Versões traduzidas de políticas e contratos jurídicos são fornecidas apenas como uma conveniência para facilitar a leitura e o entendimento das versões em inglês. O objetivo de fornecer traduções das políticas e contratos jurídicos não é criar um vínculo jurídico, e elas não são um substituto da validade legal das versões em inglês. Em caso de qualquer disputa ou conflito, as versões em inglês das políticas e contratos jurídicos regem, em qualquer caso, nossas relações e prevalecerão sobre os termos em qualquer outro idioma.
ADENDO AO PROCESSAMENTO DE DADOS (CLIENTES)
Esse Adendo de processamento de dados (o “Adendo”) é executado por e entre GoDaddy.com, LLC, a Delaware limited liability company e seus Afiliados (“GoDaddy”) e você (“Cliente”) e está anexado a e complementa nossos Termos de Serviço Universal, Política de Privacidade e os complementos dos nossos Termos de Serviço Universal, Política de Privacidade e todos e quaisquer acordos que regem os Serviços Cobertos (coletivamente, os “Termos de Serviço”). A menos que seja definido de outra forma neste Adendo, todos os termos em maiúsculas não definidos neste Adendo terão o significado dado a eles nos Termos de serviço.
1. DefiniçõesO termo “Afiliados” designa qualquer entidade que controle, seja controlada por, ou exerça controle junto com a GoDaddy.
“CCPA” é a sigla para California Consumer Privacy Act (Lei de Privacidade do Consumidor da Califórnia, em português), Código Civil da Califórnia 1798.100 et seq., incluindo quaisquer alterações e regulamentos de implementação que entrem em vigor na ou após a data de vigência deste Adendo sobre Processamento de Dados.
Entende-se por “Serviços Abrangidos” os serviços hospedados que possam envolver nosso Processamento de Dados Pessoais, os quais estão sujeitos aos termos e condições dos seguintes Contratos: (1) Serviços de Email Marketing, (2) Hospedagem, (3) Loja Online/Carrinho de compras rápido, (4) Serviços de site, (5) Serviços de workspace.
“Dados do Cliente” referem-se aos Dados Pessoais de qualquer Titular dos Dados Processados pela GoDaddy dentro da Rede da GoDaddy em nome do Cliente, de acordo com ou em conformidade com os Termos de Serviço.
“Controlador de Dados” é um termo que se refere ao Cliente enquanto entidade que determina as finalidades e os mecanismos do Processamento de Dados Pessoais.
O “Processador de Dados” é a GoDaddy, entidade que processa os Dados Pessoais em nome do Controlador de Dados, ou o prestador de serviços conforme definido pela CCPA.
“Leis de Proteção de Dados” referem-se a todas as regulamentações e leis de privacidade e proteção de dados aplicáveis ao Processamento de Dados Pessoais ao abrigo deste Contrato, incluindo (i) Australian Privacy Principles e a Australian Privacy Act (1988), (ii) a Lei Geral de Proteção de Dados (LGPD) do Brasil, (iii) a California Consumer Privacy Act (CCPA), (iv) a Federal Personal Information Protection and Electronic Documents Act (PIPEDA) do Canadá, (v) o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, (vi) todas as leis nacionais de proteção de dados executadas à luz ou em conformidade com o GDPR, a e-Privacy Directive (Diretiva 2002/58/EC) da UE, (viii) a Personal Data Protection Act 2012 (PDPA) de Singapura, (ix) a Federal Data Protection Act de 19 de junho de 1992 e decreto da Suíça, (x) o GDPR do Reino Unido ou a Data Protection Act de 2018; em cada caso, sujeitas a alteração, revogação ou substituição.
“Titular dos Dados” refere-se ao indivíduo a quem os Dados Pessoais estão relacionados.
“EEE” é a sigla para Espaço Econômico Europeu.
“GDPR” corresponde ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre Proteção de Dados).
Entende-se por “Rede da GoDaddy” as instalações de data center, servidores, equipamentos de rede e sistemas de software de hospedagem (por exemplo, firewalls virtuais) da GoDaddy que são controlados pela GoDaddy e são usados para fornecer os Serviços Abrangidos.
“Dados Pessoais” compreende qualquer informação relativa a uma pessoa identificada ou identificável ou ao seu domicílio, conforme definido nas Leis de Proteção de Dados.
“Processamento” significa qualquer operação ou conjunto de operações que são realizadas nos Dados Pessoais, sejam ou não por meios automáticos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. Os termos “Processo”, “processos” e “processado” serão interpretados adequadamente. Os detalhes do Processamento são estabelecidos no Apêndice 1.
“Incidente de Segurança” seja (a) uma violação de segurança dos Padrões de Segurança da GoDaddy que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a quaisquer Dados do Cliente; ou (b) qualquer acesso não autorizado a equipamentos ou instalações da GoDaddy, onde em qualquer dos casos esse acesso resulte em destruição, perda, divulgação não autorizada ou alteração de Dados do Cliente.
“Padrões de Segurança” significa os padrões de segurança anexados a este Adendo como Apêndice 2.
“Dados Confidenciais” referem-se a (a) número de documento de identidade, número de passaporte, número de carteira de motorista ou documento semelhante (ou qualquer parte deste); (b) número de cartão de crédito/débito (salvo os últimos quatro dígitos do cartão), dados financeiros, senhas e números de conta bancária; (c) informações empregatícias, financeiras, genéticas, biométricas ou de saúde; (d) afiliação racial, étnica, política ou religiosa, adesão sindical ou informações relacionadas à orientação ou vida sexual; (e) senhas de conta, nome de solteira da mãe ou data de nascimento; (f) histórico criminal; ou (g) outras informações ou combinação de informações que atendam à definição de “categorias especiais de dados” prevista no GDPR ou lei/regulamentação aplicável relacionada à proteção e privacidade de dados.
“Cláusulas Contratuais Padrão” ou “SCCs” referem-se às cláusulas padrão de proteção de dados voltadas à transferência de dados pessoais de um controlador a um processador situado em países terceiros os quais não assegurem um nível adequado de proteção de dados, conforme descrito no Artigo 46 do GDPR e aprovado pela decisão 2021/914 de 4 de junho de 2021 da Comissão Europeia. As Cláusulas Contratuais Padrão, Módulo 2 (Controlador para Processador), encontram-se no Apêndice 4.
“Subprocessador” significa qualquer processador de dados designado pelo Processador para processar Dados Pessoais em nome do Controlador.
As “Cláusulas Contratuais Padrão do Reino Unido” dizem respeito às cláusulas padrão de proteção de dados voltadas à transferência de dados pessoais para processadores situados em países terceiros os quais não assegurem um nível adequado de proteção de dados, conforme descrito no Artigo 46 do GDPR do Reino Unido e aprovado pela decisão 2010/87/EU da Comissão Europeia. As Cláusulas Contratuais Padrão do Reino Unido estão previstas no Apêndice 4.
2. Processamento de dados2.1 Escopo e Funções. Este adendo aplica-se em caso de processamento dos Dados do Cliente pela GoDaddy, em que a GoDaddy atuará como o Processador de Dados em nome do Cliente e como Controlador de Dados em relação aos Dados do Cliente.
2.2 Detalhes do Processamento de Dados. A questão do processamento dos Dados do Cliente por parte da GoDaddy trata da execução dos Serviços Abrangidos, de acordo com os Termos de Serviço. O processamento dos Dados do Cliente pela GoDaddy só será efetuado em nome e de acordo com as instruções documentadas do Cliente para os seguintes fins: (i) processamento em conformidade com os Termos de Serviço; (ii) processamento iniciado pelos usuários finais no respectivo uso dos Serviços Abrangidos; (iii) processamento para cumprir com outras instruções documentadas e razoáveis fornecidas pelos Clientes (por exemplo, via email), quando tais instruções estiverem em consonância com os Termos de Serviço. A GoDaddy não poderá: (a) processar, reter, usar, vender ou divulgar os Dados do Cliente, exceto quando necessário para fornecer Serviços Abrangidos de acordo com os Termos de Serviço, ou conforme exigido por lei; (b) vender tais Dados do Cliente a terceiros; (c) reter, usar ou divulgar os Dados do Cliente para além da relação comercial direta entre a GoDaddy e o Cliente.
Para que não haja margem para dúvidas, as instruções fornecidas pelo Cliente relativas ao Processamento de Dados Pessoais deverão cumprir todas as leis de privacidade de dados aplicáveis. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados Pessoais e dos meios pelos quais obteve os Dados Pessoais. A GoDaddy não será obrigada a cumprir ou observar as instruções do Cliente se tais instruções violarem as Leis de Proteção de Dados. A duração, natureza e finalidade do Processamento, os tipos de Dados Pessoais e as categorias dos Titulares de Dados Processados de acordo com este Adendo são especificados no Apêndice 1 (“Detalhes do Processamento”) deste Adendo.
3. Confidencialidade dos dados do clienteA empresa GoDaddy não divulgará os Dados do Cliente a governos ou terceiros, salvo se necessário para fins de cumprimento da lei ou de um mandado judicial válido e vinculativo de uma agência reguladora (tal como uma intimação ou ordem judicial). Caso a GoDaddy receba uma intimação (Processo Civil) válida, e na medida do permitido, a GoDaddy se empenhará em comunicar o Cliente sobre a notificação em tempo hábil, via e-mail ou correio normal, para permitir que o Cliente tome uma providência cautelar ou outra solução apropriada.
4. Segurança4.1 A GoDaddy implementou e manterá as medidas técnicas e organizacionais para a Rede da GoDaddy, como descrito nesta Seção e no Apêndice 2 a este Adendo, Padrões de Segurança. Especificamente, a GoDaddy implementou e manterá as seguintes medidas técnicas e organizacionais que abordam (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controles em torno do acesso de funcionários e contratados a (i) e/ou (ii); e (iv) os processos para testar, analisar e avaliar a eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Caso não possamos cumprir nenhuma das obrigações aqui estabelecidas, forneceremos uma notificação por escrito (via nosso site e email) assim que for possível do ponto de vista prático.
4.2 A GoDaddy disponibiliza diversos recursos e funcionalidades de segurança que o Cliente pode optar por utilizar em relação aos Serviços Abrangidos. O Cliente é responsável por (a)configurar adequadamente os Serviços Abrangidos, (b) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento, (c) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para permitir que o Cliente restaure a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico (por exemplo, backups e arquivamento rotineiro dos Dados do Cliente) e (d) adotar as medidas que o Cliente considere adequadas para manter a segurança, a proteção e a exclusão apropriadas dos Dados do Cliente, o que inclui o uso da tecnologia de criptografia para proteger os Dados do Cliente contra acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.
5. Direitos do sujeito dos dadosLevando em conta a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controles, conforme descrito na seção “Segurança” deste Adendo, os quais o Cliente pode escolher usar para recuperar, corrigir, excluir ou restringir o uso e o compartilhamento de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente pode usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em conexão com suas obrigações nos termos das leis de privacidade aplicáveis, incluindo suas obrigações relacionadas à resposta a solicitações dos Titulares dos Dados. Como comercialmente aceito, e na medida jurídica exigida ou permitida, a GoDaddy notificará imediatamente o Cliente se a GoDaddy receber diretamente uma solicitação de um Titular dos Dados para exercer esses direitos sob quaisquer leis de privacidade de dados aplicáveis (“Solicitação do Titular dos Dados”). Além disso, quando o uso que o Cliente faz dos Serviços Abrangidos limita sua capacidade de atender a uma Solicitação do Titular dos Dados, a GoDaddy pode, quando juridicamente permitido e apropriado e mediante solicitação específica do Cliente, fornecer assistência comercialmente aceitável para atender à solicitação, a custo do Cliente (caso incorram custos).
6. Subprocessamento6.1 Subprocessadores autorizados. O cliente concorda que a GoDaddy pode usar Subprocessadores para cumprir suas obrigações contratuais sob seus Termos de Serviço e este Adendo ou para fornecer determinados serviços em seu nome, como a prestação de serviços de suporte. O cliente consente, por meio deste documento, o uso de Subprocessadores da GoDaddy conforme descrito nesta Seção. Exceto conforme estabelecido nesta Seção ou de outra forma explicitamente autorizado por você, a GoDaddy não permitirá outras atividades de subprocessamento.
6.2 Obrigações do subprocessador. Onde a GoDaddy usa qualquer Subprocessador autorizado conforme descrito na Seção 6.1:
(i) A GoDaddy restringirá o acesso do Subprocessador aos Dados do Cliente apenas ao que for necessário para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer usuários finais de acordo com os Serviços Abrangidos. A GoDaddy proibirá o Subprocessador de acessar os Dados do Cliente para qualquer outra finalidade;
(ii)A GoDaddy realizará um acordo por escrito com o Subprocessador e, na medida em que o Subprocessador estiver executando os mesmos serviços de processamento de dados que estão sendo fornecidos pela GoDaddy sob este Adendo, a GoDaddy cobrará do Subprocessador as mesmas obrigações contratuais que a GoDaddy tem em relação a este Adendo; e
(iii)A GoDaddy continuará responsável pelo cumprimento das obrigações deste Adendo e por quaisquer atos ou omissões do Subprocessador que façam com que a GoDaddy viole quaisquer obrigações da GoDaddy nos termos deste Adendo.
6.3 Novos Subprocessadores. Periodicamente poderemos envolver a participação de novos Subprocessadores ao abrigo dos termos deste Adendo. Nestes casos, daremos um aviso com antecedência de 30 dias (pelo nosso site e por email) antes de qualquer novo Subprocessador obter quaisquer Dados do Cliente. Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá rescindir quaisquer Serviços Abrangidos sem penalidade, fornecendo, no prazo de 10 dias ou após o recebimento de uma notificação de nossa parte, uma notificação de rescisão por escrito que inclua uma explicação das razões de sua não aprovação. Se os Serviços Abrangidos fizerem parte de um pacote ou de uma compra combinada, qualquer rescisão será aplicada em sua totalidade.
7. Incidente de Segurança7.1 Incidente de Segurança. Se a GoDaddy tomar conhecimento de um Incidente de Segurança, a GoDaddy, sem atrasos indevidos: (a) notificará o Cliente sobre o Incidente de Segurança; e (b) tomará as medidas cabíveis para mitigar os efeitos e minimizar qualquer dano resultante de tal Incidente.
7.2 GoDaddy Ajuda. Para auxiliar o Cliente em relação a qualquer notificação de violação de dados pessoais, o Cliente é obrigado a submeter-se a todas as leis de privacidade aplicáveis, a GoDaddy incluirá na notificação as informações sobre o Incidente de Segurança que puderem ser reveladas ao GoDaddy, levando em conta a natureza dos Serviços Abrangidos, as informações disponíveis e GoDaddy quaisquer restrições sobre a revelação das informações, tais como confidencialidade.
7.3 Incidentes de Segurança não autorizados. O cliente concorda que:
(i) Incidentes de Segurança não autorizados não estarão sujeitos aos termos deste Adendo. Um Incidente de Segurança não autorizado é aquele que resulta em acesso não autorizado aos Dados do Cliente ou a qualquer Rede, equipamento ou instalações da GoDaddy que armazenam Dados do Cliente e pode incluir, sem limitação,pings e outros ataques em firewalls ou servidores de borda, verificações de portas, tentativas de login malsucedidas, ataques de negação de serviço, sniffing de pacotes (ou outros acessos não autorizados a tráfego de dados que se limitem ao acesso aos cabeçalhos) ou incidentes semelhantes; e
**(ii) A obrigação da empresa ** GoDaddy de informar ou responder a um Incidente de Segurança nos termos desta Seção não é e não será interpretada como um reconhecimento por parte da GoDaddy de qualquer falha ou responsabilidade da GoDaddy com relação ao Incidente de Segurança em questão.
7.4 Notificação. A Notificação de Incidentes de Segurança, se houver, será entregue a um ou mais administradores do Cliente por qualquer meio selecionado pela GoDaddy, inclusive por email. É responsabilidade exclusiva do Cliente garantir que os administradores do Cliente mantenham dados precisos de contato no console de gerenciamento da GoDaddy e protejam a transmissão desses dados a todo momento.
8. Direitos do cliente8.1 Determinação independente. O Cliente é responsável por revisar as informações disponibilizadas pela GoDaddy relacionadas à segurança de dados e seus Padrões de Segurança e por determinar de forma independente se os Serviços Abrangidos atendem aos requisitos e obrigações legais do Cliente, bem como às obrigações do Cliente nos termos deste Adendo. A informação disponibilizada destina-se a ajudar o Cliente a cumprir as obrigações do Cliente nos termos das leis de privacidade aplicáveis, incluindo o GDPR, no que diz respeito às avaliações de impacto da proteção de dados e consulta prévia.
8.2 Direitos de Auditoria do Cliente. O cliente tem o direito de verificar a conformidade da GoDaddy com o referido Adendo, conforme aplicável aos Serviços Abrangidos, mediante solicitação específica por escrito, em intervalos razoáveis, enviada ao endereço indicado nos Termos de Serviço. Se a GoDaddy recusar-se a seguir qualquer instrução solicitada pelo Cliente em relação a uma auditoria ou a uma inspeção devidamente solicitada e com escopo definido, o Cliente poderá rescindir este Adendo e os Termos de Serviço.
9. Transferências dos Dados do Cliente9.1 Processamento nos EUA. Exceto quando especificamente indicado nos Termos de Serviço, os Dados do Cliente serão transferidos para fora do Reino unido ou do EEE, e processados nos Estados Unidos.
9.2 Aplicação das Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão serão aplicadas aos Dados do Cliente que forem transferidos para fora do EEE, diretamente ou mediante transferência posterior, para qualquer país que a Comissão Europeia não considere fornecer um nível adequado de proteção de Dados do Cliente. As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não sejam transferidos, diretamente ou por meio de transferência posterior, fora do EEE. Sem prejuízo do acima exposto, as Cláusulas Contratuais Padrão não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência lícita de Dados Pessoais fora do EEE, tal como quando necessário para a execução dos Serviços Abrangidos de acordo com os Termos de Serviço ou com o seu consentimento.
9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
10. Rescisão do adendoEste Adendo continuará em vigor até o término de nosso processamento, de acordo com os Termos de Serviço (“Data de Rescisão”).
11. Devolução ou exclusão de Dados do ClienteConforme descrito nos Serviços Abrangidos, o Cliente pode receber controles que podem ser usados para recuperar ou excluir os Dados do Cliente. Tal exclusão será realizada trinta (30) dias a pós a Data de Encerramento, sujeita aos termos dos Serviços Abrangidos em particular.
12. Limitações de responsabilidadeA responsabilidade de cada parte nos termos deste Adendo estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer penalidades regulatórias incorridas pela GoDaddy em relação aos Dados do Cliente que surjam como resultado de, ou em conexão com, uma falha do Cliente em cumprir com suas obrigações nos termos deste Adendo e quaisquer leis de privacidade aplicáveis contarão e reduzirão a responsabilidade da GoDaddy de acordo com os Termos de Serviço como se fossem responsabilidade para com o Cliente com base nos Termos de Serviço.
13. Termos de Serviço completos; ConflitoEste Adendo substitui todas as declarações, entendimentos, acordos ou comunicações anteriores ou concorrentes entre o Cliente e a GoDaddy, seja por escrito ou verbal, em relação ao assunto deste Adendo, incluindo os adendos de processamento de dados celebrados entre a GoDaddy e o Cliente com relação ao processamento de dados pessoais e à livre movimentação desses dados. Exceto conforme indicado por este Adendo, os Termos de Serviço permanecerão em pleno vigor e efeito. Se houver um conflito entre os Termos de Serviço e este Adendo, os termos deste Adendo terão precedência.
Apêndice 1
DETALHES DO PROCESSAMENTO
1. Natureza e Finalidade do Processamento. A GoDaddy processará os Dados do Cliente conforme necessário para executar os Serviços Abrangidos de acordo com os Termos de Serviço e conforme instruído pelo Cliente durante o uso dos Serviços Abrangidos.
2. Duração do Processamento. A GoDaddy, sujeita às Seções 10 e 11 do Adendo, processará os Dados do Cliente durante a data de vigência dos Termos de Serviço. Não obstante, a GoDaddy poderá reter os Dados do Cliente, ou parte destes, se assim for exigido por regulamentação ou leis aplicáveis, incluindo as Leis de Proteção de Dados aplicáveis, desde que garantida a proteção de tais Dados em conformidade com os termos deste Adendo e com as Leis de Proteção de Dados aplicáveis.
3. Categorias de assuntos de dados. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita aos Dados Pessoais relativos às seguintes categorias de Titular de Dados:
- Possíveis clientes, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas)
- Funcionários ou pessoas de contato de clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
- Funcionários, agentes, consultores, prestadores de serviço do Cliente (que são pessoas físicas)
- Usuários do Cliente autorizados por ele para usar os Serviços Abrangidos
4. Categorias de Dados Pessoais. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, do tipo e na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não se limita às seguintes categorias de Dados Pessoais de Titulares de Dados:
- Nome
- Endereço
- Número de telefone
- Data de nascimento
- Endereço de email
- Outros dados coletados que poderiam identificar, direta ou indiretamente, os titulares dos dados.
5. Dados Confidenciais ou Categorias Especiais de Dados. O Cliente poderá realizar o upload de Dados Confidenciais durante o uso dos Serviços Abrangidos; o tipo e a finalidade de uso são determinados e controlados pelo Cliente a seu exclusivo critério. Ademais, é responsável por aplicar restrições ou salvaguardas que levem em plena consideração a natureza dos dados e os riscos envolvidos anteriormente à transmissão ou ao processamento de Dados Confidenciais através dos Serviços Abrangidos.
Apêndice 2
Padrões de Segurança
I. Medidas técnicas e organizacionais
O nosso compromisso é de proteger as informações dos nossos clientes. Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco para os direitos e as liberdades de pessoas naturais, realizamos as seguintes medidas técnicas e organizacionais. Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Uma rápida recuperação após um incidente físico ou técnico é garantida.
II. Programa de privacidade de dados
Nosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.
1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”
Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:
Segurança física
- Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.)
- Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão
- Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)
- Gerenciamento de acesso ao visitante
- Destruição de dados em mídia física e documento (trituração, neutralização etc.)
Controle de acesso e Prevenção de acesso não autorizado
- Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos
- Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.)
- Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)
- Acesso controlado a emails e à Internet
- Gerenciamento de antivírus
- Gerenciamento do sistema de prevenção contra intrusão
Criptografia
- Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes
- Criptografia de dados de PII/SPII em repouso (bancos de dados, diretórios compartilhados etc.)
- Criptografia completa de disco para PCs e laptops da empresa
- Criptografia de mídia de armazenamento
- Conexões remotas com as redes da empresa são criptografadas via VPN
- Proteção do ciclo de vida das chaves de criptografia
Minimização de dados
- Minimização de PII/SPI em logs de aplicativos, depuração e segurança
- Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo
- Segregação de dados armazenados por função (teste, preparação, ativação)
- Segregação lógica de dados por função com base em direitos de acesso
- Períodos de retenção de dados definidos para dados pessoais
Teste de segurança
- Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais
- Verificações regulares de rede e vulnerabilidade
2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”
Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:
Gerenciamento de alteração e versão
- Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc
- Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção
Registro de log e monitoramento
- Login de acesso e alterações nos dados
- Auditoria centralizada e logs de segurança
- Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)
3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”
Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:
- Testes regulares de failover aplicados a serviços críticos
- Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos
- Programa de resposta a incidentes
- Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.)
- Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)
- Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes
- Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede
- Alarme, sistemas de segurança em uso
- Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.)
- Proteção DDOS para manter a disponibilidade
- Teste de carga e estresse
4. Instruções de processamento de dados. “As instruções de processamento de dados referem-se à garantia de que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas corporativas relacionadas”
Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.
- Termos de privacidade e confidencialidade em vigor nos contratos de funcionários
- Treinamentos regulares de privacidade e segurança de dados para funcionários
- Disposições contratuais adequadas em acordos com os subcontratados para manter os direitos de controle instrucional
- Verificações regulares de privacidade para provedores de serviços externos
- Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados
- Auditorias de segurança periódicas
Apêndice 3 - Subprocessadores da GoDaddy
Nome da empresa | País de incorporação | Descrição do serviço | Categorias de dados |
---|---|---|---|
Acronis International GmbH | Suíça | Backups de cliente | Snapshots de backup. |
Automattic Inc | Estados Unidos | Plugin do WooCommerce e complementos no E-commerce do WordPress | Perfis de usuário do cliente, incluindo nome e endereço de email, e de funcionários/prestadores de serviço no WordPress. |
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc | Reino Unido, Alemanha, Estados Unidos | Fornece e gerencia soluções de rede como parte da nossa rede; incluindo análises de metadados. | Processa metadados de endereços IP, carimbo de data e hora, e tráfego de rede |
cPanel Inc | Estados Unidos | Software de gerenciamento de cPanel voltado a produtos de Hospedagem e Servidor. | Todos os dados de clientes processados no cPanel. |
DENIC eG | Alemanha | Registro de domínios .de | Todas as informações de conta necessárias para disponibilização do domínio. Informações do WHOIS. |
Equinix Netherlands BV | Países Baixos | Unidades de colocação de data center nos Países Baixos. | Nenhum dado pessoal é intencionalmente processado. |
EURid vzw | Bélgica | Registro de domínios .eu | Todas as informações de conta necessárias para disponibilização do domínio. Informações do WHOIS. |
Juniper Networks Inc | Estados Unidos | Fornece e gerencia soluções de rede como parte da nossa rede; incluindo análises de metadados. | Endereços IP, carimbos de data e hora, tráfego de rede |
LivePerson Inc | Estados Unidos | Ferramenta de bate-papo “LiveEngage” em nosso site. | Transcrições de bate-papo, informações automatizadas, como endereço IP, sistema operacional e tipo de dispositivo. |
LvivIT | Ucrânia | Fornecimento de suporte operacional da plataforma. | Todas as informações de conta do cliente. |
OVH Grouppe SAS | França | Unidades de colocação de data center na Alemanha, revenda de produtos de servidor. | Dados hospedados pelo cliente, incluindo, entre outros, sites, aplicativos e dados do(s) cliente(s) do cliente. Pode incluir, ademais, tráfego de rede. |
Plesk International GmbH | Alemanha | Painel de controle de Plesk para VPS e Servidores dedicados e Criador de Sites Plus. | Todos os dados de cliente processados no painel de controle do Plesk, bem como dados de cliente processados em um site hospedado. |
Datadock SARL | França | Unidades de colocação de data center na França. | Serviços de rede e hardware. Nenhum dado pessoal intencionalmente processado. |
GoDaddy Media Temple Inc, nome fantasia: Sucuri | Estados Unidos | Produto de SAAS: Proteção de sites de clientes contra malware |
Todas as informações de conta necessárias para a disponibilização do site, bem como dados de cliente armazenados no site hospedado. |
GoDaddy Media Temple Inc, nome fantasia: Sucuri | Estados Unidos | Interno: Web Application Firewall em nossos sites de marca e em painéis de controle do cliente para proteção de dados de clientes e de TI da marca. | Inspeção de tráfego do site. Metadados de endereços IP, carimbos de data e hora e tráfego de rede. |
Starfield Technologies LLC | Estados Unidos | Certificados SSL. | Todas as informações de conta do cliente necessárias para um certificado SSL. |
DomainsByProxy LLC | Estados Unidos | Serviços de privacidade de domínio. | Detalhes de contato e registro de domínio. |
GoDaddy Sellbrite, Inc. | Estados Unidos | Ferramenta de varejo on-line | Transação e dados de produto de loja on-line. |
GoDaddy Payments LLC | Estados Unidos | Ferramentas de processamento de pagamento. |
Consulte a Seção 9.2 do Adendo para saber sobre a aplicabilidade das Cláusulas Contratuais Padrão
Cláusulas Contratuais Padrão (Controlador para processadores)
SEÇÃO I
Cláusula 1
Escopo e finalidade
- As presentes cláusulas contratuais padrão têm como finalidade garantir a conformidade com os requisitos do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas físicas quanto ao processamento de dados pessoais e a livre movimentação de tais dados (Regulamento Geral sobre Proteção de Dados) para transferência dos dados a um país terceiro.
- As Partes:
- as pessoas físicas ou jurídicas, autoridades públicas, agências ou outros órgãos (doravante “entidade(s)”) que realizem a transferência de dados pessoais, conforme listados no Anexo I.A (cada qual doravante denominado “exportador de dados”), bem como
- a(s) entidade(s) em um país terceiro que recebam os dados pessoais do exportador de dados, direta ou indiretamente, por outra entidade também Parte destas Cláusulas, conforme listado no Anexo I.A (cada qual doravante denominado “importador de dados”) concordam com as referidas cláusulas contratuais padrão (doravante “Cláusulas”).
- Tais Cláusulas aplicam-se no tocante à transferência de dados pessoais, conforme previsto no Anexo I.B.
- O Apêndice com os Anexos referidos pelo presente compõe parte integral destas Cláusulas.
Cláusula 2
Efeito e invariabilidade das Cláusulas
- As Cláusulas aqui previstas estabelecem salvaguardas apropriadas, incluindo direitos executáveis dos titulares dos dados e recursos jurídicos válidos, em conformidade com os Artigos 46(1) e 46(2)(c) do Regulamento (UE) 2016/679 e, no tocante às transferências de dados entre controladores e processadores e/ou entre dois processadores, cláusulas contratuais padrão, ao abrigo do Artigo 28(7) do Regulamento (UE) 2016/679, desde que preservadas em sua essência, salvo para seleção de Módulo(s) relevante(s) ou para inclusão/atualização de informações no Apêndice. Tal fato não impede as Partes de incluir as cláusulas contratuais padrão previstas nestas Cláusulas em um contrato de maior abrangência e/ou de incorporar outras cláusulas ou salvaguardas, desde que não sejam contrárias, direta ou indiretamente, às Cláusulas ou afetem a liberdade ou direitos fundamentais dos titulares dos dados.
- Tais Cláusulas não afetam as obrigações estipuladas ao exportador de dados em razão do Regulamento (UE) 2016/679.
Cláusula 3
Terceiros beneficiários
- Os titulares dos dados podem recorrer e aplicar estas Cláusulas, como terceiros beneficiários, ao importador e/ou exportador de dados, salvo as exceções abaixo:
- Cláusulas 1, 2, 3, 6, 7;
- Cláusulas 8.1(b), 8.9(a), (c), (d) e (e);
- Cláusulas 9(a), (c), (d) e (e);
- Cláusulas 12(a), (d) e (f);
- Cláusula 13;
- Cláusulas 15.1(c), (d) e (e);
- Cláusula 16(e); (viii) Cláusulas 18(a) e (b).
- O parágrafo (a) não afeta os direitos de titulares de dados ao abrigo do Regulamento (UE) 2016/679.
Cláusula 4
Interpretação
- Quando as Cláusulas usarem termos definidos no Regulamento (UE) 2016/679, tais termos terão os mesmos significados como constam no Regulamento.
- Tais Cláusulas devem ser lidas e interpretadas à luz das disposições do Regulamento (UE) 2016/679.
- Estas não devem ser interpretadas em dissonância aos direitos e obrigações previstos no Regulamento.
Cláusula 5
Hierarquia
No caso de haver contradição entre estas Cláusulas e as disposições de acordos relacionados firmados entre as Partes, efetivos na data de celebração das Cláusulas, estas deverão prevalecer.
Cláusula 6
Descrição das transferências
Os detalhes sobre as transferências e, especificamente, as categorias de dados pessoais objetos da transferência, bem como as finalidades com as quais são transferidos, encontram-se definidos no Anexo I.B.
Cláusula 7 – OMISSÃO DELIBERADA
SEÇÃO II – OBRIGAÇÕES DAS PARTES
Cláusula 8
Salvaguardas de proteção de dados
O exportador de dados garante ter empreendido esforços razoáveis para determinar a capacidade do importador de dados, mediante a implementação de medidas técnicas e corporativas adequadas, de atender às obrigações previstas nas Cláusulas.
8.1 Instruções
- O importador de dados deve processar os dados pessoais somente sob instruções documentadas do exportador de dados, que poderá fornecer tais instruções durante a vigência do contrato.
- O importador de dados deve imediatamente informar o exportador de dados da impossibilidade de seguir as instruções fornecidas.
8.2 Limitação de finalidade
O importador de dados processará os dados pessoais somente para os fins específicos da transferência, conforme previstos no Anexo I.B, salvo instruções do exportador de dados.
8.3 Transparência
O exportador de dados poderá, mediante solicitação, disponibilizar uma cópia destas Cláusulas, incluindo o Apêndice executado entre as Partes, ao titular dos dados sem taxas agregadas. Na medida do necessário para fins de proteção de segredos comerciais ou outros dados confidenciais, incluindo as medidas descritas no Anexo II e dados pessoais, o exportador de dados poderá, anteriormente ao compartilhamento de uma cópia, ocultar parte do conteúdo do Apêndice das Cláusulas, desde que forneça um resumo judicioso, sem o qual não seria possível ao titular dos dados compreender seu contexto ou fazer uso dos direitos a ele concedidos. As Partes deverão apresentar ao titular dos dados, mediante solicitação, as justificativas para as edições, dentro do possível, sem divulgação das informações ocultas. A referida Cláusula não afeta as obrigações do exportador de dados previstas ao abrigo dos Artigos 13 e 14 do Regulamento (UE) 2016/679.
8.4 Exatidão
No caso do importador de dados tomar ciência da inexatidão ou desatualização dos dados pessoais recebidos, este deverá notificar o exportador de dados sem atrasos injustificados. Nesse caso, o importador cooperará com o exportador de dados na remoção ou retificação dos dados.
8.5 Duração do processamento e exclusão ou devolução dos dados
O processamento pelo importador de dados poderá ser executado somente pela duração especificada no Anexo I.B. Após o término da prestação dos serviços de processamento, caberá ao importador de dados, a critério do exportador de dados, remover todos os dados pessoais processados em nome do exportador, bem como atestar esse ato, ou devolver ao exportador todos os dados pessoais processados em seu nome e excluir quaisquer cópias existentes. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com as Cláusulas. Caso sejam aplicadas leis locais ao importador de dados, as quais vedem a devolução ou exclusão dos dados pessoais, o importador garante que continuará garantindo a conformidade com tais Cláusulas e que processará os dados somente dentro do âmbito requerido pela lei local. Tal fato não afeta a Cláusula 14, especificamente a obrigatoriedade atribuída ao importador, ao abrigo da Cláusula 14(e), de notificar o exportador de dados pela duração do contrato, se, por justificativas fundamentadas, acreditar que está sujeito a leis ou práticas não alinhadas aos requisitos previstos na Cláusula 14(a).
8.6 Segurança do processamento
- O importador de dados, e, pelo período em que durar a transmissão, o exportador de dados deverão implementar medidas técnicas e organizacionais adequadas que garantam a segurança dos dados, incluindo proteção contra violação à segurança, que leve a destruição, perda, alteração, divulgação não autorizada ou acesso (acidental ou ilícito) a tais dados (doravante “violação de dados pessoais”). Ao avaliar o nível adequado de segurança, as Partes devem levar em consideração o estado da técnica, os custos associados à implementação, a natureza, o escopo, o contexto e as finalidades do processamento, e os riscos inerentes aos titulares dos dados pelo processamento. Especificamente, as Partes devem considerar, ademais, a disponibilidade de recursos de criptografia ou pseudonimização, inclusive durante a transmissão, desde que atendida a finalidade do processamento. Com relação à pseudonimização, o exportador de dados deverá, sempre que possível, ter exclusivo controle sobre informações adicionais associadas à atribuição de dados pessoais a um titular de dados específico. Ao atender às obrigações previstas neste parágrafo, o importador de dados deverá, ao menos, implementar as medidas técnicas e organizacionais especificadas no Anexo II. É de responsabilidade do importador de dados conduzir verificações periódicas para garantir que tais medidas continuem a apresentar um nível adequado de segurança.
- O importador de dados deverá conceder acesso aos dados pessoais aos membros de sua equipe somente para fins estritamente necessários à implementação, controle e inspeção do contrato. Além disso, deverá garantir o compromisso de confidencialidade das pessoais autorizadas a processar os dados pessoais, ou que estas estejam sujeitas a uma obrigação de confidencialidade normativa relevante.
- Em caso de violação de dados pessoais processados pelo importador de dados ao abrigo destas Cláusulas, este deverá implementar medidas adequadas para sanar a violação, incluindo medidas que mitiguem os efeitos adversos. Caberá ao importador de dados notificar o exportador de dados, sem atraso injustificado, após tomar conhecimento da violação. Tal notificação deverá incluir os detalhes de um ponto de contato com o qual possam ser obtidas mais informações, uma descrição da natureza da violação (a qual inclua, sempre que possível, as categorias e o total aproximado de titulares de dados e registros de dados pessoais afetados), as possíveis consequências e as medidas adotadas ou propostas para resolução da violação, como medidas voltadas à mitigação de possíveis efeitos adversos, na medida do possível. Sempre e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, a notificação inicial deverá conter as informações disponíveis no momento; outras informações, assim que disponíveis, serão subsequentemente fornecidas sem atraso injustificado.
- O importador de dados cooperará e assistirá o exportador de dados de forma a permiti-lo atender às suas obrigações, ao abrigo do Regulamento (UE) 2016/679, de notificar, especificamente, a autoridade supervisora competente e os titulares dos dados afetados, levando em consideração a natureza do processamento e as informações disponíveis ao importador de dados.
8.7 Dados confidenciais
No caso da transferência abranger dados pessoais que revelem a origem étnica ou racial, parecer político, crenças filosóficas/religiosas ou adesão sindical, dados genéticos ou biométricos para fins unicamente de identificação de pessoa física, dados relacionados à saúde ou vida e orientação sexual do indivíduo, ou dados relacionados a condenações e transgressões criminais (doravante “dados confidenciais”), o importador de dados deve aplicar restrições específicas e/ou outras salvaguardas descritas no Anexo I.B.
8.8 Transferências posteriores
O importador de dados somente deve divulgar dados pessoais a um terceiro sob instruções documentadas do exportador de dados. Os dados só podem ser divulgados, ademais, a um terceiro localizado fora da União Europeia (no mesmo país do importador de dados ou em outro país terceiro, doravante “transferência posterior”) se o terceiro estiver de acordo em atender a estas Cláusulas, sob o Módulo relevante, ou se:
- a transferência posterior for destinada a um país que se beneficie de uma decisão de adequabilidade, conforme o Artigo 45 do Regulamento (UE) 2016/679 que trata da transferência posterior;
- o terceiro garantir, de outra forma, as salvaguardas relevantes em conformidade com os Artigos 46 e 47 do Regulamento (UE) 2016/679 no tocante ao processamento em questão;
- a transferência posterior for necessária para a constituição, exercício ou defesa de ações judiciais no contexto de procedimentos administrativos, regulatórios ou judiciais específicos; ou (iv) a transferência posterior for necessária à proteção dos interesses vitais do titular dos dados ou de outra pessoa física.
- Todas as transferências posteriores estão sujeitas à conformidade do importador de dados às demais salvaguardas previstas ao abrigo destas Cláusulas, especificamente a limitação de finalidade.
8.9 Documentação e conformidade
- O importador de dados deverá, pronta e adequadamente, atender às solicitações do exportador de dados, as quais sejam relacionadas ao processamento previsto nestas Cláusulas.
- Cabe a ambas as Partes comprovar sua conformidade com as Cláusulas. O importador de dados deverá manter, especificamente, documentação adequada sobre as atividades de processamento conduzidas em nome do exportador de dados.
- Cabe ao importador de dados disponibilizar ao exportador de dados todas as informações necessárias a fim de comprovar a conformidade com as obrigações previstas nestas Cláusulas e, mediante solicitação do exportador, autorizar e contribuir com a realização de auditorias das atividades abrangidas pelas Cláusulas, em intervalos razoáveis ou se houver indícios de não conformidade. Ao decidir pela revisão ou auditoria, o exportador de dados poderá levar em consideração as certificações relevantes do importador de dados.
- O exportador de dados poderá optar por realizar a auditoria ou atribuir a condução a um auditor independente. As auditorias, que podem incluir inspeções no local ou nas instalações físicas do importador de dados, devem ser realizadas, sempre que apropriado, com aviso prévio.
- As Partes devem disponibilizar à autoridade supervisora competente, mediante solicitação, as informações indicadas nos parágrafos (b) e (c), incluindo os resultados das auditorias realizadas.
Cláusula 9
Uso de subprocessadores
- O exportador de dados concede ao importador de dados autorização genérica no tocante à participação de subprocessador(es) a partir de uma lista acordada. O importador de dados deverá, especificamente, informar o exportador de dados por escrito quanto a quaisquer alterações propostas à lista pela inclusão ou substituição de subprocessadores, com, no mínimo, quinze (15) dias de antecedência, para que o exportador de dados possua tempo necessário para contestar tais modificações anteriormente à participação do(s) subprocessador(es). O importador de dados deverá fornecer ao exportador de dados as informações necessárias para que este exerça seu direito de objeção.
- No caso de o importador de dados incluir a participação de um subprocessador em atividades específicas de processamento (em nome do exportador), deverá fazê-lo mediante um contrato por escrito que conste, em essência, obrigações de proteção de dados análogas às obrigações que vinculem o importador de dados de acordo com estas Cláusulas, incluindo em termos de direitos de terceiros beneficiários de titulares dos dados. As Partes concordam que, mediante a observação desta Cláusula, o importador de dados atende às suas obrigações previstas na Cláusula 8.8. O importador de dados deverá garantir a conformidade do subprocessador com as obrigações às quais o importador está sujeito, conforme as referidas Cláusulas.
- É de responsabilidade do importador de dados, mediante solicitação do exportador, fornecer a este uma cópia do contrato firmado com o subprocessador, bem como de quaisquer emendas subsequentes. Na medida do necessário para fins de proteção de segredos comerciais e outras informações confidenciais, tal como dados pessoais, o importador de dados pode ocultar informações do texto do contrato antes de compartilhar a cópia.
- O importador de dados é totalmente responsável, perante o exportador de dados, pelo desempenho das obrigações do subprocessador ao abrigo do contrato firmado com o importador. O importador de dados deverá notificar o exportador de dados quanto ao não cumprimento pelo subprocessador das obrigações previstas em contrato.
- O importador de dados deverá firmar uma cláusula de terceiro beneficiário junto ao subprocessador, em que (no caso de desaparecimento factual, extinção como pessoa jurídica ou insolvência do importador de dados) o exportador de dados terá o direito de rescindir o contato do subprocessador e instruí-lo a apagar ou devolver os dados pessoais.
Cláusula 10
Direitos do titular dos dados
- O importador de dados deverá notificar prontamente o exportador quanto a quaisquer solicitações recebidas de um titular de dados. É vedado ao importador responder à solicitação, salvo autorização em contrário do exportador.
- O importador de dados deverá auxiliar o exportador no cumprimento de suas obrigações de responder às solicitações de titulares dos dados, dentro do exercício de seus direitos previstos ao abrigo do Regulamento (UE) 2016/679. No tocante a essa questão, as Partes deverão estabelecer no Anexo II as medidas técnicas e organizacionais adequadas, levando em consideração a natureza do processamento, o meio pelo qual deverá ser concedida assistência, bem como o escopo e o âmbito do suporte necessário.
- No cumprimento de suas obrigações, ao abrigo dos parágrafos (a) e (b), o importador de dados deverá seguir as instruções concedidas pelo exportador.
Cláusula 11
Retificação
- O importador de dados deverá informar os titulares dos dados, de forma transparente e de fácil acesso, através de notificação individual ou pelo site, quanto a um ponto de contato autorizado a processar reclamações. É de sua responsabilidade processar prontamente quaisquer reclamações recebidas de um titular dos dados.
- Em caso de disputa entre o titular e uma das Partes no tocante à conformidade com as Cláusulas, tal Parte deverá comprometer-se a solucionar o problema em questão de forma amigável e tempestiva. As Partes devem manter-se informadas quanto a tal disputas e, sempre que possível, cooperar em sua resolução.
- No caso do titular dos dados exercer o direito de terceiro beneficiário, em conformidade com a Cláusula 3, o importador de dados deverá acatar a decisão do titular dos dados de:
- apresentar queixa à autoridade supervisora no estado-membro de sua residência ou local de trabalho ou à autoridade supervisora competente, ao abrigo da Cláusula 13;
- encaminhar a disputa aos foros competentes, dentro do permitido pela Cláusula 18.
- As Partes concordam que o titular dos dados poderá ser representado por uma entidade sem fins lucrativos, organização ou associação, ao abrigo das condições previstas no Artigo 80(1) do Regulamento (UE) 2016/679.
- O importador de dados deverá sujeitar-se à decisão vinculante sob a lei aplicável do estado-membro/UE.
- O importador de dados concorda que a decisão do titular dos dados não afetará seus direitos processuais e materiais no tocante à busca por recursos, em conformidade com as leis aplicáveis.
Cláusula 12
Responsabilidade
- Cada Parte é responsável por quaisquer danos causados a outra(s) Parte(s) devido à violação das referidas Cláusulas.
- O importador de dados é responsável perante o titular dos dados, ao qual deverá ser assegurada indenização por danos, materiais ou não, provocados pelo importador de dados ou subprocessador em decorrência de violações aos direitos de terceiros beneficiários, ao abrigo das referidas Cláusulas.
- Não obstante o previsto no parágrafo (b), o exportador de dados é responsável perante o titular dos dados, ao qual deverá ser assegurada indenização por danos, materiais ou não, provocados pelo exportador, importador de dados ou subprocessador em decorrência de violações aos direitos de terceiros beneficiários, ao abrigo das referidas Cláusulas. Esta disposição não afeta a responsabilidade do exportador de dados e, no caso deste ser um processador que atue em nome de um controlador, a responsabilidade do controlador ao abrigo dos Regulamentos (UE) 2016/679 ou 2018/1725, conforme aplicável.
- As Partes concordam que, caso o exportador de dados seja responsável pelos danos causados pelo importador de dados (ou subprocessador) ao abrigo do parágrafo (c), o exportador estará autorizado a reivindicar ao importador de dados a parte da indenização que corresponda à responsabilidade do importador pelos danos causados.
- No caso de haver mais de uma Parte responsável por quaisquer danos ao titular dos dados em consequência da violação destas Cláusulas, todas as Partes responsáveis serão, conjunta e individualmente, responsáveis e o titular dos dados poderá entrar com uma ação judicial contra todas as Partes.
- As Partes concordam que, se uma Parte for responsabilizada ao abrigo do parágrafo (e), esta poderá reivindicar à(s) outra(s) Parte(s) a parcela da indenização que corresponda à responsabilidade dessa(s) Parte(s) pelos danos.
- O importador de dados não poderá se valer da conduta de um subprocessador para fins de evasão de responsabilidade.
Cláusula 13
Supervisão
- A autoridade supervisora responsável pela conformidade do exportador de dados com o Regulamento (UE) 2016/679 no tocante à transferência de dados, conforme indicado no Anexo I.C, deverá atuar como autoridade supervisora competente.
- O importador de dados concorda em submeter-se à jurisdição e atuar em colaboração com a autoridade supervisora competente em procedimentos voltados à garantia de conformidade com estas Cláusulas. O importador de dados concorda, especificamente, em responder a inquéritos, participar de auditorias e atender às medidas adotadas pela autoridade supervisora, incluindo medidas compensatórias e sanatórias. É de responsabilidade do importador de dados confirmar por escrito perante a autoridade supervisora que medidas necessárias foram adotadas.
SEÇÃO III – OBRIGAÇÕES E LEIS LOCAIS EM CASO DE ACESSO POR AUTORIDADES PÚBLICAS
Cláusula 14
Leis e práticas locais que afetem a conformidade às Cláusulas
- As Partes garantem que não há quaisquer motivos que as levem a acreditar que as leis e práticas no país terceiro de destino, as quais sejam aplicáveis ao processamento dos dados pessoais pelo importador de dados, incluindo requisitos de divulgação de dados ou medidas que autorizem o acesso por autoridades públicas, impeçam a conformidade do importador de dados com suas obrigações ao abrigo das Cláusulas. Tal fato baseia-se no entendimento de que as leis e práticas as quais respeitem a natureza dos direitos e liberdades fundamentais, sem exceder o que é necessário e proporcional em uma sociedade democrática para salvaguarda de um dos objetivos listados no Artigo 23(1) do Regulamento (UE) 2016/679, não contradizem o previsto nas Cláusulas.
- As Partes declaram que, pela garantia no parágrafo (a), levaram em devida consideração, particularmente, os elementos dispostos a seguir:
- as circunstâncias específicas da transferência, incluindo a extensão da cadeia de processamento, o número de participantes envolvidos e os canais de transmissão utilizados; posteriores transferências previstas; o tipo de destinatário; a finalidade do processamento; as categorias e o formato dos dados pessoais transferidos; o setor econômico em que é realizada a transferência; o local de armazenamento dos dados transferidos;
- as leis e práticas do país terceiro de destino, incluindo as leis e práticas que exijam a divulgação dos dados a autoridades públicas ou que concedam acesso por tais autoridades, as quais sejam relevantes à luz das circunstâncias específicas da transferência, bem como as salvaguardas e limitações aplicáveis;
- toda e qualquer salvaguarda contratual, técnica ou organizacional implementada em complemento às salvaguardas ao abrigo destas Cláusulas, incluindo medidas aplicadas durante a transmissão e ao processamento de dados pessoais no país de destino.
- O importador de dados garante que, mediante análise sob o parágrafo (b), envidou seus melhores esforços para disponibilizar ao exportador de dados as informações necessárias, bem como concorda que continuará a cooperar com o exportador na garantia da conformidade com as referidas Cláusulas.
- As Partes concordam em documentar a avaliação, conforme o parágrafo (b), e disponibilizá-la à autoridade supervisora competente mediante solicitação.
- O importador de dados concorda em notificar prontamente o exportador de dados se, após anuência às Cláusulas e pela duração do contrato, houver justificativas que o levem a acreditar que está, ou se tornou, sujeito a leis e práticas que não estejam alinhadas aos requisitos sob o parágrafo (a), inclusive após mudança nas leis do país terceiro ou de uma medida, tal como solicitação de divulgação, que indique a execução de tais leis, as quais não estejam alinhadas aos requisitos do parágrafo (a).
- Após notificação em conformidade com o parágrafo (e) ou se, de outra forma, o exportador de dados acreditar que o importador não possa mais atender às obrigações previstas nas Cláusulas, o exportador deverá identificar prontamente medidas cabíveis (como medidas técnicas ou organizacionais voltadas à garantia da segurança e confidencialidade) que devam ser adotadas pelo exportador e/ou importador de dados na resolução da situação. O exportador de dados deverá suspender a transferência dos dados se, na sua opinião, não houver salvaguardas adequadas para garantia da transferência, ou conforme instruído por autoridade supervisora competente para tanto. Nesse caso, o exportador de dados poderá rescindir o contrato, desde que pertinente ao processamento dos dados pessoais ao abrigo destas Cláusulas. No caso do contrato envolver mais de duas Partes, o exportador de dados poderá exercer o direito de rescisão somente no tocante à Parte relevante, salvo acordo em contrário entre as Partes. Se o contrato for rescindido de acordo com a Cláusula em questão, aplicar-se-á a Cláusula 16(d) e (e).
Cláusula 15
Obrigações do importador de dados em caso de acesso por autoridades públicas
15.1 Notificação
- O importador de dados concorda em notificar prontamente o exportador e, sempre que possível, o titular dos dados (se necessário, com o apoio do exportador), no caso de:
- receber uma solicitação juridicamente vinculante de uma autoridade pública, incluindo autoridades judiciais, ao abrigo das leis do país de destino da divulgação dos dados pessoais transferidos em conformidade com estas Cláusulas; tal notificação deve incluir informações relacionadas aos dados pessoais solicitados, a autoridade responsável pela solicitação, o fundamento jurídico da solicitação e a resposta apresentada; ou
- tornar-se ciente do acesso direto por autoridades públicas aos dados pessoais transferidos em conformidade com estas Cláusulas, atendendo às leis do país de destino; tal notificação deve incluir todas as informações disponibilizadas ao importador.
- No caso deste estar proibido de notificar o exportador e/ou o titular dos dados ao abrigo das leis do país de destino, o importador concorda em envidar seus melhores esforços para obter dispensa da proibição, com o intuito de comunicar o máximo de informações que puder, quanto mais cedo possível. O importador de dados concorda em documentar os esforços necessários, comprovando-os mediante solicitação do exportador de dados.
- Sempre que permitido ao abrigo das leis do país de destino, o importador de dados concorda em fornecer ao exportador, periodicamente pela duração do contrato, o máximo possível de informações importantes com relação às solicitações recebidas (especificamente, o total de solicitações, o tipo de dado solicitado, a(s) autoridade(s) solicitante(s), se as solicitações foram impugnadas e os desdobramentos de tais impugnações, etc.).
- O importador de dados concorda em preservar as informações em conformidade com os parágrafos (a) a (c), pela duração do contrato, bem como em disponibilizá-las à autoridade supervisora competente mediante solicitação.
- Os parágrafos (a) a (c) não afetam a obrigatoriedade do importador de dados, sob as Cláusulas 14(e) e 16, de informar prontamente o exportador de dados no caso de não ser possível cumprir tais Cláusulas.
15.2 Análise de legalidade e minimização de dados
- O importador de dados concorda em realizar a análise da legalidade da solicitação de divulgação, especificamente com relação à qualidade de limitar-se aos poderes concedidos à autoridade pública solicitante, bem como em impugnar a solicitação se, após análise exaustiva, concluir que há fundamentos razoáveis para acreditar na ilegalidade da solicitação ao abrigo das leis do país de destino, das obrigações aplicáveis sob leis internacionais e de princípios de comitê internacional. O importador de dados deve, sob as mesmas condições, exercer viabilidades de apelação. O importador deve, mediante impugnação de uma solicitação, buscar recursos transitórios tendo em vista a suspensão dos efeitos da solicitação até a resolução de méritos da autoridade judicial competente. É vedada a divulgação dos dados pessoais solicitados até ordem em contrário ao abrigo de normas processuais aplicáveis. Tais requisitos não afetam as obrigações do importador de dados previstas sob a Cláusula 14(e).
- O importador de dados concorda em documentar a análise legal realizada, bem como quaisquer impugnações à solicitação de divulgação e, dentro do permitido pelas leis do país de destino, compromete-se a disponibilizar tal documentação ao exportador de dados. É de sua responsabilidade, ademais, disponibilizá-la à autoridade supervisora competente mediante solicitação.
- O importador de dados concorda em fornecer o mínimo de informações aceitáveis ao responder a uma solicitação de divulgação, com base em interpretação razoável desta.
SEÇÃO IV – DISPOSIÇÕES FINAIS
Cláusula 16
Não conformidade com as Cláusulas e rescisão
- O importador de dados deverá informar prontamente o exportador de dados em caso de impossibilidade de obediência às Cláusulas, independentemente do motivo.
- No caso de violação das Cláusulas pelo importador de dados, ou sua impossibilidade de atendê-las, o exportador de dados suspenderá a transferência dos dados pessoais ao importador até que haja novamente garantia de conformidade; caso contrário, o contrato será rescindido. Sem prejuízo à Cláusula 14(f).
- O exportador de dados poderá rescindir o contrato, desde que se atente ao processamento de dados pessoais ao abrigo destas Cláusulas, em que:
- o exportador de dados tenha suspendido a transferência dos dados pessoais ao importador, segundo o parágrafo (b), e a conformidade com as Cláusulas não tenha sido restabelecida em tempo hábil e, em qualquer evento, dentro de um mês após a suspensão;
- o importador de dados viole, substancial ou persistentemente, tais Cláusulas; ou
- o importador de dados não atenda à decisão vinculante de um tribunal ou autoridade supervisora competente no que diz respeito às suas obrigações perante as Cláusulas. Nesses casos, é de sua responsabilidade informar a autoridade supervisora competente quanto à não conformidade em questão. Caso o contrato envolva mais de duas Partes, o exportador de dados poderá exercer seu direito de rescindir somente no tocante à Parte relevante, salvo acordo em contrário entre as Partes.
- Os dados pessoais transferidos anteriormente à rescisão do contrato, de acordo com o parágrafo (c), deverão ser imediatamente retornados ao exportador de dados, a critério do exportador, ou totalmente excluídos. O mesmo se aplica a todas as cópias dos dados. O importador de dados deverá certificar a remoção dos dados ao exportador. Até que os dados sejam excluídos ou devolvidos, o importador de dados continuará garantindo a conformidade com as Cláusulas. Na existência de leis locais aplicáveis ao importador de dados, as quais vedem a devolução ou exclusão dos dados pessoais transferidos, o importador garante que continuará garantindo a conformidade com as Cláusulas e que somente processará os dados desde que exigido por lei local.
- Ambas as Partes poderão revogar o acordo de estarem vinculadas às Cláusulas caso (i) a Comissão Europeia adote a decisão de acordo com o Artigo 45(3) do Regulamento (UE) 2016/679 que trate da transferência de dados pessoais à qual se aplicam as Cláusulas; ou (ii) o Regulamento (UE) 2016/679 torne-se parte do âmbito legal do país ao qual os dados pessoais são transferidos. Isso sem prejuízo de outras obrigações que se apliquem ao processamento em questão ao abrigo do Regulamento (UE) 2016/679.
Cláusula 17
Lei Aplicável
Estas Cláusulas deverão ser regidas pela lei de um dos estados-membro da UE, desde que tal legislação conceda direitos de terceiro beneficiário. As Partes concordam com a lei da República Federativa da Alemanha.
Cláusula 18
Seleção de foro e jurisdição
- A resolução de todas as disputas derivadas destas Cláusulas é de competência dos tribunais de um estado-membro da UE.
- Conforme acordo entre as Partes, serão os tribunais da República Federativa da Alemanha.
- Um titular de dados poderá abrir um processo legal contra o exportador e/ou o importador de dados nos foros do estado-membro em que reside.
- As Partes concordam em apresentar-se perante tais tribunais.
Anexo I das Cláusulas Contratuais Padrão
A. LISTA DAS PARTES
Exportador(es) de dados: o exportador de dados é a entidade identificada como “Cliente” no Adendo
Assinatura e data: a contar da data de aceitação eletrônica dos Termos de Serviço do Importador de Dados pelo Exportador de Dados, entende-se pela assinatura das cláusulas contratuais padrão pelo Exportador de Dados.
Função: controlador
Importador(es) de dados: GoDaddy.com, LLC
Detalhes de contato: Office of the Data Protection Officer – privacy@godaddy.com
Assinatura e data: a contar da data de aceitação eletrônica dos Termos de Serviço do Importador de Dados pelo Exportador de Dados, entende-se pela assinatura das cláusulas contratuais padrão pelo Importador de Dados.
Função: processador
B. DESCRIÇÃO DA TRANSFERÊNCIA As categorias dos titulares de dados, proprietários dos dados pessoais transferidos, são descritas no Apêndice 1 do Adendo.
As categoriais dos dados pessoais transferidos são descritas no Apêndice 1 do Adendo.
Os dados confidenciais transferidos são descritos no Apêndice 1 do Adendo.
A frequência da transferência é periódica pela duração dos Termos de Serviço.
A natura do processamento é descrita na Seção 2.2 e no Apêndice 1 do Adendo.
As finalidades da transferência de dados e do processamento complementar são descritas na Seção 2.2 e Apêndice 1 do Adendo.
O período pelo qual os dados pessoais serão retidos é descrito no Apêndice 1 do Adendo.
No tocante a transferências a (sub)processadores, o assunto, a natureza e a duração do processamento encontram-se previstos no Anexo III das Cláusulas Contratuais Padrão.
C. AUTORIDADE SUPERVISORA COMPETENTE O Comissário da Renânia do Norte-Vestfália de Proteção de Dados e Liberdade da Informação (“LDI NRW”) é a autoridade supervisora competente.
Anexo II das Cláusulas Contratuais Padrão
As medidas técnicas e organizacionais de segurança implementadas pelo Importador de Dados encontram-se no Anexo 2 do Adendo.
Anexo III das Cláusulas Contratuais Padrão
A lista de subprocessadores encontra-se disponível no Apêndice 3 do Adendo.
Annex I to the Standard Contractual Clauses
A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller
Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor
B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.
Categories of personal data transferred are described in Appendix 1 of the Addendum.
Sensitive data transferred are described in Appendix 1 of the Addendum.
The frequency of the transfer is a continuous basis for the duration of the Terms of Service.
Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.
Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.
The period for which the personal data will be retained described in Appendix 1 of the Addendum.
For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.
C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.
Annex II to the Standard Contractual Clauses
The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.
Annex III to the Standard Contractual Clauses
List of sub-processors are in Appendix 3 of the Addendum.
Versões traduzidas de políticas e contratos jurídicos são fornecidas apenas como uma conveniência para facilitar a leitura e o entendimento das versões em inglês. O objetivo de fornecer traduções das políticas e contratos jurídicos não é criar um vínculo jurídico, e elas não são um substituto da validade legal das versões em inglês. Em caso de qualquer disputa ou conflito, as versões em inglês das políticas e contratos jurídicos regem, em qualquer caso, nossas relações e prevalecerão sobre os termos em qualquer outro idioma.