odbierającego dane zabraniają zwrotu lub usunięcia danych osobowych, podmiot odbierający dane gwarantuje, że nadal będzie zapewniał zgodność z niniejszymi Klauzulami i będzie przetwarzał dane jedynie w zakresie i przez okres wymagany przez lokalne prawo. Pozostaje to bez uszczerbku dla Klauzuli 14, w szczególności wymogu powiadamiania podmiotu przekazującego dane przez podmiot odbierający dane na mocy postanowień litery e) Klauzuli 14 w okresie obowiązywania umowy, jeśli ma on powód sądzić, że obowiązują go przepisy niezgodne z wymogami wynikającymi z litery e) Klauzuli 14.

8.6 Bezpieczeństwo przetwarzania

  1. Podmiot odbierający dane w trakcie przekazywania oraz podmiot przekazujący dane wprowadzają odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo danych, w tym ochronę przed naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieautoryzowanego ujawnienia lub dostępu do danych (dalej „naruszenie danych osobowych”). Oceniając odpowiedni poziom bezpieczeństwa, Strony uwzględnią aktualny stan wiedzy, koszty, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko związane z przetwarzaniem dla podmiotów danych. Strony w szczególności uwzględnią konieczność zaszyfrowania lub pseudonimizacji, w tym w trakcie przenoszenia, jeśli cel przetwarzania może zostać spełniony w ten sposób. W przypadku pseudonimizacji, dodatkowe informacje do przypisania danych osobowych do konkretnego podmiotu danych, jeśli jest to możliwe, pozostaną pod wyłączną kontrolą podmiotu przekazującego dane. Wypełniając swoje obowiązki wynikające z tego ustępu, podmiot odbierający dane wprowadzi co najmniej techniczne i organizacyjne środki przedstawione w Dodatku II. Podmiot odbierający dane będzie przeprowadzać regularne kontrole, aby zapewnić, że te środki nadal zapewniają odpowiedni poziom bezpieczeństwa.
  2. Podmiot odbierający dane gwarantuje dostęp do danych osobowych swoim pracownikom tylko w zakresie niezbędnym do wykonania, zarządzania i monitorowania umowy. Podmiot ten zadba, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowywania poufności lub, na mocy ustawowego obowiązku, do zachowania tajności danych.
  3. W przypadku naruszenia danych osobowych związanego z przetwarzaniem danych osobowych przez podmiot odbierający dane na mocy niniejszych Klauzul, podmiot odbierający dane podejmie odpowiednie kroki, aby rozwiązać kwestię naruszenia, w tym środki do zmniejszenia negatywnych skutków takiego naruszenia. Podmiot odbierający dane niezwłocznie po uzyskaniu wiedzy o takim naruszeniu powiadomi również podmiot przekazujący dane . Takie powiadomienie musi zawierać szczegółowe informacje o punkcie kontaktowym, w którym można otrzymać więcej informacji, opis charakteru naruszenia (w tym, jeśli to możliwe, kategorie i przybliżoną liczbę podmiotów danych oraz wykaz danych osobowych, których dotyczy naruszenie), możliwe konsekwencje i wdrożone lub proponowane środki mające na celu rozwiązanie kwestii naruszenia, w tym, gdzie jest to stosowne, środki do złagodzenia ewentualnych negatywnych skutków. Jeżeli i w zakresie w jakim nie jest możliwe podanie wszystkich informacji w tym samym czasie, początkowe powiadomienie powinno zawierać informacje dostępne w momencie jego przekazywania, a kolejne należy przekazywać niezwłocznie, gdy tylko staną się dostępne.
  4. Podmiot odbierający dane będzie współpracował i wspierał podmiot przekazujący dane w wypełnianiu jego zobowiązań wynikających z Rozporządzenia (UE) 2016/679, w szczególności w kwestii powiadamiania właściwego organu nadzorczego i poszkodowane podmioty danych, uwzględniając charakter przetwarzania i informacje dostępne podmiotowi odbierającemu dane.

8.7 Dane wrażliwe

Gdy transfer obejmuje dane osobowe ujawniające pochodzenie rasowe lub etniczne, informacje o przekonaniach politycznych, przekonaniach religijnych, światopoglądzie, informacje o przynależności do związków zawodowych, danych genetycznych lub biometrycznych w celu identyfikacji osoby fizycznej, informacje o stanie zdrowia, życiu seksualnym, orientacji seksualnej lub przeszłości kryminalnej (dalej „dane wrażliwe”), podmiot odbierający dane zastosuje specjalne ograniczenia i/lub dodatkowe zabezpieczenia opisane w Załączniku I.B.

8.8 Dalsze przekazywanie

Podmiot odbierający dane będzie ujawniał dane osobowe stronom trzecim tylko na podstawie udokumentowanych instrukcji od podmiotu przekazującego dane. Ponadto dane można ujawnić tylko stronie trzeciej znajdującej się poza Unią Europejską (w tym samym kraju, co podmiot odbierający dane lub w innym kraju, dalej pod nazwą „dalsze przekazywanie”), jeśli strona trzecia jest lub zgadza się być związana postanowieniami niniejszych Klauzul na mocy odpowiedniego Modułu lub jeśli

  1. dalsze przekazywanie odbywa się do kraju objętego adekwatną decyzją zgodnie z Artykułem 45 Rozporządzenia (UE) 2016/679, które obejmuje dalsze przekazywanie;
  2. strona trzecia w inny sposób zapewnia odpowiednie zabezpieczenia zgodnie z Artykułem 46 lub 47 Rozporządzenia (UE) 2016/679 w odniesieniu do przedmiotowego przetwarzania;
  3. dalsze przekazywanie jest konieczne do ustalenia, dochodzenia lub obrony roszczeń prawnych w kontekście określonego postępowania administracyjnego, regulacyjnego lub sądowego albo (iv) dalsze przekazywanie jest konieczne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby fizycznej.
  4. Każde dalsze przekazywanie jest uzależnione od przestrzegania przez podmiot odbierający dane wszystkich innych zabezpieczeń wynikających z niniejszych Klauzul, w szczególności ograniczenia celu.

8.9 Dokumentacja i przestrzeganie

  1. Podmiot odbierający dane niezwłocznie i odpowiednio przetworzy wszelkie zapytania od podmiotu przekazującego dane, które dotyczą przetwarzania zgodnie z niniejszymi Klauzulami.
  2. Strony muszą wykazać zgodność z postanowieniami niniejszych Klauzul. W szczególności podmiot odbierający dane będzie prowadził odpowiednią dokumentację o działaniach związanych z przetwarzaniem prowadzonych w imieniu podmiotu przekazującego dane.
  3. Podmiot odbierający dane udostępni podmiotowi przekazującemu dane wszystkie informacje niezbędne do wykazania zgodności ze zobowiązaniami przedstawionymi w niniejszych Klauzulach oraz na żądanie podmiotu przekazującego dane umożliwi oraz przyczyni się do audytów czynności związanych z przetwarzaniem objętych postanowieniami niniejszych Klauzul, które będą się odbywać w rozsądnych odstępach czasu lub gdy wystąpią przesłanki świadczące o niezgodności. Podejmując decyzję o przeglądzie lub audycie, podmiot przekazujący dane może uwzględnić odpowiednie potwierdzenia posiadane przez podmiot odbierający dane.
  4. Podmiot przekazujący dane może zdecydować się samodzielnie przeprowadzić audyt lub wyznaczyć do tego celu niezależnego audytora. Audyty mogą obejmować kontrole w obiektach lub kontrole infrastruktury podmiotu odbierającego dane i będą przeprowadzane, w stosownych przypadkach, po powiadomieniu z odpowiednim wyprzedzeniem.
  5. Strony na żądanie udostępnią informacje, o których mowa w litrach b) i c), w tym wyniki audytów, właściwemu organowi nadzorczemu.

Klauzula 9

Korzystanie z administratorów wtórnie przetwarzających dane

  1. Podmiot odbierający dane ma ogólne zezwolenie podmiotu przekazującego dane na wykorzystywanie administratorów wtórnie przetwarzających dane z uzgodnionej listy. Podmiot odbierający dane wyraźnie i na piśmie poinformuje podmiot przekazujący dane o każdej planowanej zmianie na tej liście, wprowadzonej poprzez dodanie lub zastąpienie administratora wtórnie przetwarzającego dane z wyprzedzeniem co najmniej piętnastu (15) dni, dając w ten sposób podmiotowi przekazującemu dane odpowiednią ilość czasu na zgłoszenie sprzeciwu przeciwko wprowadzeniu takich zmian przed skorzystaniem z usług administratorów wtórnie przetwarzających dane. Podmiot odbierający dane poda podmiotowi przekazującemu dane informacje niezbędne do umożliwienia podmiotowi przekazującemu dane skorzystanie z prawa do wniesienia sprzeciwu.
  2. W przypadkach, gdy podmiot odbierający wykorzystuje administratorów wtórnie przetwarzających dane do wykonania określonych działań związanych z przetwarzaniem (w imieniu podmiotu przekazującego dane), musi sporządzić pisemną umowę, która przewiduje, co do istoty, te same zobowiązania w zakresie ochrony danych, które na podmiot odbierający dane nakładają niniejsze Klauzule, w tym w zakresie praw beneficjentów umowy niebędących jej stroną dla podmiotów danych. Strony zgadzają się że, spełniając postanowienia niniejszej Klauzuli, podmiot odbierający dane wypełnia swoje obowiązki wskazane w Klauzuli 8.8. Podmiot odbierający dane zapewni, że administrator wtórnie przetwarzający dane będzie wypełniał obowiązki nałożone na podmiot odbierający dane na mocy niniejszych Klauzul.
  3. Na żądanie podmiotu przekazującego dane podmiot odbierający dane przekaże kopię takiej umowy z administratorem wtórnie przetwarzającym dane wraz z późniejszymi zmianami. W zakresie niezbędnym do ochrony tajemnic przedsiębiorstwa lub innych informacji poufnych, w tym danych osobowych, podmiot odbierający dane może utajnić tekst umowy przed udostępnieniem kopii.
  4. Podmiot odbierający dane pozostaje w pełni odpowiedzialny wobec podmiotu przekazującego dane za wykonywanie zobowiązań administratorów wtórnie przetwarzających dane na mocy niniejszej umowy z podmiotem odbierającym dane. Podmiot odbierający dane powiadomi podmiot przekazujący dane o każdym przypadku niespełnienia przez administratora wtórnie przetwarzającego dane jego zobowiązań wynikających z takiej umowy.
  5. Podmiot odbierający dane uzgodni z administratorem wtórnie przetwarzającym dane brzmienie klauzuli o beneficjencie umowy niebędącym jej stroną, na mocy której – w przypadku, gdy podmiot odbierający dane przestanie istnieć faktycznie lub formalnie albo stanie się niewypłacalny – podmiotowi przekazującemu dane przysługuje prawo rozwiązania umowy z administratorem wtórnie przetwarzającym dane oraz prawo do polecenia administratorowi wtórnie przetwarzającemu dane usunięcia lub zwrócenia danych osobowych.

Klauzula 10

Prawa podmiotów danych

  1. Podmiot odbierający dane niezwłocznie powiadomi podmiot przekazujący dane o wszelkich żądaniach otrzymanych od podmiotu danych. Podmiot odbierający dane nie odpowiada na takie żądanie samodzielnie, chyba że został do tego upoważniony przez podmiot przekazujący dane.
  2. Podmiot odbierający dane będzie wspierał podmiot przekazujący dane w wypełnianiu jego zobowiązań związanych z odpowiadaniem na żądania podmiotów danych korzystających z praw przysługujących im na mocy Rozporządzenia (UE) 2016/679. W związku z tym Strony przedstawiają w Dodatku II stosowne środki techniczne i organizacyjne, uwzględniając charakter przetwarzania, przy którym wymagane jest wsparcie oraz zakres i rozmiar wymaganego wsparcia.
  3. Wypełniając swoje zobowiązania wynikające z liter a) i b), podmiot odbierający dane wypełnia instrukcje przekazane przez podmiot przekazujący dane.

Klauzula 11

Zadośćuczynienie

  1. Podmiot odbierający dane poinformuje podmioty danych w sposób łatwo dostępny i transparentny, poprzez indywidualne powiadomienie lub w swojej witrynie internetowej, o punkcie kontaktowym uprawnionym do obsługi skarg. Taki punkt niezwłocznie przetwarza wszystkie skargi otrzymane od podmiotu danych.
  2. W przypadku sporu pomiędzy podmiotem danych a jedną ze Stron w zakresie zgodności z niniejszymi Klauzulami, Strona dołoży wszelkich starań, aby rozwiązać zaistniałą kwestię w sposób polubowny i niezwłocznie. Strony będą się informować o zaistniałych sporach, i, w stosownych przypadkach, współpracować przy ich rozwiązywaniu.
  3. Jeżeli podmiot danych powołuje się na prawo beneficjenta umowy niebędącego jej stroną na podstawie Klauzuli 3, podmiot obierający dane zaakceptuje decyzję podmiotu danych do:
    1. złożenia skargi do organu nadzorczego w państwie członkowskim jej miejsca zamieszkania lub miejsca pracy albo do właściwego organu nadzorczego na podstawie Klauzuli 13;
    2. skierowania sporu do właściwych sądów w rozumieniu Klauzuli 18.
  4. Strony akceptują fakt, że podmiot danych może być reprezentowany przez podmiot nienastawiony na generowanie zysków, organizację lub związek, zgodnie z warunkami przedstawionymi w ustępie 1 Artykułu 80 Rozporządzenia (UE) 2016/679.
  5. Podmiot odbierający dane przestrzega wiążącej decyzji na mocy obowiązującego prawa Unii Europejskiej lub państwa członkowskiego.
  6. Podmiot odbierający dane zgadza się, że wybory dokonane przez podmiot danych nie będą wpływać na jego przedmiotowe i proceduralne prawa do skorzystania ze środków prawnych zgodnie z obowiązującymi przepisami.

Klauzula 12

Odpowiedzialność prawna

  1. Każda Strona jest odpowiedzialna względem drugiej Strony za wszelkie szkody wyrządzone drugiej Stronie poprzez naruszenie postanowień niniejszych Klauzul.
  2. Podmiot odbierający dane ponosi odpowiedzialność prawną wobec podmiotu danych, a podmiot danych jest uprawniony do otrzymania rekompensaty za wszystkie materialne i niematerialne szkody wyrządzone mu przez podmiot odbierający dane lub jego administratorów wtórnie przetwarzających dane przez naruszenie praw beneficjenta umowy niebędącego jej stroną na mocy niniejszych Klauzul.
  3. Niezależnie od postanowień litery b), podmiot przekazujący dane ponosi odpowiedzialność prawną wobec podmiotu danych, a podmiot danych jest uprawniony do otrzymania rekompensaty za wszystkie materialne i niematerialne szkody wyrządzone mu przez podmiot przekazujący dane lub podmiot odbierający dane (albo jego administratorów wtórnie przetwarzających dane) przez naruszenie praw beneficjenta umowy niebędącego jej stroną na mocy niniejszych Klauzul. Pozostaje to bez wpływu na odpowiedzialność prawną podmiotu przekazującego dane, a gdy podmiot przekazujący dane działa w imieniu przetwarzającego, na odpowiedzialność prawną administratora odpowiednio na mocy Rozporządzenia (UE) 2016/679 lub Rozporządzenia (UE) 2018/1725.
  4. Strony zgadzają się, że gdy podmiot przekazujący dane zostanie pociągnięty do odpowiedzialności na mocy postanowień litery c) za szkody spowodowane przez podmiot odbierający dane (lub jego administratorów wtórnie przetwarzających dane), jest uprawniony do roszczenia zwrotnego od podmiotu odbierającego dane, w zakresie odpowiadającym odpowiedzialności podmiotu odbierającego dane za zaistniałą szkodę.
  5. W przypadkach, gdy więcej niż jedna Strona ponosi odpowiedzialność za szkodę wyrządzoną podmiotowi danych w wyniku naruszenia niniejszych Klauzul, wszystkie odpowiedzialne Strony odpowiadają solidarnie, a podmiot danych może wnieść powództwo do sądu przeciwko którejkolwiek z tych Stron.
  6. Strony zgadzają się, że jeśli jedna Strona zostanie pociągnięta do odpowiedzialności na mocy postanowień litery e), jest uprawniona do roszczenia zwrotnego od innych Stron w zakresie odpowiadającym jej/ich odpowiedzialności za zaistniałą szkodę.
  7. Podmiot odbierający dane nie może się powoływać na postępowanie administratora wtórnie przetwarzającego dane, aby uniknąć poniesienia odpowiedzialności.

Klauzula 13

Nadzór

  1. Organ nadzorczy odpowiedzialny za zapewnianie zgodności działań podmiotu przekazującego dane z Rozporządzeniem (UE) 2016/679 względem transferu danych, jak wskazano w Dodatku I.C, będzie działał w charakterze właściwego organu nadzorczego.
  2. Podmiot odbierający dane zgadza się poddać jurysdykcji i współpracować z właściwym organem nadzorczym w zakresie wszystkich procedur mających na celu zapewnienie zgodności z tymi Klauzulami. W szczególności podmiot odbierający dane zgadza się odpowiadać na zapytania, poddawać się audytom i przestrzegania środków przyjętych przez organ nadzorczy, w tym środków zaradczych i wyrównawczych. Podmiot odbierający dane przedstawi organowi nadzorczemu pisemne potwierdzenie, że niezbędne działania zostały podjęte.

SEKCJA III – LOKALNE PRZEPISY I OBOWIĄZKI W PRZYPADKU DOSTĘPU PRZEZ ORGANY WŁADZY PUBLICZNEJ

Klauzula 14

Lokalne przepisy i praktyki wpływające na zgodność z niniejszymi Klauzulami

  1. Strony gwarantują, że nie mają powodu sądzić, że przepisy i praktyki w docelowym kraju trzecim, mające zastosowanie do przetwarzania danych osobowych przez podmiot odbierający dane, w tym wszelkie wymagania ujawnienia danych osobowych lub środków zezwalania na dostęp przez organy władzy publicznej, uniemożliwiają podmiotowi odbierającemu dane wypełnienie jego zobowiązań wynikających z niniejszych Klauzul. Opiera się to na zrozumieniu, że przepisy i praktyki szanują istotę fundamentalnych praw wolności oraz nie wychodzą poza to, co istotne i proporcjonalne w społeczeństwie demokratycznym w celu ochrony któregoś z celów wymienionych w ustępie 1 Artykułu 23 Rozporządzenia (UE) 2016/679, nie są w sprzeczności z tymi Klauzulami.
  2. Strony deklarują, że zapewniając gwarancję w literze a), należycie uwzględniły następujące elementy:
    1. określone okoliczności transferu, w tym długość łańcucha przetwarzania, liczba zaangażowanych podmiotów i wykorzystane kanały transmisji, zamierzone dalsze przekazywanie, rodzaj odbiorców, cel przetwarzania, kategorie i format przekazanych danych osobowych, sektor gospodarczy, w którym przekazanie nastąpiło, lokalizację przechowywania przekazanych danych;
    2. przepisy i praktyki docelowego kraju trzeciego – w tym te wymagające ujawnienia danych organom władzy publicznej lub zezwalających na dostęp przez takie organy – istotne w świetle określonych okoliczności transferu oraz obowiązujące ograniczenia i zabezpieczenia;
    3. każde istotne umowne, techniczne lub organizacyjne zabezpieczenia wynikające z niniejszych Klauzul, w tym środki zastosowane w trakcie transferu i przetwarzania danych osobowych w kraju docelowym.
  3. Podmiot odbierający dane gwarantuje, że podczas przeprowadzania oceny na mocy litery b) dołożył wszelkich starań, aby podać podmiotowi przekazującemu dane odnośne informacje i zgadza się na dalszą współpracę z podmiotem przekazującym dane w celu zapewnienia zgodności z niniejszymi Klauzulami.
  4. Strony zgadzają się na dokumentowanie oceny na mocy litery b) i udostępnienie jej właściwemu organowi nadzorczemu na żądanie.
  5. Podmiot odbierający dane zgadza się niezwłocznie powiadomić podmiot przekazujący dane, jeśli po przyjęciu postanowień niniejszych Klauzul i przez okres obowiązywania umowy ma powód sądzić, że podlega przepisom lub obowiązują go praktyki niezgodne z wymaganiami przestawionymi w literze a), w tym w następstwie zmiany przepisów kraju trzeciego lub środków (takich jak żądanie ujawnienia) wskazujących, że zastosowanie tych przepisów w praktyce jest niezgodne z wymaganiami przedstawionymi w literze a).
  6. W następstwie powiadomienia opisanego w literze e) lub gdy podmiot przekazujący dane ma inny powód, aby sądzić, że podmiot odbierający dane nie może już wypełniać swoich zobowiązań wynikających z niniejszych Klauzul, podmiot przekazujący dane niezwłocznie zidentyfikuje odpowiednie środki (np. środki techniczne lub organizacyjne, aby zapewnić bezpieczeństwo i poufność), które podmiot przekazujący dane i/lub podmiot odbierający dane muszą wprowadzić, aby rozwiązać zaistniałą sytuację. Podmiot przekazujący dane zawiesi transfer danych, jeśli stwierdzi, że nie można zapewnić odpowiednich zabezpieczeń lub jeśli właściwy organ nadzorczy wyda mu takie polecenie. W takim przypadku podmiot przekazujący dane ma prawo do rozwiązania umowy w zakresie, w jakim dotyczy ona przetwarzania danych osobowych na mocy niniejszych Klauzul. Jeśli umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać ze swojego prawa do rozwiązania umowy z odnośną Stroną, chyba że Strony uzgodniły inaczej. W przypadkach, gdy umowa zostaje rozwiązana na mocy niniejszej Klauzuli, zastosowanie ma litera d) i e) Klauzuli 16.

Klauzula 15

Obowiązki podmiotu odbierającego dane w przypadku uzyskiwania dostępu przez organy władzy publicznej

15.1 Powiadomienie

  1. Podmiot odbierający dane zgadza się niezwłoczne powiadomić podmiot przekazujący dane i, o ile to możliwe, podmiot danych (jeśli jest to konieczne, z pomocą podmiotu przekazującego dane), jeśli:
    1. otrzyma prawnie wiążące żądanie od organów władzy publicznej, w tym organów wymiaru sprawiedliwości, na mocy przepisów kraju docelowego dotyczące ujawnienia danych osobowych przekazanych na mocy niniejszych Klauzul; takie powiadomienie musi zawierać informacje o żądanych danych osobowych, organie wnioskującym, podstawie prawnej żądania oraz udzielonej odpowiedzi;
    2. dowie się o jakimkolwiek bezpośrednim dostępie przez organ władzy publicznej do danych osobowych przekazywanych na mocy niniejszych Klauzul zgodnie z przepisami kraju docelowego; takie powiadomienie musi obejmować wszystkie informacje dostępne podmiotowi odbierającemu dane.
  2. Jeśli podmiot odbierający dane na mocy przepisów kraju docelowego nie może powiadomić podmiotu przekazującego dane i/lub podmiotu danych, podmiot odbierający dane zgadza się dołożyć wszelkich starań, aby uzyskać uchylenie zakazu, aby mógł przekazać jak największą ilość informacji najszybciej, jak to możliwe. Podmiot odbierający dane zgadza się dokumentować podjęte działania, aby móc je przedstawić na żądanie podmiotu przekazującego dane.
  3. Gdy jest to dopuszczalne przez przepisy kraju docelowego, podmiot odbierający dane zgadza się regularnie przez czas obowiązywania umowy przestawiać podmiotowi przekazującemu dane jak najwięcej istotnych informacji o otrzymanych żądaniach (w szczególności informacje o liczbie żądań, rodzaju żądanych danych, organach wnioskujących, czy żądania zostały zakwestionowane i wyniku zakwestionowania itp.).
  4. Podmiot odbierający dane zgadza się zachowywać te informacje zgodnie z literami od a) do c) na czas obowiązywania umowy i na żądanie udostępniać je właściwemu organowi nadzorczemu.
  5. Litery od a) do c) nie wpływają na obowiązki podmiotu odbierającego dane wynikające z postanowień zawartych w literze e) Klauzuli 14 i postanowień Klauzuli 16 do niezwłocznego poinformowania podmiotu przekazującego dane o niemożności spełniania postanowień niniejszych Klauzul.

15.2 Kontrola zgodności z prawem i minimalizacja danych

  1. Podmiot odbierający dane zgadza się kontrolować zgodność z prawem żądania ujawnienia danych, a w szczególności, gdy pozostaje to w ramach uprawnień przyznanych wnioskującemu organowi władzy publicznej i zakwestionować żądanie, jeśli po dokładnej ocenie stwierdzi, że istnieją uzasadnione podstawy uznania żądania za niezgodne z prawem na mocy przepisów kraju docelowego, zobowiązaniami mającymi zastosowanie na mocy prawa międzynarodowego i zasadami współpracy międzynarodowej. Podmiot odbierający dane skorzysta, pod tymi samymi warunkami, z możliwości odwołania. W przypadku zakwestionowania żądania, podmiot odbierający dane wdroży środki tymczasowe w celu zawieszenia skutków żądania do czasu rozstrzygnięcia istoty sprawy przez kompetentny organ władzy sądowniczej. Podmiot ten nie ujawni żądanych danych osobowych dopóki nie będzie to od niego wymagane na mocy obowiązujących zasad proceduralnych. Te wymagania nie naruszają zobowiązań podmiotu odbierającego dane wynikających z litery e) Klauzuli 14.
  2. Podmiot odbierający dane zgadza się dokumentować swoją analizę prawną i każde zakwestionowanie żądania ujawnienia danych oraz, w zakresie dozwolonym przez przepisy obowiązujące w kraju docelowym, udostępnić dokumentację podmiotowi przekazującemu dane. Podmiot ten, na żądanie, udostępni tę dokumentację również właściwemu organowi nadzorczemu.
  3. Podmiot odbierający dane zgadza się podać minimalną dopuszczalną ilość informacji, odpowiadając na żądanie ujawnienia danych, w oparciu o racjonalną interpretację żądania.

SEKCJA IV – POSTANOWIENIA KOŃCOWE

Klauzula 16

Niespełnianie postanowień Klauzul i rozwiązanie umowy

  1. Podmiot odbierający dane niezwłocznie powiadomi podmiot przekazujący dane, jeśli z jakiegoś powodu nie będzie w stanie spełniać postanowień niniejszych Klauzul.
  2. W przypadku naruszenia przez podmiot odbierający dane postanowień niniejszych Klauzul lub niemożności ich spełniania, podmiot przekazujący dane zawiesi transfer danych osobowych do podmiotu odbierającego dane do czasu ponownego zapewnienia zgodności albo umowa zostanie rozwiązana. Nie wpływa to na postanowienia litery f) Klauzuli 14.
  3. Podmiot przekazujący dane jest upoważniony do wypowiedzenia umowy w zakresie dotyczącym przetwarzania danych osobowych na mocy postanowień niniejszych Klauzul, jeśli:
    1. podmiot przekazujący dane zawiesił transfer danych osobowych na mocy litery b), a zgodność z tymi Klauzulami nie została przywrócona w rozsądnym czasie, a każdym razie w ciągu miesiąca od zawieszenia transferu;
    2. podmiot odbierający dane poważnie lub trwale narusza postanowienia niniejszych Klauzul lub
    3. podmiot odbierający dane nie spełnia warunków wiążących decyzji właściwego sądu lub organu nadzorczego względem jego zobowiązań wynikających z niniejszych Klauzul. W takich przypadkach podmiot przekazujący dane poinformuje właściwy organ nadzoru o tych przypadkach niespełniania zobowiązań. Jeśli umowa obejmuje więcej niż dwie Strony, podmiot przekazujący dane może skorzystać z prawa do rozwiązania umowy tylko z odnośną Stroną, chyba że Strony uzgodniły inaczej.
  4. Dane osobowe przekazane przed rozwiązaniem umowy na mocy litery c) zostaną, zgodnie z decyzją podmiotu przekazującego dane, niezwłocznie zwrócone temu podmiotowi lub całkowicie usunięte. To samo dotyczy wszystkich kopii danych. Podmiot odbierający dane potwierdzi podmiotowi przekazującemu dane usunięcie danych. Dopóki dane nie zostaną usunięte lub zwrócone, podmiot odbierający dane nadal będzie spełniał postanowienia niniejszych Klauzul. W przypadku, gdy lokalne przepisy mające zastosowanie do podmiotu odbierającego dane zabraniają zwrotu lub usunięcia przekazanych danych osobowych, podmiot odbierający dane gwarantuje, że nadal będzie zapewniał zgodność z niniejszymi Klauzulami i będzie przetwarzał dane jedynie w zakresie i przez okres wymagany przez lokalne prawo.
  5. Każda Strona może odwołać zgodę na bycie związaną niniejszymi Klauzulami, jeśli (i) Komisja Europejska podejmuje decyzję na mocy ustępu 3 Artykułu 45 Rozporządzenia (UE) 2016/679, które obejmuje przesyłanie danych osobowych, w przypadku których obowiązują niniejsze Klauzule lub (ii) Rozporządzenie (UE) 2016/679 staje się częścią ram prawnych kraju, do którego dane osobowe są przekazywane. Nie wpływa to na inne obowiązki mające zastosowanie do przedmiotowego przetwarzania na mocy Rozporządzenia (UE) 2016/679.

Klauzula 17

Prawo właściwe

Niniejsze Klauzule podlegają prawu jednego z krajów członkowskich Unii Europejskiej, pod warunkiem, że takie prawo zezwala na prawa beneficjentów umowy niebędących jej stroną. Strony zgadzają się, że będzie to prawo Republiki Federalnej Niemiec.

Klauzula 18

Miejsce składania pozwów i jurysdykcja

  1. Każdy spór wynikający z niniejszych Klauzul będzie rozstrzygany przez sądy w państwie członkowskim Unii Europejskiej.
  2. Strony zgadzają się, że będą to sądy w Republice Federalnej Niemiec.
  3. Podmiot danych również może wszcząć postępowanie prawne przeciwko podmiotowi przekazującemu dane i/lub podmiotowi odbierającemu dane przed sądem w państwie członkowskim, w którym mieszka.
  4. Strony zgadzają się na poddanie się jurysdykcji tych sądów.

Dodatek I do Standardowych klauzul umownych

A. LISTA STRON
Podmioty przekazujące dane: podmiotem przekazującym dane jest jednostka zdefiniowana jako „Klient” w niniejszym Aneksie
Podpis i data: W dniu elektronicznej akceptacji przez podmiot przekazujący dane Warunków świadczenia usług podmiotu odbierającego dane, uznaje się, że podmiot przekazujący dane podpisał niniejsze standardowe klauzule umowne.
Rola: Administrator danych

Podmioty odbierające dane: GoDaddy.com, LLC
Szczegółowe informacje kontaktowe: Biuro inspektora ds. ochrony danych – privacy@godaddy.com
Podpis i data: W dniu elektronicznej akceptacji przez podmiot przekazujący dane Warunków świadczenia usług podmiotu odbierającego dane, uznaje się, że podmiot odbierający dane podpisał niniejsze standardowe klauzule umowne.
Rola: Przetwarzający

B. OPIS TRANSFERU Kategorie podmiotów danych, których dane osobowe są przekazywane, opisano w Załączniku 1 do Aneksu.

Kategorie przekazywanych danych osobowych opisano w Załączniku 1 do Aneksu.

Przekazywane dane wrażliwe opisano w Załączniku 1 do Aneksu.

Częstotliwość przekazywania danych odbywa się w sposób ciągły przez okres obowiązywania Warunków świadczenia usług.

Charakter przetwarzania opisano w Sekcji 2.2 i Załączniku 1 do Aneksu.

Cele transferu danych i dalszego przetwarzania opisano w Sekcji 2.2 i Załączniku 1 do Aneksu.

Okres przechowywania danych osobowych opisano w Załączniku 1 do Aneksu.

W przypadku transferu do administratorów (wtórnie) przetwarzających dane, przedmiot, charakter i okres przetwarzania podano w Dodatku III do Standardowych klauzul umownych.

C. WŁAŚCIWY ORGAN NADZORCZY Komisarz ds. ochrony danych i wolności informacji w Nadrenii Północnej-Westfalii („LDI NRW”) jest właściwym organem nadzorczym.

Dodatek II do Standardowych klauzul umownych

Techniczne i organizacyjne środki bezpieczeństwa wprowadzone przez podmiot odbierający dane zostały przedstawione w Dodatku 2 do Aneksu.

Dodatek III do Standardowych klauzul umownych

Lista administratorów wtórnie przetwarzających dane znajduje się w Załączniku 3 do Aneksu.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Przetłumaczone wersje umów prawnych i zasad są udostępniane wyłącznie w celu ułatwienia czytania i zrozumienia wersji angielskojęzycznych. Przetłumaczone wersje umów prawnych i zasad nie stanowią prawnie wiążącej umowy i nie mają pierwszeństwa przed wersjami angielskojęzycznymi. W razie sporów lub konfliktów wersje angielskojęzyczne umów prawnych i zasad w każdym przypadku określają nasze relacje oraz mają pierwszeństwo przed innymi wersjami językowymi.