ADENDO AO PROCESSAMENTO DE DADOS (CLIENTES)

Esse Adendo de processamento de dados (o “Adendo”) é executado por e entre GoDaddy.com, LLC, a Delaware limited liability company e seus Afiliados (“GoDaddy”) e você (“Cliente”) e está anexado a e complementa nossos Termos de Serviço Universal, Política de Privacidade e os complementos dos nossos Termos de Serviço Universal, Política de Privacidade e todos e quaisquer acordos que regem os Serviços Cobertos (coletivamente, os “Termos de Serviço”).  A menos que seja definido de outra forma neste Adendo, todos os termos em maiúsculas não definidos neste Adendo terão o significado dado a eles nos Termos de serviço.

O termo “Afiliados” designa qualquer entidade que controle, seja controlada por, ou exerça controle junto com a GoDaddy.

"CCPA" é a sigla para The California Consumer Privacy Act, ou Lei de Privacidade do Consumidor da Califórnia, em português. Civ. Código 1798.100 et seq., incluindo quaisquer alterações e regulamentos de implementação que entrem em vigor na data de entrada deste Adendo sobre Processamento de Dados ou após a data de aplicação do mesmo.

“Serviços Abrangidos” são quaisquer serviços hospedados que oferecemos a você que possam envolver a forma como fazemos o Processamento de seus Dados Pessoais.

“Dados do Cliente” refere-se aos Dados Pessoais de qualquer Titular dos Dados Processados pela GoDaddy dentro da Rede da GoDaddy em nome do Cliente, de acordo com ou em conformidade com os Termos de Serviço.

"Controlador de Dados" é um termo que se refere ao Cliente enquanto entidade, que determina as finalidades e os mecanismos do Processamento de Dados Pessoais.

O "Processador de Dados" GoDaddyé a entidade que processa os Dados Pessoais em nome do Controlador de Dados ou do prestador de serviços, conforme definido pelo CCPA.

“Leis de Proteção de Dados" designa todas as leis e regulamentos de proteção de dados ou privacidade aplicáveis ao Processamento de Dados Pessoais no âmbito do Contrato, incluindo o CCPA, (ii) a GDPR, (iii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/CE), (iv) quaisquer leis nacionais de proteção de dados feitas sob ou de acordo com (ii) ou (iii), (v) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e seu respectivo Decreto, e (vi) com relação ao Reino Unido, a Lei de Proteção de Dados de 2018 e qualquer legislação nacional aplicável que substitua ou converta no direito interno a GDPR ou qualquer outra lei relacionada a dados e privacidade como consequência da saída do Reino Unido da União Europeia; em cada caso, conforme possa ser alterado, revogado ou substituído.

“Titular dos Dados” refere-se ao indivíduo a quem os Dados Pessoais estão relacionados.

“EEE” é a sigla para Espaço Econômico Europeu.

“GDPR" corresponde ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre Proteção de Dados).

Entende-se por“GoDaddy Rede” \as instalações de datacenter, servidores, equipamentos de rede e sistemas de hospedagem de software (por exemplo, firewalls virtuais) da empresaGoDaddy que são controlados pela GoDaddy e são usados para fornecer os Serviços Abrangidos.

"Dados pessoais" compreende qualquer informação relativa a uma pessoa identificada ou identificável ou ao seu domicílio, conforme definido nas Leis de Proteção de Dados.

“Processamento” significa qualquer operação ou conjunto de operações que são realizadas nos Dados Pessoais, sejam ou não por meios automáticos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. Os termos “Processo”, “processos” e “processado” serão interpretados adequadamente. Detalhes do processamento são estabelecidos no Anexo 1.

“Incidente de Segurança” seja (a) uma violação de segurança dos GoDaddyPadrões de Segurança da \ que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a quaisquer Dados do Cliente; ou (b) qualquer acesso não autorizado a equipamentos ou instalações da GoDaddy, onde em qualquer dos casos esse acesso resulte em destruição, perda, divulgação não autorizada ou alteração de Dados do Cliente.

“Padrões de Segurança” significa os padrões de segurança anexados a este adendo como Anexo 2.

“Cláusulas Contratuais Padrão” ou “SCCs” significam o Anexo 3, anexado e incluído no presente Adendo em conformidade com a Decisão da Comissão Europeia de 5 de fevereiro de 2010, com relação a cláusulas contratuais padrão para transferência de dados pessoais aos processadores estabelecidos em países terceiros nos termos da Diretiva. 

“Subprocessador” significa qualquer processador de dados designado pelo Processador para processar Dados Pessoais em nome do Controlador                                                               

2.1 Escopo e Funções. Este adendo se aplica quando os Dados do Cliente são processados pela empresaGoDaddy.  Neste contexto,a GoDaddyatuará como Processador de Dados em nome do Cliente como Controlador de Dados no que diz respeito aos Dados do Cliente.

2.2 Detalhes do Processamento de Dados. A questão do processamento dos Dados do Cliente por parte da empresa \ GoDaddy trata da execução dos Serviços Abrangidos, de acordo com os Termos de Serviço e acordos específicos do produto. \ GoDaddy O processamento dos Dados do Cliente só será efetuado em nome e de acordo com as instruções documentadas do Cliente para os seguintes fins: (i) Processamento em conformidade com os Termos de Serviço ou contrato específico do produto aplicável; (ii) Processamento iniciado pelos usuários finais no respectivo uso dos Serviços Cobertos; (iii) Processamento para cumprir com outras instruções documentadas e razoáveis fornecidas pelos Clientes (por exemplo, via email), quando tais instruções estiverem em consonância com os termos do Contrato.AGoDaddy não poderá: (a) processar, reter, usar, vender ou divulgar os Dados do Cliente, exceto quando necessário para fornecer Serviços Abrangidos de acordo com os Termos de Serviço, ou conforme exigido por lei; (b) vender tais Dados do Cliente a terceiros; (c) reter, usar ou divulgar os Dados do Cliente para além da relação comercial direta entre aGoDaddye o Cliente.

Para que não haja margem para dúvidas, as instruções fornecidas ao Cliente relativas ao Processamento de Dados Pessoais deverão cumprir todas as leis de privacidade de dados aplicáveis. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e dos meios pelos quais o mesmo obteve Dados Pessoais. A GoDaddy não será obrigada a cumprir ou observar as instruções do Cliente se tais instruções violarem as Leis de Proteção de Dados. aplicáveis. A duração, natureza e finalidade do Processamento, os tipos de dados pessoais e as categorias dos Titulares de Dados Processados de acordo com este Adendo são especificados no Anexo 1 (‘Detalhes do Processamento’) deste Adendo.

A empresa GoDaddy não divulgará os Dados do Cliente a governos ou terceiros, salvo se necessário para fins de cumprimento da lei ou de um mandado judicial válido e vinculativo de uma agência reguladora (tal como uma intimação ou ordem judicial). Caso a GoDaddy receba uma intimação (Processo Civil) válida, e na medida do permitido, a GoDaddy se empenhará em comunicar o Cliente sobre a notificação em tempo hábil, via e-mail ou correio normal, para permitir que o Cliente tome uma providência cautelar ou outra solução apropriada.

4.1 A GoDaddy implementou e manterá as medidas técnicas e organizacionais para a Rede da GoDaddy como descrito nesta Seção e conforme descrito no Anexo 2 a este Adendo, Padrões de Segurança. Especificamente, a GoDaddy implementou e manterá as seguintes medidas técnicas e organizacionais que abordam (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controles em torno do acesso do funcionário e de terceiros a (i) e/ou (ii); e (iv) os processos para testar, analisar e avaliar a eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Caso não possamos cumprir nenhuma de suas obrigações aqui estabelecidas, forneceremos uma notificação por escrito (via nosso site e email) assim que for possível do ponto de vista prático.

4.2 A GoDaddy disponibiliza diversos recursos e funcionalidades de segurança que o Cliente pode optar por utilizar em relação aos Serviços Abrangidos. O Cliente é responsável por (a)configurar adequadamente os Serviços Abrangidos, (b) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento, (c) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para permitir que o Cliente restaure a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico (por exemplo, backups e arquivamento rotineiro dos Dados do Cliente) e (d) adotar as medidas que o Cliente considere adequadas para manter a segurança, a proteção e a exclusão apropriadas dos Dados do Cliente, o que inclui o uso da tecnologia de criptografia para proteger os Dados do Cliente contra acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.

Levando em conta a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controles, conforme descrito na seção “Segurança” deste Adendo, os quais o Cliente pode escolher usar para recuperar, corrigir, excluir ou restringir o uso e o compartilhamento de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente pode usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em conexão com suas obrigações nos termos das leis de privacidade aplicáveis, incluindo suas obrigações relacionadas à resposta a solicitações dos Titulares dos Dados. Como comercialmente aceito, e na medida jurídica exigida ou permitida, a GoDaddy notificará imediatamente o Cliente se a GoDaddy receber diretamente uma solicitação de um Titular dos Dados para exercer esses direitos sob quaisquer leis de privacidade de dados aplicáveis (“Solicitação do Titular dos Dados”). Além disso, quando o uso que o Cliente faz dos Serviços Abrangidos limita sua capacidade de atender a uma Solicitação do Titular dos Dados, a GoDaddy pode, quando juridicamente permitido e apropriado e mediante solicitação específica do Cliente, fornecer assistência comercialmente aceitável para atender à solicitação, a custo do Cliente (caso incorram custos).

6.1 Subprocessadores autorizados. O cliente concorda que a GoDaddy pode usar Subprocessadores para cumprir suas obrigações contratuais sob seus Termos de Serviço e este Adendo ou para fornecer determinados serviços em seu nome, como a prestação de serviços de suporte. O cliente consente, por meio deste documento, o uso de Subprocessadores da GoDaddy conforme descrito nesta Seção. Exceto conforme estabelecido nesta Seção ou de outra forma explicitamente autorizado por você, a GoDaddy não permitirá outras atividades de subprocessamento.

6.2 Obrigações do subprocessador. Onde a GoDaddy usa qualquer Subprocessador autorizado conforme descrito na Seção 6.1:

(i) A GoDaddy restringirá o acesso do Subprocessador aos Dados do Cliente apenas ao que for necessário para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer usuários finais de acordo com os Serviços Abrangidos. A GoDaddy proibirá o Subprocessador de acessar os Dados do Cliente para qualquer outra finalidade;

(ii)A GoDaddy realizará um acordo por escrito com o Subprocessador e, na medida em que o Subprocessador estiver executando os mesmos serviços de processamento de dados que estão sendo fornecidos pela GoDaddy sob este Adendo, a GoDaddy cobrará do Subprocessador as mesmas obrigações contratuais que a GoDaddy tem em relação a este Adendo; e

(iii)A GoDaddy continuará responsável pelo cumprimento das obrigações deste Adendo e por quaisquer atos ou omissões do Subprocessador que façam com que a GoDaddy viole quaisquer obrigações da GoDaddy nos termos deste Adendo.

6.3 Novos subprocessadores.  De tempos em tempos, podemos incluir novos subprocessadores de acordo com os termos deste Adendo.  Nestes casos, daremos um aviso com antecedência de 60 dias (pelo nosso site e por email) antes de qualquer novo processador obter quaisquer dados do cliente. Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá rescindir quaisquer Serviços Abrangidos sem penalidade, fornecendo, no prazo de 10 dias ou do recebimento de uma notificação de nossa parte, uma notificação por escrito de rescisão que inclua uma explicação das razões de sua não aprovação. Se os Serviços Abrangidos fizerem parte de um pacote ou de uma compra combinada, qualquer rescisão será aplicada em sua totalidade.

7.1 Incidente de Segurança. Se a GoDaddy tomar conhecimento de um Incidente de Segurança, a GoDaddy, sem atrasos indevidos: (a) notificará o Cliente sobre o Incidente de Segurança; e (b) tomará as medidas cabíveis para mitigar os efeitos e minimizar qualquer dano resultante de tal Incidente.

7.2 GoDaddy Ajuda.  Para auxiliar o Cliente em relação a qualquer notificação de violação de dados pessoais, o Cliente é obrigado a submeter-se a todas as leis de privacidade aplicáveis, a GoDaddy incluirá na notificação as informações sobre o Incidente de Segurança que puderem ser reveladas ao GoDaddy, levando em conta a natureza dos Serviços Abrangidos, as informações disponíveis e GoDaddy quaisquer restrições sobre a revelação das informações, tais como confidencialidade.  

7.3 Incidentes de Segurança não autorizados. O cliente concorda que:

(i) Incidentes de Segurança não autorizados não estarão sujeitos aos termos deste Adendo. Um Incidente de Segurança não autorizado é aquele que resulta em acesso não autorizado aos Dados do Cliente ou a qualquer Rede, equipamento ou instalações da GoDaddy que armazenam Dados do Cliente e pode incluir, sem limitação,pings e outros ataques em firewalls ou servidores de borda, verificações de portas, tentativas de login malsucedidas, ataques de negação de serviço, sniffing de pacotes (ou outros acessos não autorizados a tráfego de dados que se limitem ao acesso aos cabeçalhos) ou incidentes semelhantes; e

**(ii) A obrigação da empresa ** GoDaddy de informar ou responder a um Incidente de Segurança nos termos desta Seção não é e não será interpretada como um reconhecimento por parte da GoDaddy de qualquer falha ou responsabilidade da GoDaddy com relação ao Incidente de Segurança em questão.

7.4 Comunicação. Notificações de Incidentes de Segurança, se ocorrerem, serão entregues a um ou mais administradores do Cliente por qualquer meio selecionado pela GoDaddy, inclusive por e-mail. É responsabilidade exclusiva do Cliente garantir que os administradores do Cliente mantenham dados precisos de contato no console de gerenciamento da GoDaddy e protejam a transmissão desses dados a todo momento.

8.1 Determinação independente. O Cliente é responsável por revisar as informações disponibilizadas pela GoDaddy relacionadas à segurança de dados e seus Padrões de Segurança e por determinar de forma independente se os Serviços Abrangidos atendem aos requisitos e obrigações legais do Cliente, bem como às obrigações do Cliente nos termos deste Adendo. A informação disponibilizada destina-se a ajudar o Cliente a cumprir as obrigações do Cliente nos termos das leis de privacidade aplicáveis, incluindo o GDPR, no que diz respeito às avaliações de impacto da proteção de dados e consulta prévia.

8.2 Direitos de auditoria do cliente. O cliente tem o direito de verificar a conformidade da GoDaddy com este Adendo conforme aplicável aos Serviços Abrangidos, incluindo especificamente a conformidade da GoDaddy com seus Padrões de Segurança, exercendo um direito razoável de conduzir uma auditoria ou uma inspeção, incluindo as Cláusulas Contratuais Padrão, caso se apliquem, fazendo uma solicitação específica para a GoDaddy por escrito para o endereço estabelecido em seus Termos de Serviço. Se a GoDaddy recusar-se a seguir qualquer instrução solicitada pelo Cliente em relação a uma auditoria ou a uma inspeção devidamente solicitada e com escopo definido, o Cliente deverá encerrar este Adendo e os Termos de Serviço. Se as Cláusulas Contratuais Padrão forem aplicáveis, nada nesta Seção variará ou modificará as Cláusulas Contratuais Padrão nem afetará os direitos de qualquer autoridade de supervisão ou indivíduo de dados de acordo com as Cláusulas Contratuais Padrão. Esta Seção também será aplicada na medida em que a GoDaddy executa o controle de Subprocessadores em nome do Cliente.

9.1 Processamento Processamento nos EUA. Exceto quando especificamente indicado nos Termos de Serviço, os Dados do Cliente serão transferidos para fora da EEE e processados nos Estados Unidos.

9.2 Aplicação de Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão serão aplicadas aos Dados do Cliente que forem transferidos para fora da EEA, diretamente ou mediante transferência posterior, para qualquer país que a Comissão Europeia não considere fornecer um nível adequado de proteção de Dados Pessoais. As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não sejam transferidos, diretamente ou por meio de transferência posterior, fora do EEE. Sem prejuízo do acima exposto, as Cláusulas Contratuais Padrão não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência lícita de Dados Pessoais fora da EEA, tal como quando necessário para a execução dos Serviços Abrangidos de acordo com os Termos de Serviço ou com o seu consentimento.

Este Adendo continuará em vigor até o término de nosso processamento, de acordo com os Termos de Serviço (“Data de Rescisão”).   

Conforme descrito nos Serviços Abrangidos, o Cliente pode fornecer controles que podem ser usados para recuperar ou excluir os Dados do Cliente. Qualquer exclusão de Dados do Cliente será regida pelos termos dos Serviços Abrangidos específicos.

A responsabilidade de cada parte nos termos deste Adendo estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer penalidades regulatórias incorridas pela GoDaddy em relação aos Dados do Cliente que surjam como resultado de, ou em conexão com, uma falha do Cliente em cumprir com suas obrigações nos termos deste Adendo e quaisquer leis de privacidade aplicáveis contarão e reduzirão a responsabilidade da GoDaddy de acordo com os Termos de Serviço como se fossem responsabilidade para com o Cliente com base nos Termos de Serviço.

Este Adendo substitui todas as representações, entendimentos, acordo ou comunicações anteriores ou concorrentes entre o Cliente e GoDaddy, seja por escrito ou verbal, em relação ao assunto deste Adendo, incluindo os adendos de processamento de dados inseridos entre GoDaddy e o Cliente com relação ao processamento de dados pessoais e na livre movimentação desses dados.  Exceto conforme indicado por este Adendo, os Termos de serviço permanecerão em pleno vigor e efeito.  Se houver um conflito entre qualquer outro acordo entre as partes incluindo os Termos de serviço e este Adendo, os termos deste Adendo terá precedência.

** ************************************************

 DETALHES DO PROCESSAMENTO

 1. Natureza e finalidade do Processamento. A GoDaddy processará os Dados Pessoais conforme necessário para executar os Serviços Abrangidos de acordo com os Termos de Serviço, os contratos específicos do produto e conforme instruído pelo Cliente durante o uso dos Serviços Abrangidos.

 2. Duração do processamento. Sujeita à Seção 10 deste Adendo, a GoDaddy Processará Dados Pessoais durante a data de vigência dos Termos de Serviço, mas obedecerá aos termos deste Adendo enquanto durar o Processamento se exceder esse prazo, e a menos que seja acordado de outra forma por escrito.

3. Categorias de assuntos de dados. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita aos Dados Pessoais relativos às seguintes categorias de Titular de Dados:

• Possíveis clientes, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas)
• Funcionários ou pessoas de contato de clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
• Funcionários, agentes, consultores, prestadores de serviço do Cliente (que são pessoas físicas)
• Usuários do Cliente autorizados por ele para usar os Serviços Abrangidos

4. Tipo de dados pessoais. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso do Serviços Abrangidos, do tipo e na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita às seguintes categorias de Dados Pessoais de Titulares de Dados: 

• Nome
• Endereço
• Número de telefone
• Data de nascimento
• Endereço de e-mail
• Outros dados coletados que poderiam identificá-lo direta ou indiretamente.

** ************************************************

Padrões de Segurança

I.  Medidas técnicas e organizacionais  

O nosso compromisso é de proteger as informações dos nossos clientes.  Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco para os direitos e as liberdades de pessoas naturais, realizamos as seguintes medidas técnicas e organizacionais.  Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Uma rápida recuperação após um incidente físico ou técnico é garantida. 

II.  Programa de privacidade de dados  

Nosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.   

1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”  

Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:   

  Segurança física  

• Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.) 
• Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão  
• Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)  
•  Gerenciamento de acesso ao visitante 
• Destruição de dados em mídia física e documento (trituração, neutralização etc.) 

  Controle de acesso e Prevenção de acesso não autorizado 

• Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos  
• Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.) 
• Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)   
• Acesso controlado a emails e à Internet 
• Gerenciamento de antivírus  
• Gerenciamento do sistema de prevenção contra intrusão  

Criptografia   

• Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes  
• Criptografia de dados de PII/SPII em repouso (bancos de dados, diretórios compartilhados etc.)   
• Criptografia completa de disco para PCs e laptops da empresa   
• Criptografia de mídia de armazenamento  
• Conexões remotas com as redes da empresa são criptografadas via VPN  
• Proteção do ciclo de vida das chaves de criptografia  

 Minimização de dados    

• Minimização de PII/SPI em logs de aplicativos, depuração e segurança  
• Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo 
• Segregação de dados armazenados por função (teste, preparação, ativação) 
• Segregação lógica de dados por função com base em direitos de acesso 
• Períodos de retenção de dados definidos para dados pessoais  

Teste de segurança     

• Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais 
• Verificações regulares de rede e vulnerabilidade   

2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”  

Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:    

Gerenciamento de alteração e versão    

• Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc  
• Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção    

Registro de log e monitoramento

• Login de acesso e alterações nos dados  
• Auditoria centralizada e logs de segurança   
• Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)    

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”    

Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:    

• Testes regulares de failover aplicados a serviços críticos  
• Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos  
• Programa de resposta a incidentes  
• Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.) 
• Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)   
• Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes    
• Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede  
• Alarme, sistemas de segurança em uso  
• Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.) 
• Proteção DDOS para manter a disponibilidade   
• Teste de carga e estresse  

4. Instruções de processamento de dados. "As instruções de processamento de dados referem-se a garantir que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas da empresa relacionadas"  

Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.   

• Termos de privacidade e confidencialidade em vigor nos contratos de funcionários 
• Treinamentos regulares de privacidade e segurança de dados para funcionários 
• Disposições contratuais adequadas para os contratos com os subcontratantes para manter os direitos de controle instrucional 
• Verificações regulares de privacidade para provedores de serviço externos 
• Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados 
• Auditorias de segurança regulares 

**********************************************

Veja a Seção 9.2 do Adendo para saber sobre a aplicabilidade destes SCCs

Cláusulas Contratuais Padrão (processadores)

Para efeitos do Artigo 26(2) da Diretiva 95/46/EC, relativo à transferência de dados pessoais para processadores estabelecidos em países terceiros que não dão garantia de um nível adequado de proteção de dados

A entidade identificada como "Cliente" no Adendo
(o “exportador de dados”)

e

GoDaddy.com, LLC

 (o “importador de dados”)

cada um "parte"; juntos "as partes",

CONCORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar medidas de segurança adequadas em relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para os propósitos das Cláusulas:

(a) “dados pessoais”, “categorias especiais de dados”, “processo/processamento”, “controlador”, “processador”, “titular dos dados” e “autoridade supervisora” devem ter o mesmo significado que na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995, com relação à proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados;

(b) “o exportador de dados” significa o controlador que transfere os dados pessoais;

(c) “o importador de dados” significa o processador que concorda em receber do exportador de dados os dados pessoais destinados a processamento em seu nome após a transferência de acordo com suas instruções e com os termos das Cláusulas e que não está sujeito ao sistema de um país terceiro garantindo proteção adequada de acordo com o Artigo 25(1) da Diretiva 95/46/EC;

(d) “o subprocessador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber, do importador de dados ou de qualquer outro subprocessador do importador de dados, dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com as instruções dele, com os termos das Cláusulas e com os termos do subcontrato por escrito;

(e) “a legislação de proteção de dados relevante” significa as leis que protegem os direitos e as liberdades fundamentais dos indivíduos e, em particular, seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a uma controladora de dados em um estado-membro no qual o exportador de dados está estabelecido;

(f) “medidas técnicas e organizacionais de segurança” são medidas destinadas a proteger dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, das categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1, que é parte integrante das Cláusulas.

Cláusula 3

Cláusula de beneficiário de terceiros

1.  O titular dos dados pode impor ao exportador de dados esta Cláusula, a Cláusula 4(b) até (i), a Cláusula 5(a) até (e) e (g) até (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12 como beneficiário de terceiros.

2.  O titular dos dados pode impor ao importador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12, nos casos em que o exportador de dados efetivamente desaparece ou deixa de existir nos termos da lei, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesses casos, o titular dos dados pode fazer valer essas cláusulas contra essa entidade.

3.  O titular dos dados pode impor contra o subprocessador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12, nos casos em que tanto o exportador quanto o importador de dados efetivamente desapareceram, deixaram de existir perante a lei ou falirem, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesses casos, o titular dos dados pode fazer valer essas cláusulas contra essa entidade. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

4.  As partes não se opõem que um titular dos dados seja representado por uma associação ou outro órgão, se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizada em conformidade com as disposições pertinentes da legislação de proteção de dados relevante (e, quando aplicável, será notificado às autoridades competentes do estado-membro em que o exportador de dados está estabelecido) e não viola as disposições pertinentes desse estado;

(b) que instruiu e, durante a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a legislação de proteção de dados relevante e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste acordo;

(d) que após a avaliação dos requisitos da legislação de proteção de dados relevante, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o nível tecnológico e os custo de sua implementação;

(e) que garantirá o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado, antes ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não fornece proteção adequada nos termos da Diretiva 95/46/EC;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador nos termos da Cláusula 5(b) e Cláusula 8(3) para a autoridade supervisora de proteção de dados, se o exportador de dados decidir continuar a transferência ou revogar a suspensão;

(h) disponibilizar aos titulares dos dados mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato dos serviços de subprocessamento que tenham de ser realizados em conformidade com as Cláusulas, a menos que as Cláusulas ou o contrato contenha informações comerciais, caso em que pode ocorrer a remoção dessas informações comerciais;

(i) que, no caso de subprocessamento, a atividade de processamento é realizada de acordo com a Cláusula 11 por um subprocessador que fornece pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que o importador de dados nos termos das Cláusulas; e

(j) que garantirá o cumprimento da Cláusula 4(a) até (i).

Cláusula 5¹.

Obrigações do importador de dados

O importador de dados concorda e garante:

(a) processar os dados pessoais somente em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; se não puder fornecer essa conformidade por qualquer motivo, ele concorda em informar prontamente ao exportador de dados sua incapacidade de cumprimento. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato.

(b) que ele não tem motivos para crer que a legislação aplicável lhe impeça o cumprimento das instruções recebidas do exportador de dados e suas obrigações decorrentes do contrato e que, em caso de alteração desta legislação, que pode ter um efeito adverso substancial nas garantias e obrigações fornecidas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento dela. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, salvo disposição em contrário, tal como uma proibição do direito penal de preservar a confidencialidade de uma investigação judicial;

(ii) qualquer acesso acidental ou não autorizado, e

(iii) qualquer pedido recebido diretamente pelos titulares de dados sem resposta a esse pedido, a menos que tenha sido autorizado de outra forma a responder;

(e) responder rápida e adequadamente a todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e a cumprir o parecer da autoridade de supervisão com relação ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para submeter as instalações de processamento de dados a auditoria das atividades de processamento abrangidas pelas Cláusulas, a qual deve ser realizada pelo exportador de dados ou por um órgão de fiscalização composto por membros independentes e de posse das qualificações profissionais exigidas, vinculados por um dever de confidencialidade, selecionados pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;

(g) disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou qualquer contrato existente para o subprocessamento, a menos que as Cláusulas ou contrato contenham informações comerciais. Nesse caso, as informações comerciais podem ser removidas, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não possa obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, ele informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Cláusula 11;

(j) enviar prontamente uma cópia de qualquer acordo de subprocessador cumprido com base nas Cláusulas ao exportador de dados.

Cláusula 6

Responsabilidade

1.  As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou pelo subprocessador, tem direito a receber uma compensação do exportador de dados pelo dano sofrido.

2.  Se o titular dos dados não puder apresentar um pedido de indenização nos termos do parágrafo 1 contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu subprocessador de qualquer das obrigações referidas na Cláusula 3 ou na cláusula 11 porque o exportador de dados desapareceu de fato, deixou de existir nos termos lei ou faliu, o importador de dados concorda que o titular dos dados pode ingressar com uma reclamação contra o importador de dados como se este fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade. O importador de dados não pode invocar uma violação de suas obrigações por um subprocessador, a fim de evitar suas próprias responsabilidades.

3.  Se o titular dos dados não puder apresentar uma reclamação contra o exportador ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação de qualquer das suas obrigações pelo subprocessador, referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram efetivamente, deixaram de existir nos termos lei ou faliram, o subprocessador concorda que o titular dos dados pode ingressar com uma ação contra o subprocessador de dados com relação às suas próprias operações de processamento sob as Cláusulas como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações jurídicas do exportador ou do importador de dados por contrato ou por força de lei. Nesse caso, o titular dos dados pode fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

Cláusula 7

Mediação e jurisdição

1.  O importador de dados concorda que, se o titular dos dados fazer valer os direitos de beneficiário de terceiros e/ou indenização de danos por danos nos termos da Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

(a) recorrer da disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;

(b) recorrer da disputa em tribunais do estado-membro em que o exportador de dados está estabelecido.

2.  As partes concordam que a escolha feita pelo titular dos dados não prejudicará seu direito material ou processual de buscar soluções em conformidade com outras disposições da lei nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de supervisão

1.  O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de supervisão, se for solicitado ou se assim for exigido nos termos da legislação de proteção de dados relevante.

2.  As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria no importador de dados e em qualquer subprocessador, que tenha o mesmo escopo e esteja sujeito às mesmas condições aplicáveis a uma auditoria do exportador de dados sob a legislação de proteção de dados relevante.

3.  O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de adotar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As Cláusulas serão regidas pela legislação do estado-membro no qual o exportador de dados está estabelecido e, quando em dúvida ou quando houver vários exportadores de dados, serão regidas pelas leis da Inglaterra e do País de Gales. 

Cláusula 10

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões relacionadas a negócios quando necessário, desde que não haja entendimento diverso da Cláusula.

Cláusula 11

Subprocessamento

1.  O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um acordo por escrito com o subprocessador que impõe as mesmas obrigações ao subprocessador impostas ao importador de dados nos termos das Cláusulas. Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados, conforme o acordo por escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos desse acordo.

2.  O contrato por escrito anterior entre o importador de dados e o subprocessador deverá também prever uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram de fato, deixaram de existir nos termos da lei ou faliram, e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou importador de dados por contrato ou por força de lei. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

3.  As disposições relacionadas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela lei do estado-membro em que o exportador de dados está estabelecido.

4.  O exportador de dados deve manter uma lista de contratos concluídos de subprocessamento, que deve ser atualizada uma vez por ano, nos termos das Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5 (j). A lista deve estar disponível para a autoridade supervisora ​​de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o término dos serviços de processamento de dados pessoais

1.  As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e comprovar ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garantirá a confidencialidade dos dados pessoais transferidos e não processará de forma ativa os dados pessoais transferidos.

2.  O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade supervisora, apresentarão suas instalações de processamento de dados para uma auditoria das medidas mencionadas no parágrafo 1.

**********************************************

Apêndice 1 das Cláusulas Contratuais Padrão

Exportador de dados

O exportador de dados é a entidade identificada como "Cliente" no Adendo.

Importador de dados

O importador de dados é a empresa GoDaddy.com, LLC , um provedor de serviços hospedado.

Titulares de dados

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Categorias de dados

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Operações de processamento

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Apêndice 2 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas.  Ao adquirir os Serviços Abrangidos pela GoDaddy, o Adendo e este Anexo 2 são considerados aceitos e firmados por e entre as partes.

Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa):

As medidas técnicas e organizacionais de segurança implementadas pelo importador de dados são descritas no Adendo, especificamente no Anexo 2, que é incorporado e anexado a ele.

1              Requisitos obrigatórios da legislação nacional aplicável ao importador de dados, que não excedam o que é necessário em uma sociedade democrática, com base em um dos interesses listados no Artigo 13(1) da Diretiva 95/46/EC. Isto é, se elas constituem uma medida necessária para garantir a segurança nacional, a defesa, a segurança pública, a prevenção, a investigação, a detecção e a sanção de infrações penais ou violações da ética para profissões regulamentadas, um interesse econômico ou financeiro importante do Estado ou a proteção do titular dos dados ou os direitos e liberdades de terceiros não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos de tais requisitos obrigatórios que não excedam o que é necessário em uma sociedade democrática são, entre outros, as sanções internacionalmente reconhecidas, os requisitos de declaração de impostos ou exigências de relatórios de combate à lavagem de dinheiro.