ДОДАТКОВА УГОДА ПРО ОБРОБКУ ДАНИХ GoDaddy
Дата останнього перегляду: 13.09.2024
Цю Додаткову угоду про обробку даних ("Додаткова угода") укладено між вами ("Клієнт") і GoDaddy, що є стороною Універсальних умов користування та будь-яких інших угод між вами й GoDaddy (разом "Угода"). У цьому документі GoDaddy та Клієнта зазначено окремо як "Сторона", а разом як "Сторони". Додаткова угода DPA набуває чинності з дати набуття чинності Угодою ("Дата набуття чинності") і регулює всі аспекти Обробки Персональних даних Клієнта відповідно до вимог Угоди.
1. Визначення. Якщо застосовним Законодавством про захист даних не встановлено інше (відповідно до наведених нижче визначень), подані в цьому розділі терміни, що починаються великою літерою, означають таке:
1.1 "Афілійована особа" — особа, що контролює або перебуває зі Стороною під спільним контролем. "Контроль" — пряме чи опосередковане володіння часткою в розмірі п’ятдесяти (50%) і більше відсотків голосуючих акцій особи, або контроль такої частки.
1.2. "Контролер" — фізична або юридична особа, орган влади, організація чи установа, яка, одноосібно або спільно з іншими, визначає мету й засоби обробки Персональних даних Клієнта відповідно до умов Угоди.
1.3 "Персональні дані Клієнта" — будь-які Персональні дані (як визначено нижче), оброблювані GoDaddy за дорученням Клієнта у зв’язку з використанням Клієнтом Послуг. Персональні дані Клієнта не містять даних GoDaddy.
1.4 "Законодавство про захист даних" — будь-який закон або регламент, застосовний до обробки Персональних даних Клієнта відповідно до Угоди.
1.5 "Суб’єкт даних" — ідентифікована фізична особа чи така, що може бути ідентифікована, з якою пов’язані певні Персональні дані.
1.6 "Деперсоніфіковані дані" — дані, за якими обґрунтовано не можна ідентифікувати, описати, з якими не можна співвіднести чи пов’язати, прямо чи опосередковано, конкретного Суб’єкта даних.
1.7 "Дані GoDaddy" — (a) уся інформація щодо бізнесу GoDaddy й надання нею Послуг, зокрема Персональні дані її Клієнтів, співробітників або представників, (b) інші дані, що прямо або непрямо стосуються облікового запису Клієнта, його історії транзакцій, використання Послуг та автентифікації, (c) деперсоніфіковані дані, щодо яких застосовуються будь-які обмеження відповідно до застосовного Законодавства про захист даних.
1.8 "Персональні дані" — інформація щодо ідентифікованої фізичної особи чи такої, що може бути ідентифікована, зокрема будь-яка інформація, визначена застосовним Законодавством про захист даних як Персональні дані, Персональна інформація, Особиста інформація (PII). Персональні дані не включають Деперсоніфіковані дані.
1.10 "Обробник" — фізична або юридична особа, орган влади, організація чи установа, яка обробляє Персональні дані Клієнта за дорученням Контролера відповідно до умов Угоди.
1.9 "Обробка" — будь-яка дія, вручну чи із застосуванням автоматичних засобів, із Персональними даними Клієнта, як-от збір, використання, зберігання, розголошення, аналіз, видалення, внесення змін.
1.11 "Конфіденційні Персональні дані" — (a) індивідуальний податковий номер, номер паспорта, номер посвідчення водія або схожий ідентифікатор; (b) відомості щодо кредитної або дебетової картки, фінансова інформація, номери або паролі банківського рахунку; (c) фінансові, генетичні або біометричні дані, інформація про здоров’я та працевлаштування; (d) расова або етнічна належність, політичні погляди або релігійні переконання, членство в профспілках або інформація про інтимне життя чи сексуальну орієнтацію; (e) паролі до облікових записів, дівоче прізвище матері, дата народження або схожа інформація, що ідентифікує користувача; (f) інформація про кримінальне минуле; (g) біометричні дані, що ідентифікують конкретну особу (наприклад, відбитки пальців); (h) будь-яка інша інформація чи поєднання даних, що підпадають під визначення "спеціальні категорії даних" будь-якого застосовного Законодавства про захист даних.
1.12 "Послуги" — продукти або послуги, які GoDaddy погодилася надавати згідно з Угодою, що передбачають обробку Персональних даних Клієнта.
1.13 "Субпідрядник" — фізична або юридична особа, орган влади, організація чи установа, з якою компанія GoDaddy укладає угоду про обробку Персональних даних Клієнта.
1.14 "Передача даних" — (a) передача Персональних даних Клієнта від Контролера Обробнику шляхом фізичного передавання або надання доступу до Персональних даних Клієнта, збережуваних чи іншим чином керованих Контролером; (b) подальша передача Персональних даних Клієнта від Обробника до Субпідрядника з обробки (і всі подальші передачі від Субпідрядника до іншого Субпідрядника).
2. Область застосування обробки даних і взаємовідносини сторін
2.1
Клієнт як Контролер або Обробник
2.1.1 Під час виконання функції Контролера Клієнт (a) несе повну відповідальність за визначення мети й засобів обробки Персональних даних Клієнта, (b) має всі необхідні повноваження, підстави, права й дозволи для надання GoDaddy Персональних даних Клієнта, (c) виконує обов’язки Контролера згідно з вимогами застосовного Законодавства про захист даних.
2.1.2 Під час виконання функції Обробника Клієнт (a) несе повну відповідальність за виконання вимог угод із Контролерами даних, за дорученням яких він обробляє Персональні дані Клієнта, (b) має всі необхідні дозволи від Контролера для надання GoDaddy Персональних даних Клієнта, (c) виконує обов’язки Обробника згідно з вимогами застосовного Законодавства про захист даних.
2.2
GoDaddy як Обробник або Субпідрядник з обробки.
2.2.1 GoDaddy вживає всіх обґрунтовано необхідних заходів, щоб допомогти Клієнту виконати обов’язки Контролера та/або Обробника згідно із Законодавством про захист даних, відповідно до характеру, специфіки, області застосування й мети Послуг, що надає GoDaddy. Цим уточнюється, що GoDaddy не зобов’язана вживати жодних заходів щодо внесення змін до Послуг GoDaddy чи пристосування їх до особливих потреб Клієнта. У разі якщо Послуги не відповідають особливим потребам Клієнта, єдиний засіб правового захисту для нього — припинити дію частини Угоди, що стосується обробки Персональних даних Клієнта.
2.2.2 GoDaddy обробляє Персональні дані Клієнта лише відповідно до задокументованих інструкцій для обмежених конкретних цілей, зазначених в Угоді, цій Додатковій угоді DPA або згідно з вимогами законодавства.
2.2.3 GoDaddy не продає, не зберігає, не використовує та не розкриває Персональні дані Клієнта з комерційною метою, а лише в межах надання Послуг.
2.2.4 GoDaddy не обробляє Персональні дані Клієнта поза безпосередніми діловими відносинами Сторін, зазначеними в Угоді та цій Додатковій угоді DPA.
2.2.5 GoDaddy не об’єднує Персональні дані Клієнта з будь-якими іншими даними, що збирає GoDaddy (самостійно або із залученням третіх осіб), за винятком випадків, прямо передбачених Угодою.
2.2.6 GoDaddy припиняє Обробку й повідомляє про це Клієнту впродовж трьох (3) робочих днів, якщо на думку GoDaddy: (a) інструкція Клієнта порушує застосовне Законодавство про обробку даних, (b) GoDaddy не може виконати вимоги застосовного Законодавства про обробку даних або зобов’язання згідно з Додатковою угодою DPA.
2.3
Афілійовані особи.
2.3.1 Афілійовані особи Клієнта. Для цілей цієї Додаткової угоди DPA будь-які Персональні дані, надані GoDaddy або Афілійованим особам GoDaddy Афілійованою особою Клієнта для обробки за дорученням Клієнта та/або Афілійованої особи Клієнта, вважаються Персональними даними Клієнта, наданими Клієнтом. Клієнт запевняє, що вживатиме всіх обґрунтовано необхідних заходів, щоб гарантувати виконання його Афілійованими особами всіх обов’язків Клієнта відповідно до цієї Додаткової угоди DPA. Клієнт несе відповідальність за виконання його Афілійованими особами всіх вимог цієї Додаткової угоди DPA.
2.3.2 Афілійовані особи GoDaddy. Для цілей цієї Додаткової угоди DPA будь-які Персональні дані Клієнта, отримані Афілійованими особами GoDaddy, вважаються отриманими GoDaddy. GoDaddy запевняє, що вживатиме всіх обґрунтовано необхідних заходів, щоб гарантувати виконання її Афілійованими особами всіх обов’язків GoDaddy з обробки Персональних даних Клієнта відповідно до цієї Додаткової угоди DPA. GoDaddy несе відповідальність за виконання Афілійованими особами GoDaddy всіх вимог цієї Додаткової угоди DPA.
3. Обробка даних Субпідрядником
3.1 Клієнт надає GoDaddy генеральний дозвіл на залучення субпідрядників з обробки даних.
3.2 Рекомендуємо ознайомитися з переліком наших
Субпідрядників
3.3 Перш ніж передати Персональні дані Клієнта Субпідряднику, GoDaddy: (a) укладає із Субпідрядником письмову угоду, умови якої забезпечують щонайменше такий самий рівень захисту Даних Клієнта, як і ця Додаткова угода DPA; (b) здійснює комплексну перевірку для підтвердження відповідності Субпідрядника істотним умовам цієї Додаткової угоди DPA й вимогам Законодавства про захист даних у частині, що стосується обробки GoDaddy Даних Клієнта, зокрема вимогам інформаційної безпеки, викладеним у розділах 5, 6 і 8, а також у Додатку 2 цієї Додаткової угоди DPA.
3.4 GoDaddy несе відповідальність за дії або бездіяльність своїх Субпідрядників, включно з діями чи бездіяльністю субпідрядників своїх Субпідрядників.
3.5
Нові Субпідрядники з обробки даних; право на заперечення.
3.5.1 GoDaddy докладає обґрунтованих зусиль, щоб завчасно, щонайменше за шістдесят (60) днів, письмово повідомити Клієнта про намір GoDaddy призначити нового Субпідрядника. Однак, якщо таке завчасне повідомлення не вимагається, GoDaddy оперативно повідомить Клієнта після призначення нового Субпідрядника, якщо термінове призначення необхідне з метою вбезпечення Персональних даних Клієнта або для виконання вимог застосовного законодавства.
3.5.2 Якщо Клієнт обґрунтовано не погоджується з призначенням нового Субпідрядника, він повинен письмово повідомити GoDaddy впродовж тридцяти (30) днів після призначення Субпідрядника. GoDaddy на власний розсуд докладає комерційно обґрунтованих зусиль для розгляду заперечення Клієнта щодо Субпідрядника GoDaddy. Якщо протягом тридцяти (30) днів Сторони не зможуть дійти згоди щодо заперечення Клієнта, Клієнт може припинити дію цієї Додаткової угоди DPA та будь-якої частини Угоди, що стосується обробки Персональних даних Клієнта.
3.5.3 Якщо протягом тридцяти (30) днів із дати повідомлення про призначення Субпідрядника не було висловлено жодних заперечень, вважається, що Клієнт схвалив нового Субпідрядника.
3.5.4 Повідомлення про нового Субпідрядника може бути надано шляхом оновлення переліку Субпідрядників, зазначеного в розділі 3.2.
4. Запити на Персональні дані Клієнта під час судового процесу та запити інших третіх осіб
4.1 GoDaddy не відповідає на неофіційні запити щодо Персональних даних Клієнта від органів державної влади, правоохоронних органів чи інших осіб, за винятком випадків отримання судової повістки, ордера на обшук, судового розпорядження чи інших схожих судових наказів (разом "Судовий процес"), а також обставин, за якими, на обґрунтовану думку GoDaddy, розкриття даних може (a) вимагатися законодавством, (b) бути необхідним для захисту систем або даних GoDaddy від шкоди або несанкціонованого використання, (c) бути необхідним для захисту GoDaddy чи іншої особи від збитків або фізичної шкоди.
4.2 За винятком випадків, заборонених законом, GoDaddy якнайшвидше повідомляє Клієнту про судовий процес, у межах якого від GoDaddy вимагають надати доступ до Персональних даних Клієнта або розкрити їх.
4.3 Якщо законом не встановлено інше, GoDaddy співпрацює з Клієнтом (обґрунтованим коштом Клієнта) у межах зусиль, що докладає Клієнт із метою запобігти розкриттю Персональних даних Клієнта під час Судового процесу.
5. Безпека даних
5.1 GoDaddy підтримує програму інформаційної безпеки, що містить відповідні задокументовані технічні й організаційні заходи для гарантування рівня безпеки, який відповідає ризику Обробки Персональних даних Клієнта згідно з Угодою, зокрема будь-які спеціальні заходи, передбачені Законодавством про захист даних.
5.2 Клієнт беззастережно підтверджує, що GoDaddy надала засоби й функціональні можливості безпеки, якими Клієнт може користуватися для захисту Персональних даних Клієнта. Клієнт несе повну відповідальність за вжиття відповідних ризик-орієнтованих заходів для захисту безпеки облікового запису й Персональних даних Клієнта в межах його контролю, включно з використанням засобів і функціональних можливостей безпеки, наданих GoDaddy. Крім того, Клієнт несе повну відповідальність за те, щоб увесь вміст, який Клієнт розміщує самостійно чи через когось, не мав вразливостей, що могли б спричинити порушення безпеки Персональних даних Клієнта чи систем GoDaddy, зокрема, серед іншого, не містив шкідливого ПЗ. GoDaddy не несе відповідальності за резервне копіювання Персональних даних Клієнта.
5.3 Клієнт зобов’язаний виконувати всі вимоги Стандарту безпеки даних індустрії платіжних карток (PCI-DSS) і має право надавати GoDaddy лише такі Персональні дані Клієнта, що містять відомості щодо кредитних, дебетових та інших платежів власника картки (Дані PCI-DSS), які пов’язані з Послугами GoDaddy, спеціально призначеними для Обробки Даних PCI-DSS. Клієнт несе повну відповідальність за порушення вимог Стандарту PCI-DSS, якщо для обробки чи зберігання Даних PCI-DSS користується Послугами GoDaddy, не призначеними GoDaddy для таких даних.
5.4 Крім заходів, ужиття яких потрібне для виконання GoDaddy обов’язків згідно з вимогами застосовного Законодавства про захист даних і вимогами Стандарту PCI-DSS щодо Послуг GoDaddy, призначених для даних PCI-DSS, GoDaddy впроваджує спеціальні технічні й організаційні заходи, зазначені в Додатку 2 цієї Додаткової угоди DPA.
6. Інциденти з безпекою даних
6.1 GoDaddy пропонує Клієнту широкий вибір можливостей щодо доступу до Персональних даних Клієнта, що обробляються від імені Клієнта, та їх контролю. GoDaddy не несе відповідальності за будь-які випадкові або незаконні знищення, втрату, зміни, несанкціоновані розкриття або доступ до Персональних даних Клієнта, що не були спричинені порушенням роботи систем GoDaddy. Приклади Інцидентів із безпекою, за які GoDaddy не несе відповідальності: недотримання Клієнтом конфіденційності паролів, завантаження шкідливого вмісту, будь-яка інша вразливість системи безпеки, спричинена Клієнтом чи внесена ним до Послуг і розміщеного середовища.
6.2 GoDaddy докладатиме комерційно обґрунтованих зусиль, щоб у встановлений застосовним законодавством термін повідомити Клієнту про порушення безпеки систем GoDaddy, яке спричинило випадкові або незаконні знищення, втрату, зміни, несанкціоновані розкриття або доступ до Персональних даних Клієнта ("Інцидент із безпекою").
6.3 GoDaddy вживає належних, ризик-орієнтованих, обґрунтовано необхідних заходів для вчасного здійснення локалізації, пом’якшення й усунення Інциденту з безпеки.
6.4 GoDaddy надає інформацію за обґрунтованим запитом Клієнта для оцінки впливу Інциденту з безпекою на Персональні дані Клієнта і для надсилання Клієнтом повідомлення щодо Інциденту з безпекою до органів державної влади, Суб’єктів даних, на яких вплинув Інцидент, і будь-яких інших осіб.
6.5 Підтвердження GoDaddy факту Інциденту з безпекою або її рішення повідомити про нього Клієнта не є визнанням провини чи відповідальності.
7. Права Суб’єкта даних
7.1 Клієнт несе повну відповідальність за відповіді на запити стосовно реалізації прав Суб’єкта даних відповідно до Законодавства про захист даних, політик Клієнта щодо конфіденційності або умов надання послуг Клієнтом, зокрема запити щодо ознайомлення з Персональними даними Клієнта, доступу до них, їх виправлення або видалення ("Запити Суб’єкта даних").
7.2. GoDaddy розглядає Запит Суб’єкта даних лише в разі наданих Клієнтом задокументованих інструкцій або на вимогу застосовного законодавства.
7.3 GoDaddy повідомляє Клієнта про будь-який запит з боку Суб’єкта даних. Клієнт несе повну відповідальність за надання відповіді на запит Суб’єкта даних. Якщо всі наявні в Клієнта способи відповіді на запит Суб’єкта даних було вичерпано, то, за умови згоди Клієнта завчасно сплатити обґрунтовані витрати GoDaddy, GoDaddy надає Клієнту обґрунтовано необхідну допомогу щодо надання відповіді на запит Суб’єкта даних.
8. Оцінка впливу на захист даних, попередні консультації й запити щодо відповідності
8.1
Оцінка впливу на захист даних; попередні консультації. Коштом Клієнта GoDaddy надає Клієнту обґрунтовану допомогу під час проведення оцінки впливу на захист даних і консультацій з органами державної влади або регуляторними органами щодо обробки Персональних даних Клієнта.
8.2 Запити про виконання обов’язків. Клієнт може періодично запитувати обґрунтовано необхідну інформацію для підтвердження виконання GoDaddy обов’язків згідно із застосовним Законодавством про захист даних. Якщо впродовж сорока п’яти (45) днів GoDaddy не надішле відповіді на запит, Клієнт має право розірвати Угоду. Цим уточнюється, що жодним положенням цієї Додаткової угоди DPA Клієнту не надається права проводити аудит діяльності, систем чи послуг GoDaddy. Відповідно до положень цього розділу, обов’язок GoDaddy полягає лише в наданні обґрунтовано необхідної інформації для підтвердження виконання GoDaddy обов’язків згідно із застосовним Законодавством про захист даних.
9. Спеціальні вимоги юрисдикції й міжнародна передача персональних даних
9.1 Обробка Персональних даних Клієнта відповідно до цієї Додаткової угоди DPA може стосуватись Обробки, виконуваної згідно з одним чи кількома Законами про захист даних, і/або передбачати міжнародну передачу Персональних даних Клієнта.
9.2 Якщо країна походження Персональних даних Клієнта — Сполучені Штати Америки, то застосовуються умови, окреслені в Законах про захист даних США, зазначені в Додатку 3 (розділ 1) до цієї Додаткової угоди DPA.
9.3 Якщо місце походження Персональних даних Клієнта Європейський Союз/Європейська економічна зона ("ЄС/ЄЕЗ"), Велика Британія або Швейцарія, або якщо Клієнт перебуває в одній чи кількох із зазначених юрисдикцій, застосовуються положення відповідного Законодавства про захист даних ЄС/ЄЕЗ, Великої Британії та/або Швейцарії, викладені в Додатку 3 (розділ 2) до цієї Додаткової угоди DPA.
9.4 Якщо для Передачі на законних підставах Персональних даних Клієнта потрібен чинний міжнародний механізм передачі даних ("Обов’язковий механізм передачі даних"), застосовуються умови, викладені в Додатку 4 до цієї Додаткової угоди DPA.
10. Загальні положення
10.1
Повна згода; тлумачення. Ця Додаткова угода DPA є повною згодою Сторін щодо її предмету й замінює всі попередні й наявні, письмові та усні запевнення, домовленості, угоди й повідомлення між Сторонами щодо предмету цієї Додаткової угоди DPA. У разі виявлення розбіжностей між положеннями цієї Додаткової угоди DPA та положеннями Угоди (або будь-якої угоди між Сторонами), положення Додаткової програми DPA матимуть переважну зобов’язальну силу щодо її предмету. У разі виявлення розбіжностей між положеннями цієї Додаткової угоди DPA та положеннями Обов’язкового механізму передачі даних, зазначеного в Додатку 4, положення Обов’язкового механізму передачі даних матимуть переважну силу.
10.2 Внесення поправок. GoDaddy може на власний розсуд вносити зміни або поправки до цієї Додаткової угоди DPA відповідно до процедур, передбачених Угодою. Якщо Клієнт не погоджується з внесеною поправкою, єдиний засіб правового захисту для нього — припинити дію частини Угоди, що стосується обробки Персональних даних Клієнта, шляхом надсилання повідомлення за тридцять (30) днів до такого припинення. Якщо інше прямо не погоджено Сторонами письмово, то будь-яка поправка до цієї Угоди є чинною лише для Обробки, що здійснюється після дати прийняття такої поправки.
10.3 Відмова від претензій. Відмова від претензій у зв’язку з порушенням умов цієї Додаткової угоди DPA набуває чинності, лише якщо оформлена письмово уповноваженим представником Сторони, що відмовляється від претензій. При цьому така відмова не тлумачитиметься як відмова від претензій щодо подальших порушень.
10.4 Часткова недійсність. Якщо будь-яке положення цієї Додаткової угоди DPA виявиться недійсним, до такого положення має бути внесено зміни в межах, необхідних для відновлення його застосовності. При цьому решта Додаткової угоди DPA залишається чинною в наявній редакції. Проте, якщо внесення змін до недійсного положення спричинить неспроможність цієї Додаткової угоди DPA досягти викладеної в ній основної мети, уся Додаткова угода вважатиметься недійсною до внесення відповідних виправлень згідно з розділом 10.2.
10.5 Повідомлення. За винятком випадків, прямо зазначених у цьому документі, повідомлення, що мають надаватися згідно з умовами цієї Додаткової угоди DPA, надсилатимуться відповідно до вимог розділу "Повідомлення" Угоди.
10.6 Відповідальність. Ця Додаткова угода DPA не надає жодних підстав для Сторін або інших осіб для відшкодування шкоди будь-якого виду, за винятком випадків і з урахуванням усіх обмежень, викладених в Угоді.
10.7 Правозастосування. Положення цієї Додаткової угоди DPA можуть застосовуватися Сторонами від свого імені та від імені відповідних Афілійованих осіб згідно з положеннями про врегулювання спорів Угоди. Однак таке обмеження на правозастосування не впливає на реалізацію прав окремим Суб’єктом даних відповідно до Законодавства про захист даних.
10.8 Припинення дії. Якщо дію цієї Додаткової угоди DPA не було припинено раніше згідно з Угодою, будь-яким іншим застосовним положенням цієї Додаткової угоди DPA або застосовним Законодавством про захист даних, то припинення дії настає після завершення Обробки або припиненні дії Угоди, залежно від того, що настане пізніше. Після припинення дії цієї Додаткової угоди DPA GoDaddy повертає, видаляє або деперсоніфікує Персональні дані Клієнта згідно з умовами Угоди та цієї Додаткової угоди DPA, якщо, відповідно до застосовного законодавства, GoDaddy не зобов’язана зберігати Персональні дані Клієнта. Якщо після припинення дії Угоди GoDaddy зобов’язана зберігати Персональні дані Клієнта, то GoDaddy надалі виконуватиме зобов’язання щодо Обробки Персональних даних Клієнта відповідно до цієї Додаткової угоди DPA і без зволікань поверне або видалить їх після завершення передбаченого законом періоду зберігання.
10.9 Застосовне законодавство і юрисдикція. Ця Додаткова угода DPA регулюється законодавством, передбаченим Угодою, якщо інше не встановлено Законодавством про захист даних. У такому разі застосовуються закони юрисдикції в порядку, установленому Законодавством про захист даних. Жодне з положень цієї Додаткової угоди DPA не обмежує права чи обов’язки будь-якої особи відповідно до будь-якого застосовного Законодавства про захист даних.
Додаток 1. Відомості про Обробку Персональних даних Клієнта
У Додатку 1 містяться відомості про Обробку Персональних даних Клієнта відповідно до вимог Законодавства про захист даних.
Предмет і тривалість Обробки Персональних даних Клієнта:
Відомості щодо предмету й тривалості Обробки Персональних даних Клієнта містяться в Угоді.
Характер і мета Обробки Персональних даних Клієнта:
GoDaddy обґрунтовано виконує Обробку Персональних даних Клієнта з метою надання Послуг відповідно до Угоди.
Типи Персональних даних і категорії Суб’єктів даних:
Типи Персональних даних Клієнта й категорії Суб’єктів даних визначають Клієнт і/або Контролер, що на власний розсуд передав Клієнту Персональні дані Клієнта.
Конфіденційні дані або Особливі категорії даних:
Згідно з Угодою, Конфіденційні дані можуть періодично піддаватись Обробці. Типи Конфіденційних даних, оброблюваних згідно з Угодою, визначають Клієнт і/або Контролер, що на власний розсуд передав Клієнту Конфіденційні дані.
Права та обов’язки Контролера:
Права та обов’язки Клієнта визначено Угодою та цією Додатковою угодою DPA.
Додаток 2. Технічні та організаційні заходи безпеки
1. Застосовність
1.1 Вимоги цього Додатка 2 застосовуються до GoDaddy та будь-якого Субпідрядника (зокрема, постачальника хмарних послуг), залученого GoDaddy для постачання Послуг і/або Обробки Персональних даних Клієнта.
1.2 Якщо GoDaddy залучає Субпідрядника для постачання Послуг і/або Обробки Персональних даних Клієнта, GoDaddy гарантує, що такий Субпідрядник відповідає вимогам цього Додатка.
2. Конфіденційність інформації та управління захистом даних
2.1
Процес управління ризиками. GoDaddy підтримує належний процес управління ризиками з метою виявлення, оцінки, реагування й контролю ризиків для Персональних даних Клієнта в межах зобов’язань GoDaddy відповідно до положень Угоди, Додаткової угоди DPA й застосовного законодавства.
2.2
Область застосування Програми інформаційної безпеки. Програма інформаційної безпеки GoDaddy, включно з усіма застосовними політиками захисту конфіденційності й безпеки даних, щонайменше має на меті таке:
2.2.1 Захищати конфіденційність, цілісність і доступність Персональних даних Клієнта, що перебувають у розпорядженні чи в межах контролю GoDaddy або до яких GoDaddy має доступ;
2.2.2 Захищати конфіденційність, цілісність і доступність Персональних даних Клієнта від обґрунтовано очікуваних загроз і небезпек.
2.3
Оновлення Програми інформаційної безпеки. GoDaddy регулярно переглядає й оновлює програму інформаційної безпеки згідно зі стандартними галузевими практиками й програмами, прийнятними для типу, обсягу й рівня конфіденційності Персональних даних Клієнта, оброблюваних GoDaddy.
2.4
Оцінка ризиків і тестування. GoDaddy регулярно проводить оцінку ризиків для всіх систем обробки Персональних даних Клієнта, а також періодично здійснює перевірку на проникнення за участю третіх осіб для програм та інфраструктури, залучених до надання Послуг, як GoDaddy вважатиме обґрунтовано необхідним.
2.5
Безперервність і стійкість. GoDaddy впроваджує належні заходи із захисту цілісності й доступності систем обробки Персональних даних Клієнта, зокрема такі заходи, як моніторинг продуктивності й доступності, розробка резервних стійких систем, використання джерел безперебійного живлення, захист від DDoS-атак, навантажувальне й стресове тестування тощо.
3. Інформаційна безпека організації
3.1 Відповідальність. GoDaddy розробляє й упроваджує письмові політики та процедури з інформаційної безпеки, що чітко визначають відповідальність за захист Персональних даних Клієнта всередині компанії GoDaddy, зокрема передбачають призначення осіб, відповідальних за адміністрування програми інформаційної безпеки GoDaddy і захист Персональних даних Клієнта.
3.2 Управління ресурсами та їх контроль. GoDaddy підтримує політику управління ресурсами та контроль ресурсів, зокрема класифікацію та інвентаризацію пристроїв і систем, що використовуються для надання Послуг і/або обробки Персональних даних Клієнта.
3.3 Фізичний захист даних. GoDaddy також упроваджує ризик-орієнтовані засоби контролю для підтримки фізичної безпеки своїх об’єктів, зокрема обґрунтовані заходи, що гарантують доступ до електронних пристроїв, мережі, критичних систем, програм, серверних приміщень, телекомунікаційних приміщень і робочого середовища GoDaddy лише для вповноважених користувачів. Заходами, якими GoDaddy може скористатися, серед іншого, є сигнали тривоги, відеонагляд, керування доступом відвідувачів, знищення Персональних даних на фізичних пристроях до утилізації/переробки таких пристроїв.
4. Заходи безпеки
4.1 Безпечна конфігурація системи. GoDaddy встановлює елементи керування, щоб системи, використовувані для надання Послуг і/або Обробки Персональних даних Клієнта, мали безпечну конфігурацію.
4.2 Управління вразливістю та виправленнями. GoDaddy встановлює й підтримує систему управління вразливістю та виправленнями, щоб для всіх систем, використовуваних для надання Послуг і/або Обробки Персональних даних Клієнта, було інстальовано виправлення проти відомих вразливостей безпеки впродовж обґрунтованого часу, залежно від критичності виправлення й рівня конфіденційності Персональних даних Клієнта.
4.3 Боротьба зі шкідливим ПЗ. GoDaddy впроваджує елементи виявлення, запобігання та усунення для захисту від шкідливого ПЗ (а також відповідну програму підвищення обізнаності користувачів).
4.4 Журналювання й аудит. GoDaddy впроваджує програму управління журналом, де визначено основні аспекти застосування, створення, зберігання, аналізу й утилізації журналів з урахуванням ризик-орієнтованих галузевих стандартів.
4.5 Виявлення інциденту з безпекою та реагування. GoDaddy підтримує ризик-орієнтовані системи для виявлення Інцидентів із безпекою відповідно до вимог розділу 6 Угоди, зокрема використовує системи виявлення втручання й запобігання йому.
5. Навчальна підготовка
GoDaddy зобов’язується проводити регулярну навчальну підготовку персоналу стосовно виконання обов’язків із дотримання конфіденційності й захисту Персональних даних Клієнта.
6. Елементи керування доступом
6.1 Унікальна ідентифікація. GoDaddy надає індивідуальні унікальні облікові дані користувача персоналу, що має доступ до Персональних даних Клієнта, зокрема персоналу, що має доступ із правами адміністратора.
6.2 Управління паролями. GoDaddy впроваджує політики та процедури управління паролями, зокрема централізовані управління паролями й парольні політики.
6.3 Багатофакторна автентифікація. GoDaddy впроваджує багатофакторну автентифікацію для віддаленого доступу до мереж, систем і програм, використову