GoDaddy - ADENDO AO PROCESSAMENTO DE DADOS
Última modificação: 13/09/2024
Este Adendo de Tratamento de Dados (o “Adendo”) é executado por e entre você (“Cliente”) e a entidade da GoDaddy que é parte dos Termos de Serviço Universal e quaisquer outros contratos entre você e a GoDaddy (coletivamente, o “Contrato”). A GoDaddy e o Cliente são aqui referidos, individualmente, como “Parte” e, coletivamente, como “Partes”. Este DPA entra em vigor na data de vigência do Contrato (“Data de Vigência”) e rege todo o Tratamento de Dados Pessoais do Cliente nos termos do Contrato.
1. Definições. Salvo definição em contrário nas Leis de Proteção de Dados aplicáveis (conforme definido abaixo), os termos em letras maiúsculas listados nesta Seção têm os seguintes significados:
1.1 “Afiliado” significa qualquer entidade que controle ou esteja sob controle comum com uma Parte. “Controle” significa propriedade ou controle direto ou indireto de cinquenta por cento (50%) ou mais dos interesses com direito a voto de uma entidade.
2. Escopo do Processamento de Dados e Relacionamento das Partes
1.2. “Controlador” refere-se à pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e os meios de tratamento dos Dados Pessoais do Cliente nos termos do Contrato.
1.3 “Dados Pessoais do Cliente” significa todo e qualquer Dado Pessoal (conforme definido abaixo) processado pela GoDaddy em nome do Cliente em relação ao uso dos Serviços pelo Cliente. Os Dados Pessoais do Cliente não incluem Dados da GoDaddy.
1.4 “Lei de Proteção de Dados” refere-se a leis ou regulamentos que se aplicam ao tratamento de Dados Pessoais do Cliente nos termos do Contrato.
1.5 “Titular dos Dados” significa uma pessoa física identificada ou identificável a quem os Dados Pessoais específicos se referem.
1.6 “Dados desidentificados” significa dados que não podem identificar, relacionar-se, descrever, ser associados ou estar vinculados, direta ou indiretamente, a um Titular de Dados específico.
1.7 Entende-se por “Dados da GoDaddy” (a) todas as informações relacionadas aos negócios da GoDaddy e à prestação dos Serviços, incluindo, entre outros, Dados Pessoais relativos ao Cliente e seus funcionários ou representantes; (b) outros dados referentes ou relacionados à conta do Cliente, histórico de transações, uso dos Serviços e verificação de identidade; e (c) sob reserva de quaisquer restrições ao abrigo das Leis de Proteção de Dados aplicáveis, Dados Desidentificados.
1.8 “Dados Pessoais” significa informações relacionadas a uma pessoa física identificada ou identificável, incluindo qualquer informação definida como Dados Pessoais, Informações Pessoais ou Informações de Identificação Pessoal (“PII”) em quaisquer Leis de Proteção de Dados aplicáveis. Os Dados Pessoais não incluem Dados Desidentificados.
1.10 “Processador” significa uma pessoa física ou jurídica, autoridade pública, agência ou órgão que trata Dados Pessoais do Cliente em nome de um Controlador nos termos do Contrato.
1.9 “Tratamento” refere-se a qualquer operação realizada nos Dados Pessoais do Cliente, como coleta, uso, armazenamento, divulgação, análise, exclusão ou modificação, seja por meios manuais ou automatizados.
1.11 Entende-se por “Dados Pessoais Confidenciais”: (a) o número de inscrição na Previdência Social, o número do passaporte, o número da carteira de motorista ou documento de identificação semelhante; (b) informações de cartão de crédito ou débito, informações financeiras, números de contas bancárias ou senhas de contas; (c) informações profissionais, financeiras, genéticas, biométricas ou de saúde; (d) raça, etnia, afiliação política ou religiosa, filiação sindical ou informações sobre a vida ou orientação sexual; (e) senhas de contas, nome de solteira da mãe, data de nascimento e outras informações semelhantes usadas para autenticar a identidade de um usuário; (f) antecedentes criminais; (g) dados biométricos utilizados para identificar uma pessoa específica (por exemplo, impressões digitais); ou (h) qualquer outra informação ou combinação de informações que se enquadre nas definições de “categorias especiais de dados” sob a Lei de Proteção de Dados aplicável.
1.12 “Serviços” refere-se aos produtos ou serviços que a GoDaddy concordou em fornecer de acordo com o Contrato, os quais envolvem o tratamento de Dados Pessoais do Cliente.
1.13 “Subprocessador” refere-se a qualquer pessoa física ou jurídica, autoridade pública, agência ou órgão com quem a GoDaddy contrata para processar os Dados Pessoais do Cliente.
1.14 “Transferência” significa (a) transferência de Dados Pessoais do Cliente do Controlador para o Processador, seja por transferência física ou pela concessão de acesso aos Dados Pessoais do Cliente mantidos ou de outra forma controlados pelo Controlador, ou (b) uma transferência posterior de Dados Pessoais do Cliente de um Processador para um Subprocessador (e qualquer transferência subsequente de um Subprocessador para outro Subprocessador).
2.1 Cliente como Controlador ou Processador
2.1.1 Quando o Cliente for um Controlador, ele (a) será o único responsável por determinar as finalidades e os meios de tratamento dos Dados Pessoais do Cliente, (b) terá toda a autoridade, fundamentos, direitos e permissões necessários para fornecer os Dados Pessoais do Cliente à GoDaddy, e (c) cumprirá suas obrigações como Controlador de acordo com as Leis de Proteção de Dados aplicáveis.
2.1.2 Quando o Cliente atuar como um Processador, ele (a) será o único responsável por cumprir seu(s) acordo(s) com o(s) Controlador(es) de dados em cujo nome o Cliente está processando os Dados Pessoais do Cliente; (b) terá todas as permissões necessárias do Controlador para fornecer Dados Pessoais do Cliente à GoDaddy, e (c) cumprirá suas obrigações como Processador de acordo com as Leis de Tratamento de Dados aplicáveis.
2.1.2 Quando o Cliente atuar como um Processador, ele (a) será o único responsável por cumprir seu(s) acordo(s) com o(s) Controlador(es) de dados em cujo nome o Cliente está processando os Dados Pessoais do Cliente; (b) terá todas as permissões necessárias do Controlador para fornecer Dados Pessoais do Cliente à GoDaddy, e (c) cumprirá suas obrigações como Processador de acordo com as Leis de Tratamento de Dados aplicáveis.
2.2 A GoDaddy como Processador ou Subprocessador.
2.2.1 A GoDaddy tomará todas as medidas razoavelmente necessárias para permitir que o Cliente cumpra as obrigações do Cliente como Controlador e/ou Processador de acordo com as Leis de Proteção de Dados, consistentes com o caráter, natureza, escopo e finalidade dos Serviços fornecidos pela GoDaddy. Para evitar dúvidas, a GoDaddy não tem a obrigação de tomar quaisquer medidas para alterar ou tornar os Serviços da GoDaddy compatíveis com o uso específico do Cliente. A única solução do Cliente, caso os Serviços sejam considerados não compatíveis com o uso específico do Cliente, é a rescisão de qualquer parte do Contrato relacionada ao tratamento de Dados Pessoais do Cliente.
2.2.2 A GoDaddy realizará o tratamento dos Dados Pessoais do Cliente somente mediante instruções documentadas para os fins limitados e específicos descritos no Contrato, neste DPA ou conforme exigido por lei.
2.2.3 A GoDaddy não venderá, reterá, usará ou divulgará Dados Pessoais do Cliente para fins comerciais que não sejam o fornecimento dos Serviços.
2.2.4 A GoDaddy não processará Dados Pessoais do Cliente fora do relacionamento comercial direto das Partes descrito no Contrato e neste DPA.
2.2.5 A GoDaddy não combinará os Dados Pessoais do Cliente com quaisquer outros dados que a GoDaddy venha a coletar (diretamente ou por meio de terceiros), exceto conforme expressamente permitido pelo Contrato.
2.2.6 A GoDaddy interromperá todo o tratamento e notificará o Cliente dentro de 3 (três) dias úteis se a GoDaddy: (a) acreditar que uma instrução do Cliente viola quaisquer Leis de tratamento de Dados aplicáveis; ou (b) se for determinado que a GoDaddy é incapaz de cumprir as Leis de Tratamento de Dados aplicáveis ou suas obrigações sob este DPA.
2.2.2 A GoDaddy realizará o tratamento dos Dados Pessoais do Cliente somente mediante instruções documentadas para os fins limitados e específicos descritos no Contrato, neste DPA ou conforme exigido por lei.
2.2.3 A GoDaddy não venderá, reterá, usará ou divulgará Dados Pessoais do Cliente para fins comerciais que não sejam o fornecimento dos Serviços.
2.2.4 A GoDaddy não processará Dados Pessoais do Cliente fora do relacionamento comercial direto das Partes descrito no Contrato e neste DPA.
2.2.5 A GoDaddy não combinará os Dados Pessoais do Cliente com quaisquer outros dados que a GoDaddy venha a coletar (diretamente ou por meio de terceiros), exceto conforme expressamente permitido pelo Contrato.
2.2.6 A GoDaddy interromperá todo o tratamento e notificará o Cliente dentro de 3 (três) dias úteis se a GoDaddy: (a) acreditar que uma instrução do Cliente viola quaisquer Leis de tratamento de Dados aplicáveis; ou (b) se for determinado que a GoDaddy é incapaz de cumprir as Leis de Tratamento de Dados aplicáveis ou suas obrigações sob este DPA.
2.3 Afiliados.
3. Subtratamento
2.3.1 Afiliados do Cliente. Para os fins deste DPA, quaisquer Dados Pessoais fornecidos aos Afiliados da GoDaddy ou GoDaddy por um Afiliado do Cliente, para tratamento em nome do Cliente e/ou do Afiliado do Cliente, serão considerados Dados Pessoais do Cliente e fornecidos pelo Cliente. O Cliente declara que tomará todas as medidas razoavelmente necessárias para garantir que os seus Afiliados cumpram todas as obrigações do Cliente com relação a este DPA. O Cliente é responsável pela conformidade de seus Afiliados com todos os termos deste DPA.
2.3.2 Afiliados da GoDaddy. Para os fins deste DPA, quaisquer Dados Pessoais do Cliente recebidos pelos Afiliados da GoDaddy serão considerados como tendo sido recebidos pela GoDaddy. A GoDaddy declara que tomará todas as medidas razoavelmente necessárias para garantir que seus Afiliados cumpram as obrigações da GoDaddy com relação ao tratamento de Dados Pessoais do Cliente sob este DPA. A GoDaddy é responsável pela conformidade dos Afiliados da GoDaddy com todos os termos deste DPA.
2.3.2 Afiliados da GoDaddy. Para os fins deste DPA, quaisquer Dados Pessoais do Cliente recebidos pelos Afiliados da GoDaddy serão considerados como tendo sido recebidos pela GoDaddy. A GoDaddy declara que tomará todas as medidas razoavelmente necessárias para garantir que seus Afiliados cumpram as obrigações da GoDaddy com relação ao tratamento de Dados Pessoais do Cliente sob este DPA. A GoDaddy é responsável pela conformidade dos Afiliados da GoDaddy com todos os termos deste DPA.
3.1 O Cliente concede autorização geral para a GoDaddy contratar subprocessadores.
3.2 Você está convidado a revisar uma lista de nossos Subprocessadores.
3.3 Antes de transferir os Dados Pessoais do Cliente para um Subprocessador, a GoDaddy irá: (a) celebrar um contrato por escrito com o Subprocessador que proteja os Dados do Cliente na medida abrangida por este DPA; (b) realizar um processo de due diligence para confirmar que o Subprocessador pode cumprir os termos materiais deste DPA e as Leis de Proteção de Dados no que se refere ao tratamento de Dados do Cliente pela GoDaddy, incluindo os requisitos de segurança da informação das Seções 5, 6 e 8, e do Anexo 2 deste DPA.
3.4 A GoDaddy é responsável pelos atos e omissões de seus Subprocessadores, incluindo quaisquer atos ou omissões dos subprocessadores de seus Subprocessadores. 3.5 Novos Subprocessadores; direito de objeção.
4. Processo legal e outras solicitações de terceiros para dados pessoais do cliente
3.2 Você está convidado a revisar uma lista de nossos Subprocessadores.
3.3 Antes de transferir os Dados Pessoais do Cliente para um Subprocessador, a GoDaddy irá: (a) celebrar um contrato por escrito com o Subprocessador que proteja os Dados do Cliente na medida abrangida por este DPA; (b) realizar um processo de due diligence para confirmar que o Subprocessador pode cumprir os termos materiais deste DPA e as Leis de Proteção de Dados no que se refere ao tratamento de Dados do Cliente pela GoDaddy, incluindo os requisitos de segurança da informação das Seções 5, 6 e 8, e do Anexo 2 deste DPA.
3.4 A GoDaddy é responsável pelos atos e omissões de seus Subprocessadores, incluindo quaisquer atos ou omissões dos subprocessadores de seus Subprocessadores. 3.5 Novos Subprocessadores; direito de objeção.
3.5.1 A GoDaddy envidará esforços razoáveis para notificar o Cliente por escrito com pelo menos 60 (sessenta) dias de antecedência se a GoDaddy pretender nomear um novo Subprocessador, desde que, no entanto, não seja necessário um aviso prévio de 60 (sessenta) dias, e a GoDaddy notificará o Cliente sem demora injustificada após a nomeação de um novo Subprocessador se a nomeação imediata for necessária para manter a segurança dos Dados Pessoais do Cliente ou para cumprir com lei aplicável.
3.5.2 Se o Cliente se opuser razoavelmente a um novo Subprocessador, o Cliente deverá notificar a GoDaddy por escrito no prazo de 30 (trinta) dias após a nomeação do Subprocessador. A critério exclusivo da GoDaddy, a GoDaddy poderá envidar esforços comercialmente razoáveis para resolver a objeção do Cliente. Se as Partes não conseguirem resolver a objeção do Cliente no prazo de 30 (trinta) dias, o Cliente poderá rescindir este DPA e qualquer parte do Contrato relativa ao tratamento de Dados Pessoais do Cliente.
3.5.3 Se o Cliente não se opuser a um novo Subprocessador no prazo de 30 (trinta) dias após a notificação da nomeação do Subprocessador, considera-se que o Cliente aceitou o novo Subprocessador.
3.5.4 A notificação de um novo Subprocessador pode ser fornecida atualizando a lista de Subprocessadores descrita na Seção 3.2.
4.1 A GoDaddy não responderá a nenhuma solicitação informal referente a Dados Pessoais do Cliente de um órgão governamental, autoridade policial ou outra pessoa, exceto em resposta a uma intimação, mandado de busca, ordem judicial ou outro processo legal semelhante (coletivamente, “Processo Legal”), a menos que tal divulgação seja determinada pela GoDaddy, a seu critério razoável, como (a) exigida por lei, (b) necessária para proteger os sistemas ou dados da GoDaddy contra danos ou uso indevido, ou (c) necessária para proteger a GoDaddy ou qualquer outra pessoa contra danos ou lesões físicas.
5. Segurança de dados
4.2 A menos que seja proibido por lei, a GoDaddy notificará o Cliente imediatamente se receber qualquer Processo Legal que exija que a GoDaddy forneça acesso ou divulgue Dados Pessoais do Cliente.
4.3 A menos que exigido de outra forma por lei, a GoDaddy cooperará com o Cliente (às custas razoáveis do Cliente) em quaisquer esforços do Cliente para impedir a divulgação de Dados Pessoais do Cliente em resposta a um Processo Legal.
5.1 A GoDaddy mantém um programa de segurança da informação que inclui medidas técnicas e organizacionais adequadas e documentadas para garantir um nível de segurança apropriado ao risco de tratamento de Dados Pessoais do Cliente nos termos do Contrato, incluindo quaisquer medidas específicas exigidas pelas Leis de Proteção de Dados aplicáveis.
6. Incidentes de segurança de dados
5.2 O Cliente reconhece expressamente que a GoDaddy fornece recursos e funcionalidades de segurança que o Cliente pode usar para proteger os Dados Pessoais do Cliente. O Cliente é o único responsável por tomar as medidas adequadas com base no risco para proteger a segurança da conta do Cliente e dos Dados Pessoais do Cliente sob o controle do Cliente, inclusive usando recursos e funcionalidades de segurança fornecidos pela GoDaddy. O Cliente também é o único responsável por garantir que todo o conteúdo que o Cliente coloca ou faz com que seja colocado nos Serviços esteja livre de vulnerabilidades que possam levar ao comprometimento dos Dados Pessoais do Cliente e dos sistemas da GoDaddy, incluindo, entre outros, software malicioso. A GoDaddy não é responsável pelo backup dos Dados Pessoais do Cliente.
5.3 O Cliente é obrigado a cumprir todos os Requisitos Padrão de Segurança de Dados do Setor de Cartões de Pagamento (“PCI-DSS”) e só poderá fornecer à GoDaddy Dados Pessoais do Cliente que contenham informações de crédito, débito ou outras informações do titular do cartão de pagamento (“Dados PCI-DSS”) que tenham relação com serviços da GoDaddy projetados especificamente para processar tais Dados PCI-DSS. O Cliente será o único responsável por qualquer violação dos requisitos do PCI-DSS se usar os Serviços da GoDaddy para processar ou armazenar Dados PCI-DSS fora das ofertas de serviços compatíveis com o PCI-DSS da GoDaddy.
5.4 Além de quaisquer medidas necessárias para que a GoDaddy cumpra suas obrigações sob as Leis de Proteção de Dados aplicáveis e os Requisitos PCI-DSS em relação aos Serviços de reclamação PCI-DSS da GoDaddy, a GoDaddy implementará as medidas técnicas e organizacionais específicas identificadas no Anexo 2 deste DPA.
6.1 A GoDaddy oferece ao Cliente amplas oportunidades para acessar e controlar os Dados Pessoais do Cliente processados em nome do Cliente. A GoDaddy não é responsável pela destruição, perda, alteração, divulgação não autorizada ou acesso não intencional ou ilegal aos Dados Pessoais do Cliente que não resulte de um comprometimento dos sistemas da GoDaddy. Exemplos de Incidentes de Segurança pelos quais a GoDaddy não é responsável incluem a incapacidade do Cliente de manter o sigilo de suas senhas, download de conteúdo malicioso ou qualquer outra vulnerabilidade de segurança causada ou introduzida nos Serviços e no ambiente do Cliente hospedado por ele mesmo.
7. Direitos do titular dos dados
6.2 A GoDaddy envidará esforços comercialmente razoáveis para notificar o Cliente sobre uma violação de segurança dos sistemas da GoDaddy que leve à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal aos Dados Pessoais do Cliente (“Incidente de Segurança”) dentro do período exigido pela lei aplicável.
6.3 A GoDaddy tomará medidas apropriadas e baseadas em riscos que sejam razoavelmente necessárias para conter, mitigar e remediar um Incidente de Segurança sem atraso injustificao.
6.4 A GoDaddy fornecerá informações razoavelmente solicitadas pelo Cliente para avaliar o impacto de um Incidente de Segurança nos Dados Pessoais do Cliente e para que o Cliente notifique o Incidente de Segurança às autoridades governamentais, aos Titulares dos dados afetados ou a qualquer outra pessoa.
6.5 O reconhecimento da GoDaddy de um Incidente de Segurança ou a decisão de notificar o Cliente sobre um Incidente de Segurança não é uma admissão de culpa ou responsabilidade.
7.1 O Cliente é o único responsável por responder a qualquer solicitação para exercer os direitos do Titular dos Dados de acordo com as Leis de Proteção de Dados, as políticas de privacidade do Cliente ou os termos de serviço do Cliente, incluindo, entre outros, solicitações para conhecer, acessar, corrigir ou excluir Dados Pessoais do Cliente (“Solicitações do Titular dos Dados”).
8. Avaliações de impacto na proteção de dados, consultas prévias e consultas de conformidade
7.2 A GoDaddy não responderá a uma Solicitação do Titular dos Dados, exceto mediante instruções documentadas do Cliente ou conforme exigido pela lei aplicável.
7.3 A GoDaddy notificará o Cliente sobre qualquer Solicitação do Titular dos Dados. O Cliente é o único responsável por responder a qualquer solicitação do Titular dos Dados. Se o Cliente tiver esgotado todos os meios disponíveis para responder a uma Solicitação do Titular dos Dados (sujeito ao acordo do Cliente em pagar antecipadamente as despesas razoáveis da GoDaddy), a GoDaddy fornecerá ao Cliente a assistência razoavelmente necessária para permitir que o Cliente responda a uma Solicitação do Titular dos Dados.
8.1 Avaliações de impacto na proteção de dados; consulta prévia. Às custas do Cliente, a GoDaddy fornecerá assistência razoável ao Cliente na condução de quaisquer avaliações de impacto na proteção de dados e consultas com autoridades governamentais ou reguladores relativos ao tratamento de Dados Pessoais do Cliente.
9. Requisitos específicos da jurisdição e transferências internacionais de dados pessoais
8.2 Consultas de Conformidade. O Cliente poderá solicitar periodicamente informações razoavelmente necessárias para confirmar a conformidade da GoDaddy com suas obrigações sob as Leis de Proteção de Dados aplicáveis. Se a GoDaddy não responder à solicitação do Cliente dentro de 45 (quarenta e cinco) dias, o Cliente poderá rescindir o Contrato. Para evitar dúvidas, nada neste DPA dá ao Cliente o direito de realizar uma auditoria dos negócios, sistemas ou serviços da GoDaddy. A obrigação da GoDaddy sob esta seção limita-se a fornecer ao Cliente as informações razoavelmente necessárias para confirmar que a GoDaddy está em conformidade com suas obrigações sob as Leis de Proteção de Dados aplicáveis.
9.1 O tratamento de Dados Pessoais do Cliente sob este DPA pode envolver tratamento regulamentado por uma ou mais Leis de Proteção de Dados e/ou a transferência internacional de Dados Pessoais do Cliente.
10. Geral
9.2 Se os Dados Pessoais do Cliente forem originários dos Estados Unidos, os termos relativos às Leis de Proteção de Dados dos EUA especificadas no Anexo 3 (Seção 1) deste DPA se aplicam.
9.3 Se os Dados Pessoais do Cliente forem originários da União Europeia/Espaço Econômico Europeu (“UE/EEE”), do Reino Unido (“UK”) ou da Suíça, ou se o Cliente estiver estabelecido em uma ou mais dessas jurisdições, os termos relacionados às Leis de Proteção de Dados pertinentes da UE/EEE, Reino Unido e/ou Suíça, conforme especificado no Anexo 3 (Seção 2) deste DPA, serão aplicáveis.
9.4 Se um mecanismo válido de transferência internacional de dados (“Mecanismo de Transferência Obrigatória”) for necessário para transferir legalmente os Dados Pessoais do Cliente, os termos especificados no Anexo 4 deste DPA serão aplicáveis.
10.1 Contrato Absoluto; Interpretação. Este DPA constitui o acordo integral entre as Partes em relação ao objeto deste DPA e substitui todas as representações, entendimentos, acordos e comunicações anteriores ou atuais entre as Partes, sejam escritos ou verbais, em relação ao objeto deste DPA. No caso de um conflito entre este DPA e o Contrato (ou qualquer outro acordo entre as Partes), este DPA irá reger e controlar o assunto deste DPA. Se houver um conflito entre quaisquer termos deste DPA e as Disposições de transferência obrigatória descritas no Anexo 4, essas Disposições de Transferência Obrigatória prevalecerão.
Anexo 1: Detalhes do tratamento de dados pessoais do cliente
10.2 Emenda. Este DPA pode ser modificado ou alterado pela GoDaddy a seu exclusivo critério, de acordo com os procedimentos previstos em Contrato. Se o Cliente discordar de tal alteração, a única solução do Cliente será rescindir a parte do Contrato relativa ao tratamento de Dados Pessoais do Cliente com aviso prévio de trinta (30) dias. A menos que expressamente acordado pelas Partes por escrito, qualquer alteração deste Contrato entrará em vigor apenas com relação ao tratamento que ocorrer após a data de tal alteração.
10.3 Renúncia. A renúncia a qualquer violação deste DPA só será eficaz se for feita por escrito por um representante autorizado da Parte que renuncia a tal violação, e nenhuma renúncia será interpretada como uma renúncia a qualquer violação subsequente.
10.4 Desligamento. Se uma das disposições deste DPA for considerada inexequível, esta será modificada na medida necessária para torná-la exequível, e o restante deste DPA permanecerá em vigor conforme estabelecido por escrito. Entretanto, se a modificação de uma disposição inexequível levar ao incumprimento da finalidade essencial deste DPA, todo o DPA será considerado nulo e invalidado, a menos que seja alterado de acordo com a Seção 10.2.
10.5 Avisos. Exceto conforme expressamente declarado neste documento, as notificações exigidas neste DPA serão fornecidas de acordo com os requisitos de Aviso estabelecidos no Contrato.
10.6 Responsabilidade. Este DPA não fornece nenhuma base para que uma das Partes ou qualquer outra pessoa possa recuperar danos de qualquer tipo que não sejam aqueles estabelecidos no Contrato e sujeitos a todas as limitações nele estabelecidas.
10.7 Aplicação. Os termos deste DPA só poderão ser aplicados pelas Partes em nome delas mesmas e de seus respectivos Afiliados, de acordo com as disposições de resolução de disputas estabelecidas no Contrato. Esta restrição à aplicação não tem efeito, no entanto, na capacidade de um Titular de Dados individual de fazer valer os seus direitos ao abrigo das Leis de Proteção de Dados.
10.8 Rescisão. A menos que seja rescindido antecipadamente de acordo com o Contrato ou qualquer outra disposição aplicável deste DPA, ou quaisquer Leis de Proteção de Dados aplicáveis, este DPA será rescindido após a conclusão do tratamento ou rescisão do Contrato, o que ocorrer por último. Após a rescisão deste DPA, a GoDaddy devolverá, excluirá ou desidentificará os Dados Pessoais do Cliente de acordo com os termos do Contrato e deste DPA, a menos que a GoDaddy seja obrigada a manter os Dados Pessoais do Cliente de acordo com a lei aplicável. Se a GoDaddy precisar reter os Dados Pessoais do Cliente após a rescisão do Contrato, a GoDaddy continuará a cumprir suas obrigações relacionadas ao tratamento de Dados Pessoais do Cliente sob este DPA e devolverá ou excluirá imediatamente quaisquer Dados Pessoais do Cliente após a retenção não ser mais exigida legalmente.
10.9 Lei aplicável e jurisdição. Este DPA é regido pelas leis estipuladas no Contrato, exceto na medida em que seja exigido de outra forma pelas Leis de Proteção de Dados, caso em que se aplicam as leis da jurisdição prescrita pelas Leis de Proteção de Dados. Nenhuma disposição deste DPA será considerada como limitante aos direitos ou obrigações de qualquer pessoa sob Leis de Proteção de Dados aplicáveis.
Este Anexo 1 inclui detalhes sobre o Tratamento de Dados Pessoais do Cliente, conforme exigido pelas Leis de Proteção de Dados.
Objeto e duração do Tratamento de Dados Pessoais do Cliente:
O objeto e a duração do Tratamento de Dados Pessoais do Cliente estão descritos no Contrato.
A natureza e a finalidade do Tratamento de Dados Pessoais do Cliente:
O Tratamento de Dados Pessoais do Cliente pela GoDaddy é razoavelmente necessário para fornecer os Serviços, conforme previsto no Contrato.
Tipo de Dados Pessoais e Categorias de Titulares dos Dados:
Os tipos de Dados Pessoais do Cliente e as categorias de Titulares dos Dados são controlados pelo Cliente e/ou pelo Controlador que forneceu os Dados Pessoais do Cliente ao Cliente, a seu exclusivo critério.
Dados Confidenciais ou Categorias Especiais de Dados:
Os Dados Confidenciais podem, de tempos em tempos, ser Processados de acordo com o Contrato. Os tipos de Dados Confidenciais Processados sob o Contrato são determinados pelo Cliente e/ou pelo Controlador que forneceu Dados Confidenciais ao Cliente, a seu exclusivo critério.
Obrigações e Direitos do Controlador:
As obrigações e direitos do Cliente estão descritos no Contrato e neste DPA.
Anexo 2: Medidas de segurança técnica e organizacional1. Aplicabilidade
1.1 Os requisitos deste Anexo 2 se aplicam à GoDaddy e a qualquer Subprocessador (incluindo, entre outros, provedor de serviços em nuvem) usado pela GoDaddy para fornecer os Serviços e/ou tratar os Dados Pessoais do Cliente.
1.2 Se a GoDaddy usar um Subprocessador para fornecer os Serviços e/ou processar os Dados Pessoais do Cliente, a GoDaddy garantirá que tal Subprocessador cumpra cada um dos requisitos deste Anexo.
2. Privacidade de informações e gerenciamento de segurança de dados
2.1 Processo de gerenciamento de riscos. A GoDaddy manterá um processo de gerenciamento de risco apropriado para enquadrar, avaliar, responder e monitorar o risco aos Dados Pessoais do Cliente, consistente com as obrigações da GoDaddy nos termos do Contrato, do DPA e da lei aplicável.
2.2 Escopo do programa de segurança da informação. O programa de segurança da informação da GoDaddy, incluindo todas as políticas de privacidade e proteção de dados aplicáveis, deverá, ao menos, ser desenvolvido para:
2.2.1 Proteger da confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente em posse ou controle da GoDaddy ou aos quais a GoDaddy tenha acesso; e
2.2.2 Proteger contra ameaças ou perigos razoavelmente previstos à confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente.
2.3 Atualizações do Programa de Segurança da Informação. A GoDaddy revisará e atualizará regularmente seu programa de segurança da informação de acordo com práticas e estruturas padrão do setor apropriadas ao tipo, volume e confidencialidade dos Dados Pessoais do Cliente processados pela GoDaddy.
2.4 Avaliações e Testes de Risco. A GoDaddy conduzirá regularmente avaliações de risco para todos os sistemas que processam Dados Pessoais do Cliente, bem como testes de penetração de terceiros em aplicativos e infraestrutura usados para fornecer os Serviços conforme razoavelmente considerado necessário pela GoDaddy.
2.5 Continuidade e Resiliência. A GoDaddy implementará medidas apropriadas para proteger a integridade e a disponibilidade de seus sistemas que processam Dados Pessoais do Cliente, incluindo medidas como monitoramento de desempenho e disponibilidade, projeto de sistemas redundantes e resilientes, uso de fontes de alimentação ininterruptas, proteções DDoS, testes de carga e estresse e outras medidas semelhantes.3. Segurança organizacional
3.1 Responsabilidade. A GoDaddy desenvolverá e implementará políticas e procedimentos escritos de segurança da informação que definam claramente a responsabilidade pela proteção dos Dados Pessoais do Cliente dentro da GoDaddy, incluindo a designação de uma ou mais pessoas específicas responsáveis pela gestão do programa de segurança da informação e proteção de Dados Pessoais do Cliente da GoDaddy.
3.2 Gestão e Controles de Ativos. A GoDaddy manterá uma política de gerenciamento de ativos e controles de ativos, incluindo classificação de ativos e um inventário de dispositivos e sistemas usados para fornecer os Serviços e/ou processar Dados Pessoais do Cliente.
3.3 Segurança física. A GoDaddy também implementará controles baseados em risco para manter a segurança física de suas instalações, incluindo a implementação de medidas razoáveis para garantir que apenas usuários autorizados tenham acesso aos dispositivos eletrônicos, rede, sistemas críticos, aplicativos, sala de servidores, salas de comunicação e ambientes de trabalho da GoDaddy. As medidas que a GoDaddy pode empregar, quando apropriado, incluem, entre outras, alarmes, monitoramento com câmeras de segurança, gerenciamento de acesso de visitantes e destruição de Dados Pessoais em dispositivos físicos antes do descarte/reciclagem.
4. Operações de Segurança
4.1 Configuração Segura do Sistema. A GoDaddy estabelecerá controles para garantir que os sistemas usados para fornecer os Serviços e/ou realizar o Tratamento dos Dados Pessoais do Cliente sejam configurados com segurança.
4.2 Gerenciamento de Correções e Vulnerabilidades. A GoDaddy estabelecerá e manterá um sistema de gerenciamento de correções e vulnerabilidades que garanta que todos os sistemas usados para fornecer os Serviços e/ou realizar o Tratamento de Dados Pessoais do Cliente sejam corrigidos contra vulnerabilidades de segurança conhecidas em um período razoável com base no grau de importância da correção e da confidencialidade dos Dados Pessoais do Cliente.
4.3 Prevenção de Malware. A GoDaddy implementará controles de detecção, prevenção e remediação para proteção contra software malicioso (incluindo programas apropriados de conscientização do usuário).
4.4 Registro e Auditoria. A GoDaddy empregará um programa de gerenciamento de registros que define o escopo, a criação, o armazenamento, a análise e o descarte de registros, usando padrões do setor baseados em risco.
4.5 Detecção e resposta a incidentes de segurança. A GoDaddy manterá sistemas baseados em risco para detectar Incidentes de Segurança, conforme exigido pela Seção 6 do Contrato, incluindo o uso de sistemas de detecção e prevenção de invasões.
5. Treinamento
A GoDaddy garantirá que seus funcionários passem por treinamento periódico sobre suas obrigações de confidencialidade e proteção de dados relacionadas aos Dados Pessoais do Cliente.
6. Controles de Acesso
6.1 Identificação Única. A GoDaddy atribuirá credenciais de usuário individuais e exclusivas à equipe com acesso aos Dados Pessoais do Cliente, incluindo, entre outros, aqueles com acesso administrativo.
6.2 Gerenciamento de Senhas. A GoDaddy implementará políticas e procedimentos para gerenciamento de senhas, incluindo gerenciamento centralizado de senhas e políticas de senhas.
6.3 Autenticação Multifatorial. A GoDaddy implementará autenticação multifatorial para acesso remoto a redes, sistemas ou aplicativos usados para processar e/ou armazenar Dados Pessoais do Cliente.
6.4 Privilégios Mínimos. A GoDaddy restringirá o acesso aos Dados Pessoais do Cliente apenas aos funcionários sujeitos a obrigações de confidencialidade apropriadas, e que possuam uma “necessidade de conhecimento” ou “necessidade de acesso” para a prestação dos Serviços.
7. Controles de segurança de dados
7.1 Divisão de Dados. A GoDaddy manterá os Dados Pessoais do Cliente em ambientes logicamente separados e seguros.
7.2 Criptografia e outras medidas. A GoDaddy implementará medidas adequadas, baseadas em risco, para proteger os Dados Pessoais do Cliente. Isso incluirá criptografia, pseudonimização e outras medidas apropriadas, como o uso de algoritmos para hashing de segredos, incluindo senhas e tokens de API usados para acessar sistemas que contenham Dados Pessoais do Cliente.
Anexo 3: Termos específicos da jurisdição
1. Estados Unidos
1.1 Califórnia.
1.1.1 Definições.
1.1.1.1 Os termos a seguir são definidos especificamente de acordo com as definições estabelecidas nas Leis de Proteção de Dados da Califórnia: “Empresa”, “Finalidade Comercial”, “Provedor de Serviços”, “Vendas”, “Compartilhamento” e “Terceiros”.
1.1.1.2 O termo “Dados Pessoais do Cliente” inclui Informações Pessoais de uma pessoa física ou familiar identificada ou identificável.
1.1.2 As funções das Partes.
1.1.2.1 Se o Cliente for considerado uma Empresa de acordo com as Leis de Proteção de Dados da Califórnia aplicáveis, todas as referências aos direitos e obrigações do Cliente como Controlador nos termos deste DPA também serão consideradas como se referindo aos direitos e obrigações do Cliente como Empresa. Se o Cliente for considerado um Provedor de Serviços de acordo com as Leis de Proteção de Dados da Califórnia aplicáveis, todas as referências aos direitos e obrigações do Cliente como Processador sob este DPA também serão consideradas como se referindo aos direitos e obrigações do Cliente como Provedor de Serviços.
1.1.2.2 Se a GoDaddy for considerada um Provedor de Serviços ou Terceiro de acordo com as Leis de Proteção de Dados da Califórnia, todas as referências aos direitos e obrigações da GoDaddy como Processador ou Subprocessador sob este DPA também serão consideradas como se referindo aos direitos e obrigações da GoDaddy como Provedor de Serviços ou Terceiro, conforme aplicável.
1.2 Todos os estados dos EUA (incluindo California).
1.2.1 A GoDaddy não poderá (a) vender ou compartilhar Dados Pessoais do Cliente, (b) reter, usar ou divulgar Dados Pessoais do Cliente para qualquer finalidade que não seja a finalidades comerciais especificadas no Contrato, ou (c) reter, usar ou divulgar quaisquer Dados Pessoais do Cliente fora do âmbito do relacionamento comercial direto entre a GoDaddy e a Empresa.
1.2.2 O acesso da GoDaddy aos Dados Pessoais do Cliente não faz parte da contraprestação trocada pelas Partes no âmbito do Contrato.
1.2.3 O Cliente terá o direito de tomar medidas razoáveis para: (a) verificar se a GoDaddy processa os Dados Pessoais do Cliente de maneira consistente com este DPA, incluindo o exercício dos direitos estabelecidos na Seção 8 do DPA; (b) exigir a interrupção e correção das atividades de tratamento da GoDaddy conduzidas em violação aos termos do DPA; e (c) tomar quaisquer outras medidas razoáveis (conforme determinado a critério exclusivo do Cliente) para garantir a conformidade da GoDaddy com este DPA. Se a GoDaddy não puder ou não quiser cumprir as solicitações razoáveis do Cliente de acordo com esta Seção 1.2.3, a única solução do Cliente será rescindir este DPA e a parte do Contrato relacionada ao tratamento de Dados Pessoais do Cliente.
1.2.4 A GoDaddy certifica que compreende e cumprirá as obrigações previstas nas Leis de Proteção de Dados e neste DPA, incluindo todas as restrições ao Tratamento de Dados Pessoais do Cliente.
2. União Europeia/Espaço Econômico Europeu
2.1 Subprocessadores
2.1.1 Quando a GoDaddy contrata um Subprocessador, ela irá:
2.2 Responsabilidade por penalidades regulatórias. Não obstante qualquer outro termo estabelecido neste DPA ou no Contrato (incluindo as obrigações de indenização de qualquer uma das Partes nos termos do Contrato), nenhuma das Partes será responsável por quaisquer multas emitidas ou cobradas por qualquer autoridade reguladora ou órgão governamental da outra Parte, incluindo quaisquer multas sob o Artigo 83 do GDPR da UE.2.1.1.1 Exigir que o Subprocessador cumpra as medidas técnicas e organizacionais estabelecidas nas Seções 5, 6 e 8 do DPA e no Anexo 2 do DPA, que sejam apropriadas à natureza do tratamento pelo Subprocessador, incluindo, entre outros, todos os procedimentos técnicos e medidas organizacionais, conforme exigência do Artigo 28 do Regulamento Geral de Proteção de Dados da UE (“GDPR”); e
2.1.1.2 Exigir que o Subprocessador concorde por escrito em processar apenas os Dados Pessoais do Cliente (a) na UE/EEE, (b) em um país que a Comissão Europeia tenha declarado ter um nível “adequado” de proteção de dados ou (c) conforme os termos estabelecidos no Anexo 4 relativos a Transferências internacionais de Dados Pessoais do Cliente.
3. Suíça
3.1 Quando a GoDaddy contrata um Subprocessador, ela irá:
3.1.1 Exigir que o Subprocessador cumpra as Medidas Técnicas e Organizacionais estabelecidas nas Seções 5, 6 e 8 e no Anexo 2 do DPA que sejam apropriadas à natureza do tratamento pelo Subprocessador, incluindo, entre outras, todas as medidas técnicas e organizacionais exigidas pelo Artigo 28 do GDPR do Reino Unido; e
3.1.2 Exigir que o Subprocessador concorde por escrito em processar apenas os Dados Pessoais do Cliente: (a) na Suíça, (b) na UE/EEE, (c) em outro país que a Comissão Europeia tenha declarado ter um nível “adequado” de proteção de dados, ou (d) nos termos estabelecidos no Anexo 4 em relação a Transferências internacionais de Dados Pessoais do Cliente.
3.2 Na medida em que as Transferências de Dados Pessoais do Cliente da Suíça estejam sujeitas às Cláusulas Contratuais Padrão da UE (conforme definido no Anexo 4), as seguintes alterações se aplicam:
3.2.1 As referências a “Estado-membro” serão interpretadas como incluindo a Suíça; e
3.2.2 Na medida em que as Transferências estejam sujeitas à Lei Federal de Proteção de Dados (“FADP”), as referências ao “Regulamento (UE) 2016/679” serão consideradas referências à FADP.
3.3 Na medida exigida pela FADP, considera-se que as Cláusulas Contratuais Padrão da UE incluem dados relativos a entidades jurídicas como Dados Pessoais do Cliente.4. Reino Unido
4.1 As referências ao “GDPR” serão consideradas referências às leis e regulamentos correspondentes do Reino Unido, incluindo, entre outros, o GDPR do Reino Unido e a Lei de Proteção de Dados (DPA, Data Protection Act) do Reino Unido de 2018.
4.2 Quando a Empresa contratar um Subprocessador, ela irá:
Anexo 4: Mecanismos internacionais de transferência transfronteiriça obrigatória
4.2.1 Exigir que o Subprocessador cumpra as medidas técnicas e organizacionais estabelecidas nas Seções 5, 6 e 8 e no Anexo 2 do DPA que sejam apropriadas à natureza do tratamento pelo Subprocessador, incluindo, entre outros, todas as medidas técnicas e organizacionais exigidas pelo Artigo 28 do GDPR do Reino Unido; e
4.2.2 Exigir que o Subprocessador concorde por escrito em processar Dados Pessoais do Cliente apenas (a) no Reino Unido, (b) na UE/EEE, (c) em outro país que o Reino Unido tenha declarado ter um nível “adequado” de proteção de dados, ou (d) nos termos estabelecidos no Anexo 4 em relação a Transferências internacionais de Dados Pessoais do Cliente.
1. Definições
1.1 A “Estrutura de Privacidade de Dados ('DPF')” refere-se aos programas de certificação da Estrutura de Privacidade de Dados UE-EUA, Suíça-EUA ou Reino Unido-EUA operados pelo Departamento de Comércio dos EUA [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 A “Ponte de dados Reino Unido-EUA” refere-se à Extensão do Reino Unido à Estrutura de Privacidade de Dados UE-EUA.
1.3 As “Cláusulas Contratuais Padrão da UE” referem-se às cláusulas contratuais padrão aprovadas pela Comissão Europeia e anexadas à decisão 2021/914 de junho de 2021.
1.4 O Acordo Internacional de Transferência de Dados do Reino Unido (“UK IDTA”), emitido pelo Comissário das Informações do Reino Unido, Versão B1.0, é considerado executado pelas Partes a partir da Data de Vigência do Contrato, e as Cláusulas Contratuais Padrão da UE são consideradas alteradas conforme especificado pelo IDTA do Reino Unido em relação às transferências de dados do Reino Unido.
2. Ordem de Prioridade
2.1 Nenhum Mecanismo de Transferência Obrigatória será usado se uma transferência for feita para um país que, conforme determinação, ofereça um nível adequado de proteção de dados pelas Leis de Proteção de Dados do país de onde esses Dados Pessoais do Cliente são transferidos.
2.2 Se uma Transferência for necessária e esta for coberta por mais de um Mecanismo de Transferência Obrigatória, a Transferência estará sujeita a um único Mecanismo do tipo de acordo com a seguinte ordem de precedência: (a) o DPF da UE ou da Suíça aplicável; (b) a Ponte de Dados do Reino Unido-EUA; (c) as cláusulas contratuais padrão da UE; (d) os Contratos Internacionais de Transferência de Dados (IDTA, International Data Transfer Agreements) do Reino Unido; ou (e) qualquer outro Mecanismo de Transferência Obrigatório pertinente permitido pela Lei de Proteção de Dados aplicável.
2.3 Se um Mecanismo de Transferência Obrigatória for considerado inválido após a execução deste Contrato, todas as Transferências futuras serão consideradas realizadas pelo próximo Mecanismo de Transferência Obrigatória aplicável.
3. Estrutura de Privacidade de Dados
3.1 Autocertificação.
3.1.1 Certificação da GoDaddy. A GoDaddy afirma que é autocertificada pelo DPF. A GoDaddy concorda em: (a) fornecer pelo menos o mesmo nível de proteção a quaisquer Dados Pessoais do Cliente, conforme exigido pelos Princípios de Privacidade de Dados do DPF; (b) notificar o Cliente por escrito, sem demora injustificada, se a certificação da GoDaddy para o DPF for retirada, rescindida, revogada ou de outra forma invalidada; e, (c) mediante notificação por escrito do Cliente, tomar medidas razoáveis e apropriadas para interromper e remediar qualquer tratamento não autorizado de Dados Pessoais do Cliente.
3.1.2 Certificação da Empresa. Na medida em que a Empresa seja certificada pelo DPF, a Empresa concorda em: (a) fornecer pelo menos o mesmo nível de proteção a quaisquer Dados pessoais, conforme exigido pelos Princípios de Privacidade de Dados do DPF; (b) notificar a GoDaddy por escrito, sem demora injustificada, se a certificação da Empresa para o DPF for retirada, rescindida, revogada ou de outra forma invalidada; e, (c) mediante notificação por escrito à GoDaddy, tomar medidas razoáveis e apropriadas para interromper e remediar qualquer tratamento não autorizado de Dados Pessoais do Cliente.
3.2 Status
3.2.1 DPF UE-EUA. Conforme determinação da Comissão Europeia, o DPF UE-EUA oferece um nível adequado de proteção de dados, de acordo com uma decisão de adequação de 10 de julho de 2023, e entra em vigor em 10 de outubro de 2023.
3.2.2 Ponte de Dados Reino Unido-EUA. A Ponte de Dados Reino Unido-EUA oferece um nível adequado de proteção de dados, conforme determinação da Secretária de Estado de Ciências, Inovação e Tecnologia do Reino Unido, que estabeleceu regulamentos de adequação no Parlamento em 21 de setembro de 2023. Os regulamentos da Ponte de Dados Reino Unido-EUA entrarão em vigor em 12 de outubro de 2023, e as transferências aplicáveis serão realizadas de acordo com a Ponte de Dados Reino Unido-EUA a partir dessa data.
3.2.3 DPF Suíça-EUA. O DPF Suíça-EUA ainda não está em vigor.
3.3 A Empresa e os Subprocessadores da Empresa tomarão todas as medidas necessárias para permitir que a GoDaddy cumpra suas obrigações como Controlador e/ou Processador sob o DPF, incluindo, entre outros, ajudar a GoDaddy e/ou o Controlador a responder a solicitações de pessoas para exercer os direitos de Titular dos Dados.3.2.3.1 As Partes concordam que, na medida em que os termos deste DPA sejam consistentes com o DPF da Suíça ou seu análogo razoável, quando entrar em vigor, as Transferências aplicáveis de Dados Pessoais do Cliente da Suíça serão tratadas como se fossem realizadas sob o DPF da Suíça.
3.2.3.2 Na medida em que haja necessidade de incluir demais termos a este DPA pelo DPF da Suíça, as Partes concordam que tais termos serão incorporados automaticamente sem qualquer outra medida realizada pelas Partes, desde que tais termos não imponham quaisquer obrigações materiais adicionais a qualquer uma das Partes ou prejudiquem materialmente os termos e condições originais do Contrato.
3.2.3.3 Na medida em que termos adicionais não possam ser adicionados automaticamente a este DPF, este DPA poderá ser alterado para permitir Transferências de acordo com o DPF da Suíça.
3.2.3.4 Não obstante qualquer outro termo deste DPA, nada neste DPA limita, restringe ou de outra forma afeta a capacidade das Partes de transferir Dados Pessoais de acordo com outro mecanismo legal de transferência de dados.
4. As Cláusulas Contratuais Padrão da UE
4.1 Para Transferências de Dados Pessoais da UE/EEE e Suíça que estão sujeitas às Cláusulas Contratuais Padrão da UE, o Módulo Dois (Controlador para Processador) ou o Módulo Três (Processador para Processador) se aplica dependendo se a GoDaddy é um Controlador ou Processador com respeito aos Dados Pessoais do Cliente a serem transferidos.
4.2 No que diz respeito aos Módulos Dois e Três das SCC da UE:
4.2.1 Na Cláusula 7, a cláusula de adesão facultativa não se aplicará.
4.2.2 Na Cláusula 9, a Opção 2 será aplicada, e o processo de notificação, assim como o período para objeções às alterações do Subprocessador, seguirão conforme estabelecido na Seção 3 do DPA.
4.2.3 Na Cláusula 11, não se aplicará a linguagem facultativa.
4.2.4 Na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão da UE serão regidas pelas leis internas da Alemanha.
4.2.5 Na Cláusula 18(b), os litígios relativos ao DPA serão resolvidos na República Federal da Alemanha.
4.3 Para efeitos do Apêndice I, Parte A:
4.3.1 Exportador de Dados
4.3.1.1 O Exportador de Dados será a Empresa.
4.3.1.2 A Empresa poderá ser contatada nos endereços estabelecidos na cláusula de notificação do Contrato.
4.3.1.3 Ao celebrar este DPA, considera-se que a Empresa assinou as presentes Cláusulas Contratuais padrão da UE, incluindo seus respectivos Apêndices, na Data de Vigência do Contrato.
4.3.2 Importador de Dados
4.3.2.1 O Importador de Dados será a GoDaddy e/ou afiliados autorizados da GoDaddy.
4.3.2.2 A GoDaddy pode ser contatada nos endereços estabelecidos na notificação do Contrato ou pelo endereço privacy@GoDaddy.com.
4.3.2.3 Ao celebrar este DPA, considera-se que a GoDaddy assinou estas Cláusulas Contratuais Padrão da UE, incluindo seus Apêndices, a partir da Data de Vigência do Contrato.
4.4 Para efeitos do Apêndice I, Parte B:
4.4.1 As categorias de Titulares dos Dados estão descritas no Anexo 1.
4.4.2 Os dados confidenciais (se houver) transferidos estão descritos no Anexo 1.
4.4.3 A frequência da Transferência corresponde à duração do Contrato e do DPA.
4.4.4 A natureza do Tratamento está descrita no Anexo 1.
4.4.5 A finalidade do Tratamento está descrita no Anexo 1.
4.4.6 O período do Tratamento está descrito no Anexo 1.
4.5 Para efeitos do Apêndice I, Parte C, de acordo com a cláusula 13, a autoridade supervisora competente é definida como segue:
4.5.1 Para transferências de Dados Pessoais da UE/EEE, a Autoridade supervisora é o Comissário Estadual da Renânia do Norte-Vestfália para Proteção de Dados e Liberdade de Informações.
4.5.2 O Comissário Federal Suíço para Proteção de dados e Informações atuará como autoridade supervisora competente, na medida em que a Transferência relevante ou Transferência sucessiva seja regida pelas Leis e Regulamentos Suíços de Proteção de Dados.
4.6 No Apêndice II das Cláusulas Contratuais Padrão da UE, o Anexo 2 contém as medidas técnicas e organizacionais implementadas pela Empresa na qualidade de Importador de Dados ao abrigo do DPA.
4.7 No Apêndice III das Cláusulas Contratuais Padrão da UE, veja uma lista de Subprocessadores da Empresa.5. Acordo internacional de transferência de dados do Reino Unido (IDTA)
5.1 O IDTA do Reino Unido aplica-se a transferências de Dados Pessoais do Cliente transferidos do Reino Unido para qualquer país fora do Reino Unido que não sejam reconhecidas pela autoridade reguladora ou órgão governamental competente do Reino Unido como transferências que forneçam um nível adequado de proteção de Dados Pessoais.
5.2 Para Transferências sujeitas ao IDTA do Reino Unido, este é considerado celebrado pelas Partes e deve ser preenchido da seguinte forma:
5.2.1 Na Tabela 1 do IDTA, os detalhes das Partes e as principais informações de contato estão localizados na Seção 4.3 deste Anexo 4.
5.2.2 Na Tabela 2 do IDTA, as informações sobre a versão das Cláusulas Contratuais Padrão da UE, módulos e cláusulas selecionadas, às quais o IDTA do Reino Unido está vinculado, estão localizadas na Seção 4 deste Anexo.
5.2.3 Na Tabela 3 do IDTA do Reino Unido:
5.2.3.1 A lista de Partes está localizada na Seção 4.3 deste Anexo 4.
5.2.3.2 A descrição da transferência está estabelecida no Anexo 1.
5.2.3.3 O Apêndice II está localizado no Anexo 2.
5.2.3.4 A lista de Subprocessadores da Empresa está localizada no Anexo 5.
5.2.3.5 Na Tabela 4 do IDTA do Reino Unido, tanto a GoDaddy quanto a Empresa podem rescindir o IDTA do Reino Unido de acordo com seus termos.
5.3 O Comissário das Informações do Reino Unido atuará como autoridade supervisora competente, na medida em que a Transferência relevante seja regida pelas Leis e Regulamentos de Proteção de Dados do Reino Unido.
5.4 Conflito. Na medida em que haja qualquer conflito ou inconsistência entre as Cláusulas Contratuais Padrão da UE ou o IDTA do Reino Unido e quaisquer outros termos deste Adendo de Tratamento de Dados, as disposições das Cláusulas Contratuais Padrão da UE ou do IDTA do Reino Unido, conforme aplicável, prevalecerão.
Versões traduzidas de políticas e contratos jurídicos são fornecidas apenas como uma conveniência para facilitar a leitura e o entendimento das versões em inglês. O objetivo de fornecer traduções das políticas e contratos jurídicos não é criar um vínculo jurídico, e elas não são um substituto da validade legal das versões em inglês. Em caso de qualquer disputa ou conflito, as versões em inglês das políticas e contratos jurídicos regem, em qualquer caso, nossas relações e prevalecerão sobre os termos em qualquer outro idioma.