ДОДАТКОВА УГОДА ПРО ОБРОБКУ ДАНИХ GoDaddy

Додаткова угода про обробку даних (далі — «Додаткова угода») вкладається між компанією GoDaddy.com, LLC, a Delaware limited liability company, її Компаньйонами (далі — «GoDaddy») і вами (далі — «Клієнт») та доповнює наші Універсальні умови користування, Політику конфіденційності й усі інші угоди, що регламентують надання Передбачених послуг (разом — «Умови надання послуг»).

1.1 Якщо в цій Додатковій угоді не зазначено інше, усі не визначені в ній терміни, написані з великої літери, матимуть значення, наведені в Умовах надання послуг

«Компаньйони» — це будь-які юридичні особи, які перебувають під контролем компанії GoDaddy, контролюють її або контролюються спільно з нею.

«Передбачені послуги» — це послуги, розміщені на хостингу, за допомогою яких ми можемо обробляти Особисті дані і які підпадають під дію умов і положень таких Угод: (1) Служби маркетингу електронною поштою, (2) Хостинг, (3) Онлайн-крамниця/Швидкий кошик, (4) Служби створення сайту, (5) Послуга робочого середовища.

«Дані клієнта» — це Особисті дані будь-якого Суб’єкта даних, оброблені компанією GoDaddy в мережі GoDaddy від імені Клієнта відповідно до Умов надання послуг або у зв’язку з ними.

«Закони про захист даних» — це всі закони про захист даних або конфіденційність, застосовні до Обробки Особистих даних згідно з Угодою, зокрема (i) австралійські Принципи про недоторканність приватного життя та австралійський Закон про недоторканність приватного життя (1988); (ii) бразильський закон Lei Geral de Proteção de Dados (LGPD), (iii) Закон штату Каліфорнія про захист конфіденційності споживачів (CCPA), (iv) канадський федеральний Закон про захист персональних даних та електронні документи (PIPEDA), (v) Загальний регламент захисту даних ЄС (EU GDPR), (vi) будь-які національні закони про захист даних, прийняті відповідно до Загального регламенту захисту даних (GDPR), (vii) Директива ЄС про секретність та електронні комунікації (Директива 2002/58/EC), (viii) Закон про захист особистих даних 2012 (PDPA, Сінгапур); (ix) швейцарський федеральний Закон про захист даних від 19 червня 1992 року й Постанова до нього, (x) Загальний регламент захисту даних Великої Британії (UK GDPR) або Закон про захист даних 2018 року; у кожному випадку з урахуванням можливих змін або замін.

«ЄЕП» — це Європейський економічний простір.

«EU GDPR» — це Регламент (ЄС) 2016/679 Європейського парламенту та Ради Європи від 27 квітня 2016 року про захист фізичних осіб у зв’язку з обробкою особистих даних і про вільне переміщення таких даних, а також про скасування директиви 95/46/ЄС (Загальний регламент із захисту даних).

«Стандартні договірні положення ЄС» — це стандартні положення про захист даних, схвалені рішенням 2021/914 Європейської комісії від 4 червня 2021 року, включені в цей документ у вигляді посилання. Стандартні договірні положення Модуля два (Контролер-Обробник) і Модуля три (Обробник-Обробник) доступні для завантаження на офіційному вебсайті законодавства ЄС (EUR-Lex).

«Мережа GoDaddy» — це об’єкти центру обробки даних GoDaddy, сервери, мережеве обладнання та програмні системи хоста (наприклад, віртуальні брандмауери), які перебувають під контролем GoDaddy і використовуються для надання Передбачених послуг.

«Інцидент із безпекою» — це порушення безпеки за Стандартами безпеки GoDaddy, яке призводить до випадкового або незаконного знищення, утрати, змінення, несанкціонованого розголошення будь-яких Даних клієнта або доступу до них у системах, керованих чи контрольованих компанією GoDaddy.

«Стандарти безпеки» — це стандарти безпеки, включені в цю Додаткову угоду як Додаток 2.

«Конфіденційні дані» — це (a) індивідуальний податковий номер, номер паспорта, номер посвідчення водія або схожий ідентифікатор (або будь-яка його частина); (б) номер кредитної або дебетової картки (крім останніх чотирьох цифр кредитної або дебетової картки), фінансова інформація, номери або паролі банківського рахунку; (в) фінансова інформація, генетичні або біометричні дані, інформація про здоров’я та працевлаштування; (г) расова або етнічна належність, політичні погляди або релігійні переконання, членство в профспілках або інформація про інтимне життя чи сексуальну орієнтацію; (ґ) паролі до облікових записів, дівоче прізвище матері або дата народження; (д) інформація про кримінальне минуле; або (е) будь-яка інша інформація чи поєднання інформації, що підпадає під визначення «спеціальні категорії даних» Загального регламенту захисту даних (GDPR) або будь-якого іншого застосовного закону або регламенту, що стосується конфіденційності й захисту даних.

«Субпідрядник з обробки даних» — це будь-який обробник даних, залучений Обробником для Обробки даних від імені Контролера даних.

«UK GDPR» — це Загальний регламент захисту даних ЄС (EU GDPR), включений до Правової системи Великої Британії після прийняття закону про вихід Великої Британії зі складу ЄС (The EU Withdrawal Act) у 2018 році, з усіма змінами й доповненнями та застосовними підзаконними актами, прийнятими відповідно до цього Закону.

«**Міжнародна додаткова угода Великої Британії про передавання даних **» — це Міжнародна додаткова угода до Стандартних договірних положень ЄС, видана Комісаром з інформації Великої Британії, версія B1.0, яка почала діяти з 21 березня 2022 року, включена в цей документ у вигляді посилання. Міжнародна додаткова угода Великої Британії про передавання даних доступна для завантаження на офіційному вебсайті Комісара з інформації Великої Британії

1.2 Терміни «Особисті дані», «Суб’єкт даних», «Обробка», «Контролер» і «Обробник», використані в цій Додатковій угоді мають значення, наведені в Загальному регламенті захисту даних ЄС (EU GDPR), незалежно від того, які закони про захист даних застосовуються.

2.1 Компанія GoDaddy як Обробник. Сторони погоджуються з наведеними нижче положеннями: (i) компанія GoDaddy виконує роль обробника Даних клієнта згідно із Законами про захист даних; (ii) Клієнт може бути як Контролером, так і Обробником Даних клієнта, залежно від обставин, згідно із Законами про захист даних; і (iii) кожна зі сторін виконуватиме свої зобов’язання, дотримуючись усіх застосовних Законів про захист даних під час обробки Даних клієнта.

2.2 Докладні відомості про Обробку даних. Обробка даних Клієнта компанією GoDaddy полягає у виконанні Передбачених послуг відповідно до Умов надання послуг. Компанія GoDaddy обробляє Дані клієнта лише від імені Клієнта та відповідно до його документованих інструкцій з такими цілями: (i) Обробка відповідно до Умов надання послуг; (ii) Обробка, ініційована кінцевими користувачами під час використання Передбачених послуг; (iii) Обробка для виконання інших документованих, обґрунтованих інструкцій, наданих Клієнтами (наприклад, електронною поштою), якщо такі інструкції відповідають Умовам надання послуг. Компанія GoDaddy не має права: а) обробляти, зберігати, використовувати, продавати або розголошувати Дані клієнта, за винятком випадків, коли це необхідно для надання Передбачених послуг згідно з Умовами надання послуг або передбачено законом; б) продавати такі Дані клієнта будь-якій сторонній особі; в) зберігати, використовувати або розголошувати такі Дані клієнта поза безпосередніми діловими стосунками між компанією GoDaddy і Клієнтом.

Щоб уникнути неоднозначності тлумачення, інструкції Клієнта щодо Обробки Даних клієнта мають відповідати всім застосовним законам про конфіденційність даних. Клієнт несе повну відповідальність за точність, якість і законність Даних клієнта та за способи, якими Клієнт отримав Дані клієнта. Якщо Клієнт є Контролером Даних клієнта, він погоджується з наведеними нижче положеннями: (i) Ви повинні використовувати всі комерційно виправдані методи для чіткого розголошення інформації та отримання згоди на будь-яке збирання, поширення та використання даних, що матимуть місце під час надання Передбачених послуг, а також (ii) чітко пояснити, що внаслідок використання Передбачених послуг дані Кінцевого користувача можуть оброблятися за межами його країни. Якщо Клієнт є Обробником Даних клієнта, він гарантує, що інструкції Клієнта та дії відносно Даних клієнта, включно з призначенням компанії GoDaddy на роль іншого Обробника, були дозволені відповідним Контролером. Компанія GoDaddy не зобов’язана виконувати інструкції Клієнта або дотримуватися їх, якщо ці інструкції порушують Закони про захист даних. Тривалість, характер і мета Обробки, типи Особистих даних і категорії Суб’єктів даних, оброблених відповідно до цієї Додаткової угоди, зазначено далі в Додатку 1 (далі — «Докладні відомості про Обробку») до цієї Додаткової угоди.

Компанія GoDaddy не розголошуватиме Дані клієнта будь-якому державному органу або третім особам, окрім випадків, коли це необхідно для дотримання законодавства або чинного й обов’язкового розпорядження правоохоронного органу (наприклад, судової повістки чи постанови). У випадку, якщо GoDaddy отримає чинну судову повістку, і в дозволених межах GoDaddy намагатиметься надати Клієнту електронною або звичайною поштою обґрунтоване повідомлення про таку вимогу, щоб він мав змогу отримати охоронний судовий наказ або вжити інших належних заходів із захисту своїх прав.

4.1 Компанія GoDaddy запровадила й зобов’язується підтримувати технічні та організаційні заходи для мережі GoDaddy, описані в цьому розділі та Додатку 2 «Стандарти безпеки» цієї Додаткової угоди. Зокрема, компанія GoDaddy запровадила й зобов’язується підтримувати наведені нижче технічні й організаційні заходи, які стосуються (i) безпеки мережі GoDaddy; (ii) фізичної безпеки об’єктів; (iii) контролю доступу працівників і підрядників до (i) та/або (ii); і (iv) процесів перевірки й оцінювання ефективності технічних й організаційних заходів, які впроваджує GoDaddy. У разі неспроможності виконання нами будь-яких зобов’язань, викладених у цьому документі, ми якомога швидше надамо письмове повідомлення про це (на нашому вебсайті або електронною поштою).

4.2.Компанія GoDaddy надає низку функцій безпеки й можливостей її гарантування, які Клієнт може використовувати у зв’язку із Передбаченими послугами. Клієнт несе відповідальність за (а) правильне налаштування Передбачених послуг, (б) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і служб обробки; (в) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), щоб мати змогу своєчасно відновлювати Дані клієнта та отримувати до них доступ на випадок фізичного або технічного інциденту (наприклад, резервного копіювання та поточного архівування Даних клієнта); (г) вжиття таких заходів, які він вважає достатніми для підтримки відповідного рівня безпеки, захисту та видалення Даних клієнта, зокрема використання технології шифрування для захисту Даних клієнта від несанкціонованого доступу та вжиття заходів для керування правами доступу до Даних клієнта.

З огляду на характер Передбачених послуг компанія GoDaddy пропонує Клієнтам певні елементи керування, за допомогою яких Клієнт може отримувати, виправляти та видаляти свої дані або обмежувати їхнє використання та обмін, як описано в розділі «Передбачені послуги». Клієнт може використовувати ці елементи керування як технічні й організаційні заходи, які допомагають йому під час виконання його зобов’язань відповідно до чинного законодавства про конфіденційність, включно із зобов’язаннями щодо відповіді на запити Суб’єктів даних. Враховуючи комерційно обґрунтовані міркування, компанія GoDaddy у передбачених законом випадках негайно повідомляє Клієнта, якщо GoDaddy отримує прямий запит від Суб’єкта даних на виконання таких прав згідно з будь-якими чинними законами про захист даних (далі — «Запит Суб’єкта даних»). Крім того, якщо використання Клієнтом Передбачених послуг обмежує його здатність реагувати на Запит Суб’єкта даних, компанія GoDaddy може, за умови юридичного обґрунтування і доречності та за конкретним запитом Клієнта, надавати комерційно обґрунтовану допомогу в процесі розгляду запиту коштом Клієнта (якщо потрібно).

6.1 Авторизовані субпідрядники з обробки даних. Клієнт погоджується, що компанія GoDaddy може залучати субпідрядників з обробки даних для виконання власних договірних зобов’язань відповідно до Умов надання послуг і цієї Додаткової угоди або надання певних послуг від її імені, наприклад, послуг підтримки. Клієнт погоджується, що GoDaddy використовуватиме субпідрядників з обробки даних, як описано в цьому розділі.

6.2 Обов’язки субпідрядника з обробки даних. Якщо компанія GoDaddy використовує будь-якого авторизованого субпідрядника з обробки даних, як описано в розділі 6.1:

(i) компанія GoDaddyобмежує доступ субпідрядника з обробки даних до Даних клієнта тільки тим, що необхідно для підтримки Передбачених послуг або їх надання Клієнту та будь-яким кінцевим користувачам відповідно до правил надання Передбачених послуг. Компанія GoDaddy забороняє субпідряднику з обробки даних доступ до Даних клієнта для будь-яких інших цілей;

(ii) компанія GoDaddy укладе письмовий договір із субпідрядником з обробки даних і, тією мірою, якою субпідрядник з обробки даних надає ті ж послуги з обробки даних, які надаються GoDaddy відповідно до цієї Додаткової угоди, компанія GoDaddy накладе на субпідрядника з обробки даних ті ж договірні зобов’язання, що й передбачені для компанії GoDaddy за цією Додатковою угодою;

(iii) компанія GoDaddy залишатиметься відповідальною за виконання своїх зобов’язань за цією Додатковою угодою та за будь-які дії чи бездіяльність субпідрядника з обробки даних, через які компанія GoDaddy порушить будь-які із зобов’язань GoDaddy за цією Додатковою угодою.

6.3 Нові субпідрядники.  Час від часу ми можемо залучати нових субпідрядників з обробки даних відповідно до умов цієї Додаткової угоди.  У таких випадках ми надсилаємо попереднє повідомлення (через вебсайт або електронною поштою) за 30 днів до того, як передати новому субпідряднику з обробки даних будь-які Дані клієнта. Якщо ваш клієнт не схвалює нового субпідрядника з обробки даних, він може припинити використовувати Передбачені послуги без штрафів, надавши протягом 10 днів із дати отримання повідомлення від нас письмове повідомлення про припинення використання послуг із поясненням причин свого несхвалення. Якщо Передбачені послуги є частиною набору або збірної покупки, тоді будь-яке припинення застосовуватиметься до всього набору чи збірки.

7.1 Інцидент із безпекою. Якщо компанія GoDaddy дізнається про Інцидент із безпекою, GoDaddy зобов’язується без зайвої затримки: (а) повідомити Клієнта про Інцидент із безпекою; (б) вжити відповідних заходів для пом’якшення наслідків і мінімізації будь-якої шкоди, завданої внаслідок цього Інциденту.

7.2 GoDaddy Допомога. Щоб надати Клієнту допомогу з будь-якими повідомленнями про порушення конфіденційності особистих даних, які він зобов’язаний надсилати згідно з будь-яким відповідним законом про конфіденційність, компанія GoDaddy включить до повідомлення інформацію про Інцидент із безпекою, яку GoDaddy може обґрунтовано розкрити Клієнту з урахуванням характеру Передбачених послуг, інформації, доступної компанії GoDaddy, і будь-яких обмежень на розкриття такої інформації, зокрема її конфіденційності.

7.3 Невдалі Інциденти з безпекою. Клієнт погоджується, що невдалі Інциденти з безпекою не підпадатимуть під дію умов цієї Додаткової угоди. Невдалий Інцидент із безпекою — це інцидент, результатом якого є несанкціонований доступ до Даних клієнта або до будь-якої з мереж, устаткування чи об’єктів компанії GoDaddy, що зберігають Дані клієнта, і може включати, зокрема перевірки зв’язку й інші трансляційні атаки на брандмауери або межові сервери, сканування портів, невдалі спроби входу в систему, атаки типу «відмова в обслуговуванні», вистежування пакетів (або інший неавторизований доступ до даних про трафік, який не призводить до доступу до вмісту під заголовками) або подібні інциденти.

7.4 Сповіщення. Повідомлення про Інциденти з безпекою, якщо такі є, доставлятимуться одному або кільком адміністраторам Клієнта будь-якими способами на розсуд компанії GoDaddy, зокрема електронною поштою. Клієнт несе повну відповідальність за те, щоб адміністратори Клієнта постійно зберігали точну контактну інформацію на консолі керування GoDaddy та здійснювали безпечне передавання.

7.5 Невизнання помилки компанією GoDaddy. Обов’язок компанії GoDaddy повідомляти про Інцидент із безпекою або реагувати на нього відповідно до цього розділу не тлумачиться й не може тлумачитися як визнання компанією GoDaddy будь-якої помилки або відповідальності GoDaddy у зв’язку з таким Інцидентом.

8.1 Незалежне визначення. Клієнт несе відповідальність за перегляд інформації, наданої компанією GoDaddy стосовно захисту даних і її стандартів безпеки, а також незалежне визначення того, чи відповідають Передбачені послуги вимогам і юридичним зобов’язанням Клієнта, а також його зобов’язанням відповідно до цієї Додаткової угоди. Надана інформація призначена для того, щоб допомогти Клієнту виконувати його зобов’язання згідно із чинними законами про конфіденційність. Клієнт погоджується, що Передбачені послуги й Стандарти безпеки, що впроваджуються та підтримуються компанією GoDaddy, надають рівень безпеки, відповідний ризику для персональних даних (з огляду на поточний стан справ, витрати на реалізацію, характер, область застосування та мету обробки та ризики, пов’язані з обробкою для суб’єктів даних, а також ризики для окремих осіб).

8.2 Права Клієнта на аудит. Клієнт має право на підтвердження виконання компанією GoDaddy цієї Додаткової угоди, застосовної до Передбачених послуг шляхом подання конкретного письмового запиту в розумні інтервали часу на адресу, викладену в Умовах надання послуг. Якщо GoDaddy відмовляється виконувати будь-які інструкції, запропоновані Клієнтом стосовно належним чином запитаного й обґрунтованого аудиту чи інспекції, Клієнт має право припинити дію цієї Додаткової угоди та Умов надання послуг.

9.1 Обробка у США. Крім випадків, коли це явно зазначено в Умовах надання послуг, Дані клієнта передаватимуться за межі Сполученого Королівства або ЄЕП і оброблятимуться в Сполучених Штатах.

9.2 Застосування Стандартних договірних положень ЄС. Модуль два (Контролер-Обробник) і Модуль три (Обробник-Обробник) Стандартних договірних положень ЄС застосовуватимуться до Даних клієнта, які передаються за межі ЄЕП безпосередньо або через передавання даних до будь-якої країни, не визнаної Європейською Комісією як такою, що забезпечує належний рівень захисту Даних клієнта. Стандартні договірні положення ЄС не поширюються на Дані клієнта, які не передаються ні напряму, ні через передавання даних за ​​межі ЄЕП. Незважаючи на вищесказане, Стандартні договірні положення ЄС не застосовуються, якщо дані передаються відповідно до визнаного стандарту для законного передавання Особистих даних поза межі ЄЕП, зокрема, коли це необхідно для виконання Передбачених послуг відповідно до Умов надання послуг або за вашої згоди.

1. Для кожного модуля, де застосовно:
   1. у Положенні 7 Стандартних договірних положень ЄС необов’язкове положення («docking clause») не застосовуватиметься;
   2. у Положенні 9 Стандартних договірних положень ЄС Варіант 2 застосовуватиметься, і період часу для попереднього письмового повідомлення про зміну субпідрядника буде таким, як зазначено в Розділі 6.3 («Нові субпідрядники») цієї Додаткової угоди;
   3. у Положенні 11 Стандартних договірних положень ЄС, необов’язкова мова не застосовуватиметься;
   4. у Положенні 17 (Варіант 1) Стандартні договірні положення ЄС регулюватимуться законодавством Німеччини;
   5. у Положенні 18(б) Стандартних договірних положень ЄС суперечки вирішуватимуться в судах Федеративної Республіки Німеччина;
   6. у Додатку I, Частина А Стандартних договірних положень ЄС:
      • Список сторін
        
        Експортер(-и) даних: Експортером даних є суб’єкт, ідентифікований як «Клієнт» у Додатковій угоді
        Підпис і дата: Станом на дату прийняття Експортером цих Умов надання послуг Імпортера даних в електронній формі, вважається, що Експортер даних підписав ці Стандартні договірні положення ЄС.
        Роль: Контролер (відповідно до Модуля два) або Обробник (відповідно до Модуля три)
        
        Імпортер(-и) даних: GoDaddy.com, LLC
        Контактні дані: Офіс начальника відділу захисту даних: privacy@godaddy.com
        Підпис і дата: Станом на дату прийняття Експортером цих Умов надання послуг Імпортера даних в електронній формі, вважається, що Експортер даних підписав ці Стандартні договірні положення ЄС.
        Роль: Обробник
   7. у Додатку I, частині Б Стандартних договірних положень ЄС:
      • Опис передавання
        
        Категорії Суб’єктів даних, Особисті дані яких передаються, описано в Додатку 1 Додаткової угоди.
        Категорії Особистих даних, які передаються, описано в Додатку 1 Додаткової угоди. Конфіденційні дані, які передаються, описано в Додатку 1 Додаткової угоди.
        Частота передавання є постійною підставою для продовження Умов надання послуг.
        Характер обробки описано в Розділі 2.2 й у Додатку 1 Додаткової угоди.
        Мету передавання даних і подальшої обробки описано в Розділі 2.2 й у Додатку 1 Додаткової угоди.
        Період зберігання Особистих даних описано в Додатку 1 Додаткової угоди.
        Для передань до субпідрядників предмет, характер і тривалість обробки викладено в Додатку III Стандартних договірних положень.
   8. у Додатку I, частині B Стандартних договірних положень ЄС:
      • Компетентний наглядовий орган
        Державна комісія з питань захисту даних і свободи інформації в Північному Рейні-Вестфалії («LDI NRW») є компетентним наглядовим органом.
   9. у Додатку II Стандартних договірних положень ЄС:
      
      Технічні й організаційні заходи безпеки, яких уживає Імпортер даних, викладено в Додатку 2 Додаткової угоди.
   10. у Додатку III Стандартних договірних положень ЄС:
       
       Список субпідрядників викладено в Додатку 3 Додаткової угоди.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Для передавання даних із Великої Британії, які підпадають під дію Міжнародної додаткової угоди Великої Британії про передавання даних, Міжнародна додаткова угода Великої Британії про передавання даних вважатиметься укладеною (і включеною в цю Додаткову угоду за цим посиланням) і реалізованою в такий спосіб:
   1. У Таблиці 1 Міжнародної додаткової угоди Великої Британії про передавання даних, дані сторін і ключова контактна інформація розташовані в Розділі 9.2 (i)(f) цієї Додаткової угоди.
   2. У Таблиці 2 Міжнародної додаткової угоди Великої Британії про передавання даних, інформація про версію Стандартних договірних положень ЄС, модулі й вибрані положення, до яких додається Міжнародної додаткової угоди Великої Британії, розташовані в Розділі 9.2 («Стандартні договірні положення ЄС») цієї Додаткової угоди.
   3. У Таблиці 3 Міжнародної додаткової угоди Великої Британії про передавання даних:
      1. Список сторін розташований у Розділі 9.2 (i)(f) цієї Додаткової угоди.
      2. Опис передавання наведено в Розділі 1 («Характер і мета Обробки») Додатку 1 («Докладні відомості про Обробку даних») цієї Додаткової угоди.
      3. Додаток II розташований у Додатку 2 («Стандарти безпеки») цієї Додаткової угоди
      4. Список субпідрядників викладено в Додатку 3 цієї Додаткової угоди.
   4. У Таблиці 4 Міжнародної додаткової угоди Великої Британії про передавання даних, як Імпортер, так і Експортер можуть припинити дію Міжнародної додаткової угоди Великої Британії про передавання даних згідно з умовами Міжнародної додаткової угоди Великої Британії про передавання даних.

Ця Додаткова угода продовжуватиме діяти до завершення нами обробки відповідно до Умов надання послуг (далі — "Дата припинення дії").   

Як описано в розділі «Передбачені послуги», Клієнту можуть бути надані елементи керування, які можна використовувати для отримання або видалення Даних клієнта. Дані клієнта буде видалено за тридцять (30) днів після дати припинення дії, що регулюватиметься умовами використання конкретних Передбачених послуг. Клієнт погоджується, що саме він відповідає за експорт даних до дати припинення дії та будь-які Дані клієнта, які Ви бажаєте зберегти після дати припинення дії.

Відповідальність кожної зі сторін у межах цієї Додаткової угоди підпадає під винятки й обмеження відповідальності, викладені в Умовах надання послуг. Клієнт погоджується з тим, що будь-які регулятивні штрафи, накладені на компанію GoDaddy у зв’язку з Даними клієнта, які виникають унаслідок або через невиконання Клієнтом своїх зобов’язань відповідно до цієї Додаткової угоди й будь-яких чинних законів про конфіденційність, враховуватимуться та зменшуватимуть відповідальність GoDaddy відповідно до Умов надання послуг так, ніби це була б відповідальність перед Клієнтом згідно з Умовами надання послуг.

Ця Додаткова угода замінює собою всі зроблені раніше чи одночасно заяви, домовленості, угоди або обговорення між Клієнтом і компанією GoDaddy в письмовій або усній формі стосовно предмету цієї Додаткової угоди, зокрема будь-які додаткові угоди про обробку даних, укладні між компанією GoDaddy і Клієнтом у зв’язку з обробкою Особистих даних і їх вільним переміщенням.  У разі суперечностей чи розбіжностей між Стандартними договірними положеннями ЄС чи положеннями Міжнародної додаткової угоди Великої Британії про передавання даних та будь-якими іншими умовами цієї Додаткової угоди чи Умовами надання послуг переважну силу матимуть відповідні Стандартні договірні положення ЄС і положення Міжнародної додаткової угоди Великої Британії про передавання даних. Усі положення Умов надання послуг зберігатимуть повну юридичну силу, окрім тих, у які внесено зміни цією Додатковою угодою.  У разі суперечності між Умовами надання послуг і цією Додатковою угодою умови цієї Додаткової угоди матимуть переважну силу.

 ДОКЛАДНІ ВІДОМОСТІ ПРО ПРОЦЕС

 1. Характер і мета обробки. КомпаніяGoDaddy оброблятиме Особисті дані, необхідні для надання Передбачених послуг відповідно до Умов надання послуг, а також додаткових інструкцій, наданих Клієнтом під час використання Передбачених послуг.

 2. Тривалість обробки. За умови дотримання Розділів 10 і 11 цієї Додаткової угоди, компанія GoDaddy оброблятиме дані клієнта протягом періоду чинності Умов надання послуг. Незважаючи на вищезгадане, компанія GoDaddy може зберегти Дані клієнта, або будь-яку їхню частину, якщо це потрібно згідно із застосовним законодавством або регламентом, зокрема застосовними Законами про захист даних, якщо ці Дані клієнта будуть захищені відповідно до умов цієї Додаткової угоди й застосовних Законів про захист даних.

3. Категорії Суб’єктів даних. Клієнт може передавати Особисті дані під час використання Передбачених послуг тією мірою, якою це визначається та контролюється на власний розсуд Клієнта, що може передбачати, зокрема Особисті дані, що стосуються наведених нижче категорій Суб’єктів даних:

• Потенційні та наявні клієнти, ділові партнери та постачальники Клієнта (які є фізичними особами)
• Співробітники або контактні особи потенційних або наявних клієнтів, ділових партнерів і постачальників Клієнта
• Співробітники, агенти, радники, фрилансери Клієнта (які є фізичними особами)
• Користувачі Клієнта, яким він дозволив використовувати Передбачені послуги

4. Передавання Особистих даних. Клієнт може завантажувати Особисті дані під час використання Передбачених послуг, тип і обсяг яких визначається та контролюється Клієнтом на власний розсуд. Вони, зокрема, можуть враховувати зазначені нижче категорії Особистих даних Суб’єктів даних: 

• Ім’я
• Адреса
• Номер телефону
• Дата народження
• Адреса електронної пошти
• Інші дані, які ми збираємо, що можуть прямо або опосередковано вказувати на суб’єктів даних.

5. Конфіденційна інформація або спеціальні категорії даних. Клієнт може передавати Конфіденційні дані під час використання Передбачених послуг, тип і обсяг яких визначається та контролюється Клієнтом на власний розсуд. Клієнт несе відповідальність за застосування обмежень або гарантій, які повністю враховують характер даних і потенційні ризики перед переданням або обробкою будь-якої Конфіденційної інформації за допомогою Передбачених послуг.

Стандарти безпеки

I. Технічні та організаційні заходи  

Ми прагнемо захистити інформацію наших клієнтів.  Беручи до уваги передовий досвід, витрати на реалізацію та суть, обсяг, обставини й цілі обробки, а також різну ймовірність виникнення та ступінь ризику для прав і свобод фізичних осіб, ми вживаємо перелічених нижче технічних і організаційних заходів.  Під час вибору заходів враховуються конфіденційність, цілісність, доступність і стійкість систем.

II.  Програма конфіденційності даних  

Наша програма конфіденційності даних створена для підтримки глобальної структури керування даними та безпеки інформації протягом усього її життєвого циклу. Цю програму ініціювала служба із захисту даних, голова якої здійснює нагляд за впровадженням заходів із забезпечення конфіденційності та безпеки. Ми регулярно перевіряємо, оцінюємо й аналізуємо ефективність її Програми захисту конфіденційності даних і Стандартів безпеки.

1. Конфіденційність. «Конфіденційність означає, що особисті дані захищені від несанкціонованого розголошення».  

Ми вживаємо різних фізичних і логічних заходів для захисту конфіденційності особистих даних наших клієнтів. Ці заходи передбачають наведене нижче.   

  Підтримка фізичної безпеки  

• Наявність систем контролю фізичного доступу (контроль доступу до емблем, моніторинг подій безпеки тощо) 
• Системи спостереження, зокрема сигнали тривоги та, за потреби, відеонагляд
• Правила та заходи із забезпечення чистоти робочого місця (блокування комп’ютера, що лишається без нагляду, закриті шафи тощо)  
• Керування доступом відвідувачів
• Знищення даних на фізичних носіях і документів (подрібнення, розмагнічування тощо)

  Керування доступом і запобігання несанкціонованому доступу 

• Застосовані обмеження доступу користувачів і дозволи на доступ на основі ролей, надані або переглянуті за принципом розподілу обов’язків
• Надійні методи автентифікації й авторизації (багатофакторна автентифікація, авторизація на основі сертифікатів, автоматична деактивація або вихід із системи тощо) 
• Централізоване керування паролями та правила надійних і складних паролів (мінімальна довжина, складність символів, термін дії паролів тощо)   
• Керований доступ до електронної пошти й Інтернету
• Керування антивірусними програмами
• Керування системою запобігання вторгненням

Шифрування   

• Шифрування зовнішньої та внутрішньої комунікації за допомогою надійних криптографічних протоколів  
• Шифрування Особистих даних і Конфіденційних даних у стані спокою (бази даних, спільні каталоги тощо)   
• Шифрування всього диска для ПК і ноутбуків компанії   
• Шифрування носіїв даних  
• Віддалені підключення до мереж компанії шифруються за допомогою VPN  
• Захист життєвого циклу ключів шифрування

 Мінімізація даних    

• Мінімізація даних PII/SPI у програмах, налагодження та журнали безпеки
• Псевдонімізація особистих даних для запобігання прямої ідентифікації особи
• Класифікація збережених даних за функцією (тестові, проміжні, інтерактивні)
• Логічна класифікація даних за правами доступу на основі ролей 
• Визначені періоди збереження особистих даних 

Перевірка безпеки     

• Перевірка захисту від несанкціонованого доступу до найважливіших мереж і платформ компанії, на яких розміщуються особисті дані
• Регулярна перевірка мережі та пошук вразливостей

2. Цілісність. «Цілісність означає забезпечення правильності (недоторканності) даних і належного функціонування систем. Коли термін "цілісність" використовується у зв’язку з терміном "дані", він означає, що дані є повними та незміненими.»  

Окрім елементів керування доступом, наявні також належні елементи керування змінами та журналами, щоб дають змогу зберігати цілісність особистих даних, наприклад:    

Керування змінами та випусками    

• Процес керування змінами та випусками включно з (аналізом впливу, схваленням, тестуванням, аналізом безпеки, групуванням, моніторингом тощо)  
• Надання доступу до виробничого середовища на основі ролей і функцій (розподіл обов’язків)

Журналювання та моніторинг

• Журналювання доступу до даних і внесення змін у них
• Централізовані журнали аудиту та безпеки
• Моніторинг повноти та правильності передавання даних (наскрізна перевірка)

3. Доступність. «Доступність послуг та ІТ-систем, комп’ютерних програм і функцій мережі ІТ або ІТ-інформації гарантується, якщо користувачі здатні завжди використовувати їх належним чином».    

Ми впроваджуємо відповідні заходи для забезпечення безперебійності та безпеки, щоб підтримувати доступність своїх служб і даних, розміщених у них.    

• Регулярні перевірки важливих служб на відновлення після відмови
• Інтенсивний моніторинг ефективності або доступності та звітність для критичних систем
• Програма реагування на інциденти
• Реплікація або резервне копіювання важливих даних (резервне копіювання в хмарі або на жорсткому диску, реплікація баз даних тощо) 
• Планове обслуговування програмного забезпечення, інфраструктури та засобів безпеки (оновлення програмного забезпечення, виправлення системи безпеки тощо)   
• Надлишкові та стійкі системи (серверні кластери, дзеркальні бази даних, налаштування високої доступності тощо) розташовано у віддалених і/або географічно розділених розташуваннях
• Використання джерел безперебійного живлення, резервного обладнання та мережевих систем
• Сигналізація, наявні системи безпеки
• Заходи фізичного захисту в критичних місцях (захист від перенапруг, фальшпідлоги, системи охолодження, детектори вогню та/або диму, системи пожежогасіння тощо) 
• Захист від DDOS-атак для підтримки доступності
• Перевірка стійкості та перевірка з навантаженням

4. Інструкції з обробки даних. «Інструкції з обробки даних передбачають, що особисті дані оброблятимуться лише відповідно до інструкцій контролера даних і відповідних заходів компанії»  

Щоб забезпечити обробку особистих даних відповідно до вподобань та інструкцій клієнтів, ми запровадили внутрішню політику конфіденційності, укладаємо з працівниками відповідні угоди та проводимо для них регулярні навчання з питань конфіденційності.   

• Умови захисту конфіденційності в договорах із працівниками 
• Проведення регулярних навчань для працівників із дотримання конфіденційності й безпеки даних 
• Включення відповідних положень в угоди з субпідрядниками з метою збереження прав на інструктивне керування 
• Проведення регулярних перевірок дотримання конфіденційності сторонніми постачальниками послуг 
• Надання клієнтам повного контролю над параметрами обробки даних 
• Регулярні аудити безпеки