Ця Додаткова угода про обробку даних реселерів (далі — «Додаткова угода про обробку даних») є частиною Угоди, яка укладається між компанією GoDaddy (включно з її афілійованими особами, якщо це передбачено Угодою) (далі — «GoDaddy») і вами («Реселер») з метою продажу продуктів і надання послуг GoDaddy («Послуги») у рамках Програми GoDaddy для реселерів, регулює обробку будь-якої Особистої інформації Реселера від імені компанії GoDaddy. Реселер укладає цю Додаткову угоду про обробку даних від свого імені та від імені своїх уповноважених компаньйонів у межах, передбачених відповідними законами та положеннями щодо захисту даних. Усі терміни, написані з великої літери, які не визначено в цьому документі, матимуть значення, наведені в Угоді. Терміни «ми», «нас» або «наш» позначають GoDaddy. Терміни «ви», «ваш» або «Реселер» позначають фізичну чи юридичну особу, яка приймає цю Угоду. Жодне з положень цієї Угоди не можна трактувати як таке, що надає третім сторонам будь-які права чи вигоди. Ця Додаткова угода про обробку даних набуває чинності з дня її прийняття в електронному вигляді.

Ця Додаткова угода про обробку даних складається з двох (2) окремих частин, які застосовуються, як пояснено нижче.

• Стандарти й вимоги конфіденційності та захисту даних. Застосування стандартів і вимог конфіденційності та захисту даних. Ця Угода застосовується до всіх Реселерів, які мають доступ до особистих даних і обробляють їх (як «визначено в цьому документі») у межах участі в Програмі для реселерів.
• Стандартні договірні положення (разом із Додатками 1 і 2) Застосування Стандартних договірних положень. Стандартні договірні положення застосовуватимуться до Даних клієнта, які передаються за межі ЄЕП безпосередньо або через передавання даних до будь-якої країни, не визнаної Європейською Комісією як такою, що забезпечує належний рівень захисту особистих даних (як описано в Загальному регламенті захисту даних). Стандартні договірні положення не поширюються на Дані клієнта, які не передаються ні напряму, ні через передавання даних за ​​межі ЄЕП. Незважаючи на вищесказане, Стандартні договірні положення не застосовуються, якщо дані передаються відповідно до визнаного стандарту для законного передавання особистих даних (як визначено в Загальному регламенті захисту даних) поза межі ЄЕП, як-от Програма захисту конфіденційності ЄС-США та Програма захисту конфіденційності Швейцарія-США.

1. Предмет і область застосування

Цю Угоду про захист і конфіденційність даних («Угода про безпеку») додано та включено до Угоди з метою безпечної обробки зібраної або використовуваної вами особистої інформації (як визначено нижче) відповідно до умов Угоди, цієї Угоди про безпеку й відповідних законів і правил.

2. Порядок пріоритетності.

Ця Угода про безпеку входить до складу Угоди та є її частиною. До питань, які не розглядаються в рамках Угоди про безпеку, застосовуються умови цієї Угоди. З урахуванням прав та обов’язків сторін одна щодо одної, у разі виникнення конфлікту між умовами цієї Угоди та Угоди про безпеку переважну силу матимуть умови Угоди про безпеку. У разі виникнення конфлікту між умовами Угоди про безпеку та Стандартними договірними положеннями переважну силу матимуть Стандартні договірні положення.

3. Особиста інформація.

1. «Особиста інформація» — це інформація на будь-якому носії або в будь-якій іншій формі, що стосується ідентифікованої фізичної особи чи домогосподарства; ідентифікована фізична особа — це особа, яку можна ідентифікувати безпосередньо чи опосередковано, зокрема через такий ідентифікатор, як ім’я, адреса, номер соціального страхування або інший ідентифікаційний номер, адреса електронної пошти, номер телефону, фінансовий профіль, дані кредитної картки, номер водійських прав або іншу інформацію, яку можна зв’язати з певною особою, комп’ютером або пристроєм (наприклад, інформація, зібрана за допомогою технологій відстеження, як-от IP-адреса), або з одним чи кількома факторами, які вказують на фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність цієї особи.

2. Обробкою Особистої інформації в межах цієї Додаткової угоди про обробку даних вважається збирання, записування, упорядкування, структурування, зберігання, адаптація або змінення, отримання, консультування, використання, розкриття, розповсюдження або надання доступу іншим чином, комбінування, обмеження, стирання або знищення.
3. GoDaddy розкриває вам Особисту інформацію винятково для виконання вами Послуг від імені GoDaddy; ви можете обробляти Особисту інформацію лише в обмежених і конкретних цілях, описаних у цій Угоді та в наших письмових інструкціях, і в жодних інших цілях, включно з передачею Особистої інформації мешканців ЄС за межі Європейського Союзу, якщо цього не вимагає законодавство Європейського Союзу або Держав-членів Європейського Союзу (у такому разі ви повинні негайно повідомити нас перед цим, якщо це не заборонено законом).
4. Вам забороняється: (i) продавати Особисту інформацію; (ii) зберігати, використовувати або розголошувати Особисту інформацію для комерційних потреб, інакших, ніж надання Послуг; (iii) зберігати, використовувати або розголошувати Особисту інформацію поза рамками Угоди між вами та GoDaddy.

5. Ви визнаєте та підтверджуєте, що Особиста інформація не розкривається як винагорода за будь-які Послуги, надані компанії GoDaddy згідно з Угодою. Вам забороняється продавати будь-яку Особисту інформацію в сенсі терміну «продавати», означеному в Законі штату Каліфорнія про захист конфіденційності споживачів від 2018 р. із чинними змінами («CCPA»), І ви засвідчуєте, що розумієте правила, вимоги та визначення CCPA та всі обмеження, зазначені в цій Додатковій угоді про обробку даних. Ви погоджуєтеся утримуватися від будь-яких дій, які можуть призвести до того, що будь-яка передача Особистої інформації вам або від вас буде кваліфікуватися як «продаж особистої інформації» відповідно до CCPA та будь-яких інших застосовних законів.
6. Ви можете передавати Особисту інформацію мешканців ЄС за межі ЄС (або якщо ця інформація вже перебуває за межами ЄС, будь-якій третій стороні також за межами ЄС) лише відповідно до умов цієї Додаткової угоди про обробку даних і вимог статей 44–49 Загального регламенту захисту даних (як визначено нижче).
7. Якщо, на вашу думку, наша інструкція порушує будь-які застосовні закони та правила захисту даних, включно із Законом ЄС про захист даних (як визначено нижче), ви повинні негайно повідомити нас за адресою privacy@godaddy.com.

8. Ви зобов’язані вважати всю Особисту інформацію суворо конфіденційною та повинні поінформувати про це всіх своїх працівників або вповноважених агентів, які займаються обробкою Особистої інформації, а також гарантувати, щоб усі ці особи або сторони підписали відповідну угоду про конфіденційність Особистої інформації.
9. Якщо ви отримуєте, зберігаєте, обробляєте Особисту інформацію або іншим чином маєте доступ до неї в межах Програми для торговельних партнерів відповідно до цієї Угоди, ви підтверджуєте та погоджуєтеся, що несете відповідальність за відповідні організаційні заходи й заходи безпеки для захисту такої інформації. Ви повинні захищати таку Особисту інформацію відповідно до всіх застосовних законів про конфіденційність і захист даних, зокрема Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 р., що стосується захисту фізичних осіб у зв’язку з обробкою особистих даних і їх вільним переміщенням (далі — «Загальний регламент захисту даних») і з відповідними законодавчими актами або правилами держав-членів ЄС (сукупно — «Закон ЄС про захист даних»).

10. Відповідні організаційні заходи й заходи безпеки, які згадуються в розділі 3.7, повинні включати, зокрема:
    1. заходи, зазначені нижче в розділах 3 та 4;
    2. заходи, спрямовані на надання доступу до Особистої інформації лише вповноваженим особам для цілей, описаних у цій Угоді;
    3. псевдонимізацію та шифрування Особистої інформації;
    4. здатність забезпечувати постійну конфіденційність, цілісність, доступність і стійкість ваших систем і служб обробки;
    5. здатність своєчасно відновлювати доступність Особистої інформації та доступ до неї;
    6. процес регулярного тестування, оцінювання та визначення ефективності технічних і організаційних заходів із гарантування безпеки обробки Особистої інформації;
    7. заходи з виявлення вразливостей щодо обробки Особистої Інформації у ваших системах.
11. Якщо ви укладаєте контракти з будь-яким субпідрядником, постачальником або іншою третьою стороною для сприяння роботі відповідно до Угоди, ви повинні (i) отримати від нас попередню письмову згоду; і (ii) укласти письмову угоду з такою третьою стороною, щоб гарантувати дотримання нею умов цієї Додаткової угоди про обробку даних та Угоди.

12. Незважаючи на будь-які дозволи, надані нами відповідно до розділу 1.11, ви несете повну відповідальність за будь-які дії субпідрядників, постачальників або інших третіх сторін, якщо ці сторони не виконують своїх зобов’язань за цією Додатковою угодою про обробку даних (або подібною договірною угодою, яка накладає аналогічні зобов’язання на третю сторону, залучену відповідно до цієї Додаткової угоди про обробку даних) або відповідно до чинного законодавства про конфіденційність.
13. Ви повинні за власний рахунок забезпечити нам компенсацію, захист, недоторканність від будь-якої відповідальності, а також витрат і втрат через будь-яку тимчасову, постійну, випадкову або незаконну втрату Особистої інформації або її знищення, несанкціоноване розголошення або доступ, крадіжку чи компрометацію, а також будь-яке інше порушення чинного законодавства щодо захисту даних і цієї Додаткової угоди про обробку даних.
14. Якщо ви отримали нашу Конфіденційну інформацію або особисті дані, не призначені вам або які ви не можете прийняти відповідно до цієї Угоди, ви повинні (I) негайно повідомити нас за адресою privacy@godaddy.com; і (II) якщо інше не зазначено в письмовій формі, зберігати цю інформацію, доки з вами не зв’яжеться наш представник (privacy@godaddy.com) і не повідомить, що з нею робити.

4. Оцінки впливу й аудит засобів безпеки

1. Оцінки впливу на захист даних. Відповідно до Угоди ви зобов’язуєтеся сприяти нам у проведенні оцінки впливу на захист даних, що дасть змогу виявляти та мінімізувати будь-які ризики для конфіденційності або безпеки, пов’язані з Програмою для реселерів.
2. Періодичні аудити. Ми залишаємо за собою право періодично перевіряти (або залучати під своїм керівництвом третю сторону, щоб перевіряти) дотримання вами цієї Додаткової угоди про обробку даних.
3. Аудит після інциденту. У разі виявлення порушення системи безпеки Реселера ми можемо провести аудит безпеки, щоб гарантувати цілісність Особистої інформації. Ви отримаєте 90 днів на вирішення будь-яких проблем, виявлених під час аудиту. Після вирішення ми можемо провести аудит системи безпеки, щоб остаточно переконатись у відсутності проблем.
4. Повідомлення про невідповідність. Якщо ви з будь-якої причини не зможете виконати будь-які зобов’язання, передбачені цією Додатковою угодою про обробку даних, ви повинні негайно повідомити нам. У такому випадку ви повинні вказати, чи можете швидко вирішити цю проблему, не поставивши під загрозу безпеку будь-якої Особистої інформації. Якщо це не так, то ми можемо негайно припинити дію Угоди без затримок, покарання та подальшої відповідальності перед вами.

5. Улагодження порушень безпеки

1. Строки сповіщення. Ви повідомлятимете про кожний інцидент із безпекою, що стосується ваших послуг і/або Особистої інформації, відразу ж після його виявлення, і негайно отримуватимете відповідь щодо можливого впливу цього інциденту на нас чи Особисту інформацію. Ви докладете всіх можливих зусиль, щоб повідомити нас про інцидент із безпекою відразу після його виявлення, але в будь-якому випадку не пізніше, ніж через 1 годину після виявлення. Відповідно до цієї Додаткової угоди про обробку даних інцидентом також вважається:
   1. скарга або запит щодо дотримання прав особи відповідно до чинного законодавства, включно із Законом ЄС про захист даних;
   2. розслідування або вилучення Особистої інформації посадовими особами, регулятивними чи правоохоронними органами або ознаки того, що таке розслідування чи вилучення передбачено;
   3. будь-який тимчасовий або постійний, випадковий або незаконний доступ до Особистої інформації або її недоступність, утрата, знищення, несанкціоноване розголошення чи крадіжка;
   4. будь-яке порушення зобов’язань щодо безпеки та (або) конфіденційності, зазначених у цій Додатковій угоді про обробку даних.
2. Формат і вміст сповіщення. Повідомлення про порушення безпеки здійснюється телефонним дзвінком до нашого Центру з операцій у мережі на номер (480) 505-8809 і листом на адресу securitybreach@godaddy.com. Під час телефонної розмови та в письмовому повідомленні ви повинні максимально детально надати зазначену нижче інформацію, а також усі дані, які з’являтимуться пізніше:
   1. опис характеру інциденту та його можливих наслідків;
   2. очікуваний час вирішення (якщо відомо);
   3. опис заходів, яких вжито або які запропоновано для вирішення цього інциденту, зокрема заходи для пом’якшення його можливих несприятливих наслідків для нас, Особистої інформації або пов’язаних осіб;
   4. якщо на момент телефонного дзвінка шлях вирішення невідомий, ви повинні вказати це;
   5. категорії та приблизний обсяг Особистої інформації, кількість осіб, на яких може вплинути інцидент, і його можливі наслідки для Особистої інформації і пов’язаних із нею осіб;
   6. ім’я та номер телефону представника Реселера, з яким ми можемо зв’язатися, щоб отримати інформацію про інциденти.
3. Ресурси безпеки. Ми за взаємною згодою з вами можемо надавати ресурси від нашої групи безпеки, щоб допомогти у визначенні порушення вимог безпеки. Ви погоджуєтеся виконувати свої зобов’язання щодо повідомлення про порушення вимог безпеки відповідно до Закону ЄС про захист даних або будь-яких інших законодавчих, нормативних, адміністративних або контрактних зобов’язань.

6. Криптографія

1. Шифрування з використанням власного алгоритму. Під час здійснення захищених транзакцій між вами та субпідрядником, постачальником або іншою третьою стороною, а також зберігання нашої Конфіденційної інформації або Особистої інформації ви не маєте права використовувати жодні власні алгоритми шифрування. В інфраструктурі програм мають використовуватися будь-які симетричні, асиметричні алгоритми або алгоритми хешування, опубліковані та оцінені загальною криптографічною спільнотою.
2. Стійкість шифрування. Алгоритми шифрування повинні відповідати сучасним галузевим технологічним стандартам і мати достатню стійкість, як-от алгоритм AES. Шифрування з відкритим ключем SHA-256 або RSA.
3. Функції хешування. До функцій хешування належать алгоритм SHA-256 і принаймні один з алгоритмів MD-5, SHA-2, SHA-3 або подібних їм, окрім SHA-1. Якщо використовуються альтернативні функції хешування, вони мають отримати явне схвалення від нашої команди з інформаційної безпеки та супроводжуватися принаймні одним затвердженим алгоритмом.

7. Обробка Особистої інформації

1. Відповідність нормам законодавства. Наскільки це можливо, ви повинні допомагати нам виконувати наші зобов’язання відповідати на запити осіб, чия Особиста інформація обробляється відповідно до цієї Угоди та які бажають скористатися будь-яким своїми правами відповідно до Закону ЄС про захист даних, зокрема: (i) правом на доступ; (ii) правом на переносимість даних; (iii) правом на видалення; (iv) правом на змінення; (v) правом на відмову від автоматичного прийняття рішення; або (vi) правом на відмову від обробки.
2. Видалення та (або) знищення. Ви повинні безпечно видалити, знищити або повернути всю Особисту інформацію та перезаписати фізичні накопичувачі, на яких вона зберігалася, за допомогою процедури Криптографічного стирання (NIST SP-800-88r1) або еквівалентного методу в будь-який час після нашого запиту або після завершення терміну дії Угоди, а також знищити або повернути нам будь-які наявні копії цієї інформації.

Для потреб статті 26(2) Директиви 95/46/EC щодо передавання особистих даних обробникам, зареєстрованим у сторонніх країнах, що не забезпечують належного рівня захисту даних

експортер даних: GoDaddy.com, LLC і його афілійовані особи

та

імпортер даних: Зазначений Реселер, який бере участь у Програмі для реселерів відповідно до умов цієї Угоди.

окремо «сторона», разом — «сторони»,

ДОМОВИЛИСЯ про наведені нижче Договірні положення (далі — «Положення») з метою забезпечення адекватних гарантій захисту конфіденційності та дотримання основних прав і свобод фізичних осіб під час передавання експортером даних імпортеру даних особистих даних, зазначених у Додатку 1.

Для цілей цих Положень:

(a) поняття "особисті дані", "спеціальні категорії даних", "обробляти", "обробка", "контролер", "обробник", "суб’єкт даних" і "наглядовий орган" мають таке ж значення, як у Директиві 95/46/EC Європейського Парламенту та Ради від 24 жовтня 1995 р., що стосується захисту фізичних осіб у зв’язку з обробкою особистих даних і їх вільним переміщенням;

(б) експортер даних – це контролер, який передає особисті дані;

(в) імпортер даних – це обробник, який погоджується одержувати від експортера даних особисті дані, призначені для обробки переданих даних від його імені відповідно до інструкцій і умов Положень, який не підпадає під дію систем третьої країни, забезпечуючи належний захист згідно з вимогами статті 25(1) Директиви 95/46/EC;

(г) субпідрядник з обробки даних – це будь-який обробник, залучений імпортером даних або будь-яким іншим субпідрядником з обробки даних імпортера даних, який погоджується отримувати від імпортера даних або від будь-якого іншого субпідрядника з обробки даних імпортера даних особисті дані, призначені винятково для обробки від імені експортера переданих даних відповідно до його інструкцій, умов цих Положень і умов договору підряду, укладеного в письмовій формі;

(ґ) застосовний закон про захист даних – це законодавство, яке захищає основні права та свободи осіб і, зокрема, їхнє право на недоторканість приватного життя у зв’язку з обробкою особистих даних, що застосовується до контролера даних у державі-члені, де заснований експортер даних;

(д) технічні й організаційні заходи безпеки – це заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення чи випадкової втрати, змінення, несанкціонованого розкриття інформації або доступу до неї, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки.

Докладні відомості про передачу та, зокрема, спеціальні категорії особистих даних, якщо застосовуються, наведено в Додатку 1, який є невід’ємною частиною цих Положень.

1. Суб’єкт даних може вимагати виконання експортером даних цього Положення, Положення 4(б)–(ж), Положення 5(а)–(ґ) і (е)–(з) Положення 6(1) і (2), Положення 7, Положення 8(2), Положень 9–12 як стороннім бенефіціаром.

2. Суб’єкт даних може забезпечити виконання імпортером даних цього Положення, Положень 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положень 9–12 у випадках, коли експортер даних фактично зник або юридично припинив існувати, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта.

3. Суб’єкт даних може забезпечити виконання субпідрядником з обробки даних цього Положення, Положень 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положення 9–12 у випадках, коли як експортер даних, так й імпортер даних фактично зник або припинив своє законне існування чи став неплатоспроможним, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується власними процесами обробки згідно з Положеннями.

4. Сторони не заперечують проти суб’єкта даних, який представлений асоціацією чи іншим органом, якщо суб’єкт даних явно виражає свій намір про це та якщо це дозволено національним законодавством.

Експортер даних погоджується та гарантує:

(а) що обробка, зокрема власне передавання, особистих даних виконувалася й виконуватиметься відповідно до наявних положень чинного законодавства про захист даних (і, якщо це доречно, про це буде повідомлено відповідні органи Держави-члена, у якій засновано експортера даних) і не порушує відповідних положень такої Держави;

(б) що він віддав (і віддаватиме протягом усього терміну використання служб обробки особистих даних) імпортерам даних розпорядження обробляти особисті дані, передані тільки від імені експортера даних і відповідно до чинного законодавства про захист даних і Положень;

(в) що імпортер даних забезпечить достатні гарантії стосовно технічних і організаційних заходів безпеки, зазначених у Додатку 2 до цього договору;

(г) що після оцінки вимог чинного законодавства про захист даних заходи безпеки є доцільними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, змінення несанкціонованого розголошення або доступу, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки, і що ці заходи гарантують рівень безпеки, відповідний ризикам, що виникають під час обробки, і характеру даних, що підлягають захисту, з урахуванням їхньої актуальності та вартості;

(ґ) що він забезпечить відповідність вимогам до заходів безпеки;

(д) що, якщо передавання передбачає спеціальні категорії даних, суб’єкт даних був поінформований або буде поінформований перед передаванням або найближчим часом після нього про те, що його дані може бути передано до третьої країни, яка не надає адекватного захисту, передбаченого Директивою 95/46/EC;

(е) переслати будь-яке повідомлення, отримане від імпортера даних або будь-якого субпідрядника з обробки даних відповідно до Положення 5(б) і Положення 8(3), до наглядового органу щодо захисту даних, якщо експортер даних вирішить продовжити передавання або скасувати призупинення;

(є) надавати за запитом суб’єктам даних копію цих Положень, крім Додатка 2, короткий опис заходів безпеки, а також копію будь-якого договору про надання послуг з обробки даних субпідрядником, яка має бути проведена відповідно до Положень, якщо в Положеннях або в контракті не міститься комерційна інформація, яку в такому разі можна вилучити;

(ж) що у випадку виконання обробки субпідрядниками з обробки даних вона здійснюватиметься відповідно до Положення 11 із забезпеченням щонайменше такого самого рівня захисту особистих даних і прав суб’єкта даних, як і в імпортера даних відповідно до Положень;

(з) що це забезпечить дотримання Положення 4(a)–(з).

Імпортер даних погоджується та гарантує:

(а) обробляти особисті дані лише від імені експортера даних і відповідно до його інструкцій і Положень; якщо він не може забезпечити таке дотримання з будь-яких причин, він погоджується негайно повідомити експортера даних про неможливість такого дотримання, і в такому разі експортер даних має право призупинити передавання даних і (або) припинити дію контракту;

(б) що вона не має підстав вважати, що законодавство, яке застосовується до неї, перешкоджає їй виконувати інструкції, отримані від експортера даних, і його зобов’язання за договором, і що в разі змінення цього законодавства, що, імовірно, матиме суттєвий негативний вплив на гарантії та зобов’язання, передбачені цими Положеннями, вона негайно повідомить про ці зміни експортера даних, щойно їй стане про це відомо; у такому разі експортер даних має право призупинити передавання даних і (або) розірвати договір;

(в) що він ужив технічних і організаційних заходів безпеки, зазначених у Додатку, перед обробкою переданих особистих даних;

(г) вона негайно повідомить експортера даних про:

(і) будь-який юридично зобов’язальний запит про розголошення особистих даних правоохоронним органам, якщо інше не заборонено, наприклад заборона, передбачена кримінальним законодавством, щодо збереження конфіденційності правоохоронного розслідування;

(іі) будь-який випадковий чи неавторизований доступ;

(ііі) будь-який запит, отриманий безпосередньо від суб’єктів даних, на який не потрібно відповідати, крім випадків, коли на це є відповідний дозвіл;

(ґ) негайно та правильно вирішувати всі запити, надіслані експортером даних, щодо обробки особистих даних, що підлягають передаванню, і дотримуватися рекомендацій наглядового органу щодо обробки переданих даних;

(д) на вимогу експортера даних надавати свої засоби обробки даних для аудиту заходів обробки, передбачених цими Положеннями, які має здійснювати експортер даних або інспекційний орган, що складається з незалежних членів і має належну професійну кваліфікацію, пов’язану з дотриманням конфіденційності, обраний експортером даних, якщо це можливо, за згодою з наглядовим органом;

(е) надавати суб’єктам даних за запитом копію цих Положень або будь-якого наявного договору про обробку даних субпідрядниками, якщо в Положеннях чи договорі не міститься комерційна інформація, яку в такому разі можна видалити, за винятком Додатка 2, який слід замінити коротким описом заходів безпеки на випадок, коли суб’єкт даних не зможе отримати копію від експортера даних;

(є) що, у разі обробки даних субпідрядником, вона раніше повідомила експортера даних і отримала його попередню письмову згоду;

(ж) що послуги обробки субпідрядником з обробки даних виконуватимуться відповідно до Положення 11;

(з) негайно надсилати експортеру даних копію будь-якої угоди із субпідрядником з обробки даних, яку він укладає згідно з Положеннями.

(и) за свій рахунок забезпечити компенсацію, захист і недоторканість експортера даних від будь-якої відповідальності та збитків через утрату, несанкціоноване розголошення, крадіжку або компрометацію особистих даних, а також будь-яке інше порушення чинного законодавства щодо захисту даних від імпортера даних.

1. Сторони погоджуються, що будь-який суб’єкт даних, який зазнав шкоди внаслідок будь-якого порушення будь-якою стороною або субпідрядником з обробки даних зобов’язань, зазначених у Положенні 3 або в Положенні 11, має право отримати компенсацію від експортера даних за заподіяний збиток.

2. Якщо суб’єкт даних, згідно з пунктом 1, не може подати експортеру даних запит на компенсацію, зумовлений порушенням імпортером даних або його субпідрядником з обробки даних будь-якого зі своїх зобов’язань, зазначених у Положенні 3 або в Положенні 11, тому що експортер даних фактично зник або юридично припинив своє існування чи став неплатоспроможним, імпортер даних погоджується, що суб’єкт даних може подати позов проти імпортера даних так, ніби він виступає експортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта.

3. Імпортер даних не може покладатися на порушення субпідрядником з обробки даних своїх зобов’язань, щоб уникнути виконання власних зобов’язань.

4. Якщо суб’єкт даних не може висунути претензії до експортера даних або імпортера даних, зазначених у пунктах 1 і 2, що виникають у зв’язку з порушенням субпідрядником з обробки даних будь-якого зі своїх зобов’язань, зазначених у Положенні 3 або в Положенні 11, якщо експортер даних та імпортер даних фактично зникли або припинили юридично існувати чи стали неплатоспроможними, субпідрядник з обробки даних погоджується, що суб’єкт даних може подати позов проти субпідрядника з обробки даних щодо власних операцій обробки відповідно до Положень так, наче він є експортером даних або імпортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Відповідальність субпідрядника з обробки даних обмежується його власними процесами обробки відповідно до Положень.

1. Імпортер даних погоджується, що, якщо суб’єкт даних вимагатиме від нього реалізації прав сторонніх бенефіціарів і/або вимагатиме компенсацію за збитки відповідно до Положень, імпортер даних погодиться з рішенням суб’єкта даних:
   
   (а) передати спір на вирішення незалежній стороні або, у разі потреби, наглядовому органу;
   
   (б) передати спір до судів держави-члена, у якій заснований експортер даних.

2. Сторони погоджуються, що вибір, зроблений суб’єктом даних, не зашкодить його матеріальним або процесуальним правам шукати засоби захисту відповідно до інших положень національного або міжнародного права.

1. Експортер даних зобов’язується надати копію цього контракту наглядовій установі, якщо вона цього вимагає, або якщо таке внесення вимагається відповідно до чинного законодавства про захист даних.

2. Сторони погоджуються з тим, що наглядовий орган має право перевіряти імпортера даних і будь-якого субпідрядника з обробки даних у тих самих обсягах і на тих самих умовах, як у випадку перевірки експортера даних відповідно до застосовного закону про захист даних.

3. Імпортер даних має негайно інформувати експортера даних про існування законодавства, що застосовується до нього або будь-якого субпідрядника з обробки даних, яке перешкоджає проведенню перевірки імпортера даних або будь-якого субпідрядника з обробки даних відповідно до пункту 2. У такому разі експортер даних має право вжити заходів, передбачених у Положенні 5(б).

Ці Положення регулюються законодавством Держави-члена, у якій зареєстровано експортера даних, а в разі реєстрації експортера в кількох юрисдикціях – законодавством Англії та Уельсу.

Сторони зобов’язуються не змінювати й не коригувати Положення. Це не перешкоджає сторонам додавати в разі потреби статті, пов’язані з комерційною діяльністю, якщо вони не суперечать цьому Положенню.

1. Імпортер даних не може делегувати субпідряднику будь-які операції обробки, що виконуються від імені експортера даних згідно з Положеннями, без попередньої письмової згоди експортера даних. У випадках, коли імпортер даних передає свої зобов’язання за цими Положеннями субпідряднику за згодою експортера даних, він робить це тільки за умови укладання письмової угоди із субпідрядником з обробки даних, яка накладає на субпідрядника з обробки даних ті самі зобов’язання, які застосовуються до імпортера даних відповідно до цих Положень. Якщо субпідрядник з обробки даних не виконує свої зобов’язання із захисту даних за такою письмовою угодою, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов’язань субпідрядника з обробки даних за такою угодою.

2. Попередній письмовий договір між імпортером даних і субпідрядником з обробки даних також має передбачати положення на користь третьої сторони, як викладено в Положенні 3, на випадок, коли суб’єкт даних не зможе подати вимогу про відшкодування, зазначену в пункті 1 Положення 6, до експортера даних чи імпортера даних, оскільки вони фактично зникли або припинили юридично існувати чи стали неплатоспроможними, а жодна сторона-правонаступник не перебрала всі юридичні зобов’язання експортера даних чи імпортера даних за контрактом або чинним законом. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується власними процесами обробки згідно з Положеннями.

3. Положення, що стосуються аспектів захисту даних для обробки даних субпідрядником за договором відповідно до пункту 1, регулюються законодавством Держави-члена, у якій засновано експортера даних.

4. Експортер даних має зберігати список угод про обробку даних субпідрядниками, укладених згідно з Положеннями й наданих імпортером даних відповідно до Положення 5(з). Цей список має оновлюватися щонайменше один раз на рік. Цей список повинен бути доступним для органу нагляду за захистом даних експортера даних.

1. Сторони погоджуються, що в разі припинення надання Послуг з обробки даних імпортер даних і субпідрядник з обробки даних зобов’язані (за вибором експортера даних) повернути всі передані особисті дані та їхні копії експортеру даних або знищити всі особисті дані та підтвердити експортеру даних, що це було зроблено, крім випадків, коли законодавство, установлене для імпортера даних, забороняє повернення або знищення всіх або деяких переданих особистих даних. У такому разі імпортер даних гарантує конфіденційність переданих особистих даних і не буде їх активно обробляти.

2. Імпортер даних і субпідрядник з обробки даних гарантують, що на вимогу експортера даних і (або) наглядового органу він подасть свої засоби обробки даних для проведення перевірки заходів, згаданих у пункті 1.

Додаткова необхідна інформація, відсутня в супровідному Регламенті надання послуг, повинна бути внесена в цей Додаток:

Експортер даних.
Експортером даних є суб’єкт, ідентифікований як "Компанія GoDaddy", постачальник програми для реселерів, згідно з якою імпортер даних може перепродавати клієнтам продукти або послуги GoDaddy.

Імпортер даних.

Імпортером даних вважається Реселер продуктів і послуг GoDaddy.

Суб’єкти даних.

Суб’єктами даних є клієнти.

Категорії даних.

Передаватися можуть нижченаведені категорії особистих даних.

Клієнт може надсилати до Служб нижченаведені категорії особистих даних (але не обмежуючись ними).

• Ім’я та прізвище
• Адреса електронної пошти
• Номер телефону
• Фактична адреса
• Операції обробки

Передані особисті дані підлягають нижченаведеній базовій обробці.

Реселер оброблятиме особисті дані, необхідні для надання Послуг, відповідно до умов Угоди для реселерів, а також додаткових інструкцій, наданих клієнтом під час використання Послуг.

Технічні та організаційні заходи безпеки

Імпортер даних повинен надати технічні й адміністративні гарантії захисту безпеки, конфіденційності та цілісності даних клієнта, включно з особистими даними, як зазначено в цій Додатковій угоді про обробку даних. Імпортер даних повинен регулярно стежити за дотриманням цих гарантій. Імпортер даних повинен надавати гарантію безпеки не нижче рівня, установленого Програмою для реселерів і надання Послуг.