GoDaddy – ADENDA RELATIVA AO TRATAMENTO DE DADOS

A presente Adenda relativa ao tratamento de dados (a "Adenda") é celebrada por e entre a GoDaddy.com, LLC, a Delaware limited liability company e os respetivos Afiliados ("GoDaddy") e o utilizador ("Cliente") e está anexada e complementa as nossas Condições de Serviço Universais, a nossa Política de Privacidade e quaisquer e todos os acordos que rejam os Serviços Abrangidos (coletivamente, as "Condições de Serviço").

1.1 Salvo definição em contrário na presente Adenda, todos os termos apresentados em maiúsculas não definidos na presenta Adenda terão significados que lhes são atribuídos nas Condições de Serviço

"Afiliados" significa qualquer entidade que seja controlada pela, que controle a ou que controle em conjunto com a GoDaddy.

"Serviços Abrangidos" significa os serviços alojados que podem incluir o Tratamento de Dados Pessoais por nós e que estão sujeitos aos termos e condições dos seguintes contratos: (1) Serviços de Email Marketing, (2) Alojamento, (3) Loja Online/Carrinho de Compras Rápido, (4) Serviços de Sites Web e (5) Serviço do Workspace.

"Dados do Cliente" significa os Dados Pessoais de qualquer Titular dos Dados tratados pela GoDaddy no âmbito da Rede GoDaddy em nome do Cliente, de acordo com as ou em relação às Condições de Serviço.

"Leis de Proteção de Dados" significa todas as leis e todos os regulamentos em matéria de proteção de dados e privacidade aplicáveis ao Tratamento de Dados Pessoais ao abrigo do contrato, incluindo, entre outros, (i) os Privacy Principles (Princípios de Privacidade) e a Privacy Act (Lei sobre a Privacidade) de 1988 australianos, (ii) a Lei Geral de Proteção de Dados (LGPD) do Brasil, (iii) a California Consumer Privacy Act (Lei de Privacidade dos Consumidores da Califórnia, CCPA), (iv) a Federal Personal Information Protection and Electronic Documents Act (Lei Federal sobre Proteção de Informações Pessoais e Documentos Eletrónicos, PIPEDA) do Canadá, (v) o RGPD da União Europeia, (vi) toda a legislação nacional em matéria de proteção de dados criada ao abrigo do ou segundo o RGPD; (vii) a Diretiva sobre a Privacidade no Setor das Comunicações Eletrónicas (Diretiva 2002/58/CE) da UE, (viii) a Personal Data Protection Act (Lei sobre a Proteção de Dados Pessoais, PDPA) de 2012 de Singapura, (ix) a Federal Data Protection Act (Lei Federal de Proteção de Dados) da Suíça de 19 de junho de 1992 e respetivo regulamento, e (x) o RGPD ou a Data Protection Act (Lei sobre a Proteção de Dados) de 2018 do Reino Unido; em cada caso conforme sejam emendados, suplantados ou substituídos.

"EEE" significa Espaço Económico Europeu.

"RGPD da UE" significa o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.

As "Cláusulas Contratuais-Tipo da UE" são as cláusulas-tipo de proteção de dados aprovadas pela decisão da Comissão Europeia 2021/914 de 4 de junho de 2021, incorporadas aqui por referência. O Módulo Dois das Cláusulas Contratuais-Tipo da UE (do Responsável pelo Tratamento dos Dados para o Subcontratante) e o Módulo Três das Cláusulas Contratuais-Tipo da UE (de Subcontratante para Subcontratante) estão disponíveis para transferência no site web EUR-Lex.

"Rede GoDaddy" significa as instalações de centros de dados, os servidores, o equipamento de rede e os sistemas de software de alojamento (por exemplo, firewalls virtuais) da GoDaddy que estão sob o controlo da GoDaddy e que são utilizados para fornecer os Serviços Abrangidos.

"Incidente de Segurança" refere-se a uma falha de segurança das Normas de Segurança da GoDaddy que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a quaisquer Dados do Cliente nos sistemas geridos ou controlados pela GoDaddy.

"Normas de Segurança" significa as normas de segurança anexadas à presente Adenda na forma do Apêndice 2.

"Dados Sensíveis" significa (a) o número de Segurança Social, o número do passaporte, o número da carta de condução ou identificador semelhante (ou qualquer porção do mesmo); (b) o número do cartão de crédito ou débito (que não seja truncado [últimos quatro dígitos] de um cartão de crédito ou débito), informações financeiras, números ou palavras-passe de contas bancárias; (c) informações de emprego, finanças, genética, biometria ou saúde; (d) informações sobre raça, etnia, afiliação política ou religiosa, associação a um sindicato ou informações sobre a vida sexual ou a orientação sexual; (e) palavras-passe de contas, o nome de solteira da mãe ou a data de nascimento; (f) registo criminal; ou (g) quaisquer outras informações ou combinações de informações que se encaixem na definição de "categorias especiais de dados" ao abrigo do RGPD ou qualquer lei ou regulamento aplicável em relação à privacidade e proteção de dados.

"Subcontratante Ulterior" significa qualquer subcontratante dos dados contratado pelo Subcontratante para realizar o Tratamento de dados em nome do responsável pelo tratamento dos dados.

"RGPD do Reino Unido" significa que o RGPD da UE foi emendado e incorporado na legislação do Reino Unido ao abrigo da lei relativa à saída do Reino Unido da União Europeia de 2018 e legislação secundária aplicável ao abrigo desta lei.

"Adenda Relativa à Transferência Internacional de dados do Reino Unido" refere-se à Adenda Relativa à Transferência Internacional de Dados das Cláusulas Contratuais-Tipo da UE emitida pelo Comissário da Informação do Reino Unido, Versão B1.0, em vigor desde 21 de março de 2022, aqui incorporada por referência. A Adenda Relativa à Transferência Internacional de Dados está disponível para transferência no site web do Comissário da Informação do Reino Unido

1.2 Os termos "dados pessoais", "titular dos dados", "tratamento", "responsável pelo tratamento dos dados" e "subcontratante", conforme utilizados nesta Adenda, possuem os significados atribuídos no RGPD da UE, independentemente das Leis de Proteção de Dados que se aplique.

2.1 GoDaddy enquanto Subcontratante. As partes aceitam e concordam com o seguinte: (i) que a GoDaddy é um subcontratante dos Dados do Cliente no âmbito das Leis de Proteção de Dados; (ii) que o Cliente é um responsável pelo tratamento dos dados ou subcontratante, conforme aplicável, dos Dados do Cliente ao abrigo das Leis de Proteção de Dados; e (iii) que cada parte cumprirá as respetivas obrigações ao abrigo das Leis de Proteção de Dados no que diz respeito ao tratamento de Dados do Cliente.

2.2 Detalhes do Tratamento dos Dados. O objeto de Tratamento dos Dados do Cliente por parte da GoDaddy é a realização dos Serviços Abrangidos no âmbito das Condições de Serviço. A GoDaddy apenas realizará o Tratamento dos Dados do Cliente em nome do Cliente e de acordo com as instruções documentadas deste para as seguintes finalidades: (i) tratamento de acordo com as Condições de Serviço; (ii) tratamento iniciado pelos utilizadores finais na respetiva utilização dos Serviços Abrangidos; (iii) tratamento para cumprir outras instruções documentadas e razoáveis fornecidas pelos Clientes (por exemplo, através de email), sempre que essas instruções forem consistentes com as Condições de Serviço. A GoDaddy não irá: (a) realizar o tratamento, reter, utilizar, vender nem divulgar os Dados do Cliente, exceto conforme necessário para fornecer os Serviços Abrangidos de acordo com as Condições de Serviço, ou conforme exigido por lei; (b) vender esses Dados do Cliente a quaisquer terceiros; (c) reter, utilizar nem divulgar esses Dados do Cliente fora da relação comercial direta entre a GoDaddy e o Cliente.

Para que não subsistam dúvidas, as instruções do Cliente para o tratamento dos Dados do Cliente devem cumprir todas as Leis de Proteção de Dados. O Cliente será o único responsável pela precisão, qualidade e legalidade dos Dados do Cliente e pelos meios através dos quais o Cliente adquiriu Dados do Cliente. Se o Cliente for um responsável pelo tratamento dos dados dos Dados do Cliente, o Cliente aceita e concorda com o seguinte: (i) tem de envidar os esforços comercialmente razoáveis para divulgar de forma clara e obter o consentimento relativo a qualquer recolha, partilha e utilização de dados que ocorra em quaisquer Serviços Abrangidos; e (ii) tem de deixar claro que, como consequência da sua utilização dos Serviços Abrangidos, os dados do Utilizador Final poderão ser tratados fora o respetivo país de origem. Se o Cliente for um subcontratante dos Dados do Cliente, o Cliente garante que as instruções e as ações do Cliente em relação aos Dados do Cliente, incluindo a designação da GoDaddy como subcontratante autorizado, foram autorizadas pelo responsável pelo tratamento dos dados aplicável. A GoDaddy não será obrigada a cumprir ou respeitar as instruções do Cliente se as mesmas violarem as Leis de Proteção de Dados. A duração, a natureza e a finalidade do Tratamento, os tipos de Dados Pessoais e as categorias de Titulares dos Dados tratados nos termos da presente Adenda são especificados em detalhe no Apêndice 1 ("Detalhes do Tratamento") da presente Adenda.

A GoDaddy não divulgará os Dados do Cliente a nenhum governo ou outro terceiro, salvo quando necessário para cumprir a lei ou uma ordem válida e vinculativa de uma autoridade de execução penal (tal como uma intimação ou um mandado judicial). No caso de a GoDaddy receber uma intimação válida, e na extensão permitida pela lei, a GoDaddy tomará todas as medidas para fornecer ao Cliente uma notificação atempada sobre essa intimação através de Email ou correio postal, de forma a permitir que o Cliente procure obter uma providência cautelar ou outro recurso adequado.

4.1 A GoDaddy implementou e conservará as medidas técnicas e organizacionais para a Rede da GoDaddy conforme descrito nesta Secção e conforme adicionalmente descrito no Anexo 2 desta Adenda, Normas de Segurança. Em particular, a GoDaddy implementou e conservará as medidas técnicas e organizacionais seguintes que estão relacionadas com (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controlos relacionados com o acesso por parte dos colaboradores e do contratante a (i) e/ou (ii); e (iv) os processos para a realização de testes e avaliação da eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Na eventualidade de não conseguirmos cumprir alguma das obrigações aqui definidas, apresentaremos um aviso por escrito (através do nosso site web ou por email) assim que for possível na prática.

4.2 A GoDaddy disponibiliza uma série de características e funcionalidades de segurança que o Cliente pode optar por utilizar relacionadas com os Serviços Abrangidos. O Cliente é responsável por (a) configurar devidamente os Serviços Abrangidos, (b) utilizar os controlos disponíveis relacionados com os Serviços Abrangidos (incluindo os controlos de segurança) para assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e serviços de processamento, (c) utilizar os controlos disponíveis relacionados com os Serviços Abrangidos (incluindo os controlos de segurança) para permitir que o Cliente restaure atempadamente a disponibilidade e o acesso aos Dados do Cliente na eventualidade de um incidente físico ou técnico (por exemplo, realização de cópias de segurança e arquivamento de rotina dos Dados do Cliente), e (d) tomar as medidas que o Cliente considerar adequadas para manter a devida segurança, proteção e eliminação dos Dados do Cliente, o que inclui a utilização de tecnologia de encriptação para proteger os Dados do Cliente contra qualquer acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.

Considerando a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controlos que o Cliente poderá optar por utilizar para obter, corrigir, eliminar ou restringir a utilização e a partilha de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente poderá utilizar estes controlos como medidas técnicas e organizacionais para o ajudar a cumprir as suas obrigações nos termos das Leis de Proteção de Dados aplicáveis, incluindo as suas obrigações relacionadas com responder a pedidos dos titulares dos dados. Conforme comercialmente razoável, e na medida do que é requerido ou permitido por lei, a GoDaddy notificará prontamente o Cliente se a GoDaddy receber diretamente um pedido de um titular dos dados para exercer tais direitos nos termos de quaisquer Leis de Proteção de Dados aplicáveis ("Pedido do Titular dos Dados"). Além disso, sempre que a utilização por parte do Cliente dos Serviços Abrangidos limite a sua possibilidade de enviar um Pedido do Titular dos Dados, a GoDaddy pode, na medida em que for permitido e apropriado por lei e a pedido específico do Cliente, prestar a assistência comercial razoável no processamento do pedido, a expensas do Cliente (se existentes).

6.1 Subcontratantes Ulteriores Autorizados. O Cliente concorda que a GoDaddy pode utilizar Subcontratantes Ulteriores para cumprir as respetivas obrigações contratuais no âmbito das respetivas Condições de Serviço e da presente Adenda ou prestar determinados serviços em seu nome, como prestar serviços de assistência. Pela presente, o Cliente consente que a GoDaddy utilize Subcontratantes Ulteriores, conforme descrito nesta Secção.

6.2 Obrigações do Subcontratante Ulterior. Sempre que a GoDaddy utilizar qualquer Subcontratante Ulterior autorizado, conforme descrito na Secção 6.1:

(i)A GoDaddy apenas restringirá o acesso por parte do Subcontratante Ulterior aos Dados do Cliente na medida necessária para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer utilizadores finais em conformidade com as Condições de Serviço. A GoDaddy proibirá o subcontratante ulterior de aceder aos Dados do Cliente para quaisquer outros fins;

(ii)A GoDaddy celebrará um acordo escrito com o subcontratante ulterior e, na medida em que o Subcontratante Ulterior estiver a executar os mesmos serviços de tratamento de dados que estão a ser fornecidos pela GoDaddy nos termos da presente Adenda, a GoDaddy imporá ao subcontratante ulterior obrigações contratuais substancialmente semelhantes às da GoDaddy nos termos da presente Adenda; e

(iii)A GoDaddy continuará a ser responsável pela conformidade com as obrigações da presente Adenda e por quaisquer atos ou omissões do subcontratante ulterior que levem a GoDaddy a violar quaisquer das obrigações da GoDaddy nos termos desta Adenda.

6.3 Novos Subcontratantes Ulteriores.  Periodicamente, poderemos envolver novos Subcontratantes Ulteriores ao abrigo dos termos da presente Adenda e sob reserva dos mesmos.  Nesse caso, apresentaremos um aviso com uma antecedência de 30 dias (pelo nosso site web ou por email) a qualquer novo Subcontratante Ulterior que receba Dados do Cliente. Se o Cliente não aprovar um novo Subcontratante Ulterior, o Cliente poderá cessar todos os Serviços Abrangidos sem penalização ao apresentar, no prazo de 10 dias ou após a receção do aviso da nossa parte, um aviso por escrito quanto à cessação que inclua uma explicação dos motivos da sua desaprovação. Se os Serviços Abrangidos fizerem parte de um pacote ou uma compra agregada, a cessação aplicar-se-á à sua totalidade.

7.1 Incidente de Segurança. Se a GoDaddy tomar conhecimento de um Incidente de Segurança, a GoDaddy, sem atraso indevido: (a) notificará o Cliente sobre o Incidente de Segurança e (b) tomará medidas razoáveis no sentido de mitigar os efeitos e minimizar quaisquer danos decorrentes do Incidente de Segurança.

7.2 GoDaddy Assistência. Para prestar assistência ao Cliente relativamente a quaisquer notificações de incumprimento em matéria de dados pessoais que sejam exigidas ao Cliente no âmbito das Leis de Proteção de Dados, a GoDaddy incluirá na notificação essas informações acerca do Incidente de Segurança conforme for razoavelmente possível à GoDaddy divulgar ao Cliente, tendo em conta a natureza dos Serviços Abrangidos, as informações que a GoDaddy tem disponíveis e quaisquer restrições sobre a divulgação das informações, tais como a respetiva confidencialidade.

7.3 Incidentes de Segurança falhados. O Cliente aceita que um Incidente de Segurança falhado não estará sujeito aos termos da presente Adenda. Um Incidente de Segurança falhado é aquele que resulta na ausência de qualquer acesso não autorizado aos Dados do Cliente ou a qualquer Rede, equipamento ou instalação de armazenamento dos Dados do Cliente da GoDaddy, podendo incluir, entre outros, pingues e outros ataques de difusão a firewalls ou servidores de proximidade, análises de portas, tentativas de início de sessão sem êxito, ataques de negação de serviço, interceção de pacotes (ou outros acessos não autorizados a dados de tráfego que não tenham como consequência acessos para além dos cabeçalhos) ou incidentes similares.

7.4 Notificações. As notificações de Incidentes de Segurança, se existentes, serão enviadas para um ou mais administradores do Cliente através de qualquer meio que a GoDaddy selecione, incluindo o email. É da exclusiva responsabilidade do Cliente assegurar que os administradores do Cliente guardam informações de contacto precisas na consola de gestão GoDaddy e que protegem a transmissão em todos os momentos.

7.5 Sem Reconhecimento de Falha pela GoDaddy: A obrigação da GoDaddy de comunicar ou responder a um Incidente de Segurança nos termos desta Secção não é nem será interpretada como um reconhecimento por parte da GoDaddy de qualquer falha ou responsabilidade da GoDaddy relativamente ao Incidente de Segurança.

8.1 Determinação Independente. O Cliente é responsável por analisar as informações disponibilizadas pela GoDaddy relacionadas com a segurança de dados e as respetivas Normas de Segurança e por uma determinação independente no que concerne o facto de os Serviços Abrangidos cumprirem os requisitos e as obrigações legais do Cliente, bem como as obrigações do Cliente no âmbito da presente Adenda. As informações disponibilizadas destinam-se a ajudar o Cliente a cumprir as obrigações do Cliente no âmbito das Leis de Proteção de Dados aplicáveis. O Cliente aceita que os Serviços Abrangidos e as Normas de Segurança implementadas e mantidas pela GoDaddy fornecem um nível de segurança adequado ao risco para os dados pessoais (tendo em consideração a tecnologia atual, os custos de implementação e a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados pessoais, bem como os riscos para os indivíduos).

8.2 Direitos de auditoria do Cliente. O Cliente tem o direito de confirmar a conformidade da GoDaddy com a presente Adenda conforme aplicável aos Serviços Abrangidos ao fazer um pedido específico por escrito, em intervalos razoáveis, para o endereço determinado nas Condições do Serviço. Se a GoDaddy recusar seguir quaisquer instruções pedidas pelo Cliente relativamente a uma auditoria ou inspeção devidamente solicitada e designada, o Cliente tem o direito de cessar a presente Adenda e as Condições do Serviço.

9.1 Tratamento com sede nos EUA. Salvo se expressamente previsto nas Condições do Serviço, os Dados do Cliente serão transferidos para fora do Reino Unido ou do EEE e tratados nos Estados Unidos da América.

9.2 Aplicação das Cláusulas Contratuais-Tipo da UE. O Módulo Dois das Cláusulas Contratuais-Tipo da UE (do Responsável do Tratamento dos Dados para o Subcontratante) ou o Módulo Três das Cláusulas Contratuais-Tipo da UE (de Subcontratante para Subcontratante) aplicar-se-ão aos Dados do Cliente que sejam transferidos para fora do EEE, seja diretamente, seja através de transferência ulterior, para qualquer país que não seja reconhecido pela Comissão Europeia como fornecedor de um nível de proteção adequado aos Dados do Cliente. Estas Cláusulas Contratuais-Tipo da UE não se aplicarão aos Dados do Cliente que não sejam transferidos, seja diretamente, seja através de transferência ulterior, para fora do EEE. Não obstante o precedente, as Cláusulas Contratuais-Tipo da UE não se aplicarão sempre que os dados forem transferidos de acordo com uma norma de conformidade reconhecida para a transferência lícita de Dados Pessoais para fora do EEE, tal como quando é necessário para a prestação dos Serviços Abrangidos, em conformidade com as Condições de Serviço ou com o seu consentimento.

1. Para cada Módulo, se aplicável:
   1. na Cláusula 7 das cláusulas contratuais-tipo da UE, não se aplicará a cláusula de adesão;
   2. na Cláusula 9 das cláusulas contratuais-tipo da UE, aplicar-se-á a Opção 2 e o período de aviso prévio por escrito dos subcontratantes ulteriores será conforme definido na Secção 6.3 (Novos Subcontratantes Ulteriores) desta Adenda;
   3. na Cláusula 11 das cláusulas contratuais-tipo da UE, não se aplicará a língua opcional;
   4. na Cláusula 17 (Opção 1), as cláusulas contratuais-tipo da UE serão regidas pela legislação alemã;
   5. na Cláusula 18(b) das cláusulas contratuais-tipo da UE, as disputas serão resolvidas nos tribunais da República Federal da Alemanha;
   6. no Anexo I, Parte A das cláusulas contratuais-tipo da UE:
      • Lista de partes
        
        Exportadores dos Dados: O exportador dos dados é a entidade identificada como "Cliente" na Adenda
        Assinatura e data: considera-se que o Exportador dos Dados assinou as presentes Cláusulas Contratuais-Tipo da UE na data de aceitação eletrónica das Condições de Serviço do Importador dos Dados por parte do Exportador dos Dados.
        Cargo: Responsável pelo Tratamento dos Dados (no âmbito do Módulo Dois) ou Subcontratante (no âmbito do Módulo Três)
        
        Importadores dos Dados: GoDaddy.com, LLC
        Detalhes de contacto: Gabinete do encarregado da proteção de dados – privacy@godaddy.com
        Assinatura e data: Considera-se que o Importador dos Dados assinou as presentes Cláusulas Contratuais-Tipo da UE na data de aceitação eletrónica das Condições de Serviço do Importador dos Dados por parte do Exportador dos Dados.
        Cargo: Subcontratante
   7. no Anexo I, Parte B das cláusulas contratuais-tipo da UE:
      • Descrições da transferência
        
        As categorias de titulares dos dados cujos dados pessoais são transferidos estão descritas no Apêndice 1 da Adenda.
        As categorias de dados pessoais transferidas estão descritas no Apêndice 1 da Adenda. Os dados confidenciais transferidos estão descritos no Apêndice 1 desta Adenda.
        A frequência da transferência é contínuo durante o período das Condições de Serviço.
        A natureza do tratamento está descrita na Secção 2.2 e no Apêndice 1 da Adenda.
        As finalidades da transferência e do tratamento adicional dos dados estão descritas na Secção 2.2 e no Apêndice 1 desta Adenda.
        O período durante o qual os dados pessoais serão retidos está descrito no Apêndice 1 desta Adenda.
        No caso de transferências para subcontratantes (ulteriores), o assunto, a natureza e a duração do tratamento estão definidos no Anexo III das cláusulas contratuais-tipo.
   8. no Anexo I, Parte C das cláusulas contratuais-tipo da UE:
      • Competent Supervisory Authority
        O Comissário do Estado da Renânia do Norte-Vestefália para a Proteção dos Dados e Liberdade de Informação ("LDI NRW") é a autoridade supervisora competente.
   9. no Anexo II das cláusulas contratuais-tipo da UE:
      
      As medidas de segurança da organização e técnicas implementadas pelo Importador dos Dados encontram-se descritas no Apêndice 2 da Adenda.
   10. no Anexo III das cláusulas contratuais-tipo da UE:
       
       A lista de subcontratantes ulteriores encontra-se no Apêndice 3 desta Adenda.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. No caso de transferências de dados a partir do Reino Unido que estejam sujeitas à Adenda Relativa à Transferência Internacional de dados do Reino Unido, esta será considerada celebrada (e incorporada nesta Adenda por esta referência) e realizada do seguinte modo:
   1. na Tabela 1 da Adenda Relativa à Transferência Internacional de dados do Reino Unido, os principais dados e as informações de contacto das partes encontram-se na Secção 9.2 (i)(f) desta Adenda.
   2. Na Tabela 2 da Adenda Relativa à Transferência Internacional de dados do Reino Unido, as informações sobre a versão das Cláusulas Contratuais-Tipo da UE, módulos e cláusulas selecionadas às quais esta Adenda Relativa à Transferência Internacional de dados do Reino Unido está anexada encontram-se na Secção 9.2 (Cláusulas Contratuais-Tipo da UE) desta Adenda.
   3. Na Tabela 3 da Adenda Relativa à Transferência Internacional de dados do Reino Unido:
      1. A lista de Partes encontra-se na Secção 9.2 (i)(f) desta Adenda.
      2. A descrição da transferência é definida na Secção 1 (Natureza e Finalidade do Tratamento) do Apêndice 1 (Detalhes do Tratamento) desta Adenda.
      3. O Anexo II encontra-se no Apêndice 2 (Normas de Segurança) desta Adenda
      4. A lista de subcontratantes ulteriores encontra-se no Apêndice 3 desta Adenda.
   4. Na Tabela 4 da Adenda Relativa à Transferência Internacional de dados do Reino Unido, o Importador e o Exportador poderão rescindir a Adenda Relativa à Transferência Internacional de dados do Reino Unido de acordo com os termos da Adenda Relativa à Transferência Internacional de dados do Reino Unido.

A presente Adenda permanecerá em vigor até ao cancelamento do nosso processamento em conformidade com os Termos de Serviço (a “Data de Cancelamento”).   

Conforme descrito nos Serviços Abrangidos, o Cliente poderá receber controlos que poderá utilizar para obter ou eliminar os Dados do Cliente. A eliminação dos Dados do Cliente ocorrerá trinta (30) dias após a Data de Cessação, sob reserva dos termos dos Serviços Abrangidos em particular. O Cliente aceita que é da responsabilidade do Ciente exportar, antes da Data de Cessação, quaisquer Dados do Cliente que queira reter após a Data de Cessação.

A responsabilidade de cada parte nos termos da presente Adenda estará sujeita às exclusões e limitações de responsabilidade estabelecidas nas Condições de Serviço. O Cliente concorda que quaisquer sanções regulamentares incorridas pela GoDaddy relacionadas com os Dados do Cliente que decorram de, ou que estejam relacionadas com, o incumprimento por parte do Cliente das respetivas obrigações nos termos da presente Adenda e de quaisquer Leis de Proteção de Dados aplicáveis contarão para e reduzirão a responsabilidade da GoDaddy no âmbito das Condições de Serviço como se fosse uma responsabilidade para com o Cliente nas Condições de Serviço.

A presente Adenda sobrepõe-se a e substitui todas as declarações ou comunicações, todos os entendimentos ou acordos prévios ou atuais entre o Cliente e a GoDaddy, sejam escritos, sejam verbais, relativamente ao objeto da Adenda, incluindo qualquer adenda relativa ao Tratamento de dados celebrada entre a GoDaddy e o Cliente relativamente ao Tratamento de Dados Pessoais e à livre circulação de tais dados.  Na medida em que exista algum conflito ou inconsistência entre as Cláusulas Contratuais-Tipo da UE ou a Adenda Relativa à Transferência Internacional de Dados do Reino Unido e quaisquer outros termos desta Adenda ou das Condições de Serviço, prevalecerão as disposições das Cláusulas Contratuais-Tipo da UE ou da Adenda relativa à Transferência Internacional de Dados do Reino Unido, conforme aplicável. Salvo conforme alterado na presente Adenda, as Condições de Serviço permanecerão em vigor e a produzir plenos efeitos.  Na eventualidade de conflito entre as Condições de Serviço e a presente Adenda, prevalecerão os termos da presente Adenda.

 DETALHES DO TRATAMENTO

 1. Natureza e finalidade do Tratamento. A GoDaddy realizará o Tratamento dos Dados do Cliente conforme necessário para fornecer os Serviços Abrangidos de acordo com as Condições do Serviço e conforme adicionalmente indicado pelo Cliente ao longo da sua utilização dos Serviços Abrangidos.

 2. Duração do Tratamento. Sob reserva das secções 10 e 11 da presente Adenda, a GoDaddy realizará o Tratamento dos Dados do Cliente durante a vigência das Condições do Serviço. Não obstante o supracitado, a GoDaddy poderá guardar Dados do Cliente, ou parte destes, se tal for exigido por leis ou regulamentos aplicáveis, incluindo as Leis de Proteção de Dados aplicáveis, desde que os referidos Dados do Cliente continuem protegidos de acordo com os termos da presente Adenda e as Leis de Proteção de Dados aplicáveis.

3. Categorias de Titulares de Dados. O Cliente poderá carregar Dados Pessoais durante a sua utilização dos Serviços Abrangidos, sendo o âmbito dos dados em questão determinado e controlado pelo Cliente segundo os seus próprios critérios, os quais poderão incluir, entre outros, Dados Pessoais relacionados com as categorias seguintes de Titulares de Dados:

• Potenciais clientes, clientes, parceiros de negócios e fornecedores do Cliente (que sejam pessoas singulares)
• Colaboradores ou pessoas de contacto de potenciais clientes do Cliente, clientes, parceiros de negócios e fornecedores
• Colaboradores, agentes, consultores, trabalhadores independentes do Cliente (que sejam pessoas singulares)
• Utilizadores do Cliente autorizados pelo Cliente a utilizar os Serviços Abrangidos

4. Categorias de Dados Pessoais. O Cliente poderá carregar Dados Pessoais durante a sua utilização dos Serviços Abrangidos, sendo o tipo e âmbito dos mesmos determinado e controlado pelo Cliente, segundo os seus próprios critérios exclusivos, e que poderão incluir as, mas não se limitar às, categorias seguintes de Dados Pessoais de Titulares dos Dados: 

• Nome
• Morada
• Número de telefone
• Data de nascimento
• Endereço de email
• Outros dados recolhidos que podem identificar direta ou indiretamente os Titulares dos Dados.

5. Dados Sensíveis ou Categorias Especiais de Dados. O Cliente poderá carregar Dados Sensíveis durante a sua utilização dos Serviços Abrangidos, cujo tipo e cuja extensão são determinados e controlados pelo Cliente segundo o exclusivo critério deste. O Cliente é responsável por aplicar restrições ou salvaguardas que considerem totalmente a natureza dos dados e os riscos envolvidos antes da transmissão ou do Tratamento de quaisquer Dados Sensíveis através dos Serviços Abrangidos.

Normas de Segurança

I.  Medidas Técnicas e Organizacionais  

Comprometemo-nos a proteger as informações dos nossos clientes.  Tendo em consideração as melhores práticas, os custos de implementação e a natureza, âmbito, circunstâncias e finalidades do tratamento, bem como as diferentes probabilidades de ocorrência e de gravidade de riscos para os direitos e liberdades das pessoas singulares, implementamos as medidas técnicas e organizacionais seguintes.  Na seleção das medidas, tomamos em consideração a confidencialidade, integridade, disponibilidade e resiliência dos sistemas.

II.  Programa de Privacidade de Dados  

O nosso Programa de Privacidade de Dados foi estabelecido para manter uma estrutura de governação de dados global e proteger as informações durante o ciclo de vida das mesmas. Este programa é gerido pelo gabinete do responsável pela proteção dos dados, que supervisiona a implementação de práticas de privacidade e de segurança. Testamos e avaliamos regularmente a eficácia dos respetivos Programa de Privacidade de Dados e Normas de Segurança.

1. Confidencialidade. “Confidencialidade significa que os dados pessoais se encontram protegidos de divulgação não autorizada.”  

Utilizamos uma série de medidas físicas e lógicas para proteger a confidencialidade dos respetivos dados pessoais do cliente. Entre tais medidas incluem-se:   

  Segurança Física  

• Sistemas de controlo de acesso físico implementados (Controlo de acesso por distintivo, Monitorização de eventos de segurança, etc.) 
• Sistemas de vigilância, incluindo alarmes e, conforme apropriado, sistemas de vigilância por televisão em circuito fechado (CCTV)
• Políticas e controlos de “secretária limpa“ implementados (Bloqueio de computadores não utilizados, armários trancados, etc.)  
• Gestão do Acesso de Visitantes
• Destruição de dados em suportes físicos e em documentos (retalhamento, desmagnetização, etc.)

  Controlo de Acessos e Prevenção de Acesso Não Autorizado 

• Restrições de acesso por parte dos utilizadores aplicadas e permissões com base em funções concedidas/analisadas com base no princípio da separação de funções  
• Métodos seguros de autenticação e de autorização (Autenticação multifator, autorização com base em certificados, desativação/encerramento de sessão automáticos, etc.) 
• Gestão centralizada de palavras-passe e políticas de palavras-passe seguras/complexas (comprimento mínimo, complexidade de carateres, expiração de palavras-passe, etc.)   
• Acesso controlado a emails e à Internet
• Gestão de antivírus  
• Gestão do Sistema de Prevenção de Intrusões

Encriptação   

• Encriptação de comunicação externa e interna através de protocolos criptográficos seguros  
• Encriptação de dados pessoais e confidenciais em repouso (bases de dados, diretórios partilhados, etc.)   
• Encriptação total do disco para computadores e portáteis de empresa   
• Encriptação de suporte de dados de armazenamento  
• As ligações remotas às redes da empresa são encriptadas através de VPN  
• Assegurar o ciclo de vida das chaves de encriptação

 Minimização dos Dados    

• Minimização de PII/SPI em registos da aplicação, de depuração e de segurança  
• Apresentação sob pseudónimo de dados pessoais para impedir a identificação direta de um indivíduo 
• Separação de dados armazenados por função (transição, de teste, dinâmico) 
• Separação lógica de dados por direitos de acesso baseados em funções 
• Períodos de retenção de dados definidos para dados pessoais 

Testes de Segurança     

• Teste de Penetração para redes e plataformas empresariais críticas que alojem dados pessoais 
• Análises regulares de rede e vulnerabilidades

2. Integridade. “Integridade refere-se a assegurar a exatidão (integridade) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é utilizado com o termo "dados", é uma indicação de que os dados estão completos e inalterados.”  

As alterações adequadas e os controlos de gestão de registo estão implementados, além dos controlos de acesso para manter a integridade dos dados pessoais, como:    

Gestão de Alterações e de Versões    

• Processo de gestão de alterações e de versões (incluindo análise do impacto, aprovações, testes, análises de segurança, transição, monitorização, etc.)  
• Aprovisionamento de acesso baseado em funções (Separação de Funções) em ambientes de produção

Monitorização e Registos

• Registo de acesso e alterações a dados  
• Auditoria centralizada e registos de segurança   
• Monitorização da integralidade e correção da transferência dos dados (verificação ponto a ponto)

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicações de TI e funções de rede ou informações de TI está garantida, se os utilizadores conseguirem utilizá-las em permanência conforme pretendido.”    

Implementamos medidas de segurança e continuidade adequadas para manter a disponibilidade dos serviços e dos dados que residem em tais serviços:    

• Testes regulares de ativação pós-falha aplicados para serviços críticos  
• Monitorização e elaboração de relatórios sobre desempenho alargado/disponibilidade de sistemas críticos  
• Programa de resposta a incidentes  
• Dados críticos replicados ou com cópia de segurança (Cópias de Segurança na Nuvem/Discos Rígidos/Replicação de base de dados, etc.) 
• Manutenção planeada de software, infraestrutura e segurança implementada (Atualizações de software, patches de segurança, etc.)   
• Sistemas redundantes e resilientes (clusters de servidores, bases de dados espelhadas, configurações de elevada disponibilidade, etc.) localizados em localizações fora das instalações e/ou geograficamente separadas    
• Utilização de fontes de alimentação ininterrupta, hardware redundantes a falhas e sistemas de rede  
• Sistemas de segurança e alarme implementados  
• Medidas de Proteção Física implementadas para locais críticos (proteções de sobretensão, pisos sobre-elevados, sistemas de refrigeração, detetores de incêndio e/ou fumo, sistemas de supressão de incêndios, etc.) 
• Proteção contra ataques denial-of-service (DDoS) para manter a disponibilidade   
• Testes de esforço e carga

4. Instruções para o Tratamento dos dados. "As Instruções para o Tratamento dos dados destinam-se a assegurar que os Dados Pessoais apenas serão tratados de acordo com as instruções do Responsável pelo Tratamento dos Dados e as medidas relacionadas da empresa"  

Estabelecemos políticas de privacidade internas e acordos e realizamos formações regulares em matéria de privacidade para os funcionários, de forma a nos certificarmos de que os Dados Pessoais são tratados de acordo com as preferências e instruções dos clientes.   

• Termos de privacidade e de confidencialidade acordados no âmbito dos contratos de trabalho; 
• Formações regulares de privacidade e segurança de dados para os funcionários; 
• Disposições contratuais adequadas para os acordos com subcontratantes para preservar os direitos de controlo instrucional; 
• Verificações de privacidade regulares para fornecedores de serviços externos; 
• Disponibilização aos clientes do controlo total das preferências em termos de tratamento dos respetivos dados; 
• Auditorias de segurança regulares.