GoDaddy

ДОДАТКОВА УГОДА ПРО ОБРОБКУ ДАНИХ (ДЛЯ КЛІЄНТІВ)

Остання редакція: 27.09.2021

Додаткова угода про обробку даних (далі – "Додаткова угода") укладена між компанією GoDaddy.com, LLC, a Delaware limited liability company і її Компаньйонами (далі – "GoDaddy") та вами (далі – "Клієнт") і доповнює наші Універсальні умови користування, Політику конфіденційності та всі інші угоди, що регламентують надання Передбачених послуг (разом – "Умови надання послуг").  Якщо в цій Додатковій угоді не зазначено інше, усі невизначені в ній терміни, написані з великої літери, матимуть значення, наведені в Умовах надання послуг.

1. Визначення

«Компаньйони» — це будь-які юридичні особи, які перебувають під контролем компанії GoDaddy, контролюють її або контролюються спільно з нею.

«CCPA» — Закон штату Каліфорнія про захист конфіденційності споживачів, Цивільний кодекс штату Каліфорнія, 1798.100 та далі, включно з будь-якими поправками та виконавчими розпорядженнями про введення в дію, які набувають чинності в дату набуття чинності цієї Додаткової угоди про обробку даних або після неї.

«Задіяні служби» — це послуги, розміщені на хостингу, з приводу яких ми можемо обробляти Особисті дані і які підпадають під дію умов і положень таких Угод: (1) Служби маркетингу електронною поштою, (2) Хостинг, (3) Онлайн-крамниця/Швидкий кошик, (4) Служби створення сайту, (5) Послуга робочого середовища.

«Дані клієнта» — це особисті дані будь-якого суб’єкта даних, оброблені компанією GoDaddy в мережі GoDaddy від імені Клієнта відповідно до Умов надання послуг або у зв’язку з ними.

«Контролер даних» — це Клієнт як суб’єкт, який визначає цілі та засоби Обробки Особистих даних.

«Обробник даних» — це компанія GoDaddy як суб’єкт, який обробляє Особисті дані від імені Контролера даних, або постачальник послуг згідно з визначенням цього терміна в CCPA

«Закони про захист даних» — це всі закони про захист даних або конфіденційність, застосовні до Обробки Особистих даних згідно з Угодою, зокрема (і) австралійські Принципи про недоторканність приватного життя й австралійський Закон про недоторканність приватного життя (1988); (ii) бразильський закон Lei Geral de Proteção de Dados (LGPD), (iii) Закон штату Каліфорнія про захист конфіденційності споживачів (CCPA), (iv) канадський федеральний Закон про захист персональних даних та електронні документи (PIPEDA), (v) Загальний регламент захисту даних (GDPR, Європейський Союз), (vi) будь-які національні закони про захист даних, прийняті відповідно до Загального регламенту захисту даних (GDPR) (vii) Директива ЄС про секретність та електронні комунікації (Директива 2002/58/EC), (viii) Закон про захист особистих даних 2012 (PDPA, Сінгапур); (ix) швейцарський федеральний Закон про захист даних від 19 червня 1992 року й Постанова до нього, (x) Загальний регламент захисту даних у Сполученому Королівстві(UK GDPR) або Закон про захист даних 2018 року; у кожному випадку з урахуванням можливих змін або замін.

«Суб’єкт даних» — це фізична особа, якої стосуються особисті дані.

«ЄEП» — це Європейський економічний простір.

«GDPR» — це Регламент (ЄС) 2016/679 Європейського парламенту та Ради Європи від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою особистих даних і про вільне переміщення таких даних, а також про скасування директиви 95/46/ЄС (Загальний регламент із захисту даних).

«Мережа GoDaddy» — це об’єкти центру обробки даних GoDaddy, сервери, мережеве обладнання та програмні системи хоста (наприклад, віртуальні брандмауери), які перебувають під контролем GoDaddy і використовуються для надання Передбачених послуг.

«Особисті дані» — це будь-яка інформація, що стосується ідентифікованої особи чи сім’ї або особи чи сім’ї, яку можна ідентифікувати, за визначенням Законів про захист даних.

«Обробка» — це будь-яка операція або сукупність операцій, які виконуються з Особистими даними автоматично або вручну, зокрема збирання, записування, упорядкування, структурування, зберігання, адаптація або змінення, отримання, консультування, використання, розкриття шляхом передавання, розповсюдження або надання доступу іншим чином, узгодження або комбінування, обмеження, стирання або знищення. Слова «обробка», «обробляти» й «оброблені» будуть тлумачитися відповідним чином. Докладні відомості про Обробку викладено в Додатку 1.

«Інцидент із безпекою» — a) порушення безпеки Стандартів безпеки GoDaddy, яке призводить до випадкового або незаконного знищення, утрати, змінення, несанкціонованого розголошення будь-яких Даних клієнта або доступу до них; б) будь-який несанкціонований доступ до обладнання або об’єктів GoDaddy, що призводить до знищення, утрати, несанкціонованого розголошення або змінення Даних клієнта.

«Стандарти безпеки» — це стандарти безпеки, включені в цю Додаткової угоди як Додаток 2.​

«Конфіденційні дані» — це (a) індивідуальний податковий номер, номер паспорта, номер посвідчення водія або схожий ідентифікатор (або будь-яка його частина); (б) номер кредитної або дебетової картки (крім останніх чотирьох цифр кредитної або дебетової картки), фінансова інформація, номери або паролі банківського рахунку; (в) працевлаштування, фінансова інформація, генетичні або біометричні дані, інформація про здоров’я; (г) расова або етнічна належність, політичні погляди або релігійні переконання, членство у профспілках або інформація про інтимне життя або сексуальну орієнтацію; (ґ) паролі до облікових записів, дівоче прізвище матері або дата народження; (д) інформація про кримінальне минуле; або (е) будь-яка інша інформація або поєднання інформації, що підпадає під визначення «спеціальні категорії даних» Загального регламенту захисту даних (GDPR) або будь-якого іншого застосовного закону або регламенту, що стосується конфіденційності й захисту даних.

«Стандартні договірні положення» або «СДП» — це стандартні положення про захист даних для передавання особистих даних від контролера до обробника, запроваджені у третіх країнах, які не гарантують належний рівень захисту даних, як описано у Статті 46 Загального регламенту захисту даних (GDPR) і схвалено рішенням 2021/914 Європейської Комісії 4 червня 2021 року. Стандартні договірні положення Модуля два (для обробників) викладено в Додатку 4.

«Субпідрядник з обробки даних» — це будь-який обробник даних, задіяний Обробником для Обробки даних від імені Контролера даних.

«Стандартні договірні положення Сполученого Королівства» — це стандартні положення про захист даних для передавання особистих даних від контролера до обробника, запроваджені у третіх країнах, які не гарантують належний рівень захисту даних, як описано у Статті 46 Загального регламенту захисту даних у Сполученому Королівстві (GDPR) і схвалено рішенням 2010/87/EU Європейської Комісії. Стандартні договірні положення Сполученого Королівства викладено в Додатку 4.                            

2. Обробка даних

2.1 Сфера дії та ролі. Ця Додаткова угода застосовується, коли дані клієнта обробляє компанія GoDaddy. У такому випадку GoDaddy діятиме як Обробник даних від імені Клієнта, який діє як Контролер даних відносно Даних клієнта.

2.2 Докладні відомості про Обробку даних. Обробка даних Клієнта компанією GoDaddy полягає у виконанні Передбачених послуг відповідно до Умов надання послуг. Компанія GoDaddy обробляє Дані клієнта лише від імені Клієнта та відповідно до його документованих інструкцій з такими цілями: (І) Обробка відповідно до Умов надання послуг; (ІІ) Обробка, ініційована кінцевими користувачами під час використання Передбачених послуг; (ІІІ) Обробка для виконання інших документованих, обґрунтованих інструкцій, наданих Клієнтами (наприклад, електронною поштою), якщо такі інструкції відповідають Умовам надання послуг. Компанія GoDaddy не має права: а) обробляти, зберігати, використовувати, продавати або розголошувати Дані клієнта, за винятком випадків, коли це необхідно для надання Передбачених послуг згідно з Умовами надання послуг або передбачено законом; б) продавати такі Дані клієнта будь-якій сторонній особі; в) зберігати, використовувати або розголошувати такі Дані клієнта поза безпосередніми діловими стосунками між компанією GoDaddy і Клієнтом.

Щоб уникнути неоднозначності тлумачення, інструкції Клієнта щодо Обробки Особистих даних мають відповідати всім застосовним законам про конфіденційність даних. Клієнт несе повну відповідальність за точність, якість і законність Особистих даних та за засоби, якими Клієнт отримав Особисті дані. Компанія GoDaddy не зобов’язана виконувати чи додержувати інструкцій Клієнта, якщо ці інструкції порушують Закони про захист даних. Тривалість, характер і мета Обробки, типи особистих даних і категорії суб’єктів даних, оброблених відповідно до цієї Додаткової угоди, зазначено далі в Додатку 1 (далі — «Докладні відомості про Обробку») до цієї Додаткової угоди.

3. Конфіденційність Даних клієнта

Компанія GoDaddy не розголошуватиме Дані клієнта будь-якому державному органу або третім особам, окрім випадків, коли це необхідно для дотримання законодавства або чинного й обов’язкового розпорядження правоохоронного органу (наприклад, судової повістки чи постанови). У випадку, якщо GoDaddy отримає чинну судову повістку, і в дозволених межах GoDaddy намагатиметься надати Клієнту електронною або звичайною поштою обґрунтоване повідомлення про таку вимогу, щоб він мав змогу отримати охоронний судовий наказ або вжити інших належних заходів із захисту своїх прав.

4. Безпека

4.1 Компанія GoDaddy запровадила й зобов’язується підтримувати технічні та організаційні заходи для мережі GoDaddy, описані в цьому розділі й Додатку 2 «Стандарти безпеки» цієї Додаткової угоди. Зокрема, компанія GoDaddy запровадила й зобов’язується підтримувати наведені нижче технічні та організаційні заходи, які стосуються (і) безпеки мережі GoDaddy; (іі) фізичної безпеки об’єктів; (ііі) контролю доступу працівників і підрядників (і) і/або (ii); і (іv) процесів перевірки й оцінювання ефективності технічних і організаційних заходів, які впроваджує компанія GoDaddy. У разі неспроможності виконання нами будь-яких зобов’язань, викладених у цьому документі, ми якомога швидше надамо письмове повідомлення про це (на нашому вебсайті або електронною поштою).

4.2.Компанія GoDaddy надає низку функцій безпеки й можливостей її гарантування, які Клієнт може використовувати у зв’язку із Передбаченими послугами. Клієнт несе відповідальність за (а) правильне налаштування Передбачених послуг, (б) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і служб обробки; (в) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), щоб мати змогу своєчасно відновлювати Дані клієнта та отримувати до них доступ на випадок фізичного або технічного інциденту (наприклад, резервного копіювання та поточного архівування Даних клієнта); (г) вжиття таких заходів, які він вважає достатніми для підтримки відповідного рівня безпеки, захисту та видалення Даних клієнта, зокрема використання технології шифрування для захисту Даних клієнта від несанкціонованого доступу та вжиття заходів для керування правами доступу до Даних клієнта.

5. Права Суб’єкта даних

З огляду на характер Передбачених послуг компанія GoDaddy пропонує Клієнтам певні елементи керування, як це описано в розділі "Безпека" цієї Додаткової угоди, за допомогою яких Клієнт може отримувати, виправляти та видаляти свої дані або обмежувати їх використання й обмін, як описано в розділі "Передбачені послуги". Клієнт може використовувати ці елементи керування як технічні й організаційні заходи, які допомагають йому під час виконання його зобов’язань відповідно до чинного законодавства про конфіденційність, включно із зобов’язаннями щодо відповіді на запити Суб’єктів даних. Враховуючи комерційно обґрунтовані міркування, компанія GoDaddy у передбачених законом випадках негайно повідомляє Клієнта, якщо GoDaddy отримує прямий запит від Суб’єкта даних на виконання таких прав згідно з будь-якими чинними законами про захист даних (далі — "запит Суб’єкта даних"). Крім того, якщо використання Клієнтом Передбачених послуг обмежує його здатність реагувати на запит Суб’єкта даних, компанія GoDaddy може, за умови юридичного обґрунтування й доречності та за конкретним запитом Клієнта, надавати комерційно обґрунтовану допомогу в процесі розгляду запиту коштом Клієнта (якщо потрібно).

6. Обробка даних субпідрядником

6.1 Авторизовані субпідрядники з обробки даних. Клієнт погоджується, що компанія GoDaddy може залучати субпідрядників з обробки даних для виконання власних договірних зобов’язань відповідно до Умов надання послуг і цієї Додаткової угоди або надання певних послуги від її імені, наприклад послуг підтримки. Клієнт погоджується, що GoDaddy використовуватиме субпідрядників з обробки даних, як описано в цьому розділі. Крім випадків, викладених у цьому розділі, або якщо інше не буде явно дозволено вами, GoDaddy не дозволить виконувати будь-які інші дії із залученням субпідрядників з обробки даних.

6.2 Обов’язки субпідрядника з обробки даних. Якщо компанія GoDaddy використовує будь-якого авторизованого субпідрядника з обробки даних, як описано в розділі 6.1:

(і) компанія GoDaddyобмежує доступ субпідрядника з обробки даних до Даних клієнта тільки тим, що необхідно для підтримки Передбачених послуг або їх надання Клієнту та будь-яким кінцевим користувачам відповідно до правил надання Передбачених послуг. Компанія GoDaddy забороняє субпідряднику з обробки даних доступ до Даних клієнта для будь-яких інших цілей;

(іі) компанія GoDaddy укладе письмовий договір із субпідрядником з обробки даних і, у тій мірі, у якій субпідрядник з обробки даних надає ті ж послуги з обробки даних, які надаються GoDaddy відповідно до цієї Додаткової угоди, компанія GoDaddy накладе на субпідрядника з обробки даних ті ж договірні зобов’язання, що й передбачені для компанії GoDaddy за цією Додатковою угодою;

(ііі) компанія GoDaddy залишатиметься відповідальною за виконання своїх зобов’язань за цією Додатковою угодою та за будь-які дії чи бездіяльність субпідрядника з обробки даних, через які компанія GoDaddy порушить будь-які із зобов’язань GoDaddy за цією Додатковою угодою.

6.3 Нові субпідрядники.  Час від часу ми можемо залучати нових субпідрядників з обробки даних відповідно до умов цієї Додаткової угоди.  У таких випадках ми надсилаємо попереднє повідомлення (через вебсайт або електронною поштою) за 30 днів до того, як передати новому субпідряднику з обробки даних будь-які дані клієнтів. Якщо ваш клієнт не схвалює нового субпідрядника з обробки даних, він може припинити використовувати Передбачені послуги без штрафів, надавши протягом 10 днів із дати отримання повідомлення від нас письмове повідомлення про припинення використання послуг із поясненням причин свого несхвалення. Якщо Передбачені послуги є частиною набору або збірної покупки, тоді будь-яке припинення застосовуватиметься до всього набору чи збірки.

7. Інцидент із безпекою

7.1 Інцидент із безпекою. Якщо компанія GoDaddy дізнається про Інцидент із безпекою, GoDaddy зобов’язується без зайвої затримки: (а) повідомити Клієнта про Інцидент із безпекою; (б) вжити відповідних заходів для пом’якшення наслідків і мінімізації будь-якої шкоди, завданої внаслідок цього Інциденту.

7.2 GoDaddy Допомога.  Щоб надати Клієнту допомогу з будь-якими повідомленнями про порушення конфіденційності особистих даних, які він зобов’язаний надсилати згідно з будь-яким відповідним законом про конфіденційність, компанія GoDaddy включить до повідомлення інформацію про Інцидент із безпекою, яку GoDaddy може обґрунтовано розкрити Клієнту з урахуванням характеру Передбачених послуг, інформації, доступної компанії GoDaddy, і будь-яких обмежень на розкриття такої інформації, зокрема її конфіденційності.  

7.3 Невдалі інциденти з безпекою. Клієнт погоджується з тим, що:

(і) Невдалий Інцидент із безпекою не підпадатиме під дію умов цієї Додаткової угоди. Невдалий Інцидент із безпекою не є результатом несанкціонованого доступу до Даних клієнта або до будь-якої з мереж, устаткування чи об’єктів компанії GoDaddy, що зберігають Дані клієнта, і може включати, зокрема, перевірки зв’язку й інші трансляційні атаки на брандмауери або межові сервери, сканування портів, невдалі спроби входу в систему, атаки типу «відмова в обслуговуванні», вистежування пакетів (або інший неавторизований доступ до даних про трафік, який не призводить до доступу до вмісту під заголовками) або подібні інциденти.

(іі) Обов’язок компанії GoDaddy повідомляти про Інцидент із безпекою або реагувати на нього відповідно до цього розділу не може та не буде тлумачитися як визнання компанією GoDaddy будь-якої помилки або відповідальності GoDaddy у зв’язку з таким Інцидентом.

7.4 Сповіщення. Повідомлення про Інциденти з безпекою, якщо такі є, доставлятимуться одному або кільком адміністраторам Клієнта будь-якими способами на розсуд компанії GoDaddy, зокрема електронною поштою. Клієнт несе повну відповідальність за те, щоб адміністратори Клієнта постійно зберігали точну контактну інформацію на консолі керування GoDaddy та здійснювали безпечне передавання.

8. Права Клієнта

8.1 Незалежне визначення. Клієнт несе відповідальність за перегляд інформації, наданої компанією GoDaddy стосовно захисту даних і її стандартів безпеки, а також незалежне визначення того, чи відповідають Передбачені послуги вимогам і юридичним зобов’язанням Клієнта, а також його зобов’язанням відповідно до цієї Додаткової угоди. Надана інформація призначена для того, щоб допомогти Клієнту виконувати його зобов’язання згідно з чинним законодавством про конфіденційність, включно із Загальним регламентом із захисту даних, щодо оцінки впливу на захист даних і отримання попередньої консультації.

8.2 Права Клієнта на аудит. Клієнт має право на підтвердження виконання компанією GoDaddy цієї Додаткової угоди, застосовної до Передбачених послуг шляхом подання конкретного письмового запиту в розумні інтервали часу на адресу, викладену в Умовах надання послуг. Якщо GoDaddy відмовляється виконувати будь-які інструкції, запропоновані Клієнтом стосовно належним чином запитаного й обґрунтованого аудиту чи інспекції, Клієнт має право припинити дію цієї Додаткової угоди та Умов надання послуг.

9. Передавання Даних клієнта

9.1 Обробка у США. Крім випадків, коли це явно зазначено в Умовах надання послуг, Дані клієнта передаватимуться за межі Сполученого Королівства або ЄЕП і оброблятимуться в Сполучених Штатах.

9.2 Застосування Стандартних договірних положень. Стандартні договірні положення застосовуватимуться до Даних клієнта, які передаються за межі ЄЕП безпосередньо або через передавання даних до будь-якої країни, не визнаної Європейською Комісією як такою, що забезпечує належний рівень захисту Даних клієнта. Стандартні договірні положення не поширюються на Дані клієнта, які не передаються ні напряму, ні через передавання даних за ​​межі ЄЕП. Незважаючи на вищесказане, Стандартні договірні положення не застосовуються, якщо дані передаються відповідно до визнаного стандарту для законного передавання Особистих даних поза межі ЄЕП, зокрема, коли це необхідно для виконання Передбачених послуг відповідно до Умов надання послуг або за вашої згоди.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Припинення дії Додаткової угоди

Ця Додаткова угода продовжуватиме діяти до завершення нами обробки відповідно до Умов надання послуг (далі — "Дата припинення дії").   

11. Повернення або видалення Даних клієнта

Як описано в розділі «Передбачені послуги», Клієнту можуть бути надані елементи керування, які можна використовувати для отримання або видалення Даних клієнта. Дані клієнта буде видалено за тридцять (30) днів після дати припинення дії, що регулюватиметься умовами використання конкретних Передбачених послуг.

12. Обмеження відповідальності

Відповідальність кожної зі сторін у межах цієї Додаткової угоди підпадає під винятки й обмеження відповідальності, викладені в Умовах надання послуг. Клієнт погоджується з тим, що будь-які регулятивні штрафи, накладені на компанію GoDaddy у зв’язку з Даними клієнта, які виникають унаслідок або через невиконання Клієнтом своїх зобов’язань відповідно до цієї Додаткової угоди та будь-яких чинних законів про конфіденційність, враховуватимуться та зменшуватимуть відповідальність GoDaddy відповідно до Умов надання послуг так, ніби це була б відповідальність перед Клієнтом згідно з Умовами надання послуг.

13. Вичерпність Умов надання послуг; колізії

Ця Додаткова угода замінює собою всі зроблені раніше чи одночасно заяви, домовленості, угоди або обговорення між Клієнтом і компанією GoDaddy в письмовій або усній формі стосовно предмету цієї Додаткової угоди, зокрема будь-які додаткові угоди про обробку даних, укладні між компанією GoDaddy і Клієнтом у зв’язку з обробкою особистих даних і їх вільним переміщенням.  Усі положення Умов надання послуг зберігатимуть повну юридичну силу, окрім тих, у які внесено зміни цією Додатковою угодою.  У разі суперечності між Умовами надання послуг і цією Додатковою угодою умови цієї Додаткової угоди матимуть переважну силу.

Додаток 1

 ДОКЛАДНІ ВІДОМОСТІ ПРО ПРОЦЕС

 1. Характер і мета обробки. КомпаніяGoDaddy оброблятиме Особисті дані, необхідні для надання Передбачених послуг відповідно до Умов надання послуг, а також додаткових інструкцій, наданих Клієнтом під час використання Передбачених послуг.

 2. Тривалість обробки. За умови дотримання Розділів 10 і 11 цієї Додаткової угоди, компанія GoDaddy оброблятиме дані клієнта протягом періоду чинності Умов надання послуг. Незважаючи на вищезгадане, компанія GoDaddy може зберегти Дані клієнта, або будь-яку їхню частину, якщо це потрібно згідно із застосовним законодавством або регламентом, зокрема застосовними Законами про захист даних, якщо ці Дані клієнта будуть захищені відповідно до умов цієї Додаткової угоди й застосовних Законів про захист даних.

3. Категорії суб’єктів даних. Клієнт може передавати Особисті дані під час використання Передбачених послуг у тій мірі, у якій це визначається та контролюється на власний розсуд Клієнта, що може передбачати, зокрема, Особисті дані, що стосуються наведених нижче категорій суб’єктів даних:

  • Потенційні та наявні клієнти, ділові партнери та постачальники Клієнта (які є фізичними особами)
  • Співробітники або контактні особи потенційних або наявних клієнтів, ділових партнерів і постачальників Клієнта
  • Співробітники, агенти, радники, фрилансери Клієнта (які є фізичними особами)
  • Користувачі Клієнта, яким він дозволив використовувати Передбачені послуги

4. Передавання Особистих даних. Клієнт може завантажувати Особисті дані під час використання Передбачених послуг, тип і обсяг яких визначається та контролюється Клієнтом на власний розсуд. Вони, зокрема, можуть враховувати зазначені нижче категорії Особистих даних Суб’єктів даних: 

  • Ім’я
  • Адреса
  • Номер телефону
  • Дата народження
  • Адреса електронної пошти
  • Інші дані, які ми збираємо, що можуть прямо або опосередковано вказувати на суб’єктів даних.

5. Конфіденційна інформація або спеціальні категорії даних. Клієнт може передавати Конфіденційні дані під час використання Передбачених послуг, тип і обсяг яких визначається та контролюється Клієнтом на власний розсуд. Клієнт несе відповідальність за застосування обмежень або гарантій, які повністю враховують характер даних і потенційні ризики перед переданням або обробкою будь-якої Конфіденційної інформації за допомогою Передбачених послуг.

Додаток 2

Стандарти безпеки

I. Технічні та організаційні заходи  

Ми прагнемо захистити інформацію наших клієнтів.  Беручи до уваги передовий досвід, витрати на реалізацію та суть, обсяг, обставини й цілі обробки, а також різну ймовірність виникнення та ступінь ризику для прав і свобод фізичних осіб, ми вживаємо перелічених нижче технічних і організаційних заходів.  Під час вибору заходів враховується конфіденційність, цілісність, доступність і стійкість систем. Швидке відновлення після фізичного чи технічного інциденту гарантується.

II.  Програма конфіденційності даних  

Наша програма конфіденційності даних створена для підтримки глобальної структури керування даними та безпеки інформації протягом усього її життєвого циклу. Цю програму ініціювала служба із захисту даних, голова якої здійснює нагляд за впровадженням заходів із забезпечення конфіденційності та безпеки. Ми регулярно перевіряємо, оцінюємо й аналізуємо ефективність її Програми захисту конфіденційності даних і Стандартів безпеки.

1. Конфіденційність. «Конфіденційність означає, що особисті дані захищені від несанкціонованого розголошення».  

Ми вживаємо різних фізичних і логічних заходів для захисту конфіденційності особистих даних наших клієнтів. Ці заходи передбачають наведене нижче.   

  Підтримка фізичної безпеки  

  • Наявність систем контролю фізичного доступу (контроль доступу до емблем, моніторинг подій безпеки тощо) 
  • Системи спостереження, зокрема сигнали тривоги та, за потреби, відеонагляд
  • Правила та заходи із забезпечення чистоти робочого місця (блокування комп’ютера, що лишається без нагляду, закриті шафи тощо)  
  • Керування доступом відвідувачів
  • Знищення даних на фізичних носіях і документів (подрібнення, розмагнічування тощо)

  Керування доступом і запобігання несанкціонованому доступу 

  • Застосовані обмеження доступу користувачів і дозволи на доступ на основі ролей, надані або переглянуті за принципом розподілу обов’язків
  • Надійні методи автентифікації й авторизації (багатофакторна автентифікація, авторизація на основі сертифікатів, автоматична деактивація або вихід із системи тощо) 
  • Централізоване керування паролями та правила надійних і складних паролів (мінімальна довжина, складність символів, термін дії паролів тощо)   
  • Керований доступ до електронної пошти й Інтернету
  • Керування антивірусними програмами
  • Керування системою запобігання вторгненням

Шифрування   

  • Шифрування зовнішньої та внутрішньої комунікації за допомогою надійних криптографічних протоколів
  • Шифрування даних PII/SPII у стані спокою (бази даних, спільні каталоги тощо)   
  • Шифрування всього диска для ПК і ноутбуків компанії
  • Шифрування носіїв даних
  • Віддалені підключення до мереж компанії шифруються за допомогою VPN
  • Захист життєвого циклу ключів шифрування

 Мінімізація даних    

  • Мінімізація даних PII/SPI у програмах, налагодження та журнали безпеки
  • Псевдонімізація особистих даних для запобігання прямої ідентифікації особи
  • Класифікація збережених даних за функцією (тестові, проміжні, інтерактивні)
  • Логічна класифікація даних за правами доступу на основі ролей 
  • Визначені періоди збереження особистих даних 

Перевірка безпеки     

  • Перевірка захисту від несанкціонованого доступу до найважливіших мереж і платформ компанії, на яких розміщуються особисті дані
  • Регулярна перевірка мережі та пошук вразливостей

2. Цілісність. «Цілісність означає забезпечення правильності (недоторканності) даних і належного функціонування систем. Коли термін "цілісність" використовується у зв’язку з терміном "дані", він означає, що дані є повними та незміненими.»  

Окрім елементів керування доступом, наявні також належні елементи керування змінами та журналами, щоб дають змогу зберігати цілісність особистих даних, наприклад:    

Керування змінами та випусками    

  • Процес керування змінами та випусками включно з (аналізом впливу, схваленням, тестуванням, аналізом безпеки, групуванням, моніторингом тощо)  
  • Надання доступу до виробничого середовища на основі ролей і функцій (розподіл обов’язків)

Журналювання та моніторинг

  • Журналювання доступу до даних і внесення змін у них
  • Централізовані журнали аудиту та безпеки
  • Моніторинг повноти та правильності передавання даних (наскрізна перевірка)

3. Доступність. «Доступність послуг та ІТ-систем, комп’ютерних програм і функцій мережі ІТ або ІТ-інформації гарантується, якщо користувачі здатні завжди використовувати їх належним чином».    

Ми впроваджуємо відповідні заходи для забезпечення безперебійності та безпеки, щоб підтримувати доступність своїх служб і даних, розміщених у них.    

  • Регулярні перевірки важливих служб на відновлення після відмови
  • Інтенсивний моніторинг ефективності або доступності та звітність для критичних систем
  • Програма реагування на інциденти
  • Реплікація або резервне копіювання важливих даних (резервне копіювання в хмарі або на жорсткому диску, реплікація баз даних тощо) 
  • Планове обслуговування програмного забезпечення, інфраструктури та засобів безпеки (оновлення програмного забезпечення, виправлення системи безпеки тощо)   
  • Надлишкові та стійкі системи (серверні кластери, дзеркальні бази даних, налаштування високої доступності тощо) розташовано у віддалених і/або географічно розділених розташуваннях
  • Використання джерел безперебійного живлення, резервного обладнання та мережевих систем
  • Сигналізація, наявні системи безпеки
  • Заходи фізичного захисту в критичних місцях (захист від перенапруг, фальшпідлоги, системи охолодження, детектори вогню та/або диму, системи пожежогасіння тощо) 
  • Захист від DDOS-атак для підтримки доступності
  • Перевірка стійкості та перевірка з навантаженням

4Інструкції з обробки даних. «Інструкції з обробки даних передбачають, що особисті дані оброблятимуться лише відповідно до інструкцій контролера даних і відповідних заходів компанії»  

Щоб забезпечити обробку особистих даних відповідно до вподобань та інструкцій клієнтів, ми запровадили внутрішню політику конфіденційності, укладаємо з працівниками відповідні угоди та проводимо для них регулярні навчання з питань конфіденційності.   

  • Умови захисту конфіденційності в договорах із працівниками 
  • Проведення регулярних навчань для працівників із дотримання конфіденційності й безпеки даних 
  • Включення відповідних положень в угоди з субпідрядниками з метою збереження прав на інструктивне керування 
  • Проведення регулярних перевірок дотримання конфіденційності сторонніми постачальниками послуг 
  • Надання клієнтам повного контролю над параметрами обробки даних 
  • Регулярні аудити безпеки 

Додаток 3. Субпідрядники GoDaddy

Назва компанії
Країна реєстрації
Опис послуги
Категорії даних
Acronis International GmbH Швейцарія Резервне копіювання даних клієнта Знімки для резервного копіювання.
Automattic Inc США Плагін WooCommerce і доповнення в Ecommerce WordPress. Профілі користувачів WordPress (включно з іменем і адресою електронної пошти) та профілі співробітників і підрядників.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Сполучене Королівство, Німеччина, США Надавайте й керуйте мережевими рішеннями як частиною нашої мережі, включно з аналізом метаданих. Обробляє метадані IP-адрес, мітки часу й мережевий трафік
cPanel Inc США Програмне забезпечення cPanel для керування продуктами для серверів і хостингу. Будь-які дані клієнтів у cPanel.
DENIC eG Німеччина Реєстрація доменів .de Уся інформація про обліковий запис, необхідна для надання домену. Інформація Whois.
Equinix Netherlands BV Нідерланди Спільне розміщення об’єкта центру обробки даних у Нідерландах. Жодні особисті дані не обробляються навмисно.
EURid vzw Бельгія Реєстрація доменів .eu Уся інформація про обліковий запис, необхідна для надання домену. Інформація Whois.
Juniper Networks Inc США Надавайте й керуйте мережевими рішеннями як частиною нашої мережі, включно з аналізом метаданих. IP-адреси, мітки часу й мережевий трафік
LivePerson Inc США Інструмент для чатів LiveEngage на нашому вебсайті. Розшифровка чатів, автоматизована інформація, як-от IP-адреса, операційна система й тип пристрою.
LvivIT Україна Забезпечення підтримки операційної платформи. Всі відомості про обліковий запис користувача.
OVH Grouppe SAS Франція Спільне розміщення об’єкта центру обробки даних у Німеччині, перепродаж серверних продуктів. Розміщені клієнтами дані включно з, але не обмежуючись, вебсайтами, додатками й даними клієнтів клієнта. Це також може включати мережевий трафік.
Plesk International GmbH Німеччина Панель керування Plesk для VPS, виділених серверів і засобу "Створення сайту" Плюс. Будь-які дані клієнта, розміщені на панелі керування й будь-які дані клієнта, розміщені на вебсайті, розташованому на сервері.
Datadock SARL Франція Спільне розміщення об’єкта центру обробки даних у Нідерландах. Послуги апаратного забезпечення й мережі. Жодні особисті дані не обробляються навмисно.
GoDaddy Media Temple Inc d/b/a Sucuri США
Продукт SAAS: Захищає вебсайти клієнтів від шкідливих програм.
Уся інформація про обліковий запис, потрібна для підготовки вебсайту, а також дані клієнта, збережені на вебсайті, розміщеному на сервері.
GoDaddy Media Temple Inc d/b/a Sucuri США Внутрішнє: Брандмауер вебдодатків на наших брендових вебсайтах і на панелях керування клієнтів для захисту бренду IT й даних клієнта. Перевірка трафіку вебсайту. Метадані IP-адрес, мітки часу й мережевий трафік.
Starfield Technologies LLC США Сертифікати SSL. Всі відомості про обліковий запис користувача, потрібні для сертифіката SSL.
DomainsByProxy LLC США Послуги конфіденційності домену. Реєстрація домену й контактні дані.
GoDaddy Sellbrite, Inc. США Інструмент онлайн-торгівлі Дані про транзакції та продукти з онлайн-крамниці.
GoDaddy Payments LLC США Інструменти обробки платежів.  

Додаток 4

Відомості про застосування цих СДП див. в розділі 9.2 Додаткової угоди

Стандартні договірні положення (для обробників)

РОЗДІЛ I

Положення 1

Мета і сфера дії

  1. Мета цих стандартних договірних положень — гарантувати дотримання вимог Регламенту (ЄС) 2016/679 Європейського парламенту й Ради Європи від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою особистих даних і про вільне переміщення таких даних (Загальний регламент із захисту даних) для передавання даних у третю країну.
  2. Сторони:
    1. фізична або юридична особа (фізичні або юридичні особи), державний орган (державні органи), агентство (агентства) або інші органи (далі «юридична особа (юридичні особи)»), що передають особисті дані, як указано в Додатку I.A (далі «експортер даних»), і
    2. юридична особа (юридичні особи) у третій країні, що отримує (отримують) особисті дані від експортера даних безпосередньо або через іншу юридичну особу, також Сторону цих Положень, як указано в Додатку I.A (далі кожна — «імпортер даних») прийняли ці стандартні договірні положення (далі: «Положення»).
  3. Ці Положення застосовуються до передання особистих даних, як указано в Додатку I.Б.
  4. Додаток до цих Положень, що містить згадані Додатки, є невід’ємною частиною цих Положень.

Положення 2

Дія й незмінюваність Положень

  1. Ці Положення визначають відповідні гарантії, зокрема обов’язкові права суб’єктів даних і ефективні засоби правового захисту, відповідно до Статті 46(1) і Статті 46(2)(в) Регламенту (ЄС) 2016/679 і, що стосується передавання даних від контролерів до обробників і/або від обробників до обробників, стандартні договірні положення відповідно до Статті 28(7) Регламенту (ЄС) 2016/679, за умови, що їх не змінено, крім випадків, коли потрібно вибрати відповідний Модуль (Модулі) або додати або оновити інформацію в Додатку. Це не перешкоджає Сторонам включати стандартні договірні положення, викладені в цих Положеннях, у ширші договори і/або додавати інші положення або додаткові гарантії, за умови, що вони не суперечать, прямо чи опосередковано, цим Положенням або основоположним правам або свободам суб’єктів даних.
  2. Ці Положення не суперечать зобов’язанням, яким підлягає експортер даних відповідно до Регламенту (ЄС) 2016/679.

Положення 3

Сторонні бенефіціари

  1. Суб’єкти даних можуть застосовувати та звертатися до цих Положень як сторонні бенефіціари проти експортера даних і/або імпортера даних, крім цих винятків:
    1. Положення 1, Положення 2, Положення 3, Положення 6, Положення 7;
    2. Положення 8.1(б), 8.9(а), (в), (г) і (ґ);
    3. Положення 9(а), (в), (г) і (ґ);
    4. Положення 12(а), (г) і (д);
    5. Положення 13;
    6. Положення 15.1(в), (г) і (ґ);
    7. Положення 16(ґ); (viii) Положення 18(a) й (б).
  2. Пункт (a) не суперечить правам суб’єктів даних відповідно до Регламенту (ЄС) 2016/679.

Положення 4

Тлумачення

  1. Якщо ці Положення використовують терміни, визначені Регламентом (ЄС) 2016/679, ці терміни мають те саме значення, що й у Регламенті.
  2. Ці Положення читаються та тлумачаться відповідно до положень Регламенту (ЄС) 2016/679.
  3. Ці Положення не можна тлумачити в спосіб, що суперечить правам і зобов’язанням, передбаченим Регламентом (ЄС) 2016/679.

Положення 5

Ієрархія

У разі суперечності між цими Положеннями й умовами інших пов’язаних угод між Сторонами, які існували в час, коли було погоджено ці Положення, або вступили в дію після цього, переважну силу матимуть ці Положення.

Положення 6

Опис передавання

Деталі передавання (передавань) і, зокрема, категорії особистих даних, які передаються, і мету передавання вказано в Додатку I.Б.

Положення 7 — НАВМИСНО ПРОПУЩЕНО

РОЗДІЛ II — ЗОБОВ’ЯЗАННЯ СТОРІН

Положення 8

Гарантії захисту даних

Експортер даних гарантує, що він доклав належних зусиль, щоб установити, що імпортер даних може, за допомогою відповідних технічних або організаційних заходів, виконати свої зобов’язання згідно з цими Положеннями.

8.1 Інструкції

  1. Імпортер даних обробляє особисті дані лише згідно із задокументованими інструкціями експортера даних. Експортер даних може давати такі інструкції протягом терміну дії договору.
  2. Імпортер даних негайно повідомляє експортера даних, якщо він не може виконати ці інструкції.

8.2 Обмеження мети

Імпортер даних обробляє особисті дані лише з конкретною метою передавання, як визначено в Додатку I.Б, якщо не отримано додаткових вказівок від експортера даних.

8.3 Прозорість

На запит суб’єкта даних експортер даних безкоштовно надає йому копію цих Положень, зокрема Додатка, створеного Сторонами. Наскільки це необхідно, щоб захистити комерційні таємниці або іншу конфіденційну інформацію, зокрема заходи, описані в Додатку ІІ, й особисті дані, експортер даних може змінити частину тексту Додатку до цих Положень до відправлення копії, але надає змістовне узагальнення зміненого тексту, якщо суб’єкт даних інакше не зможе зрозуміти його зміст або реалізувати свої права. На запит суб’єкта даних Сторони повідомляють йому причини внесення змін, наскільки це можливо без розкриття зміненої інформації. Це положення не суперечить зобов’язанням експортера даних відповідно до Статей 13 і 14 Регламенту (ЄС) 2016/679.

8.4 Точність

Якщо імпортерові даних стане відомо, що отримані ним особисті дані є неточними або застарілими, він повідомляє експортера даних про це без зайвої затримки. У цьому разі імпортер даних взаємодіє з експортером даних, щоб видалити або видалити дані.

8.5 Тривалість обробки та стирання або повернення даних

Обробка даних імпортером даних відбувається лише протягом терміну, указаного в Додатку І.Б. Після закінчення забезпечення послуг з обробки даних, імпортер даних на вибір експортера даних видаляє всі особисті дані, оброблені від імені експортера даних і надає підтвердження про це експортерові даних або повертає експортерові даних усі особисті дані, оброблені від його імені, й видаляє наявні копії. Доки дані не видалено або повернено, імпортер даних продовжує гарантувати дотримання цих Положень. Якщо до імпортера даних застосовується національне законодавство, що забороняє повернення або видалення переданих особистих даних, імпортер даних гарантує, що він продовжуватиме забезпечувати дотримання цих Положень і оброблятиме дані лише в межах і протягом терміну, визначених цим національним законодавством. Цей пункт не суперечить Положенню 14, зокрема вимозі до імпортера даних відповідно до Положення 14(ґ) повідомляти експортера даних протягом терміну дії договору, якщо в нього є підстави вважати, що він підпадає під дію законів або практик, які не відповідають вимогам Положення 14(а).

8.6 Безпека обробки

  1. Імпортер даних і, під час передавання, також експортер даних вживають відповідних технічних і організаційних заходів, щоб гарантувати безпеку даних, зокрема надати захист проти порушення безпеки даних, що призводить до випадкового або незаконного знищення, утрати, змінення, несанкціонованого розголошення або отримання доступу до цих даних (далі «порушення конфіденційності особистих даних»). Оцінюючи відповідний рівень захисту, Сторони належним чином враховують поточний стан справ, витрати на реалізацію, характер, область застосування й мету обробки та ризики, пов’язані з обробкою для суб’єктів даних. Сторони розглядають можливість використання шифрування або псевдонімізацію, зокрема під час передачі, якщо мету обробки можна виконати таким чином. У разі псевдонімізації додаткова інформація для присвоєння особистих даних конкретному суб’єктові даних залишається, якщо можливо, виключно під контролем експортера даних. Виконуючи свої зобов’язання відповідно до цього пункту, імпортер даних вводить принаймні технічні й організаційні заходи, указані в Додатку ІІІ. Імпортер даних здійснює регулярні перевірки, щоб гарантувати, що ці заходи продовжують гарантувати належний рівень безпеки.
  2. Імпортер даних надає доступ до особистих даних своїх співробітникам лише в межах, украй необхідних для виконання, керування й контролю над договором. Він гарантує, що особи, уповноважені на обробку особистих даних, узяли на себе зобов’язання щодо дотримання конфіденційності або пов'язані належним юридичним зобов'язанням щодо дотримання конфіденційності.
  3. У разі порушення особистих даних стосовно особистих даних, які обробляє імпортер даних відповідно до цих Положень, імпортер даних вживає відповідних заходів, щоб вирішити проблему порушення, зокрема заходів для зменшення негативних наслідків. Імпортер даних також сповіщає експортера даних без зайвої затримки, якщо йому стає відомо про порушення. Таке повідомлення повинне містити дані контактної особи, де можна отримати більше інформації, опис характеру порушення (зокрема, якщо можливо, категорії та приблизну кількість суб’єктів даних і записів особистих даних, про які йде мова), його потенційні наслідки й заходи, яких ужито або запропоновано вжити для вирішення порушення, зокрема, якщо доцільно, заходи для зменшення його можливих негативних наслідків. Якщо й оскільки неможливо надати всю інформацію одночасно, перше сповіщення повинне містити всю доступну на той момент інформацію, а подальшу інформацію, коли вона стане доступною, потрібно надати згодом без зайвої затримки.
  4. Імпортер даних співпрацює з експортером даних і допомагає йому, щоб експортер даних міг дотримуватися своїх зобов’язань відповідно до Регламенту (ЄС) 2016/679, зокрема сповіщати компетентний наглядовий орган і суб’єктів даних, яких це стосується, враховуючи характер обробки й доступну імпортерові даних інформацію.

8.7 Конфіденційні дані

Якщо передаються особисті дані, які розкривають расове або етнічне походження, політичні погляди, релігійні або філософські переконання, членство у профспілках, генетичні дані або біометричні дані для унікальної ідентифікації фізичної особи, дані стосовно здоров’я або інтимного життя або сексуальної орієнтації особи, або дані стосовно кримінальних судимостей і правопорушень (далі «Конфіденційні дані»), імпортер даних застосовує спеціальні обмеження й/або вживає додаткових заходів, описаних у Додатку I.Б.

8.8 Передавання даних

Імпортер даних розкриває особисті дані стороннім особам лише згідно із задокументованими інструкціями експортера даних. Крім того, дані можна розкрити сторонній особі, яка знаходиться поза межами Європейського Союзу (у тій самій країні, що й імпортер даних, або іншій третій країні; далі «Передавання даних»), якщо третя сторона підпорядковується або погоджується підпорядковуватися цим Положенням згідно з відповідним Модулем, або якщо:

  1. передавання даних здійснюється в країну, яка отримує вигоду від рішення про відповідність згідно зі Статтею 45 Регламенту (ЄС) 2016/679, у якій йдеться про передавання даних;
  2. в іншому разі третя сторона надає належні гарантії відповідно до Статей 46 і 47 Регламенту (ЄС) 2016/679 стосовно обробки, про яку йде мова.
  3. передавання даних необхідне для формування, здійснення або захисту правових претензій у рамках адміністративної чи позасудової процедури або під час судового провадження; або (iv) передавання даних потрібне для захисту важливих інтересів суб’єкта даних або іншої фізичної особи.
  4. При будь-якому передаванні даних імпортер даних дотримується всіх інших гарантій відповідно до цих Положень, зокрема обмеження мети.

8.9 Документація й дотримання

  1. Імпортер даних негайно й належним чином розглядає запити експортера даних, що стосуються обробки відповідно до цих Положень.
  2. Сторони засвідчують дотримання цих Положень. Зокрема імпортер даних веде відповідну документацію про діяльність з обробки, яка здійснюється від імені експортера даних.
  3. Імпортер даних надає експортерові даних усю інформацію, потрібну, щоб засвідчити дотримання Положень, викладених у цих Положеннях, і на запит експортера даних дозволяти й сприяти здійсненню аудитів діяльності з обробки, описаної в цих Положеннях, у розумні інтервали часу або якщо є ознаки недотримання Положень. Приймаючи рішення про здійснення перевірки або аудиту, експортер даних може враховувати відповідні сертифікати, які має імпортер даних.
  4. Експортер даних може здійснити аудит самостійно або доручити його незалежному аудиторові. Аудити також можуть включати перевірки в приміщеннях або на фізичних об’єктах імпортера даних і, коли це необхідно, здійснюються після завчасного сповіщення.
  5. Сторони надають доступ до інформації, згаданої в пунктах (б) й (в), зокрема результатів будь-яких аудитів, на запит компетентного наглядового органу.

Положення 9

Використання субпідрядників

  1. Імпортера даних наділено загальним повноваженням експортера даних на залучення субпідрядника (субпідрядників) із погодженого списку. Імпортер даних докладно повідомляє в письмовій формі про будь-які заплановані зміни (додавання чи заміна субпідрядників) до того списку принаймні за п’ятнадцять (15) днів, таким чином даючи експортерові даних достатньо часу для заперечення цих змін перед залученням субпідрядника (субпідрядників). Імпортер даних надає експортерові даних інформацію, потрібну, щоб експортер даних міг реалізувати своє право на заперечення.
  2. Якщо імпортер даних залучає субпідрядника для виконання конкретної діяльності з обробки (від імені експортера даних), він укладає письмовий договір, у якому передбачено, наприклад, ті самі зобов’язання щодо захисту даних, які покладено на імпортера даних відповідно до цих Положень, включно з умовами про права сторонніх бенефіціарів для суб’єктів даних. Сторони погоджуються, що, дотримуючись цього Положення, імпортер даних виконує свої зобов’язання відповідно до Положення 8.8. Імпортер даних забезпечує, щоб субпідрядник дотримувався зобов’язань, яким підлягає імпортер даних відповідно до цих Положень.
  3. Імпортер даних надає за запитом експортера даних копію такого договору з субпідрядником і будь-які наступні поправки експортерові даних. , Наскільки це необхідно, щоб захистити комерційні таємниці або іншу конфіденційну інформацію, зокрема особисті дані, імпортер даних може змінити текст угоди до відправлення копії.
  4. Імпортер даних несе повну відповідальність перед експортером даних за виконання зобов’язань субпідрядником відповідно до договору з імпортером даних. Імпортер даних сповіщає експортера даних про будь-який факт невиконання субпідрядником своїх зобов’язань відповідно до договору.
  5. Імпортер даних узгоджує положення стороннього бенефіціара з субпідрядником, у рамках якого — у разі фактичного зникнення, припинення існування юридичної особи або визнання недієздатності імпортера даних — експортер даних має право припинити договір із субпідрядником і дати вказівку субпідряднику видалити або повернути особисті дані.

Положення 10

Права суб’єкта даних

  1. Імпортер даних негайно сповіщає експортера даних про будь-які запити, які він отримав від суб’єкта даних. Він не відповідає на ці запити самостійно, якщо тільки його не уповноважив на це експортер даних.
  2. Імпортер даних допомагає експортерові даних виконувати свої зобов’язання відповідати на запити суб’єктів даних про реалізацію своїх прав відповідно до Регламенту (ЄС) 2016/679. У зв’язку з цим Сторони визначають у Додатку ІІ відповідні технічні й організаційні заходи, враховуючи характер обробки, завдяки яким надається допомога, та масштаб і межі потрібної допомоги.
  3. Виконуючи свої зобов’язання відповідно до пунктів (а) й (б), імпортер даних дотримується інструкцій експортера даних.

Положення 11

Відшкодування

  1. Імпортер даних повідомляє суб’єктів даних у прозорому й легкодоступному форматі за допомогою індивідуального повідомлення або на своєму вебсайті, або за допомогою контактної особи, уповноваженої розглядати скарги. Він негайно відповідає на будь-які скарги, які він отримує від суб’єкта даних.
  2. У разі спору між суб’єктом даних і однією зі Сторін стосовно дотримання цих Положень, та Сторона докладає всіх зусиль для мирного вирішення проблеми в установлені терміни. Сторони повідомляють одна одну про такі суперечки й у разі потреби співпрацювати для їхнього вирішення.
  3. Якщо суб’єкт даних вимагає реалізації прав сторонніх бенефіціарів відповідно до Положення 3, імпортер даних приймає рішення суб’єкта даних, щоб мати змогу:
    1. подати скаргу наглядовому органу в Державі-члені свого постійного місця проживання або роботи або компетентному наглядовому органу відповідно до Положення 13;
    2. передати спір до компетентного суду в розумінні Положення 18.
  4. Сторони погоджуються, що суб’єкта даних може представляти некомерційна установа, організація або асоціація на умовах, викладених у Статті 80(1) Регламенту (ЄС) 2016/679.
  5. Імпортер даних дотримується рішення, яке є обов’язковим до виконання відповідно до чинного законодавства ЄС або Держави-члена.
  6. Імпортер даних погоджується, що рішення, прийняте суб’єктом даних, не буде суперечити його матеріальним і процесуальним правам на звернення про правову допомогу відповідно до чинного законодавства.

Положення 12

Відповідальність

  1. Кожна Сторона несе відповідальність перед іншою Стороною (Сторонами) за всі збитки, яких вона завдасть іншій Стороні (Сторонам) через будь-яке порушення цих Положень.
  2. Імпортер даних несе відповідальність перед суб’єктом даних, а суб’єкт даних має право на компенсацію за будь-які матеріальні або нематеріальні збитки, які імпортер даних або субпідрядник завдасть суб’єктові даних через порушення прав сторонніх бенефіціарів відповідно до цих Положень.
  3. Незважаючи на пункт (б), експортер даних несе відповідальність перед суб’єктом даних, а суб’єкт даних має право на компенсацію за будь-які матеріальні або нематеріальні збитки, які експортер даних або імпортер даних (або його субпідрядник) завдасть суб’єктові даних через порушення прав сторонніх бенефіціарів відповідно до цих Положень. Цей пункт не суперечить положенням про відповідальність експортера даних і, якщо експортер даних є обробником, який діє від імені контролера, положенням про відповідальність контролера даних згідно з Регламентом (ЄС) 2016/679 або Регламентом (ЄС) 2018/1725, якщо застосовно.
  4. Сторони погоджуються, що якщо експортер даних несе відповідальність відповідно до пункту (в) за збитки, завдані імпортером даних (або його субпідрядником), він має право вимагати від імпортера даних ту частину компенсації, яка дорівнює відповідальності імпортера даних за збитки.
  5. Якщо більше ніж одна Сторона відповідальна за будь-які збитки, завдані суб’єктові даних, у результаті порушення цих Положень, усі відповідальні Сторони несуть солідарну відповідальність, а суб’єкт даних має право подати позов до суду проти будь-якої з цих Сторін.
  6. Сторони погоджуються, що якщо одна Сторона несе відповідальність відповідно до пункту (ґ), вона має право вимагати від іншої Сторони (інших Сторін) ту частину компенсації, яка дорівнює її (їхній) відповідальності за збитки.
  7. Імпортер даних може не вдаватися до послуг субпідрядника, щоб уникнути власної відповідальності.

Положення 13

Нагляд

  1. Наглядовий орган, який відповідальний за дотримання експортером даних Регламенту (ЄС) 2016/679 стосовно передавання даних, як зазначено в Додатку I.В, діє як компетентний наглядовий орган.
  2. Імпортер даних погоджується підпадати під юрисдикцію та взаємодіяти з компетентним наглядовим органом у будь-якій процедурі, спрямованій на забезпечення дотримання цих Положень. Зокрема, імпортер даних погоджується відповідати на запити, відправляти їх для перевірки й дотримуватися заходів, прийнятих наглядовим органом, включно з корективними й компенсаційними заходами. Він надає наглядовому органу письмове підтвердження, що вжито потрібних заходів.

РОЗДІЛ ІІІ — НАЦІОНАЛЬНЕ ЗАКОНОДАВСТВО Й ЗОБОВ’ЯЗАННЯ В РАЗІ ОТРИМАННЯ ДОСТУПУ ДЕРЖАВНИМИ ОРГАНАМИ

Положення 14

Національне законодавство та практики, що впливають на дотримання Положень.

  1. Сторони гарантують, що в них немає підстав вважати, що закони та практики третьої приймаючої країни, застосовні для обробки особистих даних імпортером даних, зокрема будь-які вимоги про розголошення особистих даних або заходи органів державної влади, що відкривають доступ до даних, перешкоджають імпортерові даних виконувати його зобов’язання відповідно до цих Положень. Це ґрунтується на усвідомленні того, що закони та практики, які визнають важливість основоположних прав і свобод і не перевищують межі потрібного й пропорційного втручання в демократичному суспільстві, щоб гарантувати виконання однієї з цілей, наведених у Статті 23(1) Регламенту (ЄС) 2016/679, не суперечать цим Положенням.
  2. Сторони заявляють, що, надаючи гарантію в пункті (а), вони врахували зокрема такі елементи:
    1. конкретні обставини передавання, зокрема довжину ланцюжка обробки даних, кількість залучених осіб і канали передачі даних; заплановані передання даних; тип отримувача; мета обробки; категорії та формат переданих особистих даних; економічний сектор, у якому відбувається передавання; місце зберігання переданих даних;
    2. закони та практики третьої приймаючої країни — зокрема ті, які вимагають розголошення даних державним органам або відкривають до них доступ органами державної влади — відповідні з огляду на конкретні обставини передавання й застосовні обмеження й гарантії;
    3. будь-які відповідні договірні, технічні або організаційні гарантії, які встановлюються додатково до гарантій у цих Положеннях, зокрема заходи, яких вживають під час передачі та до обробки особистих даних у приймаючій країні.
  3. Імпортер даних гарантує, що, здійснюючи аналіз відповідно до пункту (б), він доклав усіх зусиль, щоб надати експортерові даних потрібну інформацію, і погоджується взаємодіяти з експортером даних, забезпечуючи дотримання цих Положень.
  4. Сторони погоджуються задокументувати оцінку відповідно до пункту (б) і надати до неї доступ на запит компетентного наглядового органу.
  5. Імпортер даних погоджується негайно сповіщати експортера даних, якщо після погодження цих Положень і під час терміну дії договору в нього є підстави вважати, що він підпадає під дію законів або практик, які не відповідають вимогам, викладеним у пункті (а), зокрема після внесення змін у законодавство третьої країни або якщо вжито заходів (як-от відправлено запит на розголошення), які вказують на те, що практика застосування цих законів не відповідає вимогам, викладеним у пункті (а).
  6. Після отримання повідомлення відповідно до пункту (ґ) або якщо в експортера даних є підстави вважати, що імпортер даних більше не може виконувати свої зобов’язання згідно з цими Положеннями, імпортер даних негайно визначає заходи (наприклад, технічні або організаційні заходи, щоб гарантувати безпеку й конфіденційність), яких потрібно вжити експортеру даних і/або імпортеру даних, щоб вирішити проблему. Експортер даних призупиняє передавання даних, якщо вважає, що не можна забезпечити відповідні гарантії для цього передавання, або якщо отримає вказівку до цього від компетентного наглядового органу. У цьому випадку експортер даних має право припинити дію договору, якщо це стосується обробки особистих даних відповідно до цих Положень. Якщо договір укладено більш як двома сторонами, експортер даних може використати право на припинення його дії лише стосовно відповідної Сторони, якщо Сторони не домовилися про інше. Якщо дію договору припинено відповідно до цього Положення, застосовуються Положення 16(г) і (ґ).

Положення 15

Зобов’язання імпортера даних у разі отримання доступу до них органами державної влади

15.1 Сповіщення

  1. Імпортер даних погоджується сповіщати експортера даних і, якщо можливо, суб’єкта даних негайно (за допомогою експортера даних, якщо необхідно), якщо він:
    1. отримує юридично обов’язковий для виконання запит від державного органу, включно з судовими органами, відповідно до законів приймаючої країни на розголошення особистих даних, переданих відповідно до цих положень; таке сповіщення повинне містити інформацію про особисті дані, щодо яких надіслано запит, запитуючий орган, законну підставу для запиту та відповідь на запит; або
    2. йому стає відомо про будь-які випадки отримання органами державної влади прямого доступу до особистих даних, переданих згідно з цими Положеннями відповідно до законів приймаючої країни; таке сповіщення повинне містити всю доступну для імпортера інформацію.
  2. Якщо імпортерові даних заборонено повідомляти експортера даних і/або суб’єкта даних відповідно до законів приймаючої країни, імпортер даних погоджується докласти всіх зусиль для зняття заборони, щоб повідомити якомога більше інформації якомога скоріше. Імпортер даних погоджується задокументувати докладені зусилля для зняття заборони, щоб могти показати їх на запит експортера даних.
  3. Якщо це дозволено згідно із законами приймаючої країни, імпортер даних погоджується регулярно протягом терміну дії контракту надавати експортерові даних усю можливу відповідну інформацію про отримані запити (зокрема про кількість запитів, тип запитуваних даних, запитуючі органи, чи запити було оскаржено й результат таких оскаржень тощо).
  4. Імпортер даних погоджується зберігати інформацію відповідно до пунктів (а)–(в) протягом терміну дії контракту й надавати до неї доступ компетентному наглядовому органу в разі подання запиту.
  5. Пункти (a)–(в) не суперечать зобов’язанням імпортера даних відповідно до Положення 14 (ґ) і Положення 16 негайно повідомити експортера даних, якщо він не може дотриматися цих Положень.

15.2 Перевірка законності й мінімізації даних

  1. Імпортер даних погоджується перевіряти законність запиту на розголошення інформації, зокрема чи воно знаходиться в межах повноважень запитуючого державного органу, і оскаржити запит, якщо після ретельної оцінки він дійде висновку, що існують вагомі підстави вважати запит незаконним відповідно до законів приймаючої країни, чинних зобов’язань і норм міжнародного права й принципів міжнародної спільноти. Імпортер даних використовує, згідно з тими ж положеннями, можливості оскарження. Під час оскарження запиту імпортер даних просить про прийняття тимчасових заходів, щоб зупинити дію запиту, доки компетентний судовий орган не прийме рішення щодо нього. Він не розголошує запитувані особисті дані, доки не отримає запит на це згідно з чинними процесуальними нормами. Ці вимоги не суперечать зобов’язанням імпортера даних згідно з Положенням 14(ґ).
  2. Імпортер даних погоджується задокументувати свою правову оцінку й будь-які оскарження запиту на розголошення і в дозволених законодавством приймаючої країни межах надати доступ до документації експортерові даних. Він також надає до неї доступ на запит компетентного наглядового органу.
  3. Імпортер даних погоджується надати найнеобхіднішу дозволену законодавством інформацію у відповідь на запит про розголошення на основі обґрунтованого тлумачення запиту.

РОЗДІЛ IV — ПРИКІНЦЕВІ ПОЛОЖЕННЯ

Положення 16

Невиконання Положень і припинення

  1. Імпортер даних негайно повідомляє експортера даних, якщо він не може дотриматися цих Положень із будь-якої причини.
  2. У разі порушення імпортером даних цих Положень або неспроможності дотриматися цих Положень експортер даних має право призупинити передачу особистих даних імпортеру даних, доки дотримання не буде знову гарантовано або не припиниться дія договору. Цей пункт не суперечить Положенню 14(д).
  3. Експортер даних має право припинити дію договору, якщо це стосується обробки особистих даних відповідно до цих Положень, якщо:
    1. експортер даних призупинив передачу особистих даних імпортеру даних відповідно до пункту (б) і дотримання цих Положень не відновлено протягом прийнятного терміну й за будь-яких обставин протягом місяця після призупинення;
    2. імпортер даних серйозно або постійно порушує ці Положення; або
    3. імпортер даних не дотримується обов’язкового до виконання рішення компетентного суду або наглядового органу стосовно його зобов’язань відповідно до цих Положень. У таких випадках він повідомляє компетентний наглядовий орган про це недотримання. Якщо договір укладено більш як двома сторонами, експортер даних може реалізувати право на припинення його дії лише стосовно відповідної Сторони, якщо Сторони не домовилися про інше.
  4. Особисті дані, які було передано до припинення договору, відповідно до пункту (в) потрібно на вибір експортера даних негайно повернути експортерові даних або повністю видалити. Те саме стосується будь-яких копій даних. Імпортер даних надає підтвердження про видалення даних експортерові даних. Доки дані не видалено або повернено, імпортер даних продовжує гарантувати дотримання цих Положень. Якщо до імпортера даних застосовується національне законодавство, що забороняє повернення або видалення переданих особистих даних, імпортер даних гарантує, що він продовжуватиме забезпечувати дотримання цих Положень і оброблятиме дані лише в межах і протягом терміну, визначених цим національним законодавством.
  5. Кожна сторона може анулювати свою угоду про підпорядкування цим Положенням, якщо (i) Європейська Комісія прийме рішення відповідно до Статті 45(3) Регламенту (ЄС) 2016/679, що стосується передавання особистих даних, до яких застосовуються ці Положення; або (ii) Регламент (ЄС) 2016/679 стане частиною законодавства країни, у яку передаються особисті дані. Цей пункт не суперечить іншим зобов’язанням, застосовним до обробки, про яку йде мова, відповідно до Регламенту (ЄС) 2016/679.

Положення 17

Застосовне законодавство

Ці Положення регулюються законодавством однієї з Держав-членів ЄС, якщо це законодавство дозволяє права сторонніх бенефіціарів. Сторони погоджуються, що ним буде законодавство Федеральної Республіки Німеччина.

Положення 18

Вибір форуму та юрисдикції

  1. Будь-які спори, що виникають у зв’язку з цими положеннями, вирішуються судами Держави-члена ЄС.
  2. Сторони погоджуються, що ними будуть суди Федеральної Республіки Німеччина.
  3. Суб’єкт даних також може звернутися з позовом проти експортера даних і/або імпортера даних до судів Держави-члена свого постійного місця проживання.
  4. Сторони погоджуються підпорядковуватися юрисдикції цих судів.

ДОДАТОК І до Стандартних договірних положень

A. СПИСОК СТОРІН
Експортер (експортери) даних: Експортером даних є суб’єкт, ідентифікований як «Клієнт» у Додатковій угоді
Підпис і дата: Станом на дату прийняття Експортером даних Умов надання послуг Імпортера даних в електронній формі, вважається, що Експортер даних підписав ці стандартні договірні положення.
Роль: Контролер

Імпортер (імпортери) даних: GoDaddy.com, LLC
Контактні дані: Офіс начальника відділу захисту даних — privacy@godaddy.com
Підпис і дата: Станом на дату прийняття Експортером даних Умов надання послуг Імпортера даних в електронній формі, вважається, що Імпортер даних підписав ці стандартні договірні положення.
Роль: Обробник

Б. ОПИС ПЕРЕДАВАННЯ Категорії суб’єктів даних, особисті дані яких передаються, описано в Додатку 1 Додаткової угоди.

Категорії особистих даних, які передаються, описано в Додатку 1 Додаткової угоди.

Конфіденційні дані, які передаються, описано в Додатку 1 Додаткової угоди.

Частота передавання є постійною підставою для продовження Умов надання послуг.

Характер обробки описано в Розділі 2.2 й Додатку 1 Додаткової угоди.

Мету передавання даних і подальшої обробки описано в Розділі 2.2 й Додатку 1 Додаткової угоди.

Період зберігання особистих даних описано в Додатку 1 Додаткової угоди.

Для передань до субпідрядників предмет застосування, характер і тривалість обробки викладено в Додатку ІІІ Стандартних договірних положень.

В. КОМПЕТЕНТНИЙ НАГЛЯДОВИЙ ОРГАН Державна комісія з питань захисту даних та свободи інформації в Північному Рейні-Вестфалії («LDI NRW») є компетентним наглядовим органом.

Додаток II до Стандартних договірних положень

Технічні й організаційні заходи безпеки, яких уживає Імпортер даних, викладено в Додатку 2 Додаткової угоди.

Додаток IIІ до Стандартних договірних положень

Список субпідрядників викладено в Додатку 3 Додаткової угоди.

Annex I to the Standard Contractual Clauses

A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller

Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor

B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.

Categories of personal data transferred are described in Appendix 1 of the Addendum.

Sensitive data transferred are described in Appendix 1 of the Addendum.

The frequency of the transfer is a continuous basis for the duration of the Terms of Service.

Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.

Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.

The period for which the personal data will be retained described in Appendix 1 of the Addendum.

For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.

C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.

Annex II to the Standard Contractual Clauses

The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.

Annex III to the Standard Contractual Clauses

List of sub-processors are in Appendix 3 of the Addendum.


Перекладені версії юридичних угод і політик надано виключно для спрощення процесу читання та розуміння тексту англомовних документів. Перекладені версії юридичних угод і політик не можуть вважатися зобов’язуючими документами, не мають жодної юридичної чинності та не замінюють англомовні документи. У разі спірних питань або суперечностей наші відносини регулюватимуться положеннями англомовних юридичних угод і політик. Англомовні документи матимуть переважну силу над усіма іншими версіями, перекладеними будь-якою мовою.