GoDaddy – ADENDA RELATIVA AO TRATAMENTO DE DADOS
Última Revisão:13/09/2024
A presente Adenda sobre o Tratamento de Dados (doravante a "Adenda" ou "ATD") celebra-se entre o utilizador ("Cliente") e a entidade da GoDaddy que é uma parte das Condições de Serviço Universais e de quaisquer outros contratos celebrados entre o utilizador e a GoDaddy (coletivamente chamados "Contrato"). A GoDaddy e o Cliente são referidos no presente como "Parte" individualmente e como "Partes" coletivamente. A presente ATD produz efeitos a partir da data de entrada em vigor do Contrato ("Data de Entrada em Vigor") e rege todo o Tratamento de Dados Pessoais do Cliente ao abrigo do Contrato.
1. Definições. Exceto se definido de outra forma nas Leis de Proteção de Dados aplicáveis (conforme definido abaixo), os termos com inicial maiúscula na presente Secção têm os significados que se seguem:
1.1 Entende-se por "Afiliado" qualquer entidade que controle ou esteja sob o controlo comum de uma Parte. Entende-se por "Controlo" a propriedade ou o controlo direto ou indireto de cinquenta por cento (50%) dos interesses de voto de uma entidade.
2. Âmbito do Tratamento dos Dados e Relação entre Partes
1.2. Entende-se por "Responsável pelo Tratamento" a pessoa singular ou coletiva, a autoridade pública, o organismo ou o órgão que, por conta própria ou em conjunto com outrem, determina as finalidades e os meios de tratamento dos Dados Pessoais do Cliente ao abrigo do Contrato.
1.3 Entende-se por "Dados Pessoais do Cliente" quaisquer Dados Pessoais (conforme definidos abaixo) tratados pela GoDaddy em nome do Cliente relativamente à utilização dos Serviços pelo Cliente. Os Dados Pessoais do Cliente não incluem Dados da GoDaddy.
1.4 Entende-se por "Lei de Proteção de Dados" qualquer lei ou regulamento aplicável ao tratamento de Dados Pessoais do Cliente ao abrigo do Contrato.
1.5 Entende-se por "Titular dos Dados" uma pessoa singular identificada ou identificável a quem Dados Pessoais específicos dizem respeito.
1.6 Entende-se por "Dados sem Identificação" os dados que não possam identificar razoavelmente, estar relacionados com, descrever, ser capazes de estar associados ou ligados a, de forma direta ou indireta, um Titular de Dados específico.
1.7 Entende-se por "Dados da GoDaddy" (a) todas as informações relativas às atividades comerciais da GoDaddy e ao fornecimento dos Serviços pela mesma, incluindo Dados Pessoais relativos ao Cliente e aos respetivos funcionários ou representantes; (b) outros dados relativos ou que digam respeito à conta, ao histórico de transações, à utilização dos Serviços e à verificação da identidade do Cliente; e (c) sob reserva de quaisquer restrições ao abrigo de quaisquer Leis de Proteção de Dados aplicáveis, Dados sem Identificação.
1.8 Entende-se por "Dados Pessoais" as informações relacionadas com uma pessoa singular identificada ou identificável, incluindo quaisquer informações definidas como Dados Pessoais, Informações Pessoais ou Informações de Identificação Pessoal ("IIP") em quaisquer Leis de Proteção de Dados aplicáveis. Os Dados Pessoais não incluem Dados sem Identificação.
1.10 Entende-se por "Subcontratante" uma pessoa singular ou coletiva, uma autoridade pública, um organismo ou um órgão que realize o tratamento de Dados Pessoais do Cliente em nome de um Responsável pelo Tratamento ao abrigo do Contrato.
1.9 Entende-se por "Tratamento" qualquer operação realizada sobre os Dados Pessoais do Cliente, como a recolha, a utilização, a conservação, a divulgação, a análise, o apagamento ou a modificação, seja por via manual, seja por via automática.
1.11 Entende-se por "Dados Pessoais Sensíveis" (a) o número de Segurança Social, o número do passaporte, o número da carta de condução ou identificador semelhante; (b) as informações do cartão de crédito ou débito, informações financeiras, números de conta bancária ou palavras-passe de contas; (c) informações sobre emprego, finanças, genética, biometria ou saúde; (d) informações sobre raça, etnia, afiliação política ou religiosa, associação a um sindicato ou informações sobre a vida ou orientação sexual; (e) palavras-passe de contas, o nome de solteira da mãe, a data de nascimento e outras informações semelhantes utilizadas para confirmar a identidade de um utilizador; (f) o registo criminal; (g) dados biométricos utilizados para identificar uma pessoa em específico (p. ex., impressões digitais); ou (h) quaisquer outras informações ou combinação de informações que se encaixem nas definições de "categorias especiais de dados" ao abrigo de qualquer Lei de Proteção de Dados aplicável.
1.12 Entende-se por "Serviços" os produtos ou serviços que a GoDaddy concordou fornecer ao abrigo do Contrato e que envolvem o tratamento de Dados Pessoais do Cliente.
1.13 Entende-se por "Subcontratante Ulterior" qualquer pessoa singular ou coletiva, autoridade pública, organismo ou órgão com que a GoDaddy celebre um contrato de tratamento de Dados Pessoais do Cliente.
1.14 Entende-se por "Transferência" (a) a transferência de Dados Pessoais do Cliente do Responsável pelo Tratamento para o Subcontratante, seja por transferência física, seja pela atribuição de acesso aos Dados Pessoais do Cliente detidos ou de outra forma controlados pelo Responsável pelo Tratamento; ou (b) uma transferência ulterior de Dados Pessoais do Cliente de um Subcontratante para um Subcontratante Ulterior (e qualquer transferência ulterior subsequente por um Subcontratante Ulterior para outro Subcontratante Ulterior).
2.1 Cliente na qualidade de Responsável pelo Tratamento ou Subcontratante
2.1.1 Quando o Cliente é o Responsável pelo Tratamento, o Cliente (a) é o único responsável pela determinação das finalidades e dos meios de tratamento dos Dados Pessoais do Cliente; (b) tem a autoridade, os fundamentos, os direitos e as permissões necessários para fornecer Dados Pessoais do Cliente à GoDaddy; e (c) cumprirá todas as obrigações que lhe recaem na qualidade de Responsável pelo Tratamento ao abrigo das Leis de Proteção de Dados aplicáveis.
2.1.2 Quando o Cliente é o Subcontratante, o Cliente (a) é o único responsável pela conformidade com os contratos celebrados com os Responsáveis pelo Tratamento de dados em nome de quem o Cliente realiza o tratamento de Dados Pessoais do Cliente; (b) tem todas as permissões necessárias da parte do Responsável pelo Tratamento para fornecer Dados Pessoais do Cliente à GoDaddy; e (c) cumprirá todas as obrigações que lhe recaem na qualidade de Subcontratante ao abrigo das Leis de Tratamento de Dados aplicáveis.
2.1.2 Quando o Cliente é o Subcontratante, o Cliente (a) é o único responsável pela conformidade com os contratos celebrados com os Responsáveis pelo Tratamento de dados em nome de quem o Cliente realiza o tratamento de Dados Pessoais do Cliente; (b) tem todas as permissões necessárias da parte do Responsável pelo Tratamento para fornecer Dados Pessoais do Cliente à GoDaddy; e (c) cumprirá todas as obrigações que lhe recaem na qualidade de Subcontratante ao abrigo das Leis de Tratamento de Dados aplicáveis.
2.2 GoDaddy na qualidade de Subcontratante ou Subcontratante Ulterior.
2.2.1 A GoDaddy tomará todas as medidas razoavelmente necessárias para permitir que o Cliente cumpra as obrigações que recaem sobre o Cliente na qualidade de Subcontratante e/ou Responsável pelo Tratamento ao abrigo das Leis de Proteção de Dados consistentes com o caráter, a natureza, o âmbito e a finalidade dos Serviços fornecidos pela GoDaddy. Para que não subsistam dúvidas, não é exigido à GoDaddy que tome medidas que alterem ou tornem os Serviços GoDaddy conformes à utilização específica do Cliente. O único direito do Cliente no caso de os Serviços serem determinados como inconformes para a utilização específica do Cliente é a rescisão da parte do Contrato relacionada com o tratamento de Dados Pessoais do Cliente.
2.2.2 A GoDaddy realizará o tratamento de Dados Pessoais do Cliente apenas mediante instruções documentadas para as finalidades limitadas e específicas descritas no Contrato, na presente ATD ou conforme exigido por lei.
2.2.3 A GoDaddy não venderá, conservará, utilizará nem divulgará os Dados Pessoais do Cliente para uma finalidade comercial que não seja a prestação dos Serviços.
2.2.4 A GoDaddy não realizará o Tratamento dos Dados Pessoais do Cliente fora da relação comercial direta das Partes, descrita no Contrato e na presente ATD.
2.2.5 A GoDaddy não combinará os Dados Pessoais do Cliente com quaisquer outros dados que a GoDaddy recolha (diretamente ou através de terceiros) de outra forma que não a expressamente permitida ao abrigo do Contrato.
2.2.6 A GoDaddy impedirá todo o Tratamento e notificará o Cliente no prazo de três (3) dias úteis caso a GoDaddy: (a) acredite que uma instrução do Cliente viola alguma Lei de Tratamento de Dados aplicável ou (b) determine que a GoDaddy é incapaz de cumprir alguma Lei de Tratamento de Dados aplicável ou as respetivas obrigações ao abrigo da presente ATD.
2.2.2 A GoDaddy realizará o tratamento de Dados Pessoais do Cliente apenas mediante instruções documentadas para as finalidades limitadas e específicas descritas no Contrato, na presente ATD ou conforme exigido por lei.
2.2.3 A GoDaddy não venderá, conservará, utilizará nem divulgará os Dados Pessoais do Cliente para uma finalidade comercial que não seja a prestação dos Serviços.
2.2.4 A GoDaddy não realizará o Tratamento dos Dados Pessoais do Cliente fora da relação comercial direta das Partes, descrita no Contrato e na presente ATD.
2.2.5 A GoDaddy não combinará os Dados Pessoais do Cliente com quaisquer outros dados que a GoDaddy recolha (diretamente ou através de terceiros) de outra forma que não a expressamente permitida ao abrigo do Contrato.
2.2.6 A GoDaddy impedirá todo o Tratamento e notificará o Cliente no prazo de três (3) dias úteis caso a GoDaddy: (a) acredite que uma instrução do Cliente viola alguma Lei de Tratamento de Dados aplicável ou (b) determine que a GoDaddy é incapaz de cumprir alguma Lei de Tratamento de Dados aplicável ou as respetivas obrigações ao abrigo da presente ATD.
2.3 Afiliados.
3. Subcontratação ulterior
2.3.1 Afiliados do Cliente. Para as finalidades da presente ATD, quaisquer Dados Pessoais fornecidos à GoDaddy ou aos Afiliados da GoDaddy por um Afiliado do Cliente para tratamento em nome do Cliente e/ou do Afiliado do Cliente deverão ser considerados Dados Pessoais do Cliente e como tendo sido fornecidos pelo Cliente. O Cliente declara que tomará todas as medidas razoavelmente necessárias para garantir que os Afiliados dele cumprem todas as obrigações do Cliente relativamente à presente ATD. O Cliente é responsável pela conformidade dos Afiliados com todos os termos da presente ATD.
2.3.2 Afiliados da GoDaddy. Para as finalidades da presente ATD, quaisquer Dados Pessoais do Cliente recebidos pelos Afiliados da GoDaddy devem ser considerados como recebidos pela GoDaddy. A GoDaddy declara que tomará todas as medidas razoavelmente necessárias para assegurar que os Afiliados dela cumprem as obrigações da GoDaddy relativamente ao tratamento de Dados Pessoais do Cliente ao abrigo da presente ATD. A GoDaddy é responsável pela conformidade dos Afiliados da GoDaddy com todos os termos da presente ATD.
2.3.2 Afiliados da GoDaddy. Para as finalidades da presente ATD, quaisquer Dados Pessoais do Cliente recebidos pelos Afiliados da GoDaddy devem ser considerados como recebidos pela GoDaddy. A GoDaddy declara que tomará todas as medidas razoavelmente necessárias para assegurar que os Afiliados dela cumprem as obrigações da GoDaddy relativamente ao tratamento de Dados Pessoais do Cliente ao abrigo da presente ATD. A GoDaddy é responsável pela conformidade dos Afiliados da GoDaddy com todos os termos da presente ATD.
3.1 O Cliente fornece uma autorização geral à GoDaddy para contratar subcontratantes ulteriores.
3.2 Convidamos o Utilizador a consultar uma lista dos nossos Subcontratantes Ulteriores.
3.3 Antes da transferência dos Dados Pessoais do Cliente para um Subcontratante Ulterior, a GoDaddy: (a) celebrará um contrato por escrito com o Subcontratante Ulterior que tenha, pelo menos, o mesmo nível de proteção dos Dados do Cliente que a presente ATD; (b) aplicará diligência devida para confirmar que o Subcontratante Ulterior consegue cumprir os termos substanciais da presente ATD e as Leis de Proteção de Dados relativas ao tratamento de Dados Pessoais pela GoDaddy, incluindo requisitos de segurança de informações das Secções 5, 6 e 8 e do Apêndice 2 da presente ATD.
3.4 A GoDaddy é responsável pelos atos e pelas omissões dos respetivos Subcontratantes Ulteriores, incluindo atos ou omissões dos subcontratantes ulteriores dos Subcontratantes Ulteriores. 3.5 Novos Subcontratantes Ulteriores; direito de oposição.
4. Processo Jurídico e outros pedidos de terceiros relativos a Dados Pessoais do Cliente
3.2 Convidamos o Utilizador a consultar uma lista dos nossos Subcontratantes Ulteriores.
3.3 Antes da transferência dos Dados Pessoais do Cliente para um Subcontratante Ulterior, a GoDaddy: (a) celebrará um contrato por escrito com o Subcontratante Ulterior que tenha, pelo menos, o mesmo nível de proteção dos Dados do Cliente que a presente ATD; (b) aplicará diligência devida para confirmar que o Subcontratante Ulterior consegue cumprir os termos substanciais da presente ATD e as Leis de Proteção de Dados relativas ao tratamento de Dados Pessoais pela GoDaddy, incluindo requisitos de segurança de informações das Secções 5, 6 e 8 e do Apêndice 2 da presente ATD.
3.4 A GoDaddy é responsável pelos atos e pelas omissões dos respetivos Subcontratantes Ulteriores, incluindo atos ou omissões dos subcontratantes ulteriores dos Subcontratantes Ulteriores. 3.5 Novos Subcontratantes Ulteriores; direito de oposição.
3.5.1 A GoDaddy envidará esforços razoáveis para notificar o Cliente por escrito com, pelo menos, sessenta (60) dias de antecedência se a GoDaddy tiver intenção de nomear um novo Subcontratante Ulterior; contudo, se o aviso com sessenta (60) dias de antecedência não for necessário, a GoDaddy notificará o Cliente sem atraso indevido após a nomeação de um novo Subcontratante Ulterior caso a nomeação imediata seja necessária para manter a segurança dos Dados Pessoais do Cliente ou para cumprir a legislação aplicável.
3.5.2 Se o Cliente se opuser razoavelmente a um novo Subcontratante Ulterior, o Cliente tem de notificar a GoDaddy por escrito no prazo de trinta (30) dias após a nomeação do Subcontratante Ulterior. Segundo o critério exclusivo da GoDaddy, a GoDaddy poderá envidar esforços comercialmente razoáveis para responder à oposição do Cliente. Se as Partes não conseguirem resolver a oposição do Cliente no prazo de trinta (30) dias, o Cliente poderá rescindir a presente ATD e qualquer parte do Contrato relativamente ao tratamento de Dados Pessoais do Cliente.
3.5.3 Se o Cliente não se opuser a um novo Subcontratante Ulterior no prazo de trinta (30) dias após o aviso da nomeação do Subcontratante Ulterior, considera-se que o Cliente aceitou o novo Subcontratante Ulterior.
3.5.4 O aviso sobre um novo Subcontratante Ulterior pode ser fornecido ao atualizar a lista de Subcontratantes Ulteriores descrita na Secção 3.2.
4.1 A GoDaddy não responderá a nenhum pedido informal de Dados Pessoais do Cliente da parte de um órgão governamental, uma autoridade ou qualquer outra pessoa, exceto em resposta a intimação, mandado de busca, ordem judicial ou outro processo jurídico semelhante (coletivamente, "Processo Jurídico"), exceto se a divulgação for determinada pela GoDaddy, segundo o critério razoável desta, como sendo (a) exigida por lei; (b) necessária para proteger os sistemas ou dados da GoDaddy contra danos ou utilização indevida; ou (c) necessária para proteger a GoDaddy ou qualquer outra pessoa de danos materiais ou corporais.
5. Segurança de dados
4.2 Exceto conforme proibido por lei, a GoDaddy notificará o Cliente de imediato caso receba um Processo Jurídico que exija que a GoDaddy forneça acesso ou divulgue Dados Pessoais do Cliente.
4.3 Exceto se exigido de outra forma por lei, a GoDaddy cooperará com o Cliente (sendo o Cliente a cobrir as despesas razoáveis) em todos os esforços do Cliente para impedir a divulgação dos Dados Pessoais do Cliente em resposta a um Processo Jurídico.
5.1 A GoDaddy mantém um programa de segurança de informações que inclui medidas técnicas e organizacionais adequadas e documentadas para garantir um nível de segurança apropriado ao risco do Tratamento dos Dados Pessoais do Cliente ao abrigo do Contrato, incluindo quaisquer medidas específicas exigidas pelas Leis de Proteção de Dados aplicáveis.
6. Incidentes de Segurança de Dados
5.2 O Cliente reconhece expressamente que a GoDaddy fornece funcionalidades de segurança que o Cliente pode utilizar para proteger os Dados Pessoais do Cliente. O Cliente é o único responsável por tomar medidas apropriadas com base no risco para proteger a segurança da conta do Cliente e dos Dados Pessoais do Cliente que estejam no controlo do Cliente, incluindo através da utilização de funcionalidades de segurança que a GoDaddy fornece. O Cliente também é o único responsável por assegurar que todo o conteúdo que o Cliente coloca ou faz colocar nos Serviços está livre de vulnerabilidades que possam resultar em riscos para os sistemas da GoDaddy e os Dados Pessoais do Cliente, nomeadamente software malicioso. A GoDaddy não é responsável por fazer cópias de segurança dos Dados Pessoais do Cliente.
5.3 O Cliente tem de cumprir todos os requisitos do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento ("PCI-DSS") e apenas poderá fornecer Dados Pessoais do Cliente à GoDaddy que contenham informações sobre o titular do cartão de pagamento por crédito, débito ou outro ("Dados do PCI-DSS") em relação aos Serviços GoDaddy especificamente criados para realizar o Tratamento desses Dados do PCI-DSS. O Cliente é o único responsável por qualquer violação dos requisitos do PCI-DSS caso o Cliente utilize os Serviços GoDaddy para realizar o tratamento ou conservar Dados do PCI-DSS fora das ofertas de Serviço da GoDaddy em conformidade com o PCI-DSS.
5.4 Além de quaisquer medidas necessárias para a GoDaddy cumprir as obrigações que lhe recaem ao abrigo das Leis de Proteção de Dados aplicáveis e dos Requisitos do PCI-DSS para os Serviços da GoDaddy em conformidade com o PCI-DSS, a GoDaddy implementará as medidas técnicas e organizacionais específicas que se encontram identificadas no Apêndice 2 da presente ATD.
6.1 A GoDaddy dá várias oportunidades ao Cliente de aceder e controlar os Dados Pessoais do Cliente tratados em nome do Cliente. Mais, a GoDaddy não é responsável por, de forma acidental ou ilícita, nenhuma destruição, perda, alteração e divulgação não autorizada dos Dados Pessoais do Cliente ou acesso aos mesmos, que não resulte de um risco dos sistemas da GoDaddy. São exemplos de Incidentes de Segurança pelos quais a GoDaddy não é responsável a falha por parte do Cliente de manter a confidencialidade das respetivas palavras-passe, a transferência de conteúdo malicioso ou qualquer outra vulnerabilidade de segurança provocada pelos Serviços e pelo ambiente alojado pelo Cliente ou introduzida nestes.
7. Direitos do Titular dos Dados
6.2 A GoDaddy envidará esforços comercialmente razoáveis para notificar o Cliente relativamente a uma falha de segurança dos sistemas da GoDaddy que resulte, de forma acidental ou ilícita, na destruição, perda, alteração e divulgação não autorizada dos Dados Pessoais do Cliente ou no acesso aos mesmos ("Incidente de Segurança") dentro do período exigido pela legislação aplicável.
6.3 A GoDaddy tomará medidas adequadas e com base no risco que sejam razoavelmente necessárias para conter, mitigar e remediar um Incidente de Segurança sem atraso irrazoável.
6.4 A GoDaddy fornecerá informações razoavelmente solicitadas pelo Cliente para avaliar o impacto de um Incidente de Segurança nos Dados Pessoais do Cliente e para o Cliente fornecer um aviso sobre o Incidente de Segurança às autoridades governamentais, aos Titulares dos Dados afetados ou a quaisquer outras pessoas.
6.5 O reconhecimento pela GoDaddy de um Incidente de Segurança ou uma decisão para notificar o Cliente de um Incidente de Segurança não constitui uma admissão de culpa nem de responsabilidade.
7.1 O Cliente é o único responsável por responder a quaisquer pedidos para exercer os direitos de um Titular de Dados ao abrigo das Leis de Proteção de Dados, das políticas de privacidade do Cliente ou das condições de serviço do Cliente, nomeadamente pedidos de conhecimento, acesso, retificação ou apagamento dos Dados Pessoais do Cliente ("Pedidos dos Titulares dos Dados").
8. Avaliações do impacto da proteção de dados, consultoria anterior e questões sobre conformidade
7.2 A GoDaddy não responderá a um Pedido de um Titular de Dados exceto mediante instruções documentadas do Cliente ou conforme exigido de outra forma na legislação aplicável.
7.3 A GoDaddy notificará o Cliente sobre qualquer Pedido do Titular dos Dados. O Cliente é o único responsável pela resposta a pedidos de Titulares dos Dados. Se o Cliente tiver recorrido a todos os meios disponíveis para responder a um Pedido de Titular dos Dados, sob reserva do acordo do Cliente em pagar as despesas razoáveis da GoDaddy antecipadamente, a GoDaddy fornecerá ao Cliente a assistência razoavelmente necessária para permitir que o Cliente responda a um Pedido de Titular dos Dados.
8.1 Avaliações do impacto da proteção de dados, consultoria anterior. A GoDaddy fornecerá assistência razoável ao Cliente, sendo o Cliente a suportar as despesas, para realizar quaisquer avaliações de impacto ou consultorias de proteção dos dados com autoridades governamentais ou entidades reguladoras relativamente ao tratamento de Dados Pessoais do Cliente.
9. Requisitos específicos de jurisdição e Transferências internacionais de Dados Pessoais
8.2 Questões sobre conformidade. O Cliente pode solicitar periodicamente informações razoavelmente necessárias para confirmar a conformidade da GoDaddy com as obrigações que lhe recaem ao abrigo das Leis de Proteção de Dados aplicáveis. Se a GoDaddy não responder ao pedido do Cliente no prazo de quarenta e cinco (45) dias, o Cliente poderá rescindir o Contrato. Para que não subsistam dúvidas, nada na presente ATD concede ao Cliente o direito de realizar uma auditoria das atividades comerciais, dos sistemas ou dos serviços da GoDaddy. A obrigação da GoDaddy no âmbito da presente secção está limitada a fornecer ao Cliente informações razoavelmente necessárias para confirmar que a GoDaddy está em conformidade com as obrigações que lhe recaem ao abrigo das Leis de Proteção de Dados.
9.1 O Tratamento dos Dados Pessoais do Cliente ao abrigo da presente ATD poderá envolver o Tratamento regulado por uma ou mais Leis de Proteção de Dados e/ou poderá envolver a transferência internacional de Dados Pessoais do Cliente.
10. Disposições gerais
9.2 Se os Dados Pessoais do Cliente tiverem origem nos Estados Unidos da América, aplicam-se os termos relativos às Leis de Proteção de Dados dos EUA especificadas no Apêndice 3 (Secção 1) da presente ATD.
9.3 Se os Dados Pessoais do Cliente tiverem origem na União Europeia ou no Espaço Económico Europeu ("UE/EEE"), no Reino Unido ou na Suíça ou se o Cliente residir numa ou mais destas jurisdições, aplicam-se os termos relativos às Leis de Proteção de Dados na UE, no EEE, no Reino Unido e/ou na Suíça especificados no Apêndice 3 (Secção 2) da presente ATD.
9.4 Se for necessário um mecanismo válido para a transferência de dados internacional ("Mecanismo de Transferência Obrigatório") para transferir legalmente os Dados Pessoais do Cliente, aplicam-se os termos especificados no Apêndice 4 da presente ATD.
10.1 Acordo integral; interpretação. A presente ATD constitui o acordo integral entre as Partes relativamente ao objeto da presente ATD e sobrepõe-se a todas as declarações, entendimentos, acordos e comunicações anteriores ou atuais entre as Partes, por escrito ou orais, relativamente ao objeto da presente ATD. Em caso de conflito entre a presente ATD e o Contrato (ou qualquer outro acordo entre as Partes), a presente ATD regerá e controlará todos os aspetos relativos ao objeto da presente ATD. Em caso de conflito entre os termos da presente ATD e as Disposições de Transferência Obrigatórias descritas no Apêndice 4, prevalecem as Disposições de Transferência Obrigatórias.
Apêndice 1: Detalhes do Tratamento de Dados Pessoais do Cliente
10.2 Emenda. A presente ATD poderá ser alterada ou emendada pela GoDaddy segundo o exclusivo critério desta e ao abrigo dos procedimentos estabelecidos no Contrato. Se o Cliente não concordar com a emenda, o único direito do Cliente é rescindir a parte do Contrato relativa ao Tratamento de Dados Pessoais do Cliente mediante um aviso com trinta (30) dias de antecedência. Salvo se expressamente acordado pelas Partes por escrito, qualquer emenda do presente Contrato entra em vigor apenas no que diz respeito ao Tratamento que ocorre após a data da referida emenda.
10.3 Renúncia. A renúncia a qualquer violação da presente ATD apenas produz efeitos se for realizada por escrito por um representante autorizado da Parte que renuncia à violação e nenhuma renúncia será interpretada como uma renúncia de uma violação subsequente.
10.4 Divisibilidade do Contrato. Se se verificar que alguma disposição da presente ATD é inexequível, a disposição em causa será alterada na medida necessária para a tornar exequível e o restante da presente ATD continuará a produzir efeitos segundo a redação corrente. No entanto, se a alteração de uma disposição inexequível resultar na falha da finalidade essencial da presente ATD, toda a ATD será considerada nula e sem efeito, exceto em caso de emenda conforme a Secção 10.2.
10.5 Avisos. Exceto conforme expressamente definido no presente, os avisos exigidos ao abrigo da presente ATD serão fornecidos de acordo com os requisitos de Aviso estabelecidos no Contrato.
10.6 Responsabilidade. A presente ATD não fornece nenhuma base para que qualquer Parte ou outra pessoa seja ressarcida por danos de qualquer tipo além dos definidos no Contrato e sob reserva de todas as limitações estabelecidas no mesmo.
10.7 Aplicação. Os termos da presente ATD apenas poderão ser aplicados pelas Partes em nome delas mesmas e dos respetivos Afiliados, de acordo com as disposições de resolução de litígios estabelecidas no Contrato. Contudo, esta restrição de aplicabilidade não produz efeitos sobre a capacidade de um Titular dos Dados individual aplicar os respetivos direitos ao abrigo das Leis de Proteção de Dados.
10.8 Cessação. Exceto em caso de cessação antecipada ao abrigo do Contrato ou de qualquer outra disposição aplicável da presente ATD ou de qualquer Lei de Proteção de Dados aplicável, a presente ATD cessará após a conclusão do Tratamento ou a cessação do Contrato, conforme o que ocorrer depois. Após a cessação da presente ATD, a GoDaddy devolverá, eliminará ou removerá a identificação dos Dados Pessoais do Cliente ao abrigo dos termos do Contrato e da presente ATD, exceto se for exigido à GoDaddy que mantenha os Dados Pessoais do Cliente ao abrigo da legislação aplicável. Se a GoDaddy for obrigada a conservar Dados Pessoais do Cliente após a cessação do Contrato, a GoDaddy continuará a cumprir as respetivas obrigações relativas ao Tratamento de Dados Pessoais do Cliente ao abrigo da presente ATD e devolverá ou eliminará imediatamente todos os Dados Pessoais do Cliente em causa quando a conservação deixar de ser exigida por lei.
10.9 Legislação vigente e jurisdição. A presente ATD rege-se pelas leis estipuladas no Contrato, exceto se as Leis de Proteção de Dados o exigirem de outra forma, caso em que se aplicam as leis da jurisdição indicada pelas Leis de Proteção de Dados. Nenhuma disposição da presente ATD deve ser entendida como limitativa dos direitos ou das obrigações de alguém ao abrigo de qualquer Lei de Proteção de Dados aplicável.
O presente Apêndice 1 inclui detalhes sobre o Tratamento de Dados Pessoais do Cliente exigidos ao abrigo das Leis de Proteção de Dados.
Objeto e duração do Tratamento dos Dados Pessoais do Cliente:
O objeto e a duração do Tratamento dos Dados Pessoais do Cliente encontram-se descritos no Contrato.
A natureza e a finalidade do Tratamento de Dados Pessoais do Cliente:
O Tratamento de Dados Pessoais do Cliente pela GoDaddy é exigido de forma razoável para fornecer os Serviços conforme descrito no Contrato.
Tipos de Dados Pessoais e categorias de Titulares dos Dados:
Os tipos de Dados Pessoais do Cliente e as categorias de Titulares dos Dados são controlados pelo Cliente e/ou o Responsável pelo Tratamento que forneceu os Dados Pessoais do Cliente ao Cliente segundo o exclusivo critério deste.
Dados sensíveis ou categorias especiais de dados:
Poderão ser tratados Dados Sensíveis ocasionalmente ao abrigo do Contrato. Os tipos de Dados Sensíveis tratados ao abrigo do Contrato são determinados pelo Cliente e/ou o Responsável pelo Tratamento que forneceu os Dados Sensíveis ao Cliente segundo o exclusivo critério deste.
Obrigações e direitos do Responsável pelo Tratamento:
As obrigações e os direitos do Cliente encontram-se descritos no Contrato e na presente ATD.
Apêndice 2: Medidas de Segurança Organizacionais e Técnicas1. Aplicabilidade
1.1 Os requisitos do Apêndice 2 aplicam-se à GoDaddy e a qualquer Subcontratante Ulterior (nomeadamente qualquer fornecedor de serviços de nuvem) a que a GoDaddy recorra para fornecer os Serviços e/ou realizar o Tratamento dos Dados Pessoais do Cliente.
1.2 Se a GoDaddy utilizar algum Subcontratante Ulterior para fornecer os Serviços e/ou realizar o Tratamento de Dados Pessoais do Cliente, a GoDaddy deve assegurar que o Subcontratante Ulterior em causa cumpre todos os requisitos do presente Apêndice.
2. Gestão da privacidade de informações e da segurança de dados
2.1 Processo de gestão de riscos. A GoDaddy deve manter um processo de gestão de riscos apropriado para enquadrar, avaliar, responder e monitorizar riscos dos Dados Pessoais do Cliente, de forma consistente com as obrigações da GoDaddy ao abrigo do Contrato, da ATD e da legislação aplicável.
2.2 Âmbito do programa de segurança de informações. No mínimo, o programa de segurança de informações da GoDaddy, incluindo todas as políticas aplicáveis de privacidade e proteção de dados, deve ser concebido para:
2.2.1 proteger a confidencialidade, integridade e disponibilidade dos Dados Pessoais do Cliente na posse ou no controlo da GoDaddy ou aos quais a GoDaddy tenha acesso; e
2.2.2 proteger de ameaças ou perigos razoavelmente previstos quanto à confidencialidade, integridade e disponibilidade de Dados Pessoais do Cliente.
2.3 Atualizações do programa de segurança de informações. A GoDaddy analisará e atualizará regularmente o programa de segurança de informações de acordo com as práticas e os quadros padrões na indústria apropriados ao tipo, volume e sensibilidade dos Dados Pessoais do Cliente tratados pela GoDaddy.
2.4 Avaliações e testes de riscos. A GoDaddy realizará regularmente avaliações de riscos para todos os sistemas que realizam o tratamento de Dados Pessoais do Cliente e realizará periodicamente testes de penetração de terceiros nas aplicações e na infraestrutura utilizadas para fornecer os Serviços conforme razoavelmente considerado necessário pela GoDaddy.
2.5 Continuidade e resiliência. A GoDaddy implementará medidas adequadas para proteger a integridade e a disponibilidade dos respetivos sistemas que realizam o Tratamento de Dados Pessoais do Cliente, incluindo medidas como a monitorização do desempenho e da disponibilidade, a criação de sistemas redundantes e resilientes, a utilização de fontes de alimentação ininterruptas, proteção contra DDoS, testes de carga e stress e outras medidas semelhantes.3. Segurança organizacional
3.1 Responsabilização. A GoDaddy desenvolverá e implementará políticas e procedimentos de segurança de informações por escrito que definam claramente a responsabilidade de proteção dos Dados Pessoais do Cliente que recai sobre a GoDaddy, incluindo a designação de um ou mais indivíduos em particular para serem responsáveis pela administração do programa de segurança de informações da GoDaddy e da proteção dos Dados Pessoais do Cliente.
3.2 Gestão de ativos e controlos. A GoDaddy manterá uma política de gestão de ativos e controlos de ativos, incluindo a classificação de ativos e um inventário de dispositivos e sistemas que são utilizados para fornecer os Serviços e/ou realizar o tratamento dos Dados Pessoais do Cliente.
3.3 Segurança física. A GoDaddy também deverá implementar controlos com base no risco para manter a segurança física das instalações, incluindo a implementação de medidas razoáveis para assegurar que apenas os utilizadores autorizados têm acesso a dispositivos eletrónicos, redes, sistemas críticos, aplicações, sala de servidores, salas de comunicações e ambientes de trabalho da GoDaddy. As medidas que a GoDaddy poderá implementar, conforme apropriado, incluem alarmes, monitorização por CCTV, gestão de acesso de visitantes e destruição de Dados Pessoais em dispositivos físicos antes da eliminação/reciclagem.
4. Operações de segurança
4.1 Configuração de sistemas seguros. A GoDaddy estabelecerá controlos para assegurar que os sistemas utilizados para fornecer os Serviços e/ou realizar o Tratamento dos Dados Pessoais do Cliente são seguramente configurados.
4.2 Gestão de correções e vulnerabilidades. A GoDaddy estabelecerá e manterá um sistema de gestão de correções e vulnerabilidades que assegure que todos os sistemas utilizados para fornecer os Serviços e/ou realizar o Tratamento dos Dados Pessoais do Cliente recebem correções que protejam de vulnerabilidades de segurança conhecidas num período razoável com base no grau de importância da correção e da sensibilidade dos Dados Pessoais do Cliente.
4.3 Prevenção de malware. A GoDaddy implementará controlos de deteção, prevenção e resolução para proteger de software malicioso (incluindo programas adequados de consciencialização do utilizador).
4.4 Início de sessão e auditoria. A GoDaddy implementará um programa de gestão de registos que define o âmbito, a criação, o armazenamento, a análise e a eliminação de registos utilizando padrões da indústria com base no risco.
4.5 Deteção de Incidentes de Segurança e resposta. A GoDaddy manterá sistemas com base no risco para detetar Incidentes de Segurança conforme exigido pela Secção 6 do Contrato, incluindo a utilização de intrusões e sistemas de prevenção de intrusões.
5. Formação
A GoDaddy assegurará que o respetivo pessoal receberá formação regular sobre as obrigações de confidencialidade e de proteção de dados que lhe recai relativamente aos Dados Pessoais do Cliente.
6. Controlos de acesso
6.1 Identificação única. A GoDaddy atribuirá credenciais de utilizador únicas e individuais ao pessoal para aceder aos Dados Pessoais do Cliente, nomeadamente ao pessoal com acesso administrativo.
6.2 Gestão de palavras-passe. A GoDaddy implementará políticas e procedimentos para a gestão de palavras-passe, incluindo a gestão de palavras-passe centralizada e políticas de palavras-passe.
6.3 Autenticação multifator. A GoDaddy implementará a autenticação multifator para acesso remoto a redes, sistemas ou aplicações utilizadas para realizar o Tratamento e/ou conservar os Dados Pessoais do Cliente.
6.4 Privilégios mínimos. A GoDaddy restringirá o acesso aos Dados Pessoais do Cliente ao pessoal que está sujeito a obrigações de confidencialidade adequadas e que tem uma "necessidade de conhecimento" ou "necessidade de acesso" para a finalidade de fornecimento dos Serviços.
7. Controlos de segurança de dados
7.1 Segregação de dados. A GoDaddy manterá os Dados Pessoais do Cliente em ambientes seguros e separados de forma lógica.
7.2 Encriptação e outras medidas. A GoDaddy empregará medidas apropriadas com base no risco para proteger os Dados Pessoais do Cliente, incluindo encriptação, pseudonimização e outras medidas apropriadas, como a implementação de algoritmos para o hashing de segredos, o que inclui palavras-passe e tokens de API utilizados para aceder a sistemas com os Dados Pessoais do Cliente.
Apêndice 3: termos específicos de jurisdição
1. Estados Unidos da América
1.1 Califórnia.
1.1.1 Definições.
1.1.1.1 Os seguintes termos são especificamente definidos de acordo com as definições estabelecidas nas Leis de Proteção de Dados da Califórnia: "Empresa", "Finalidade Comercial", "Fornecedor de Serviços", "Venda", "Partilha" e "Terceiros".
1.1.1.2 O termo "Dados Pessoais do Cliente" inclui Informações Pessoais de uma pessoa singular ou um agregado familiar identificado ou identificável.
1.1.2 Funções das Partes.
1.1.2.1 Se o Cliente for considerado uma Empresa ao abrigo das Leis de Proteção de Dados da Califórnia aplicáveis, todas as referências aos direitos e às obrigações do Cliente na qualidade de Responsável pelo Tratamento no âmbito da presente ATD devem ser entendidas como referências aos direitos e às obrigações do Cliente na qualidade de Empresa. Se o Cliente for considerado um Fornecedor de Serviços ao abrigo das Leis de Proteção de Dados da Califórnia aplicáveis, todas as referências aos direitos e às obrigações do Cliente na qualidade de Subcontratante no âmbito da presente ATD devem ser entendidas como referências aos direitos e às obrigações do Cliente na qualidade de Fornecedor de Serviços.
1.1.2.2 Se a GoDaddy for considerada um Fornecedor de Serviços ou Terceiros no âmbito das Leis de Proteção de Dados da Califórnia, todas as referências aos direitos e às obrigações da GoDaddy na qualidade de Subcontratante ou Subcontratante Ulterior ao abrigo da presente ATD devem ser entendidas como referências aos direitos e às obrigações da GoDaddy na qualidade de Fornecedor de Serviços ou Terceiros, conforme aplicável.
1.2 Estados Unidos da América (incluindo a Califórnia).
1.2.1 A GoDaddy não poderá (a) vender nem partilhar Dados Pessoais do Cliente; (b) conservar, utilizar nem divulgar os Dados Pessoais do Cliente para qualquer finalidade que seja diferente das finalidades comerciais especificadas no Contrato; ou (c) conservar, utilizar nem divulgar quaisquer Dados Pessoais do Cliente fora da relação comercial direta entre a GoDaddy e a Sociedade.
1.2.2 O acesso da GoDaddy aos Dados Pessoais do Cliente não faz parte da consideração trocada entre as Partes ao abrigo do Contrato.
1.2.3 O Cliente deve ter o direito de tomar medidas razoáveis para: (a) verificar se a GoDaddy realiza o tratamento de Dados Pessoais do Cliente de uma forma consistente com a presente ATD, incluindo com o exercício dos direitos estabelecidos na Secção 8 da ATD; (b) exigir a interrupção e a resolução das atividades de Tratamento por parte da GoDaddy realizadas de uma forma que viole os termos da ATD; e (c) tomar quaisquer outras medidas razoáveis (conforme determinado segundo o critério exclusivo do Cliente) para garantir a conformidade da GoDaddy com a presente ATD. Se a GoDaddy não conseguir ou não estiver disposta a cumprir os requisitos razoáveis do Cliente ao abrigo da presente Secção 1.2.3, o único direito do Cliente é rescindir a presente ATD e a parte do Contrato relativa ao tratamento de Dados Pessoais do Cliente.
1.2.4 A GoDaddy certifica que compreende e cumprirá as obrigações no âmbito das Leis de Proteção de Dados e da presente ATD, incluindo todas as restrições ao Tratamento de Dados Pessoais do Cliente.
2. União Europeia/Espaço Económico Europeu
2.1 Subcontratantes Ulteriores
2.1.1 Quando a GoDaddy contrata um Subcontratante Ulterior, a mesma:
2.1.1.1 exigirá que o Subcontratante Ulterior cumpra as medidas técnicas e organizacionais estabelecidas nas Secções 5, 6 e 8 do QPD e no Apêndice 2 da ATD que são adequadas à natureza do tratamento realizado pelo Subcontratante Ulterior, nomeadamente todas as medidas técnicas e organizacionais exigidas pelo Artigo 28.º do Regulamento Geral sobre a Proteção de Dados ("RGPD") da UE; e
2.2 Responsabilidade por penalizações regulamentares. Não obstante qualquer outro termo definido na presente ATD ou no Contrato (incluindo obrigações de indemnização de qualquer uma das Partes ao abrigo do Contrato), nenhuma Parte será responsável por multas emitidas ou atribuídas por uma autoridade reguladora ou um órgão governamental à outra Parte, incluindo quaisquer multas ao abrigo do Artigo 83.º do RGPD do Reino Unido.
2.1.1.2 exigirá que o Subcontratante Ulterior concorde por escrito apenas realizar o tratamento de Dados Pessoais do Cliente (a) na UE ou no EEE; (b) num país que a União Europeia tenha considerado como tendo um nível "adequado" de proteção de dados; ou (c) com base nos termos estabelecidos no Apêndice 4 relativamente a Transferências internacionais de Dados Pessoais do Cliente.
3. Suíça
3.1 Quando a GoDaddy contrata um Subcontratante Ulterior, a mesma:
3.1.1 exigirá que o Subcontratante Ulterior cumpra as medidas técnicas e organizacionais estabelecidas nas Secções 5, 6 e 8 e no Apêndice 2 da ATD, que são adequadas à natureza do tratamento realizado pelo Subcontratante Ulterior, nomeadamente todas as medidas técnicas e organizacionais exigidas pelo Artigo 28.º do RGPD; e
3.1.2 exigirá que o Subcontratante Ulterior concorde por escrito apenas realizar o tratamento de Dados Pessoais do Cliente (a) na Suíça; (b) na UE ou no EEE; (c) noutro país que a Comissão Europeia tenha declarado ter um nível "adequado" de proteção de dados; ou (d) com base nos termos estabelecidos no Apêndice 4 relativamente a Transferências internacionais de Dados Pessoais do Cliente.
3.2 Na medida em que as Transferências de Dados Pessoais do Cliente são realizadas a partir da Suíça com base nas Cláusulas Contratuais-Tipo da UE (conforme definidas no Apêndice 4), aplicam-se as seguintes emendas:
3.2.1 As referências a "Estado-Membro" serão interpretadas como incluindo a Suíça; e
3.2.2 Uma vez que as Transferências estão sujeitas à Federal Act on Data Protection (lei federal de proteção de dados da Suíça, "LFPD"), as referências ao Regulamento (UE) 2016/679 serão consideradas referências à LFPD.
3.3 Na medida exigida pela LFPD, considera-se que as Cláusulas Contratuais-Tipo da UE incluem dados relativos a entidades jurídicas como Dados Pessoais do Cliente.4. Reino Unido
4.1 As referências ao RGPD serão consideradas referências às leis e aos regulamentos correspondentes no Reino Unido, nomeadamente o RGPD do Reino Unido e a Data Protection Act (lei sobre a proteção de dados do Reino Unido) de 2018.
4.2 Quando a Sociedade contratar um Subcontratante Ulterior, a mesma:
Apêndice 4: Mecanismos de Transferência Transfronteiriça Obrigatórios
4.2.1 exigirá que o Subcontratante Ulterior cumpra as medidas técnicas e organizacionais estabelecidas nas Secções 5, 6 e 8 e no Apêndice 2 da ATD que sejam adequadas à natureza do tratamento realizado pelo Subcontratante Ulterior, nomeadamente todas as medidas técnicas e organizacionais exigidas pelo Artigo 28.º do RGPD do Reino Unido; e
4.2.2 exigirá que o Subcontratante Ulterior concorde por escrito apenas realizar o tratamento de Dados Pessoais do Cliente (a) no Reino Unido; (b) na UE ou no EEE; (c) noutro país que o Reino Unido tenha declarado ter um nível "adequado" de proteção de dados; ou (d) com base nos termos estabelecidos no Apêndice 4 relativamente a Transferências internacionais de Dados Pessoais do Cliente.
1. Definições
1.1 Entende-se por "Quadro de Privacidade de Dados" ("QPD") os programas de certificação do Quadro de Privacidade de Dados UE-EUA, Suíça-EUA ou Reino Unido-EUA, operados pelo Ministério do Comércio dos EUA [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Entende-se por "Data Bridge Reino Unido-EUA" a Extensão do Quadro de Privacidade de Dados UE-EUA para o Reino Unido.
1.3 Entende-se por "Cláusulas Contratuais-Tipo da UE" as cláusulas contratuais-tipo aprovadas pela Comissão Europeia e apensas ao anexo da Decisão 2021/914 de junho de 2021.
1.4 O Contrato de Transferência de Dados Internacional do Reino Unido ("CTDI do Reino Unido") emitido pelo Comissário das Informações do Reino Unido, versão B1.0, considera-se celebrado pelas Partes na Data de Entrada em Vigor do Contrato e as Cláusulas Contratuais-Tipo da UE consideram-se emendadas conforme especificado pelo CTDI do Reino Unido relativamente a transferências de dados a partir do Reino Unido.
2. Ordem de precedência
2.1 Não é utilizado nenhum Mecanismo de Transferência Obrigatório se uma transferência for realizada para um país que se considere oferecer um nível adequado de proteção de dados de acordo com as Leis de Proteção de Dados do país a partir do qual os Dados Pessoais do Cliente são transferidos.
2.2 Se uma Transferência for necessária e essa Transferência for abrangida por mais do que um Mecanismo de Transferência Obrigatório, a Transferência estará sujeita a um único Mecanismo de Transferência Obrigatório de acordo com a seguinte ordem de precedência: (a) o QPD da UE ou Suíça aplicável; (b) a "Data Bridge" Reino Unido-EUA; (c) as Cláusulas Contratuais-Tipo da UE; (d) o CTDI do Reino Unido; ou (e) qualquer outro Mecanismo de Transferência Obrigatório aplicável permitido ao abrigo da Lei de Proteção de Dados aplicável.
2.3 Se um Mecanismo de Transferência Obrigatório for considerado inválido após a celebração do presente Contrato, considera-se que todas as Transferências futuras serão realizadas através do Mecanismo de Transferência Obrigatório válido e aplicável seguinte.
3. Quadro de Privacidade de Dados
3.1 Autocertificação.
3.1.1 Certificação da GoDaddy. A GoDaddy declara que tem autocertificação ao abrigo do QPD. Mais, a GoDaddy aceita (a) fornecer pelo menos o mesmo nível de proteção a quaisquer Dados Pessoais do Cliente, conforme exigido ao abrigo dos Princípios de Privacidade de Dados do QPD; (b) notificar o Cliente por escrito sem atraso indevido, caso a certificação da GoDaddy relativamente ao QPD seja retirada, cessada, revogada ou invalidada de outra forma; e (c) mediante aviso por escrito do Cliente, tomar as medidas razoáveis e apropriadas para interromper e resolver qualquer tratamento não autorizado dos Dados Pessoais do Cliente.
3.1.2 Certificação da Sociedade. Sendo a Sociedade certificada ao abrigo do QPD, a Sociedade aceita (a) fornecer pelo menos o mesmo nível de proteção a quaisquer Dados Pessoais, conforme exigido ao abrigo dos Princípios de Privacidade de Dados do QPD; (b) notificar a GoDaddy por escrito sem atraso indevido, caso a certificação da Sociedade relativamente ao QPD seja retirada, cessada, revogada ou invalidada de outra forma; e (c) mediante aviso por escrito à GoDaddy, tomar as medidas razoáveis e apropriadas para interromper e resolver qualquer tratamento não autorizado dos Dados Pessoais do Cliente.
3.2 Estado
3.2.1 QPD UE-EUA. Considera-se que o QPD UE-EUA fornece um nível adequado de proteção de dados pela Comissão Europeia ao abrigo de uma decisão de adequação de 10 de julho de 2023, entrando em vigor a 10 de outubro de 2023.
3.2.2 "Data Bridge" Reino Unido-EUA. Considera-se que a "Data Bridge" Reino Unido-EUA fornece um nível adequado de proteção de dados pelo Secretário de Estado para a Ciência, Inovação e Tecnologia do Reino Unido, que estabeleceu regulamentos de adequação no Parlamento a 21 de setembro de 2023. Os regulamentos da "Data Bridge" Reino Unido-EUA entram em vigor a 12 de outubro de 2023 e as Transferências aplicáveis serão realizadas ao abrigo da "Data Bridge" Reino Unido-EUA a partir dessa data.
3.2.3 QPD Suíça-EUA. O QPD Suíça-EUA ainda não entrou em vigor.
3.3 A Sociedade e os Subcontratantes Ulteriores da Sociedade tomarão todas as medidas necessárias para permitir que a GoDaddy cumpra as respetivas obrigações na qualidade de Responsável pelo Tratamento e/ou Subcontratante ao abrigo do QPD, nomeadamente para ajudar a GoDaddy e/ou o Responsável pelo Tratamento a responder a pedidos de indivíduos que queiram exercer os direitos de Titular dos Dados que tenham.3.2.3.1 As Partes concordam que, na medida em que os termos da presente ATD são consistentes com o QPD da Suíça ou seu análogo razoável quando entrar em vigor, as Transferências aplicáveis dos Dados Pessoais do Cliente a partir da Suíça serão tratadas como se fossem realizadas ao abrigo do QPD da Suíça.
3.2.3.2 Se for necessário adicionar quaisquer outros termos à presente ATD de acordo com o QPD da Suíça, as Partes concordam que esses termos devem ser incorporados automaticamente sem nenhuma outra ação das Partes, desde que tais termos adicionais não imponham obrigações substanciais adicionais a qualquer uma das Partes nem afetem substancialmente os termos e condições originais do Contrato.
3.2.3.3 Se não for possível adicionar outros termos de forma automática ao QPD, a presente ATD poderá ser emendada para permitir Transferências ao abrigo do QPD da Suíça.
3.2.3.4 Não obstante qualquer outro termo da presente ATD, nada na presente ATD limita, restringe nem afeta de outra forma a capacidade de as Partes transferirem Dados Pessoais ao abrigo de qualquer outro mecanismo de transferência de dados legítimo.
4. Cláusulas Contratuais-Tipo da UE
4.1 Relativamente a Transferências de Dados Pessoais da UE ou do EEE e da Suíça que estejam sujeitas às Cláusulas Contratuais-Tipo da UE, aplica-se o Módulo Dois (do Responsável pelo Tratamento para o Subcontratante) ou o Módulo Três (do Subcontratante para o Subcontratante), dependendo de a GoDaddy ser um Responsável pelo Tratamento ou Subcontratante relativamente aos Dados Pessoais do Cliente a serem transferidos.
4.2 Relativamente aos Módulos Dois e Três das CCT da UE:
4.2.1 na Cláusula 7.ª, a cláusula de adesão opcional não se aplicará;
4.2.2 na Cláusula 9.ª, a Opção 2 aplicar-se-á e o processo de apresentar um aviso e o período para oposição às alterações do Subcontratante Ulterior serão definidos na Secção 3 da ATD;
4.2.3 na Cláusula 11.ª, o idioma opcional não se aplicará;
4.2.4 na Cláusula 17.ª (Opção 1), as Cláusulas Contratuais-Tipo da UE serão regidas pelas leis internas da Alemanha;
4.2.5 na Cláusula 18.ª, alínea (b), os litígios relativos à ATD serão resolvidos na República Federal da Alemanha.
4.3 Para fins do Anexo I, Parte A:
4.3.1 Exportador de Dados
4.3.1.1 O Exportador de Dados será a Sociedade.
4.3.1.2 A Sociedade poderá ser contactada para as moradas indicadas na apresentação do aviso do Contrato.
4.3.1.3 Ao celebrar a presente ATD, considera-se que a Sociedade assinou as presentes Cláusulas Contratuais-Tipo da UE, incluindo os respetivos Anexos, na Data de Entrada em Vigor do Contrato.
4.3.2 Importador de Dados
4.3.2.1 O Importador de Dados será a GoDaddy e/ou os afiliados autorizados da GoDaddy.
4.3.2.2 A GoDaddy poderá ser contactada para as moradas indicadas na apresentação do aviso do Contrato ou para privacy@GoDaddy.com.
4.3.2.3 Ao celebrar a presente ATD, considera-se que a GoDaddy assinou as Cláusulas Contratuais-Tipo da UE, incluindo os respetivos Anexos, na Data de Entrada em Vigor do Contrato.
4.4 Para fins do Anexo I, Parte B:
4.4.1 as categorias de Titulares dos Dados encontram-se descritas no Apêndice 1;
4.4.2 os dados sensíveis (se existentes) transferidos encontram-se descritos no Apêndice 1;
4.4.3 a frequência da Transferência corresponde à duração do Contrato e da ATD;
4.4.4 a natureza do Tratamento encontra-se descrita no Apêndice 1;
4.4.5 a finalidade do Tratamento encontra-se descrita no Apêndice 1;
4.4.6 o período de Tratamento encontra-se descrito no Apêndice 1.
4.5 Para fins do Anexo I, Parte C, de acordo com a cláusula 13.ª, a autoridade de controlo competente define-se da seguinte forma:
4.5.1 Relativamente a transferências de Dados Pessoais da UE ou do EEE, a Autoridade de Controlo é o Comissário da Renânia do Norte-Vestefália para a Proteção dos Dados e a Liberdade de Informações.
4.5.2 O Comissário Federal da Proteção de Dados e das Informações da Suíça atuará como autoridade de controlo competente na medida em que a Transferência ou Transferência Ulterior relevante se rege pelas Leis e pelos Regulamentos de Proteção de Dados da Suíça.
4.6 No Anexo II das Cláusulas Contratuais-Tipo da UE, o Apêndice 2 contém as medidas técnicas e organizacionais implementadas pela Sociedade na qualidade de Importador de Dados ao abrigo da ATD.
4.7 No Anexo III das Cláusulas Contratuais-Tipo da UE, pode consultar uma lista dos Subcontratantes Ulteriores da Sociedade.5. Contrato de Transferência de Dados Internacional do Reino Unido
5.1 O CTDI do Reino Unido aplica-se às Transferências de Dados Pessoais do Cliente transferidos do Reino Unido para qualquer país fora do Reino Unido que não seja reconhecido pela autoridade reguladora ou o órgão governamental do Reino Unido competente como sendo fornecedor de um nível adequado de proteção de Dados Pessoais.
5.2 Relativamente a Transferências ao abrigo do CTDI do Reino Unido, considera-se o CTDI do Reino Unido celebrado entre as Partes e concluído da seguinte forma:
5.2.1 Na Tabela 1 do CTDI, os detalhes e as informações de contacto principais das Partes encontram-se na Secção 4.3 do presente Apêndice 4.
5.2.2 Na Tabela 2 do CTDI, as informações sobre a versão das Cláusulas Contratuais-Tipo da UE, os módulos e algumas cláusulas a que o CTDI do Reino Unido está apenso encontram-se na Secção 4 do presente Apêndice.
5.2.3 Na Tabela 3 do CTDI do Reino Unido:
5.2.3.1 a lista de Partes encontra-se na Secção 4.3 do presente Apêndice 4;
5.2.3.2 a descrição da transferência está definida no Apêndice 1;
5.2.3.3 o Anexo II encontra-se no Apêndice 2;
5.2.3.4 a lista de Subcontratantes Ulteriores da Sociedade encontra-se no Apêndice 5.
5.2.3.5 Na Tabela 4 do CTDI do Reino Unido, a GoDaddy e a Sociedade poderão rescindir o CTDI do Reino Unido de acordo com os respetivos termos.
5.3 O Comissário das Informações do Reino Unido atuará como autoridade de controlo competente na medida em que a Transferência relevante se rege pelas Leis e pelos Regulamentos de Proteção de Dados do Reino Unido.
5.4 Conflitos. Na medida em que exista algum conflito ou alguma inconsistência entre as Cláusulas Contratuais-Tipo da UE ou o CTDI do Reino Unido e quaisquer outros termos da presente Adenda de Tratamento de Dados, prevalecerão as disposições das Cláusulas Contratuais-Tipo da UE ou o CTDI do Reino Unido, conforme aplicável.
As versões traduzidas de políticas e contratos jurídicos são fornecidas apenas por conveniência, para facilitar a leitura e compreensão das versões em inglês. O objetivo ao fornecer traduções de contratos jurídicos e políticas não é o de criar um contrato legalmente vinculativo nem servir de substituto para a validade legal das versões em inglês. Em caso de qualquer litígio ou conflito, as versões em inglês dos contratos jurídicos e das políticas regem o nosso relacionamento e prevalecerão sobre os termos em qualquer outro idioma.