GoDaddy – PRZETWARZANIE DANYCH – ANEKS
Ostatnia aktualizacja: 13.09.2024
Niniejszy Aneks przekazania przetwarzania danych („Aneks”) zostaje zawarty pomiędzy klientem („Klientem”) a podmiotem GoDaddy, która jest stroną Regulaminu ogólnego oraz wszelkich innych umów pomiędzy Klientem a GoDaddy (zwanych łącznie „Umową”). GoDaddy i Klient są w niniejszym dokumencie określani indywidualnie jako „Strona”, a łącznie jako „Strony”. Niniejszy Aneks wchodzi w życie z dniem wejścia w życie Umowy („Data wejścia w życie”) i reguluje wszelkie Przetwarzanie danych osobowych Klienta w ramach Umowy.
1. Definicje. O ile nie określono inaczej w obowiązujących przepisach o ochronie danych (zgodnie z definicją poniżej), terminy pisane wielką literą w niniejszym punkcie mają następujące znaczenie:
1.1 „Partner” oznacza dowolny podmiot, który kontroluje Stronę lub znajduje się pod wspólną kontrolą ze Stroną. „Kontrola” oznacza bezpośrednie lub pośrednie posiadanie lub kontrolowanie pięćdziesięciu procent (50%) lub więcej udziałów z prawem głosu w danym podmiocie.
2. Zakres przetwarzania danych i powiązania między stronami
1.2. „Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania Danych osobowych Klienta na podstawie Umowy.
1.3 „Dane osobowe Klienta” oznaczają wszelkie Dane osobowe (zgodnie z definicją poniżej) przetwarzane przez firmę GoDaddy w imieniu Klienta w związku z korzystaniem przez Klienta z Usług. Dane osobowe klienta nie obejmują danych GoDaddy.
1.4 „Przepisy o ochronie danych” oznaczają wszelkie przepisy prawa lub regulacje mające zastosowanie do przetwarzania Danych osobowych Klienta na mocy Umowy.
1.5 „Osoba, której dane dotyczą” oznacza zidentyfikowaną lub możliwą do zidentyfikowania osobę fizyczną, której dotyczą określone Dane osobowe.
1.6 „Dane pozbawione elementów umożliwiających identyfikację” oznaczają dane, których nie można w sposób racjonalny zidentyfikować, odnieść do, opisać, powiązać lub powiązać bezpośrednio lub pośrednio z konkretną osobą, której dane dotyczą.
1.7 „GoDaddyDane” oznaczają (a) wszystkie informacje związane z działalnością firmy GoDaddy i świadczeniem przez nią Usług, w tym między innymi Dane osobowe dotyczące Klienta i jego pracowników lub przedstawicieli; (b) inne dane dotyczące konta Klienta, historii transakcji, korzystania z Usług i weryfikacji tożsamości oraz (c) z zastrzeżeniem wszelkich ograniczeń wynikających z obowiązujących przepisów o ochronie danych, Dane pozbawione elementów identyfikacyjnych.
1.8 „Dane Osobowe” oznaczają informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w tym wszelkie informacje zdefiniowane jako Dane osobowe lub Informacje osobowe w obowiązujących przepisach o ochronie danych. Dane osobowe nie obejmują danych pozbawionych elementów umożliwiających identyfikację.
1.10 „Przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub podmiot, który przetwarza Dane osobowe Klienta w imieniu Administratora na mocy Umowy.
1.9 „Przetwarzanie”; oznacza wszelkie operacje wykonywane na Danych osobowych Klienta, takie jak gromadzenie, wykorzystywanie, przechowywanie, ujawnianie, analizowanie, usuwanie lub modyfikowanie, zarówno ręcznie, jak i automatycznie.
1.11 „Wrażliwe dane osobowe” oznaczają (a) numer ubezpieczenia społecznego, numer paszportu, numer prawa jazdy lub podobny identyfikator; (b) informacje o karcie kredytowej lub debetowej, informacje finansowe, numery kont bankowych lub hasła do kont; (c) informacje o zatrudnieniu, informacje finansowe, genetyczne, biometryczne lub zdrowotne; (d) przynależność rasową, etniczną, polityczną lub religijną, członkostwo w związkach zawodowych lub informacje o życiu seksualnym lub orientacji seksualnej; (e) hasła do kont, nazwisko panieńskie matki, datę urodzenia i inne podobne informacje wykorzystywane do uwierzytelniania tożsamości użytkownika; (f) dane o karalności; (g) dane biometryczne wykorzystywane do identyfikacji konkretnej osoby (np. odciski palców) lub (h) wszelkie inne informacje lub kombinacje informacji, które wchodzą w zakres definicji „szczególnych kategorii danych” zgodnie z obowiązującymi przepisami o ochronie danych.
1.12 „Usługi” oznaczają produkty lub usługi, które firma GoDaddy zgodziła się świadczyć zgodnie z Umową, które obejmują przetwarzanie Danych osobowych Klienta.
1.13 „Podwykonawca przetwarzania” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub podmiot, z którymi GoDaddy zawiera umowę o przetwarzanie Danych osobowych Klienta.
1.14 „Przekazanie” oznacza (a) przekazanie Danych osobowych Klienta od Administratora do Przetwarzającego, czy to poprzez fizyczne przekazanie, czy poprzez udzielenie dostępu do Danych osobowych Klienta przechowywanych lub w inny sposób kontrolowanych przez Administratora, lub (b) dalsze przekazanie Danych osobowych Klienta od Przetwarzającego do Podwykonawcy przetwarzania (oraz każde późniejsze dalsze przekazanie przez Podwykonawcę przetwarzania innemu Podwykonawcy przetwarzania).
2.1 Klient jako Administrator lub Podmiot przetwarzający
2.1.1 W przypadku, gdy Klient jest Administratorem, Klient (a) ponosi wyłączną odpowiedzialność za określenie celów i sposobów przetwarzania Danych osobowych Klienta, (b) posiada wszelkie niezbędne uprawnienia, podstawy, prawa i zezwolenia do przekazywania Danych osobowych Klienta do GoDaddy oraz (c) będzie przestrzegać swoich obowiązków jako Administratora zgodnie z obowiązującymi przepisami o ochronie danych.
2.1.2 W przypadku gdy Klient jest Przetwarzającym, Klient (a) ponosi wyłączną odpowiedzialność za przestrzeganie umowy z Administratorem danych, w imieniu którego przetwarza Dane osobowe Klienta; (b) posiada wszelkie niezbędne zezwolenia od Administratora na dostarczanie Danych osobowych Klienta do firmy GoDaddy oraz (c) będzie przestrzegać swoich obowiązków jako Podmiotu przetwarzającego zgodnie z obowiązującymi przepisami dotyczącymi przetwarzania danych.
2.1.2 W przypadku gdy Klient jest Przetwarzającym, Klient (a) ponosi wyłączną odpowiedzialność za przestrzeganie umowy z Administratorem danych, w imieniu którego przetwarza Dane osobowe Klienta; (b) posiada wszelkie niezbędne zezwolenia od Administratora na dostarczanie Danych osobowych Klienta do firmy GoDaddy oraz (c) będzie przestrzegać swoich obowiązków jako Podmiotu przetwarzającego zgodnie z obowiązującymi przepisami dotyczącymi przetwarzania danych.
2.2 GoDaddy jako Przetwarzający lub Podwykonawca przetwarzania.
2.2.1GoDaddy podejmie wszelkie niezbędne kroki w celu umożliwienia Klientowi wypełnienia jego obowiązków jako Administratora i/lub Przetwarzającego na mocy przepisów o ochronie danych zgodnie z charakterem, naturą, zakresem i celem Usług świadczonych przez GoDaddy. W celu uniknięcia wątpliwości: GoDaddy firma nie jest zobowiązana do podejmowania jakichkolwiek kroków w celu zmiany lub dostosowania Usług GoDaddy do konkretnego zastosowania Klienta. Wyłącznym środkiem prawnym przysługującym Klientowi w przypadku stwierdzenia, że Usługi nie są zgodne z konkretnym zastosowaniem Klienta, jest rozwiązanie jakiejkolwiek części Umowy, która odnosi się do przetwarzania Danych osobowych Klienta.
2.2.2 Firma GoDaddy będzie przetwarzać Dane osobowe Klienta wyłącznie na podstawie udokumentowanych instrukcji w ograniczonych i określonych celach opisanych w Umowie, niniejszym Aneksie lub zgodnie z wymogami prawa.
2.2.3 Firma GoDaddy nie będzie sprzedawać, przechowywać, wykorzystywać ani ujawniać Danych osobowych Klienta w celach komercyjnych innych niż świadczenie Usług.
2.2.4 Firma GoDaddy nie będzie przetwarzać Danych osobowych Klienta poza bezpośrednimi relacjami biznesowymi Stron opisanymi w Umowie i niniejszym Aneksie.
2.2.5 Firma GoDaddy nie będzie łączyć Danych osobowych Klienta z żadnymi innymi danymi gromadzonymi przez firmę GoDaddy (bezpośrednio lub za pośrednictwem jakiejkolwiek strony trzeciej) w sposób inny niż wyraźnie dozwolony na mocy Umowy.
2.2.6 Firma GoDaddy wstrzyma wszelkie Przetwarzanie i powiadomi Klienta w ciągu trzech (3) dni roboczych, jeśli GoDaddy: (a) uważa, że instrukcja Klienta narusza jakiekolwiek obowiązujące przepisy dotyczące przetwarzania danych lub (b) stwierdzi, że GoDaddy nie jest w stanie przestrzegać jakichkolwiek obowiązujących przepisów dotyczących przetwarzania danych lub swoich zobowiązań wynikających z niniejszej umowa powierzenia przetwarzania danych.
2.2.2 Firma GoDaddy będzie przetwarzać Dane osobowe Klienta wyłącznie na podstawie udokumentowanych instrukcji w ograniczonych i określonych celach opisanych w Umowie, niniejszym Aneksie lub zgodnie z wymogami prawa.
2.2.3 Firma GoDaddy nie będzie sprzedawać, przechowywać, wykorzystywać ani ujawniać Danych osobowych Klienta w celach komercyjnych innych niż świadczenie Usług.
2.2.4 Firma GoDaddy nie będzie przetwarzać Danych osobowych Klienta poza bezpośrednimi relacjami biznesowymi Stron opisanymi w Umowie i niniejszym Aneksie.
2.2.5 Firma GoDaddy nie będzie łączyć Danych osobowych Klienta z żadnymi innymi danymi gromadzonymi przez firmę GoDaddy (bezpośrednio lub za pośrednictwem jakiejkolwiek strony trzeciej) w sposób inny niż wyraźnie dozwolony na mocy Umowy.
2.2.6 Firma GoDaddy wstrzyma wszelkie Przetwarzanie i powiadomi Klienta w ciągu trzech (3) dni roboczych, jeśli GoDaddy: (a) uważa, że instrukcja Klienta narusza jakiekolwiek obowiązujące przepisy dotyczące przetwarzania danych lub (b) stwierdzi, że GoDaddy nie jest w stanie przestrzegać jakichkolwiek obowiązujących przepisów dotyczących przetwarzania danych lub swoich zobowiązań wynikających z niniejszej umowa powierzenia przetwarzania danych.
2.3 Partnerzy .
3. Podwykonawstwo przetwarzania
2.3.1 Partnerzy Klienta. Do celów niniejszego Aneksu wszelkie Dane osobowe przekazane GoDaddy lub GoDaddy Partnerom przez Partnera Klienta w celu przetwarzania w imieniu Klienta i/lub Partnera Klienta będą uznawane za Dane osobowe Klienta przekazane przez Klienta. Klient oświadcza, że podejmie wszelkie niezbędne środki w celu zapewnienia, że jego Partnerzy będą przestrzegać wszystkich zobowiązań Klienta w odniesieniu do niniejszego Aneksu. Klient jest odpowiedzialny za przestrzeganie przez jego Partnerów wszystkich warunków niniejszego Aneksu.
2.3.2 GoDaddyPartnerzy. Do celów niniejszego Aneksu wszelkie Dane osobowe Klienta otrzymane przez Partnerów GoDaddy uznaje się za otrzymane przez GoDaddy. Firma GoDaddy oświadcza, że podejmie wszelkie niezbędne środki w celu zapewnienia, że jej Partnerzy przestrzegają zobowiązań GoDaddy w odniesieniu do przetwarzania Danych osobowych Klienta na mocy niniejszego Aneksu. Firma GoDaddy jest odpowiedzialna za przestrzeganie przez Partnerów GoDaddy wszystkich warunków niniejszego Aneksu.
2.3.2 GoDaddyPartnerzy. Do celów niniejszego Aneksu wszelkie Dane osobowe Klienta otrzymane przez Partnerów GoDaddy uznaje się za otrzymane przez GoDaddy. Firma GoDaddy oświadcza, że podejmie wszelkie niezbędne środki w celu zapewnienia, że jej Partnerzy przestrzegają zobowiązań GoDaddy w odniesieniu do przetwarzania Danych osobowych Klienta na mocy niniejszego Aneksu. Firma GoDaddy jest odpowiedzialna za przestrzeganie przez Partnerów GoDaddy wszystkich warunków niniejszego Aneksu.
3.1 Klient udziela firmie GoDaddy ogólnego upoważnienia do angażowania podwykonawców przetwarzania danych.
3.2 Zapraszamy do zapoznania się z listą naszych Podwykonawców przetwarzania
3.3 Przed przekazaniem Danych osobowych Klienta Podwykonawcy przetwarzania firmaGoDaddy: (a) zawrze pisemną umowę z Podwykonawcą przetwarzania, która będzie chronić Dane klienta co najmniej w takim samym stopniu jak niniejszy Aneks; (b) przeprowadzi analizę due diligence w celu potwierdzenia, że Podwykonawca przetwarzania może przestrzegać istotnych warunków niniejszego Aneksu i przepisów o ochronie danych w zakresie, w jakim odnoszą się one do przetwarzania Danych Klienta przez firmęGoDaddy, w tym wymogów dotyczących bezpieczeństwa informacji określonych w sekcjach 5, 6 i 8 oraz w Dodatku 2 do niniejszego Aneksu.
3.4 GoDaddy ponosi odpowiedzialność za działania i zaniechania swoich Podwykonawców przetwarzania, w tym za wszelkie działania lub zaniechania podwykonawców swoich Podwykonawców. 3.5 Nowi podwykonawcy przetwarzania; prawo do sprzeciwu.
4. Proces prawny i inne żądania stron trzecich dotyczące danych osobowych klientów
3.2 Zapraszamy do zapoznania się z listą naszych Podwykonawców przetwarzania
3.3 Przed przekazaniem Danych osobowych Klienta Podwykonawcy przetwarzania firmaGoDaddy: (a) zawrze pisemną umowę z Podwykonawcą przetwarzania, która będzie chronić Dane klienta co najmniej w takim samym stopniu jak niniejszy Aneks; (b) przeprowadzi analizę due diligence w celu potwierdzenia, że Podwykonawca przetwarzania może przestrzegać istotnych warunków niniejszego Aneksu i przepisów o ochronie danych w zakresie, w jakim odnoszą się one do przetwarzania Danych Klienta przez firmęGoDaddy, w tym wymogów dotyczących bezpieczeństwa informacji określonych w sekcjach 5, 6 i 8 oraz w Dodatku 2 do niniejszego Aneksu.
3.4 GoDaddy ponosi odpowiedzialność za działania i zaniechania swoich Podwykonawców przetwarzania, w tym za wszelkie działania lub zaniechania podwykonawców swoich Podwykonawców. 3.5 Nowi podwykonawcy przetwarzania; prawo do sprzeciwu.
3.5.1 GoDaddy dołoży należytych starań, aby powiadomić Klienta na piśmie z co najmniej sześćdziesięciodniowym (60) wyprzedzeniem, jeżeli GoDaddy zamierza wyznaczyć nowego Podwykonawcę przetwarzania; jednak sześćdziesięciodniowe (60) wyprzedzenie nie jest wymagane, a GoDaddy powiadomi Klienta bez zbędnej zwłoki, po wyznaczeniu nowego Podwykonawcy przetwarzania, jeżeli natychmiastowe wyznaczenie jest wymagane w celu zachowania bezpieczeństwa Danych osobowych Klienta lub zachowania zgodności z obowiązującym prawem.
3.5.2 W przypadku uzasadnionego sprzeciwu Klienta wobec nowego Podwykonawcy przetwarzania Klient musi powiadomić o tym GoDaddy na piśmie w ciągu trzydziestu (30) dni od wyznaczenia Podwykonawcy przetwarzania. Według wyłącznego uznania GoDaddy GoDaddy może podjąć uzasadnione z handlowego punktu widzenia starania w celu uwzględnienia sprzeciwu Klienta. Jeśli Strony nie będą w stanie rozwiązać sprzeciwu Klienta w ciągu trzydziestu (30) dni, Klient może wypowiedzieć niniejszy Aneks i każdą część Umowy dotyczącą przetwarzania Danych osobowych Klienta.
3.5.3 Jeśli Klient nie wyrazi sprzeciwu wobec nowego Podwykonawcy przetwarzania w ciągu trzydziestu (30) dni od powiadomienia o wyznaczeniu Podwykonawcy przetwarzania, uznaje się, że Klient zaakceptował nowego Podwykonawcę przetwarzania.
3.5.4 Powiadomienie o nowym Podwykonawcy przetwarzania może zostać przekazane poprzez aktualizację listy Podwykonawców przetwarzania opisanej w sekcji 3.2.
4.1 GoDaddy nie będzie odpowiadać na żadne nieformalne żądania dotyczące jakichkolwiek Danych osobowych Klienta ze strony organu rządowego, organu ścigania lub innej osoby, z wyjątkiem odpowiedzi na wezwanie sądowe, nakaz przeszukania, nakaz sądowy lub inny podobny proces prawny (łącznie „Proces prawny”), chyba że takie ujawnienie zostanie określone przez GoDaddy według jej uzasadnionego uznania jako (a) wymagane przez prawo, (b) niezbędne do ochrony systemów lub danych GoDaddy przed szkodą lub niewłaściwym wykorzystaniem, lub (c) niezbędne do ochrony GoDaddy lub jakiejkolwiek innej osoby przed szkodą lub fizycznym uszkodzeniem.
5. Bezpieczeństwo danych
4.2 O ile nie jest to zabronione przez prawo, GoDaddy niezwłocznie powiadomi Klienta o otrzymaniu wezwania do jakiegokolwiek Procesu prawnego, który wymaga od GoDaddy udostępnienia lub ujawnienia Danych osobowych Klienta.
4.3 O ile przepisy prawa nie stanowią inaczej, firma GoDaddy będzie współpracować z Klientem (na uzasadniony koszt Klienta) we wszelkich działaniach podejmowanych przez Klienta w celu zapobieżenia ujawnieniu Danych osobowych Klienta w odpowiedzi na Proces prawny.
5.1 GoDaddy utrzymuje program bezpieczeństwa informacji, który obejmuje odpowiednie i udokumentowane środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka związanego z Przetwarzaniem danych osobowych Klienta w ramach Umowy, w tym wszelkie szczególne środki wymagane przez obowiązujące przepisy o ochronie danych.
6. Incydenty bezpieczeństwa danych
5.2 Klient wyraźnie przyjmuje do wiadomości, że GoDaddy zapewnia zabezpieczenia i funkcje, z których Klient może korzystać w celu ochrony Danych osobowych Klienta. Klient ponosi wyłączną odpowiedzialność za podjęcie odpowiednich kroków opartych na ryzyku w celu ochrony bezpieczeństwa konta Klienta i Danych osobowych Klienta znajdujących się pod kontrolą Klienta, w tym poprzez korzystanie z funkcji bezpieczeństwa i funkcjonalności udostępnianych przez GoDaddy. Klient ponosi również wyłączną odpowiedzialność za zapewnienie, że wszystkie treści, które Klient umieszcza lub powoduje, że są umieszczane w ramach Usług, są wolne od luk w zabezpieczeniach, które mogłyby spowodować naruszenie bezpieczeństwa Danych osobowych Klienta i systemów GoDaddy, w tym między innymi złośliwego oprogramowania. GoDaddy nie ponosi odpowiedzialności za tworzenie kopii zapasowych Danych osobowych Klienta.
5.3 Klient jest zobowiązany do przestrzegania wszystkich wymogów standardu bezpieczeństwa danych branży kart płatniczych („PCI-DSS”) i może przekazywać firmie GoDaddy Dane osobowe Klienta zawierające informacje o posiadaczach kart kredytowych, debetowych lub innych kart płatniczych („Dane PCI-DSS”) wyłącznie w związku z Usługami GoDaddy specjalnie zaprojektowanymi do przetwarzania takich Danych PCI-DSS. Klient ponosi wyłączną odpowiedzialność za wszelkie naruszenia wymogów PCI-DSS, jeśli Klient korzysta z Usług GoDaddy w celu przetwarzania lub przechowywania Danych PCI-DSS poza ofertą Usług GoDaddy zgodnych z PCI-DSS.
5.4 Poza wszelkimi środkami wymaganymi od GoDaddy w celu wypełnienia zobowiązań wynikających z obowiązujących przepisów o ochronie danych i wymogów PCI-DSS w odniesieniu do usług reklamacyjnych PCI-DSS świadczonych przez GoDaddy, GoDaddy wdroży określone środki techniczne i organizacyjne wskazane w Dodatku 2 do niniejszego Aneksu.
6.1GoDaddy oferuje Klientowi szerokie możliwości dostępu do i kontroli Danych osobowych Klienta przetwarzanych w jego imieniu. GoDaddy nie ponosi odpowiedzialności za jakiekolwiek przypadkowe lub niezgodne z prawem zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do Danych osobowych Klienta, które nie wynika z naruszenia bezpieczeństwa systemów GoDaddy. Przykłady Incydentów bezpieczeństwa, za które GoDaddy nie ponosi odpowiedzialności, obejmują niezachowanie przez Klienta poufności jego haseł, pobieranie złośliwej zawartości lub wszelkie inne luki w zabezpieczeniach spowodowane lub wprowadzone do Usług i hostowanego środowiska Klienta przez Klienta.
7. Prawa osoby, której dane dotyczą
6.2GoDaddy dołoży uzasadnionych handlowo starań, aby powiadomić Klienta o naruszeniu bezpieczeństwa systemów GoDaddy prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do Danych osobowych Klienta („Incydent bezpieczeństwa”) w terminie wymaganym przez obowiązujące prawo.
6.3 GoDaddy podejmie odpowiednie, oparte na ryzyku kroki, które są racjonalnie niezbędne do powstrzymania, złagodzenia i naprawienia Incydentu bezpieczeństwa bez nieuzasadnionej zwłoki.
6.4 GoDaddy dostarczy informacje, o które Klient zwróci się w uzasadniony sposób, w celu oceny wpływu Incydentu bezpieczeństwa na Dane osobowe Klienta oraz w celu powiadomienia przez Klienta o Incydencie bezpieczeństwa organów rządowych, osób, których dane dotyczą, lub innych osób.
6.5 Uznanie przez GoDaddy Incydentu bezpieczeństwa lub decyzja o powiadomieniu Klienta o Incydencie bezpieczeństwa nie stanowi przyznania się do winy lub odpowiedzialności.
7.1 Klient ponosi wyłączną odpowiedzialność za udzielenie odpowiedzi na wszelkie żądania o skorzystanie z praw osoby, której dane dotyczą, na mocy przepisów o ochronie danych, zasad ochrony prywatności lub regulaminów Klienta, w tym między innymi żądania o poznanie, dostęp, poprawienie lub usunięcie Danych osobowych Klienta („Żądania osoby, której dane dotyczą”).
8. Oceny skutków dla ochrony danych, wcześniejsze konsultacje i zapytania dotyczące zgodności z przepisami
7.2 GoDaddy nie będzie odpowiadać na żądania osób, których dane dotyczą, chyba że na podstawie udokumentowanych instrukcji Klienta lub w inny sposób wymagany na mocy obowiązującego prawa.
7.3 GoDaddy powiadomi Klienta o każdym Żądaniu osoby, której dane dotyczą. Klient ponosi wyłączną odpowiedzialność za udzielenie odpowiedzi na wszelkie żądania osób, których dane dotyczą. Jeśli Klient wyczerpał wszystkie dostępne środki w celu udzielenia odpowiedzi na Żądanie osoby, której dane dotyczą, z zastrzeżeniem zgody Klienta na pokrycie z góry uzasadnionych wydatków GoDaddy, GoDaddy zapewni Klientowi pomoc niezbędną do udzielenia odpowiedzi na Żądanie osoby, której dane dotyczą.
8.1 Oceny skutków dla ochrony danych; uprzednie konsultacje. Na koszt Klienta GoDaddy zapewni Klientowi rozsądną pomoc w przeprowadzaniu wszelkich ocen wpływu na ochronę danych i konsultacji z organami rządowymi lub organami regulacyjnymi w zakresie przetwarzania Danych osobowych Klienta.
9. Wymogi dotyczące jurysdykcji i międzynarodowe przekazywanie danych osobowych
8.2 Zapytania dotyczące zgodności. Klient może okresowo żądać informacji niezbędnych do potwierdzenia przestrzegania przez firmę GoDaddy zobowiązań wynikających z obowiązujących przepisów o ochronie danych. Jeśli GoDaddy nie odpowie na żądanie Klienta w ciągu czterdziestu pięciu (45) dni, Klient może rozwiązać Umowę. W celu uniknięcia wątpliwości: żadne z postanowień niniejszego Aneksu nie daje Klientowi prawa do przeprowadzenia audytu działalności, systemów lub usług GoDaddy. Zobowiązanie GoDaddy wynikające z niniejszej sekcji ogranicza się do dostarczenia Klientowi informacji niezbędnych do potwierdzenia, że GoDaddy przestrzega swoich zobowiązań wynikających z obowiązujących przepisów o ochronie danych.
9.1 Przetwarzanie Danych osobowych Klienta na mocy niniejszego Aneksu może obejmować Przetwarzanie regulowane przez jeden lub więcej przepisów o ochronie danych i/lub może obejmować międzynarodowe przekazywanie Danych osobowych Klienta.
10. Postanowienia ogólne
9.2 Jeśli Dane osobowe Klienta pochodzą ze Stanów Zjednoczonych, zastosowanie mają warunki dotyczące przepisów o ochronie danych określone w Dodatku 3 (sekcja 1) do niniejszego Aneksu.
Jeśli Dane osobowe Klienta pochodzą z Unii Europejskiej / Europejskiego Obszaru Gospodarczego („UE/EOG”), Wielkiej Brytanii („UK”) lub Szwajcarii, lub jeśli Klient ma siedzibę w jednej lub więcej z tych jurysdykcji, zastosowanie mają warunki dotyczące obowiązujących przepisów o ochronie danych UE/EOG, Wielkiej Brytanii i/lub Szwajcarii określone w Dodatku 9.3 (sekcja 3) do niniejszego Aneksu.
9.4 Jeśli do zgodnego z prawem przekazania Danych osobowych Klienta wymagany jest ważny międzynarodowy mechanizm przekazywania danych („Obowiązkowy mechanizm przekazywania danych”), zastosowanie mają warunki określone w Dodatku 4 do niniejszego Aneksu.
10.1 Całość porozumienia, interpretacja. Niniejszy Aneks stanowi całość porozumienia między Stronami dotyczącego jego przedmiotu i zastępuje wszelkie wcześniejsze lub równoczesne oświadczenia, porozumienia, umowy i komunikaty między Stronami, zarówno pisemne, jak i ustne, dotyczące przedmiotu niniejszego Aneksu. W przypadku sprzeczności między niniejszym Aneksem a Umową (lub jakąkolwiek inną umową między Stronami), niniejszy Aneks będzie miał zastosowanie do przedmiotu Aneksu. W przypadku sprzeczności między jakimikolwiek warunkami niniejszego Aneksu a obowiązkowymi postanowieniami dotyczącymi przekazywania opisanymi w Dodatku 4, pierwszeństwo mają takie obowiązkowe postanowienia dotyczące przekazywania.
Dodatek 1: Szczegóły przetwarzania Danych osobowych Klienta
10.2 Zmiana. Niniejszy Aneks może zostać zmodyfikowany lub zmieniony przez firmę GoDaddy według jej własnego uznania zgodnie z procedurami określonymi w Umowie. Jeśli Klient nie zgadza się z taką zmianą, jedynym środkiem prawnym mu przysługującym jest rozwiązanie tej części Umowy, która dotyczy Przetwarzania danych osobowych Klienta, z zachowaniem trzydziestodniowego (30) okresu wypowiedzenia. O ile nie zostanie to wyraźnie uzgodnione przez Strony na piśmie, wszelkie zmiany niniejszej Umowy obowiązują wyłącznie w odniesieniu do Przetwarzania, które będzie miało miejsce po dacie takiej zmiany.
10.3 Zrzeczenie się praw. Zrzeczenie się jakiegokolwiek naruszenia niniejszego Aneksu jest skuteczne tylko wtedy, gdy zostało sporządzone na piśmie przez upoważnionego przedstawiciela Strony zrzekającej się takiego naruszenia i żadne takie zrzeczenie się nie będzie interpretowane jako zrzeczenie się praw w przypadku jakiegokolwiek późniejszego naruszenia.
10.4 Rozdzielność. Jeśli którekolwiek z postanowień niniejszego Aneksu zostanie uznane za niewykonalne, wówczas postanowienie to zostanie zmodyfikowane w zakresie niezbędnym do umożliwienia jego wykonania, a pozostała część niniejszego Aneksu pozostanie w mocy w takiej formie, w jakiej została zapisana. Jeśli jednak modyfikacja jakiegokolwiek niewykonalnego postanowienia spowodowałaby niespełnienie zasadniczego celu niniejszego Aneksu, cały Aneks zostanie uznany za nieważny, chyba że zostanie zmieniony zgodnie z sekcją 10.2.
10.5 Powiadomienia. Z wyjątkiem przypadków wyraźnie określonych w niniejszym dokumencie powiadomienia wymagane na mocy niniejszego Aneksu będą dostarczane zgodnie z wymogami dotyczącymi powiadomień określonymi w Umowie.
10.6 Odpowiedzialność. Niniejszy Aneks nie stanowi podstawy dla żadnej ze Stron lub jakiejkolwiek innej osoby do dochodzenia odszkodowania innego rodzaju niż określone w Umowie i z zastrzeżeniem wszystkich ograniczeń w niej określonych.
10.7 Egzekwowanie. Warunki niniejszego Aneksu mogą być egzekwowane wyłącznie przez Strony w imieniu własnym i ich Partnerów zgodnie z postanowieniami dotyczącymi rozstrzygania sporów określonymi w Umowie. To ograniczenie egzekwowania nie ma jednak wpływu na zdolność osoby, której dane dotyczą, do egzekwowania swoich praw wynikających z przepisów o ochronie danych.
10.8 Rozwiązanie Umowy. O ile Aneks nie zostanie rozwiązany wcześniej zgodnie z Umową lub jakimkolwiek innym mającym zastosowanie postanowieniem niniejszego Aneksu lub obowiązującymi przepisami o ochronie danych, niniejszy Aneks wygaśnie po zakończeniu Przetwarzania lub rozwiązaniu Umowy, w zależności od tego, co nastąpi później. Po rozwiązaniu niniejszej Umowy GoDaddy zwróci, usunie lub pozbawi elementów identyfikacyjnych Dane osobowe Klienta zgodnie z warunkami Umowy i niniejszego Aneksu, chyba że firma GoDaddy będzie zobowiązana do zachowania Danych osobowych Klienta zgodnie z obowiązującym prawem. Jeśli firma GoDaddy będzie zobowiązana do zatrzymania Danych osobowych Klienta po rozwiązaniu Umowy, GoDaddy będzie nadal wypełniać swoje obowiązki związane z Przetwarzaniem danych osobowych Klienta na mocy niniejszego Aneksu i niezwłocznie zwróci lub usunie wszelkie takie Dane osobowe Klienta po tym, jak ich przechowywanie nie będzie już prawnie wymagane.
10.9 Prawo właściwe i jurysdykcja. Niniejszy Aneks podlega prawu określonemu w Umowie, z wyjątkiem zakresu wymaganego przez przepisy o ochronie danych, w którym to przypadku zastosowanie mają przepisy jurysdykcji określonej w przepisach o ochronie danych. Żadne z postanowień niniejszego Aneksu nie będzie uważane za ograniczające prawa lub obowiązki jakiejkolwiek osoby wynikające z obowiązujących przepisów o ochronie danych.
Niniejszy Dodatek 1 zawiera szczegółowe informacje dotyczące Przetwarzania danych osobowych Klienta wymagane na mocy przepisów o ochronie danych.
Przedmiot i czas trwania Przetwarzania danych osobowych Klienta:
Przedmiot i czas trwania Przetwarzania danych osobowych Klienta zostały opisane w Umowie.
Charakter i cel Przetwarzania danych osobowych Klienta:
Przetwarzanie Danych osobowych Klienta przez GoDaddy jest zasadnie wymagane w celu świadczenia Usług opisanych w Umowie.
Rodzaj danych osobowych i kategorie osób, których dane dotyczą:
Rodzaje Danych osobowych Klienta i kategorie osób, których dane dotyczą, są kontrolowane przez Klienta i/lub Administratora danych, który przekazał Klientowi Dane osobowe Klienta według ich własnego uznania.
Dane wrażliwe i specjalne kategorie danych.:
Dane wrażliwe mogą być od czasu do czasu przetwarzane zgodnie z Umową. Rodzaje Danych wrażliwych przetwarzanych w ramach Umowy są określane przez Klienta i/lub Administratora danych, który dostarczył Klientowi Dane wrażliwe, według ich własnego uznania.
Obowiązki i prawa Administratora:
Obowiązki i prawa Klienta zostały opisane w Umowie i niniejszym Aneksie.
Dodatek 2: Techniczne i organizacyjne środki bezpieczeństwa1. Zastosowanie
1.1 Wymogi niniejszego Dodatku 2 mają zastosowanie do GoDaddy i każdego Podwykonawcy przetwarzania (w tym między innymi każdego dostawcy usług w chmurze) wykorzystywanego przez GoDaddy do świadczenia Usług i/lub Przetwarzania danych osobowych Klienta.
1.2 Jeżeli GoDaddy korzysta z Podwykonawcy przetwarzania celu świadczenia Usług i/lub Przetwarzania danych osobowych Klienta, GoDaddy zapewni, że taki Podwykonawca przetwarzania spełnia wszystkie wymogi niniejszego Dodatku.
2. Zarządzanie prywatnością informacji i bezpieczeństwem danych
2.1 Proces zarządzania ryzykiem. GoDaddy będzie utrzymywać odpowiedni proces zarządzania ryzykiem w celu określenia, oceny, reagowania i monitorowania ryzyka związanego z Danymi osobowymi Klienta, zgodnie z obowiązkami GoDaddy wynikającymi z Umowy, Aneksu i obowiązującego prawa.
2.2 Zakres programu bezpieczeństwa informacji. Program bezpieczeństwa informacji GoDaddy, w tym wszystkie obowiązujące zasady ochrony prywatności i danych, powinien być zaprojektowany co najmniej w taki sposób, aby:
2.2.1 chronić poufność, integralność i dostępność Danych osobowych Klienta będących w posiadaniu lub pod kontrolą GoDaddy, lub do których GoDaddy ma dostęp, oraz
2.2.2 chronić Dane osobowe Klienta przed racjonalnie przewidywalnymi zagrożeniami dla poufności, integralności i dostępności.
2.3 Aktualizacje programu bezpieczeństwa informacji. GoDaddy będzie regularnie przeglądać i aktualizować swój program bezpieczeństwa informacji zgodnie ze standardowymi praktykami i ramami branżowymi odpowiednimi do rodzaju, ilości i wrażliwości Danych osobowych Klienta przetwarzanych przez GoDaddy.
2.4 Oceny i testy ryzyka. GoDaddy będzie regularnie przeprowadzać oceny ryzyka w przypadku wszystkich systemów przetwarzających Dane osobowe Klienta i zewnętrzne testy penetracyjne na aplikacjach i infrastrukturze wykorzystywanej do świadczenia Usług, jeśli zostanie to uznane za konieczne przez GoDaddy.
2.5 Ciągłość i odporność. GoDaddy wdroży odpowiednie środki w celu ochrony integralności i dostępności swoich systemów, które przetwarzają Dane osobowe Klienta, w tym środki takie jak monitorowanie wydajności i dostępności, projektowanie nadmiarowych i odpornych systemów, korzystanie z nieprzerwanych źródeł zasilania, ochrona przed atakami DDoS, testowanie obciążenia i warunków skrajnych oraz inne podobne środki.3. Bezpieczeństwo organizacyjne
3.1 Odpowiedzialność. GoDaddy opracuje i wdroży pisemne zasady i procedury bezpieczeństwa informacji, które jasno określają odpowiedzialność za ochronę Danych osobowych Klienta w GoDaddy, w tym wyznaczy jedną lub więcej konkretnych osób odpowiedzialnych za administrowanie programem bezpieczeństwa informacji GoDaddy i ochronę Danych osobowych Klienta.
3.2 Zarządzanie aktywami i kontrole. GoDaddy będzie prowadzić politykę zarządzania aktywami i kontrole aktywów, w tym klasyfikację aktywów i inwentaryzację urządzeń i systemów, które są wykorzystywane do świadczenia Usług i/lub przetwarzania Danych osobowych Klienta.
3.3 Bezpieczeństwo fizyczne. GoDaddy wdroży również kontrole oparte na ryzyku w celu utrzymania bezpieczeństwa fizycznego swoich obiektów, w tym wdroży uzasadnione środki w celu zapewnienia, że tylko upoważnieni użytkownicy mają dostęp do urządzeń elektronicznych, sieci, krytycznych systemów, aplikacji, serwerowni, pomieszczeń komunikacyjnych i środowisk pracy GoDaddy. Środki, które mogą być stosowane przez GoDaddy, w stosownych przypadkach, obejmują między innymi alarmy, monitoring, zarządzanie dostępem gości i niszczenie danych osobowych na urządzeniach fizycznych przed ich usunięciem/recyklingiem.
4. Operacje bezpieczeństwa
4.1 Bezpieczna konfiguracja systemu. GoDaddy ustanowi mechanizmy kontroli w celu zapewnienia bezpiecznej konfiguracji systemów wykorzystywanych do świadczenia Usług i/lub przetwarzania Danych osobowych Klienta.
4.2 Zarządzanie podatnościami i poprawkami. GoDaddy ustanowi i będzie utrzymywać system zarządzania lukami w zabezpieczeniach i poprawkami, który zapewni, że wszystkie systemy wykorzystywane do świadczenia Usług i/lub przetwarzania Danych osobowych Klienta uzyskają poprawki pod kątem znanych luk w zabezpieczeniach w rozsądnym czasie na podstawie krytyczności poprawki i wrażliwości Danych osobowych Klienta.
4.3 Zapobieganie złośliwemu oprogramowaniu. GoDaddy wdroży mechanizmy wykrywania, zapobiegania i naprawy w celu ochrony przed złośliwym oprogramowaniem (w tym odpowiednie programy uświadamiające użytkowników).
4.4 Logowanie i audyt. GoDaddy będzie stosować program zarządzania logami, który definiuje zakres, tworzenie, przechowywanie, analizę i usuwanie logów przy użyciu opartych na ryzyku standardów branżowych.
4.5 Wykrywanie incydentów bezpieczeństwa i reagowanie na nie. GoDaddy będzie utrzymywać oparte na ryzyku systemy wykrywania Incydentów bezpieczeństwa zgodnie z wymogami sekcji 6 Umowy, w tym systemy wykrywania włamań i zapobiegania włamaniom.
5. Szkolenia
Firma GoDaddy zapewni, że jej pracownicy będą regularnie szkoleni w zakresie swoich obowiązków dotyczących poufności i ochrony danych w odniesieniu do Danych osobowych Klienta.
6. Kontrole dostępu
6.1 Unikalna identyfikacja. GoDaddyprzypisze indywidualne, unikalne dane uwierzytelniające użytkownika pracownikom mającym dostęp do Danych osobowych Klienta, w tym między innymi pracownikom z dostępem administracyjnym.
6.2 Zarządzanie hasłami. GoDaddy wdroży zasady i procedury zarządzania hasłami, w tym scentralizowane zarządzanie hasłami i zasady dotyczące haseł.
6.3 Uwierzytelnianie wieloskładnikowe. GoDaddywdroży uwierzytelnianie wieloskładnikowe na potrzeby zdalnego dostępu do sieci, systemów lub aplikacji wykorzystywanych do Przetwarzania i/lub przechowywania Danych osobowych Klienta.
6.4 Zasada jak najmniejszych uprawnień. GoDaddy ograniczy dostęp do Danych osobowych Klienta do tych pracowników, którzy są związani odpowiednimi zobowiązaniami do zachowania poufności i do których zastosowanie ma „zasada wiedzy koniecznej” do celów świadczenia Usług.
7. Kontrole bezpieczeństwa danych
7.1 Segregacja danych. GoDaddy będzie przechowywać Dane osobowe Klienta w logicznie oddzielonych i bezpiecznych środowiskach.
7.2 Szyfrowanie i inne środki. GoDaddy będzie stosować odpowiednie środki oparte na ryzyku w celu ochrony Danych osobowych Klienta, w tym szyfrowanie, pseudonimizację i inne odpowiednie środki, takie jak stosowanie algorytmów haszowania, w tym haseł i tokenów API używanych do uzyskiwania dostępu do systemów zawierających Dane osobowe Klienta.
Dodatek 3: Terminy specyficzne dla danych jurysdykcji
1. Stany Zjednoczone
1.1 Kalifornia.
1.1.1 Definicje.
1.1.1.1 Poniższe terminy są wyraźnie zdefiniowane zgodnie z definicjami określonymi w kalifornijskich przepisach o ochronie danych: „Firma”, „Cel komercyjny”, „Usługodawca”, „Sprzedawać”, „Udostępniać” i „Strona trzecia”.
1.1.1.2 Termin „Dane osobowe Klienta” obejmuje Dane osobowe zidentyfikowanych lub możliwych do zidentyfikowania osoby fizycznej lub gospodarstwa domowego.
1.1.2 Role Stron.
1.1.2.1 Jeśli Klient zostanie uznany za Firmę zgodnie z obowiązującymi kalifornijskimi przepisami o ochronie danych, wszystkie odniesienia do praw i obowiązków Klienta jako Administratora na mocy niniejszego Aneksu będą również uznawane za odnoszące się do praw i obowiązków Klienta jako Firmy. Jeśli Klient zostanie uznany za Usługodawcę zgodnie z obowiązującymi kalifornijskimi przepisami o ochronie danych, wszystkie odniesienia do praw i obowiązków Klienta jako Przetwarzającego na mocy niniejszego Aneksu będą również uznawane za odnoszące się do praw i obowiązków Klienta jako Usługodawcy.
1.1.2.2 Jeśli firma GoDaddy zostanie uznana za Usługodawcę lub Stronę trzecią zgodnie z obowiązującymi kalifornijskimi przepisami o ochronie danych, wszystkie odniesienia do praw i obowiązków GoDaddy jako Przetwarzającego lub Podwykonawcy przetwarzania na mocy niniejszego Aneksu będą również uznawane za odnoszące się do praw i obowiązków GoDaddy jako Usługodawcy lub Strony trzeciej, w zależności od przypadku.
1.2 Wszystkie stany USA (w tym Kalifornia).
1.2.1 GoDaddy nie może (a) sprzedawać ani udostępniać Danych osobowych Klienta, (b) zatrzymywać, wykorzystywać ani ujawniać Danych osobowych Klienta w jakimkolwiek celu innym niż cele biznesowe określone w Umowie, ani (c) zatrzymywać, wykorzystywać ani ujawniać jakichkolwiek Danych osobowych Klienta poza bezpośrednimi relacjami biznesowymi pomiędzy GoDaddy a Firmą.
1.2.2 Dostęp GoDaddy do Danych osobowych Klienta nie jest przekazywany w ramach wynagrodzenia wymienianego przez Strony na podstawie Umowy.
1.2.3 Klient ma prawo do podjęcia uzasadnionych kroków w celu (a) sprawdzania, czy GoDaddy przetwarza Dane osobowe Klienta w sposób zgodny z niniejszym Aneksem, w tym korzystania z praw określonych w sekcji 8 Aneksu; (b) żądania zaprzestania i naprawienia działań GoDaddy związanych z Przetwarzaniem prowadzonych z naruszeniem warunków Aneksu oraz (c) podejmowania wszelkich innych uzasadnionych kroków (określonych według wyłącznego uznania Klienta) w celu zapewnienia zgodności GoDaddy z niniejszym Aneksem. Jeśli GoDaddy nie jest w stanie lub nie chce spełnić uzasadnionych żądań Klienta zgodnie z niniejszą sekcją 1.2.3, jedynym środkiem prawnym przysługującym Klientowi jest wypowiedzenie niniejszego Aneksu i tej części Umowy, która odnosi się do przetwarzania Danych osobowych Klienta.
1.2.4 GoDaddy zaświadcza, że rozumie i będzie przestrzegać obowiązków wynikających z przepisów o ochronie danych i niniejszego Aneksu, w tym wszystkich ograniczeń dotyczących przetwarzania Danych osobowych klienta.
2. Unia Europejska / Europejski Obszar Gospodarczy
2.1 Podwykonawcy przetwarzania
2.1.1 Gdy firma GoDaddy zaangażuje Podwykonawcę przetwarzania:
2.2 Odpowiedzialność za kary regulacyjne. Niezależnie od jakichkolwiek innych warunków określonych w niniejszym Aneksie lub Umowie (w tym zobowiązań odszkodowawczych którejkolwiek ze Stron wynikających z Umowy), żadna ze Stron nie będzie odpowiedzialna za jakiekolwiek grzywny wydane lub nałożone przez jakikolwiek organ regulacyjny lub organ rządowy na drugą Stronę, w tym za jakiekolwiek grzywny na podstawie art. 83 RODO UE.2.1.1.1 będzie wymagać od Podwykonawcy przetwarzania przestrzegania środków technicznych i organizacyjnych określonych w sekcjach 5, 6 i 8 Aneksu oraz w Dodatku 2 do Aneksu, które są odpowiednie do charakteru przetwarzania przez Podwykonawcę przetwarzania, w tym między innymi wszystkich środków technicznych i organizacyjnych wymaganych na mocy art. 28 ogólnego rozporządzenia UE o ochronie danych (RODO); oraz
2.1.1.2 zobowiąże Podwykonawcę przetwarzania Danych osobowych Klienta do wyrażenia pisemnej zgody na przetwarzanie Danych osobowych Klienta wyłącznie w (a) UE/EOG, (b) kraju, w którym Komisja Europejska zadeklarowała „odpowiedni” poziom ochrony danych, lub (c) na warunkach określonych w Dodatku 4 dotyczącym międzynarodowego przekazywania Danych osobowych Klienta.
3. Szwajcaria
3.1 Gdy firma GoDaddy zaangażuje Podwykonawcę przetwarzania:
3.1.1 będzie wymagać od Podwykonawcy przetwarzania przestrzegania środków technicznych i organizacyjnych określonych w sekcjach 5, 6 i 8 oraz w Dodatku 2 do Aneksu, które są odpowiednie do charakteru przetwarzania przez Podwykonawcę przetwarzania, w tym między innymi wszystkich środków technicznych i organizacyjnych wymaganych na mocy art. 28 RODO; oraz
3.1.2 Zobowiąże Podwykonawcę przetwarzania Danych osobowych Klienta do wyrażenia pisemnej zgody na przetwarzanie Danych osobowych Klienta wyłącznie w (a) Szwajcarii, (b) UE/EOG, (c) innym kraju, w którym Komisja Europejska zadeklarowała „odpowiedni” poziom ochrony danych, lub (d) na warunkach określonych w Dodatku 4 dotyczącym międzynarodowego przekazywania Danych osobowych Klienta.
3.2 W zakresie, w jakim Przekazywanie danych osobowych Klienta ze Szwajcarii podlega Standardowym klauzulom umownym UE (zgodnie z definicją w Dodatku 4), zastosowanie mają następujące zmiany:
3.2.1 odniesienia do „państwa członkowskiego” będą interpretowane jako obejmujące Szwajcarię; oraz
3.2.2 w zakresie, w jakim przekazania danych podlegają federalnej ustawie o ochronie danych („FADP”), odniesienia do „rozporządzenia (UE) 2016/679” będą uznawane za odniesienia do ustawy FADP.
3.3 W zakresie wymaganym przez ustawę FADP Standardowe klauzule umowne UE będą uznawane za obejmujące dane dotyczące podmiotów prawnych jako Dane osobowe Klienta.4. Wielka Brytania
4.1 Odniesienia do „RODO” będą uznawane za odniesienia do odpowiednich przepisów ustawowych i wykonawczych Wielkiej Brytanii, w tym między innymi do brytyjskiego RODO i brytyjskiej ustawy o ochronie danych z 2018 r.
4.2 Gdy Firma angażuje Podwykonawcę przetwarzania:
Dodatek 4: Międzynarodowe obowiązkowe mechanizmy przekazywania transgranicznego
4.2.1 będzie wymagać od Podwykonawcy przetwarzania przestrzegania środków technicznych i organizacyjnych określonych w sekcjach 5, 6 i 8 oraz w Dodatku 2 do Aneksu, które są odpowiednie do charakteru przetwarzania przez Podwykonawcę przetwarzania, w tym między innymi wszystkich środków technicznych i organizacyjnych wymaganych na mocy art. 28 brytyjskiego RODO; oraz
4.2.2 zobowiąże Podwykonawcę przetwarzania Danych osobowych Klienta do wyrażenia pisemnej zgody na przetwarzanie Danych osobowych Klienta wyłącznie w (a) Wielkiej Brytanii, (b) UE/EOG, (c) innym kraju, w którym Wielka Brytania zadeklarowała „odpowiedni” poziom ochrony danych, lub (d) na warunkach określonych w Dodatku 4 dotyczącym międzynarodowego przekazywania Danych osobowych Klienta.
1. Definicje
1.1 „Ramy prywatności danych („Ramy”) oznaczają programy certyfikacji Ram prywatności danych UE–USA, Szwajcaria–USA lub Wielka Brytania–USA obsługiwane przez Departament Handlu Stanów Zjednoczonych [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 „Brytyjsko-amerykański pomost danych” oznacza brytyjskie rozszerzenie ram prywatności danych między UE a USA.
1.3 „Standardowe klauzule umowne UE” oznaczają standardowe klauzule umowne zatwierdzone przez Komisję Europejską i załączone w załączniku do decyzji 2021/914 z czerwca 2021 r.
1.4 Uznaje się, że brytyjska międzynarodowa umowa o przekazywaniu danych („UK IDTA”) wydana przez brytyjskie biuro ds. danych osobowych, wersja B1.0, została zawarta przez Strony w dniu wejścia w życie Umowy, a standardowe klauzule umowne UE uznaje się za zmienione zgodnie z IDTA w odniesieniu do przekazywania danych z Wielkiej Brytanii.
2. Hierarchia ważności
2.1 Nie stosuje się obowiązkowego mechanizmu przekazywania danych, jeśli przekazywanie jest dokonywane do kraju, który został uznany za zapewniający odpowiedni poziom ochrony danych przez przepisy o ochronie danych kraju, z którego takie Dane osobowe Klienta są przekazywane.
2.2 Jeśli przekazywanie jest wymagane i jest objęte więcej niż jednym Obowiązkowym mechanizmem przekazywania, będzie podlegać pojedynczemu Obowiązkowemu mechanizmowi przekazywania zgodnie z następującą kolejnością pierwszeństwa: (a) obowiązujące ramy unijne lub szwajcarskie; (b) brytyjsko-amerykański pomost danych; (c) standardowe klauzule umowne UE; (d) brytyjska umowa IDTA; lub (e) jakikolwiek inny obowiązujący obowiązkowy mechanizm przekazywania dozwolony na mocy obowiązujących przepisów ochrony danych.
2.3 Jeżeli Obowiązkowy mechanizm przekazywania zostanie uznany za nieważny po zawarciu niniejszej Umowy, wszystkie przyszłe przekazania będą uznawane za dokonywane za pomocą następnego obowiązującego Obowiązkowego mechanizmu przekazywania.
3. Ramy prywatności danych
3.1 Samodzielna certyfikacja.
3.1.1 Certyfikacja GoDaddy. GoDaddy oświadcza, że posiada samodzielną certyfikację dotyczącą przestrzegania Ram. GoDaddy zobowiązuje się (a) zapewnić co najmniej taki sam poziom ochrony wszelkich Danych osobowych Klienta, jaki jest wymagany zgodnie z Zasadami Ram; (b) powiadomić Klienta na piśmie bez zbędnej zwłoki, jeśli certyfikacja GoDaddy dla Ram zostanie wycofana, zakończona, odwołana lub w inny sposób unieważniona; oraz (c) na pisemne powiadomienie od Klienta podjąć uzasadnione i odpowiednie kroki w celu zaprzestania i naprawienia nieuprawnionego przetwarzania Danych osobowych Klienta.
3.1.2 Certyfikacja Firmy. W zakresie, w jakim Firma jest certyfikowana zgodnie z Ramami, Firma zgadza się (a) zapewnić co najmniej taki sam poziom ochrony Danych osobowych, jaki jest wymagany zgodnie z Zasadami ram; (b) powiadomić GoDaddy na piśmie bez zbędnej zwłoki, jeśli certyfikacja Firmy dla Ram zostanie wycofana, zakończona, odwołana lub w inny sposób unieważniona; oraz (c) po pisemnym powiadomieniu GoDaddy podjąć uzasadnione i odpowiednie kroki w celu zaprzestania i naprawy jakiegokolwiek nieautoryzowanego przetwarzania Danych osobowych Klienta.
3.2 Status
3.2.1 EU-US DPF. Ramy UE–USA zostały uznane za zapewniające odpowiedni poziom ochrony danych przez Komisję Europejską na mocy decyzji stwierdzającej odpowiedni stopień ochrony z 10 lipca 2023 r. i obowiązują od 10 października 2023 r.
3.2.2 Brytyjsko-amerykański pomost danych. Brytyjsko-amerykański pomost danych został uznany za zapewniający odpowiedni poziom ochrony danych przez brytyjskiego sekretarza stanu ds. nauki, innowacji i technologii, który przedstawił w parlamencie przepisy dotyczące adekwatności z dnia 21 września 2023 r. Regulacje pomostu wchodzą w życie z dniem 12 października 2023 r., a stosowne przekazania będą dokonywane zgodnie z nim od tej daty.
3.2.3 Ramy Szwajcaria–USA. Ramy Szwajcaria–USA jeszcze nie obowiązują.
3.3 Firma i Podwykonawca przetwarzania firmy podejmą wszelkie kroki niezbędne do umożliwienia firmie GoDaddy wypełnienia jej obowiązków jako Administratora i/lub Przetwarzającego na mocy Ram, w tym między innymi do pomocy GoDaddy i/lub Administratorowi w odpowiadaniu na wnioski osób fizycznych o skorzystanie z ich praw jak osób, których dane dotyczą.3.2.3.1 Strony uzgadniają, że w zakresie, w jakim warunki niniejszego Aneksu są zgodne z Ramami szwajcarskimi lub ich rozsądnym odpowiednikiem w momencie jego wejścia w życie, odpowiednie przekazania Danych osobowych Klienta ze Szwajcarii będą traktowane tak, jakby były dokonywane na mocy Ram Szwajcaria–USA.
3.2.3.2 W zakresie, w jakim Ramy Szwajcaria–USA wymagają dodania dalszych warunków do niniejszego Aneksu, Strony uzgadniają, że takie warunki zostaną włączone automatycznie bez dalszych działań Stron; pod warunkiem, że takie dodatkowe warunki nie nakładają żadnych dodatkowych istotnych zobowiązań na żadną ze Stron ani nie naruszają w istotny sposób pierwotnych warunków Umowy.
3.2.3.3 W zakresie, w jakim dodatkowe warunki nie mogą zostać automatycznie dodane do niniejszego Aneksu, niniejszy Aneks może zostać zmieniony w celu umożliwienia przekazywania danych zgodnie z Ramami Szwajcaria–USA.
3.2.3.4 Niezależnie od innych postanowień niniejszego Aneksu żadne z jego postanowień nie ogranicza, nie zawęża ani w żaden inny sposób nie wpływa na zdolność Stron do przekazywania Danych osobowych zgodnie z innym zgodnym z prawem mechanizmem przekazywania danych.
4. Standardowe klauzule umowne UE
4.1 W przypadku przekazywania Danych osobowych z UE/EOG i Szwajcarii, które podlegają Standardowym klauzulom umownym UE, zastosowanie ma Moduł drugi (Administrator do Przetwarzającego) lub Moduł trzeci (Przetwarzający do Przetwarzającego) w zależności od tego, czy GoDaddy jest Administratorem czy Przetwarzającym w odniesieniu do przekazywanych Danych osobowych Klienta.
4.2 W odniesieniu do Modułów drugiego i trzeciego Standardowych klauzul UE:
4.2.1 W klauzuli 7 opcjonalna klauzula przystąpienia nie będzie miała zastosowania.
4.2.2 W klauzuli 9 zastosowanie będzie miała opcja 2, a proces powiadamiania i termin zgłaszania sprzeciwu wobec zmian Podwykonawcy przetwarzania będą takie, jak określono w sekcji 3 Aneksu.
4.2.3 W klauzuli 11 język opcjonalny nie będzie miał zastosowania.
4.2.4 W klauzuli 17 (opcja 1) Standardowe klauzule umowne UE będą podlegać prawu wewnętrznemu Niemiec.
4.2.5 W klauzuli 18 lit. b) spory związane z Aneksem powierzenia przetwarzania danych będą rozstrzygane w Republice Federalnej Niemiec.
4.3 Do celów Załącznika I, część A:
4.3.1 Podmiot przekazujący dane
4.3.1.1 Podmiotem przekazującym dane będzie Firma.
4.3.1.2 Z Firmą można kontaktować się pod adresami podanymi w postanowieniu Umowy dotyczącym powiadomień.
4.3.1.3 Uznaje się, że zawierając niniejszy Aneks, Firma podpisała niniejsze Standardowe klauzule umowne UE, w tym załączniki do nich, w Dacie wejścia w życie Umowy.
4.3.2 Podmiot odbierający dane
4.3.2.1 Podmiotem odbierającym dane będzie GoDaddy i/lub autoryzowani partnerzy GoDaddy.
4.3.2.2 Z firmą GoDaddy można kontaktować się pod adresami podanymi w postanowieniu Umowy dotyczącym powiadomień lub pod adresem privacy@GoDaddy.com.
4.3.2.3 Uznaje się, że zawierając niniejszy Aneks, firma GoDaddy podpisała niniejsze Standardowe klauzule umowne UE, w tym załączniki do nich, w Dacie wejścia w życie Umowy.
4.4 Do celów Załącznika I, część B:
4.4.1 Kategorie osób, których dane dotyczą, zostały opisane w Dodatku 1
4.4.2 Przekazywane dane wrażliwe (jeśli istnieją) są opisane w Dodatku 1.
4.4.3 Częstotliwość przekazywania danych jest równa okresowi obowiązywania Umowy i Aneksu.
4.4.4 Charakter przetwarzania został opisany w Dodatku 1.
4.4.5 Cel przetwarzania został opisany w Dodatku 1.
4.4.6 Okres przetwarzania został opisany w Dodatku 1.
4.5 Do celów Załącznika I, część C, zgodnie z klauzulą 13, właściwy organ nadzorczy definiuje się w następujący sposób:
4.5.1 W przypadku przekazywania Danych osobowych z UE/EOG organem nadzorczym jest Komisarz Kraju Związkowego Nadrenia Północna-Westfalia ds. ochrony danych i wolności informacji.
4.5.2 Szwajcarski Federalny Komisarz ds. Ochrony Danych i Informacji działa jako właściwy organ nadzorczy w zakresie, w jakim odpowiednie Przekazywanie lub Dalsze przekazywanie podlega szwajcarskim przepisom o ochronie danych.
4.6 W Załączniku II do Standardowych klauzul umownych UE Dodatek 2 zawiera środki techniczne i organizacyjne wdrożone przez Spółkę jako Importera danych na mocy Aneksu.
4.7 W Załączniku III do Standardowych klauzul umownych UE znajduje się lista Podwykonawców przetwarzania Firmy.5. Umowa o międzynarodowym przekazywaniu danych (IDTA) Wielkiej Brytanii
5.1 IDTA Wielkiej Brytanii ma zastosowanie do przekazywania Danych osobowych Klienta z Wielkiej Brytanii do dowolnego kraju poza Wielką Brytanią, który nie jest uznawany przez właściwy brytyjski organ regulacyjny lub organ rządowy za zapewniający odpowiedni poziom ochrony Danych osobowych.
5.2 W przypadku przekazywania podlegającego pod IDTA, IDTA uznaje się za zawartą przez Strony i wypełnioną w następujący sposób:
5.2.1 W Tabeli 1 IDTA: dane Stron i kluczowe informacje kontaktowe znajdują się w sekcji 4.3 niniejszego Dodatku 4.
5.2.2 W Tabeli 2 IDTA: informacje na temat wersji Standardowych klauzul umownych UE, modułów i wybranych klauzul, do których dołączona jest brytyjska IDTA, znajdują się w sekcji 4 niniejszego Dodatku.
5.2.3 W tabeli 3 brytyjskiej IDTA:
5.2.3.1 lista Stron znajduje się w sekcji 4.3 niniejszego Dodatku 4;
5.2.3.2 opis przeniesienia jest określony w Dodatku 1;
5.2.3.3 Załącznik II znajduje się w Dodatku 2;
5.2.3.4 lista Podwykonawców przetwarzania firmy znajduje się w Dodatku 5;
5.2.3.5 w Tabeli 4 IDTA zarówno GoDaddy, jak i Firma mogą rozwiązać IDTA zgodnie z jej warunkami.
5.3 Brytyjskie biuro ds. danych osobowych działa jako właściwy organ nadzorczy w zakresie, w jakim odpowiednie przekazanie podlega brytyjskim przepisom i regulacjom dotyczącym ochrony danych.
5.4 Konflikt postanowień. W zakresie, w jakim występuje jakikolwiek konflikt lub niespójność między Standardowymi klauzulami umownymi UE lub brytyjską ustawą DTA a jakimikolwiek innymi warunkami niniejszego Aneksu dotyczącego przetwarzania danych, postanowienia Standardowych klauzul umownych UE lub brytyjskiej ustawy IDTA, w zależności od przypadku, będą miały zastosowanie.
Przetłumaczone wersje umów prawnych i zasad są udostępniane wyłącznie w celu ułatwienia czytania i zrozumienia wersji angielskojęzycznych. Przetłumaczone wersje umów prawnych i zasad nie stanowią prawnie wiążącej umowy i nie mają pierwszeństwa przed wersjami angielskojęzycznymi. W razie sporów lub konfliktów wersje angielskojęzyczne umów prawnych i zasad w każdym przypadku określają nasze relacje oraz mają pierwszeństwo przed innymi wersjami językowymi.