GoDaddy - ADENDO AO PROCESSAMENTO DE DADOS

Esse Adendo de Processamento de Dados (o “Adendo”) é executado por e entre a GoDaddy.com, LLC, a Delaware limited liability company e seus Afiliados (“GoDaddy”) e você (“Cliente”), e está anexado e complementa nossos Termos de Serviço Universal, Política de Privacidade e quaisquer acordos que regem os Serviços Abrangidos (coletivamente, os “Termos de Serviço”).

1.1 A menos que seja definido de outra forma neste Adendo, todos os termos em maiúsculas não definidos neste Adendo terão o significado dado a eles nos Termos de Serviço

O termo “Afiliados” designa qualquer entidade que controle, seja controlada por, ou exerça controle junto com a GoDaddy.

Entende-se por “Serviços Abrangidos” os serviços hospedados que possam envolver nosso Processamento de Dados Pessoais, os quais estão sujeitos aos termos e condições dos seguintes Contratos: (1) Serviços de Email Marketing, (2) Hospedagem, (3) Loja Online/Carrinho de compras rápido, (4) Serviços de site, (5) Serviços de workspace.

“Dados do Cliente” referem-se aos Dados Pessoais de qualquer Titular dos Dados Processados pela GoDaddy dentro da Rede da GoDaddy em nome do Cliente, de acordo com ou em conformidade com os Termos de Serviço.

Entende-se por “Leis de Proteção de Dados” todas as leis e regulamentos de proteção de dados ou privacidade aplicáveis ​​ao Processamento de Dados Pessoais nos termos do Contrato, incluindo, entre outros, (i) os Princípios de Privacidade Australianos e a Lei de Privacidade Australiana ( 1988), (ii) a Lei Geral de Proteção de Dados (LGPD) do Brasil, (iii) a Lei de Privacidade do Consumidor da Califórnia (CCPA), (iv) a Lei Federal de Proteção de Informações Pessoais e Documentos Eletrônicos do Canadá (PIPEDA), (v) a UE GDPR, (vi) quaisquer leis nacionais de proteção de dados feitas sob ou de acordo com a GDPR, (vii) a Diretiva de Privacidade Eletrônica da UE (Diretiva 2002/58/EC), (viii) a Lei de Proteção de Dados Pessoais de Cingapura 2012 (PDPA), (ix) a Lei Federal de Proteção de Dados da Suíça de 19 de junho de 1992 e sua Portaria, e (x) GDPR do Reino Unido ou Lei de Proteção de Dados de 2018; conforme cada caso, podem ser alteradas, anuladas ou substituídas.

“EEE” é a sigla para Espaço Econômico Europeu.

“EU GDPR” corresponde ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados, e que revoga a Diretiva 95/46/CE.

As “Cláusulas Contratuais Padrão da UE” referem-se às cláusulas padrão de proteção de dados aprovadas pela decisão da Comissão Europeia 2021/914 de 4 de junho de 2021, incorporadas neste documento por referência. O Módulo Dois (Controlador para Processador), Cláusulas Contratuais Padrão da UE, e o Módulo Três (Processador para Processador) Cláusulas Contratuais Padrão da UE, estão disponíveis para download no site EUR-Lex.

Entende-se por “Rede da GoDaddy” as instalações de data center, servidores, equipamentos de rede e sistemas de software de hospedagem (por exemplo, firewalls virtuais) da GoDaddy que são controlados pela GoDaddy e são usados para fornecer os Serviços Abrangidos.

“Incidente de Segurança” significa uma violação de segurança dos Padrões de Segurança da GoDaddy, resultando na destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado, acidentais ou ilícitos, a quaisquer Dados do Cliente em sistemas gerenciados ou controlados pela GoDaddy.

“Padrões de Segurança” significa os padrões de segurança anexados a este Adendo como Apêndice 2.

“Dados Confidenciais” referem-se a (a) número de documento de identidade, número de passaporte, número de carteira de motorista ou documento semelhante (ou qualquer parte deste); (b) número de cartão de crédito/débito (salvo os últimos quatro dígitos do cartão), dados financeiros, senhas e números de conta bancária; (c) informações empregatícias, financeiras, genéticas, biométricas ou de saúde; (d) afiliação racial, étnica, política ou religiosa, adesão sindical ou informações relacionadas à orientação ou vida sexual; (e) senhas de conta, nome de solteira da mãe ou data de nascimento; (f) histórico criminal; ou (g) outras informações ou combinação de informações que atendam à definição de “categorias especiais de dados” prevista no GDPR ou lei/regulamentação aplicável relacionada à proteção e privacidade de dados.

“Subprocessador” significa qualquer processador contratado pelo Processador para Processar dados em nome do controlador.

“RGPD do Reino Unido” significa a GDPR da UE, conforme alterado e incorporado à lei do Reino Unido, de acordo com a Lei da União Europeia (Revogação) de 2018 do Reino Unido e a legislação secundária aplicável feita de acordo com essa lei.

“Adendo de Transferência Internacional de Dados do Reino Unido” significa o Adendo de Transferência Internacional de Dados às Cláusulas Contratuais Padrão da UE emitido pelo Comissário de Informações do Reino Unido, Versão B1.0, em vigor desde 21 de março de 2022, incorporado aqui por referência. O Adendo de Transferência Internacional de Dados do Reino Unido está disponível para download no Site do Comissário de Informações do Reino Unido

1.2 Os termos "dados pessoais", "titular dos dados", "processamento", "controlador" e "processador", conforme usados ​​neste Adendo, têm os significados dados na GDPR da UE, independentemente das Leis de Proteção de Dados aplicáveis.

2.1 A GoDaddy como Processador. As partes reconhecem e concordam com o seguinte: (i) que a GoDaddy é um processador de Dados do Cliente sob as Leis de Proteção de Dados; (ii) que o Cliente seja um controlador ou processador, conforme aplicável, dos Dados do Cliente sob as Leis de Proteção de Dados; e (iii) que cada parte cumprirá suas obrigações sob as Leis de Proteção de Dados aplicáveis ​​com relação ao processamento de Dados do Cliente.

2.2 Detalhes do Processamento de Dados. A questão do processamento de Dados do Cliente pela GoDaddy trata-se do desempenho dos Serviços Abrangidos de acordo com os Termos de Serviço. A GoDaddy só processará os Dados do Cliente em nome e de acordo com as instruções documentadas do Cliente para os seguintes fins: (i) processamento de acordo com os Termos de Serviço; (ii) processamento iniciado por usuários finais em seu uso dos Serviços Abrangidos; (iii) processamento para cumprir outras instruções documentadas e razoáveis ​​fornecidas pelos Clientes (por exemplo, por e-mail) quando tais instruções forem consistentes com os Termos de Serviço. A GoDaddy não deve: (a) processar, reter, usar, vender ou divulgar Dados do Cliente, exceto conforme necessário para fornecer Serviços Abrangidos de acordo com os Termos de Serviço ou conforme exigido por lei; (b) vender tais Dados do Cliente a terceiros; (c) reter, usar ou divulgar esses Dados do Cliente fora do relacionamento comercial direto entre a GoDaddy e o Cliente.

Para evitar dúvidas, as instruções do Cliente em relação ao processamento dos Dados do Cliente devem estar de acordo com todas as Leis de Proteção de Dados. O Cliente será o único responsável pela exatidão, qualidade e legalidade dos Dados do Cliente e pelos meios pelos quais o Cliente adquiriu os Dados do Cliente. Se o Cliente for um controlador dos Dados do Cliente, o Cliente reconhece e concorda com o seguinte: (i) Você deve envidar esforços comercialmente razoáveis ​​para divulgar claramente e obter consentimento para qualquer coleta, compartilhamento e uso de dados que ocorra em quaisquer Serviços Abrangidos; e (ii) Você deve deixar claro que, como consequência do uso dos Serviços Abrangidos, os dados do Usuário Final podem ser processados ​​fora do seu país de origem. Se o Cliente for um processador dos Dados do Cliente, o Cliente garante que as instruções e ações do Cliente com relação aos Dados do Cliente, incluindo a nomeação da GoDaddy como outro processador, foram autorizadas pelo controlador relevante. A GoDaddy não será obrigada a cumprir ou observar as instruções do Cliente se tais instruções violarem as Leis de Proteção de Dados. A duração, natureza e finalidade do Processamento, os tipos de Dados Pessoais e as categorias dos Titulares de Dados Processados de acordo com este Adendo são especificados no Apêndice 1 (“Detalhes do Processamento”) deste Adendo.

A empresa GoDaddy não divulgará os Dados do Cliente a governos ou terceiros, salvo se necessário para fins de cumprimento da lei ou de um mandado judicial válido e vinculativo de uma agência reguladora (tal como uma intimação ou ordem judicial). Caso a GoDaddy receba uma intimação (Processo Civil) válida, e na medida do permitido, a GoDaddy se empenhará em comunicar o Cliente sobre a notificação em tempo hábil, via e-mail ou correio normal, para permitir que o Cliente tome uma providência cautelar ou outra solução apropriada.

4.1 A GoDaddy implementou e manterá as medidas técnicas e organizacionais voltadas à Rede da GoDaddy, conforme descrito nesta Seção e no Anexo 2 a este Adendo, Padrões de Segurança. Especificamente, a GoDaddy implementou e manterá as seguintes medidas técnicas e organizacionais que abordam (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controles em torno do acesso do funcionário e de terceiros a (i) e/ou (ii); e (iv) os processos para testar, analisar e avaliar a eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Caso não sejamos capazes de cumprir qualquer uma de nossas obrigações aqui estabelecidas, forneceremos uma notificação por escrito (através de nosso site ou e-mail) assim que possível.

4.2 A GoDaddy disponibiliza diversos recursos e funcionalidades de segurança que o Cliente pode optar por utilizar em relação aos Serviços Abrangidos. O Cliente é responsável por (a)configurar adequadamente os Serviços Abrangidos, (b) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento, (c) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para permitir que o Cliente restaure a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico (por exemplo, backups e arquivamento rotineiro dos Dados do Cliente) e (d) adotar as medidas que o Cliente considere adequadas para manter a segurança, a proteção e a exclusão apropriadas dos Dados do Cliente, o que inclui o uso da tecnologia de criptografia para proteger os Dados do Cliente contra acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.

Levando em consideração a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controles que o mesmo pode optar por usar para recuperar, corrigir, excluir ou restringir o uso e compartilhamento de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente pode usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em relação às suas obrigações sob as Leis de Proteção de Dados, incluindo suas obrigações relacionadas a responder a solicitações de titulares de dados. Como comercialmente aceito, e na medida jurídica exigida ou permitida, a GoDaddy notificará imediatamente o Cliente se a GoDaddy receber diretamente uma solicitação de um titular dos dados para exercer esses direitos sob quaisquer Leis de Privacidade de Dados aplicáveis (“Solicitação do Titular dos Dados”). Além disso, quando o uso que o Cliente faz dos Serviços Abrangidos limita sua capacidade de atender a uma Solicitação do Titular dos Dados, a GoDaddy pode, quando juridicamente permitido e apropriado e mediante solicitação específica do Cliente, fornecer assistência comercialmente aceitável para atender à solicitação, a custo do Cliente (se houver).

6.1 Subprocessadores autorizados. O cliente concorda que a GoDaddy pode usar Subprocessadores para cumprir suas obrigações contratuais sob seus Termos de Serviço e este Adendo ou para fornecer determinados serviços em seu nome, como a prestação de serviços de suporte. O cliente consente, por meio deste documento, com o uso de Subprocessadores da GoDaddy, conforme descrito nesta Seção.

6.2 Obrigações do Subprocessador. Em que a GoDaddy usa qualquer Subprocessador autorizado conforme descrito na Seção 6.1:

(i) A GoDaddy restringirá o acesso do Subprocessador aos Dados do Cliente apenas ao que for necessário para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer usuários finais de acordo com os Serviços Abrangidos. A GoDaddy proibirá o Subprocessador de acessar os Dados do Cliente para qualquer outra finalidade;

(ii) A GoDaddy realizará um acordo por escrito com o Subprocessador e, na medida em que o Subprocessador estiver executando os mesmos serviços de processamento de dados que estão sendo fornecidos pela GoDaddy sob este Adendo, a GoDaddy cobrará do Subprocessador as mesmas obrigações contratuais que a GoDaddy tem em relação a este Adendo; e

(iii) A GoDaddy continuará responsável pelo cumprimento das obrigações deste Adendo e por quaisquer atos ou omissões do Subprocessador que façam com que a GoDaddy viole quaisquer obrigações da GoDaddy nos termos deste Adendo.

6.3 Novos Subprocessadores.  Periodicamente poderemos envolver a participação de novos Subprocessadores ao abrigo dos termos deste Adendo.  Nestes casos, enviaremos um aviso com 30 dias de antecedência (pelo nosso site e por e-mail) antes de qualquer novo Subprocessador obter quaisquer Dados do Cliente. Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá rescindir quaisquer Serviços Abrangidos sem penalidade, fornecendo, no prazo de 10 dias ou após o recebimento de uma notificação de nossa parte, uma notificação de rescisão por escrito que inclua uma explicação das razões de sua não aprovação. Se os Serviços Abrangidos fizerem parte de um pacote ou de uma compra combinada, qualquer rescisão será aplicada em sua totalidade.

7.1 Incidente de Segurança. Se a GoDaddy tomar conhecimento de um Incidente de Segurança, a GoDaddy, sem atrasos indevidos: (a) notificará o Cliente sobre o Incidente de Segurança; e (b) tomará as medidas cabíveis para mitigar os efeitos e minimizar qualquer dano resultante de tal Incidente.

7.2 Suporte da GoDaddy. Para auxiliar o Cliente em relação a notificações de violação de dados pessoais, o Cliente é obrigado a submeter-se a todas as Leis de Proteção de Dados; a GoDaddy incluirá na notificação as informações sobre o Incidente de Segurança que puderem ser reveladas à GoDaddy, levando em conta a natureza dos Serviços Abrangidos, as informações disponíveis para a GoDaddy e quaisquer restrições sobre a revelação das informações, tais como confidencialidade.

7.3 Incidentes de Segurança não autorizados. O Cliente concorda que Incidentes de Segurança não autorizados não estarão sujeitos aos termos deste Adendo. Um Incidente de Segurança não autorizado é aquele que resulta em acesso não autorizado aos Dados do Cliente ou a qualquer Rede, equipamento ou instalações da GoDaddy que armazenam Dados do Cliente, podendo incluir, entre outros, pings e outros ataques em firewalls ou servidores de borda, verificações de portas, tentativas de login malsucedidas, ataques de negação de serviço, sniffing de pacotes (ou outros acessos não autorizados a tráfego de dados que se limitem ao acesso aos cabeçalhos) ou incidentes semelhantes.

7.4 Notificação. A Notificação de Incidentes de Segurança, se houver, será entregue a um ou mais administradores do Cliente por qualquer meio selecionado pela GoDaddy, inclusive por email. É responsabilidade exclusiva do Cliente garantir que os administradores do Cliente mantenham dados precisos de contato no console de gerenciamento da GoDaddy e protejam a transmissão desses dados a todo momento.

7.5 Nenhum reconhecimento de falha pela GoDaddy: A obrigação da GoDaddy de informar ou responder a um Incidente de Segurança nos termos desta Seção não é e não será interpretada como um reconhecimento por parte da GoDaddy de qualquer falha ou responsabilidade da GoDaddy com relação ao Incidente de Segurança em questão.

8.1 Determinação Independente. O Cliente é responsável por revisar as informações disponibilizadas pela GoDaddy relacionadas à segurança de dados e seus Padrões de Segurança, bem como por determinar de forma independente se os Serviços Abrangidos atendem aos requisitos e obrigações legais do Cliente, bem como às obrigações do Cliente nos termos deste Adendo. As informações disponibilizadas destinam-se a ajudar o Cliente a cumprir as obrigações do Cliente sob as Leis de Proteção de Dados aplicáveis. O Cliente concorda que os Serviços Abrangidos e os Padrões de Segurança implementados e mantidos pela GoDaddy fornecem um nível de segurança adequado ao risco de dados pessoais (levando em consideração o estado atual da técnica, os custos de implementação e a natureza, escopo, contexto e finalidades do processamento de dados pessoais, bem como os riscos para os indivíduos).

8.2 Direitos de Auditoria do Cliente. O cliente tem o direito de verificar a conformidade da GoDaddy com o referido Adendo, conforme aplicável aos Serviços Abrangidos, mediante solicitação específica por escrito, em intervalos razoáveis, enviada ao endereço indicado nos Termos de Serviço. Se a GoDaddy recusar-se a seguir qualquer instrução solicitada pelo Cliente em relação a uma auditoria ou a uma inspeção devidamente solicitada e com escopo definido, o Cliente poderá rescindir este Adendo e os Termos de Serviço.

9.1 Processamento nos EUA. Exceto quando especificamente indicado nos Termos de Serviço, os Dados do Cliente serão transferidos para fora do Reino unido ou do EEE, e processados nos Estados Unidos.

9.2 Aplicação das Cláusulas Contratuais Padrão. O Módulo Dois (Controlador para Processador), Cláusulas Contratuais Padrão da UE, ou o Módulo Três (Processador para Processador), Cláusulas Contratuais Padrão da UE, serão aplicados aos Dados do Cliente que são transferidos para fora do EEE, diretamente ou por transferência posterior, para qualquer país não reconhecido pela Comissão Europeia como fornecendo um nível adequado de proteção para os Dados do Cliente. As Cláusulas Contratuais Padrão da UE não se aplicarão aos Dados do Cliente que não sejam transferidos, diretamente ou por meio de transferência posterior, fora do EEE. Não obstante o anterior, as Cláusulas Contratuais Padrão da UE não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência lícita de Dados Pessoais fora do EEE, tal como quando necessário para a execução dos Serviços Abrangidos de acordo com os Termos de Serviço ou com o seu consentimento.

1. Para cada Módulo, quando aplicável:
   1. na Cláusula 7 das Cláusulas Contratuais Padrão da UE, a cláusula de adesão opcional não será aplicada;
   2. na Cláusula 9 das Cláusulas Contratuais Padrão da UE, a Opção 2 será aplicada e o período para notificação prévia por escrito das alterações do subprocessador se dará conforme estabelecido na Seção 6.3 (Novos Subprocessadores) deste Adendo;
   3. na Cláusula 11 das Cláusulas Contratuais Padrão da UE, o idioma opcional não se aplicará;
   4. na Cláusula 17 (Opção 1), as Cláusulas Contratuais Padrão da UE serão regidas pela lei alemã;
   5. na Cláusula 18(b) das Cláusulas Contratuais Padrão da UE, as disputas serão resolvidas perante os tribunais da República Federal da Alemanha;
   6. no Anexo I, Parte A das Cláusulas Contratuais Padrão da UE:
      • Lista de Partes
        
        Exportadores de Dados: O exportador de dados é a entidade identificada como “Cliente” no Adendo
        Assinatura e data: A contar da data de aceitação eletrônica dos Termos de Serviço do Importador de Dados, entende-se que o Exportador de Dados assinou as Cláusulas Contratuais Padrão da UE.
        Role: Controlador (no Módulo Dois) ou Processador (no Módulo Três)
        
        Importador(es) de dados: GoDaddy.com, LLC
        Detalhes para contato: Escritório do Diretor de Proteção de Dados – privacy@godaddy.com
        Assinatura e data: A contar da data de aceitação eletrônica dos Termos de Serviço do Importador de Dados pelo Exportador de Dados, entende-se que o Importador de Dados assinou as cláusulas contratuais padrão.
        Função: Processador
   7. no Anexo I, Parte B das Cláusulas Contratuais Padrão da UE:
      • Descrição da Transferência
        
        Categorias de titulares de dados cujos dados pessoais são transferidos estão descritos no Apêndice 1 do Adendo.
        As categorias de dados pessoais transferidos são descritas no Apêndice 1 do Adendo. Os dados confidenciais transferidos são descritos no Apêndice 1 deste Adendo.
        A frequência de transferência se dá de forma contínua pela duração dos Termos de Serviço.
        A natureza do processamento é descrita na Seção 2.2 e no Apêndice 1 do Adendo.
        O(s) propósito(s) da transferência de dados e processamento adicional são descritos na Seção 2.2 e no Apêndice 1 deste Adendo.
        O período para o qual os dados pessoais serão retidos descritos no Apêndice 1 deste Adendo.
        Para transferências para (sub) processadores, o assunto, a natureza e a duração do processamento são estabelecidos no Anexo III das Cláusulas Contratuais Padrão.
   8. no Anexo I, Parte C das Cláusulas Contratuais Padrão da UE:
      • Autoridade Supervisora ​​Competente
        O Comissário Estadual da Renânia do Norte-Vestfália para Proteção de Dados e Liberdade de Informação ( 'LDI NRW') é a autoridade supervisora ​​competente.
   9. no Anexo II das Cláusulas Contratuais Padrão da UE:
      
      As medidas de segurança técnica e organizacional implementadas pelo importador de dados estão no Apêndice 2 do Adendo.
   10. no Anexo III das Cláusulas Contratuais Padrão da UE:
       
       A lista de subprocessadores está no Apêndice 3 deste Adendo.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Para transferências de dados do Reino Unido que estão sujeitas ao Adendo de Transferência Internacional de Dados do Reino Unido, o Adendo de Transferência Internacional de Dados do Reino Unido será considerado celebrado (e incorporado a este Adendo por esta referência) e preenchido da seguinte forma:
   1. Na Tabela 1 do Adendo de Transferência Internacional de Dados do Reino Unido, os detalhes das partes e as principais informações de contato estão localizados na Seção 9.2 (i)(f) deste Adendo.
   2. Na Tabela 2 do Adendo de Transferência Internacional de Dados do Reino Unido, informações sobre a versão das Cláusulas Contratuais Padrão da UE, módulos e cláusulas selecionadas aos quais este Adendo de Transferência Internacional de Dados do Reino Unido está anexado estão localizadas na Seção 9.2 (Cláusulas Contratuais Padrão da UE) deste Adendo.
   3. Na Tabela 3 do Adendo de Transferência Internacional de Dados do Reino Unido:
      1. A lista de Partes está localizada na Seção 9.2 (i)(f) deste Adendo.
      2. A descrição da transferência é estabelecida na Seção 1 (Natureza e Finalidade do Processamento) do Apêndice 1 (Detalhes do Processamento) deste Adendo.
      3. O Anexo II está localizado no Apêndice 2 (Padrões de Segurança) deste Adendo
      4. A lista de subprocessadores está no Apêndice 3 deste Adendo.
   4. Na Tabela 4 do Adendo de Transferência de Dados Internacionais do Reino Unido, tanto o Importador quanto o Exportador podem encerrar o Adendo de Transferência de Dados Internacionais do Reino Unido de acordo com os termos do Adendo de Transferência de Dados Internacionais do Reino Unido.

Este Adendo continuará em vigor até o término de nosso processamento, de acordo com os Termos de Serviço (“Data de Rescisão”).   

Conforme descrito nos Serviços Abrangidos, o Cliente pode receber controles que podem ser usados para recuperar ou excluir os Dados do Cliente. Tal exclusão será realizada trinta (30) dias a pós a Data de Encerramento, sujeita aos termos dos Serviços Abrangidos em particular. O Cliente reconhece que é responsabilidade do Cliente exportar, antes da Data de Rescisão, todos os Dados do Cliente que deseje reter após a Data de Rescisão.

A responsabilidade de cada parte sob este Adendo estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer penalidades regulatórias incorridas pela GoDaddy em relação aos Dados do Cliente que surjam em decorrência ou com relação com a falha do Cliente em cumprir suas obrigações sob este Adendo e quaisquer Leis de Proteção de Dados aplicáveis serão consideradas e reduzirão a responsabilidade da GoDaddy sob os Termos de Serviço como se fosse responsabilidade do Cliente sob os Termos de Serviço.

Este Adendo substitui todas as declarações, entendimentos, acordos ou comunicações anteriores ou concorrentes entre o Cliente e a GoDaddy, seja por escrito ou verbal, em relação ao assunto deste Adendo, incluindo os adendos de processamento de dados celebrados entre a GoDaddy e o Cliente com relação ao processamento de dados pessoais e à livre movimentação desses dados.  Na medida em que houver qualquer conflito ou inconsistência entre as Cláusulas Contratuais Padrão da UE ou Adendo de Transferência Internacional de Dados do Reino Unido e quaisquer outros termos deste Adendo ou os Termos de Serviço, as disposições das Cláusulas Contratuais Padrão da UE ou Adendo de Transferência Internacional de Dados do Reino Unido, conforme aplicável, prevalecerão. Exceto conforme indicado por este Adendo, os Termos de Serviço permanecerão em pleno vigor e efeito.  Se houver um conflito entre os Termos de Serviço e este Adendo, os termos deste Adendo terão precedência.

 DETALHES DO PROCESSAMENTO

 1. Natureza e Finalidade do Processamento. A GoDaddy processará os Dados do Cliente conforme necessário para executar os Serviços Abrangidos de acordo com os Termos de Serviço e conforme instruído pelo Cliente durante o uso dos Serviços Abrangidos.

 2. Duração do Processamento. A GoDaddy, sujeita às Seções 10 e 11 do Adendo, processará os Dados do Cliente durante a data de vigência dos Termos de Serviço. Não obstante, a GoDaddy poderá reter os Dados do Cliente, ou parte destes, se assim for exigido por regulamentação ou leis aplicáveis, incluindo as Leis de Proteção de Dados aplicáveis, desde que garantida a proteção de tais Dados em conformidade com os termos deste Adendo e com as Leis de Proteção de Dados aplicáveis.

3. Categorias de Titulares de Dados. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, entre outros, os Dados Pessoais relativos às seguintes categorias de Titulares de Dados:

• Possíveis clientes, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas)
• Funcionários ou pessoas de contato de clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
• Funcionários, agentes, consultores, prestadores de serviço do Cliente (que são pessoas físicas)
• Usuários do Cliente autorizados pelo Cliente a usar os Serviços Abrangidos

4. Categorias de Dados Pessoais. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, do tipo e na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que podem incluir, mas não se limita às seguintes categorias de Dados Pessoais de Titulares de Dados: 

• Nome
• Endereço
• Número de telefone
• Data de nascimento
• Endereço de email
• Outros dados coletados que poderiam identificar, direta ou indiretamente, os titulares dos dados.

5. Dados Confidenciais ou Categorias Especiais de Dados. O Cliente poderá realizar o upload de Dados Confidenciais durante o uso dos Serviços Abrangidos; o tipo e a finalidade de uso são determinados e controlados pelo Cliente a seu exclusivo critério. Ademais, é responsável por aplicar restrições ou salvaguardas que levem em plena consideração a natureza dos dados e os riscos envolvidos anteriormente à transmissão ou ao processamento de Dados Confidenciais através dos Serviços Abrangidos.

Padrões de Segurança

I.  Medidas Técnicas e Organizacionais  

Temos o compromisso de proteger as informações de nossos clientes.  Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco inerente aos direitos e as liberdades de pessoas físicas, realizamos as seguintes medidas técnicas e organizacionais.  Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas.

II.  Programa de privacidade de dados  

Nosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.

1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”  

Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:   

  Segurança física  

• Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.) 
• Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão  
• Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)  
•  Gerenciamento de acesso ao visitante 
• Destruição de dados em mídia física e documento (trituração, neutralização etc.)

  Controle de acesso e Prevenção de acesso não autorizado 

• Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos  
• Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.) 
• Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)   
• Acesso controlado a emails e à Internet 
• Gerenciamento de antivírus  
• Gerenciamento do sistema de prevenção contra intrusão

Criptografia   

• Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes 
• Criptografia de dados pessoais e dados confidenciais estáticos (bancos de dados, diretórios compartilhados etc.)   
• Criptografia completa de disco para PCs e laptops da empresa   
• Criptografia de mídia de armazenamento  
• Conexões remotas com as redes da empresa são criptografadas via VPN  
• Proteção do ciclo de vida das chaves de criptografia

 Minimização de dados    

• Minimização de PII/SPI em logs de aplicativos, depuração e segurança  
• Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo 
• Segregação de dados armazenados por função (teste, preparação, ativação) 
• Segregação lógica de dados por função com base em direitos de acesso 
• Períodos de retenção de dados definidos para dados pessoais

Teste de segurança     

• Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais 
• Verificações regulares de rede e vulnerabilidade

2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”  

Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:    

Gerenciamento de alteração e versão    

• Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc  
• Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção

Registro de log e monitoramento

• Login de acesso e alterações nos dados  
• Auditoria centralizada e logs de segurança   
• Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”    

Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:    

• Testes regulares de failover aplicados a serviços críticos  
• Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos  
• Programa de resposta a incidentes  
• Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.) 
• Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)   
• Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes    
• Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede  
• Alarme, sistemas de segurança em uso  
• Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.) 
• Proteção DDOS para manter a disponibilidade   
• Teste de carga e estresse

4. Instruções de processamento de dados. “As instruções de processamento de dados referem-se à garantia de que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas corporativas relacionadas”  

Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.   

• Termos de privacidade e confidencialidade em vigor nos contratos de funcionários 
• Treinamentos regulares de privacidade e segurança de dados para funcionários 
• Disposições contratuais adequadas em acordos com os subcontratados para manter os direitos de controle instrucional 
• Verificações regulares de privacidade para provedores de serviços externos 
• Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados 
• Auditorias de segurança periódicas