GoDaddy - PHỤ LỤC HỢP ĐỒNG VỀ XỬ LÝ DỮ LIỆU
Hợp đồng bổ sung về xử lý dữ liệu (“Hợp đồng bổ sung”) này được thực hiện bởi các bên tham gia là bạn (“Khách hàng”) và GoDaddy là một bên của Điều khoản dịch vụ chung, cũng như bất kỳ thỏa thuận nào khác giữa bạn và GoDaddy (gọi chung là "Thỏa thuận"). GoDaddy và Khách hàng được gọi riêng trong tài liệu này là "Bên" và gọi chung là "Các bên". DPA này có hiệu lực kể từ ngày có hiệu lực của Thỏa thuận ("Ngày có hiệu lực") và chi phối tất cả hoạt động Xử lý dữ liệu cá nhân của khách hàng theo Thỏa thuận.
1. Định nghĩa. Trừ phi được định nghĩa khác trong Luật bảo vệ dữ liệu hiện hành (theo định nghĩa dưới đây), thuật ngữ viết hoa được liệt kê trong Phần này được hiểu theo nghĩa như sau:
1.1 “Đơn vị liên kết” nghĩa là bất kỳ thực thể nào kiểm soát hoặc chịu sự kiểm soát chung với một Bên. “Kiểm soát” nghĩa là sở hữu hoặc kiểm soát (trực tiếp hoặc gián tiếp) tối thiểu năm mươi phần trăm (50%) quyền bỏ phiếu của một thực thể.
1.2. “Bên kiểm soát” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức khác, hoạt động riêng lẻ hoặc chung với những bên khác, xác định mục đích và cách thức xử lý Dữ liệu cá nhân của khách hàng theo Thỏa thuận.
1.3 “Dữ liệu cá nhân của khách hàng” nghĩa là bất kỳ Dữ liệu cá nhân nào (theo định nghĩa dưới đây) do GoDaddy thay mặt Khách hàng xử lý liên quan đến việc Khách hàng sử dụng Dịch vụ. Dữ liệu cá nhân của khách hàng không bao gồm Dữ liệu của GoDaddy.
1.4 “Luật bảo vệ dữ liệu” nghĩa là bất kỳ luật hoặc quy định nào áp dụng cho việc xử lý Dữ liệu cá nhân của khách hàng theo Thỏa thuận.
1.5 “Chủ thể dữ liệu” nghĩa là một thể nhân đã xác định hoặc có thể xác định liên quan đến Dữ liệu cá nhân cụ thể.
1.6 “Dữ liệu mất khả năng nhận dạng” nghĩa là dữ liệu không thể xác định một cách hợp lý, liên quan đến, mô tả, có khả năng liên tưởng hoặc được liên kết, dù trực tiếp hay gián tiếp, với một Chủ thể dữ liệu cụ thể.
1.7 “Dữ liệu của GoDaddy” nghĩa là (a) tất cả thông tin liên quan đến hoạt động kinh doanh và cung cấp Dịch vụ của GoDaddy, bao gồm nhưng không giới hạn ở Dữ liệu cá nhân về Khách hàng và nhân viên hoặc đại diện của Khách hàng, (b) dữ liệu khác về hoặc liên quan đến tài khoản, lịch sử giao dịch, việc sử dụng Dịch vụ và xác minh danh tính của Khách hàng, và (c) phải tuân theo mọi hạn chế trong Luật bảo vệ dữ liệu hiện hành, Dữ liệu mất khả năng nhận dạng.
1.8 “Dữ liệu cá nhân” nghĩa là thông tin liên quan đến một thể nhân đã xác định hoặc có thể xác định, bao gồm mọi thông tin được định nghĩa là Dữ liệu cá nhân, Thông tin cá nhân hoặc Thông tin nhận dạng cá nhân (“PII”) trong Luật bảo vệ dữ liệu hiện hành bất kỳ. Dữ liệu cá nhân không bao gồm Dữ liệu mất khả năng nhận dạng.
1.9 "Xử lý” nghĩa là mọi hoạt động được thực hiện đối với Dữ liệu cá nhân của khách hàng, ví dụ: thu thập, sử dụng, lưu trữ, tiết lộ, phân tích, xóa hoặc sửa đổi, cho dù theo cách thức thủ công hay tự động.
1.10 "Bên xử lý” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức xử lý Dữ liệu cá nhân của khách hàng thay mặt cho Bên kiểm soát theo Thỏa thuận.
1.11 “Dữ liệu cá nhân nhạy cảm” nghĩa là (a) số an sinh xã hội, số hộ chiếu, số giấy phép lái xe hoặc mã số định danh tương tự; (b) thông tin thẻ tín dụng hoặc thẻ ghi nợ, thông tin tài chính, số tài khoản ngân hàng hoặc mật khẩu tài khoản; (c) thông tin nghề nghiệp, tài chính, di truyền, sinh trắc học hoặc sức khỏe; (d) chủng tộc, sắc tộc, đảng phái chính trị hoặc tôn giáo, tư cách thành viên công đoàn hoặc thông tin về đời sống tình dụng hoặc xu hướng tính dục; (e) mật khẩu tài khoản, tên thời con gái của mẹ, ngày sinh và các thông tin tương tự khác dùng để xác thực danh tính người dùng; (f) tiền án; (g) dữ liệu sinh trắc học dùng để nhận dạng một người cụ thể (ví dụ: dấu vân tay); hoặc (h) bất kỳ thông tin nào khác hoặc cách kết hợp thông tin nằm trong định nghĩa về “các loại dữ liệu đặc biệt” theo Luật bảo vệ dữ liệu hiện hành bất kỳ.
1.12 "Dịch vụ” nghĩa là sản phẩm hoặc dịch vụ mà GoDaddy đã đồng ý cung cấp theo Thỏa thuận, đòi hỏi phải xử lý Dữ liệu cá nhân của khách hàng.
1.13 “Bên xử lý phụ” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức bất kỳ mà GoDaddy ký hợp đồng xử lý Dữ liệu cá nhân của khách hàng.
1.14 “Chuyển” nghĩa là (a) chuyển Dữ liệu cá nhân của khách hàng từ Bên kiểm soát đến Bên xử lý, dù bằng cách chuyển vật lý hay cấp quyền truy cập vào Dữ liệu cá nhân của khách hàng do Bên kiểm soát nắm giữ hoặc kiểm soát hoặc (b) chuyển tiếp Dữ liệu cá nhân của khách hàng từ Bên xử lý đến Bên xử lý phụ (rồi Bên xử lý phụ chuyển tiếp đến một Bên xử lý phụ khác).
2. Phạm vi xử lý dữ liệu và mối quan hệ của các bên2.1 Khách hàng là Bên kiểm soát hoặc Bên xử lý
2.1.1 Trong trường hợp Khách hàng là Bên kiểm soát, Khách hàng (a) hoàn toàn chịu trách nhiệm xác định mục đích và cách thức xử lý Dữ liệu cá nhân của khách hàng, (b) có tất cả thẩm quyền, căn cứ, quyền và giấy phép cần thiết để cung cấp Dữ liệu cá nhân của khách hàng cho GoDaddy, cũng như (c) sẽ tuân thủ nghĩa vụ của mình với tư cách Bên kiểm soát theo Luật bảo vệ dữ liệu hiện hành.
2.1.2 Trong trường hợp Khách hàng là Bên xử lý, Khách hàng (a) hoàn toàn chịu trách nhiệm tuân thủ (các) thỏa thuận của mình với (các) Bên kiểm soát dữ liệu mà Khách hàng thay mặt họ xử lý Dữ liệu cá nhân của khách hàng; (b) có tất cả giấy phép cần thiết từ Bên kiểm soát để cung cấp Dữ liệu cá nhân của khách hàng cho GoDaddy, cũng như (c) sẽ tuân thủ các nghĩa vụ của mình với tư cách Bên xử lý theo Luật xử lý dữ liệu hiện hành.
2.2 GoDaddy là Bên xử lý hoặc Bên xử lý phụ.
2.2.1 GoDaddy sẽ thực hiện tất cả các bước cần thiết một cách hợp lý để Khách hàng có thể tuân thủ nghĩa vụ của Khách hàng với tư cách Bên kiểm soát và/hoặc Bên xử lý theo Luật bảo vệ dữ liệu nhất quán với đặc điểm, tính chất, phạm vi và mục đích của Dịch vụ do GoDaddy cung cấp. Để tránh nhầm lẫn, GoDaddy không buộc phải thực hiện bất kỳ bước nào để thay đổi hoặc điều chỉnh Dịch vụ của GoDaddy cho phù hợp với mục đích sử dụng cụ thể của Khách hàng. Trong trường hợp xác định Dịch vụ không phù hợp với mục đích sử dụng cụ thể của Khách hàng, biện pháp khắc phục duy nhất của Khách hàng là chấm dứt phần Thỏa thuận liên quan đến việc xử lý Dữ liệu cá nhân của khách hàng.
2.2.2 GoDaddy sẽ chỉ xử lý Dữ liệu cá nhân của khách hàng theo tài liệu hướng dẫn với mục đích cụ thể và có hạn chế được mô tả trong Thỏa thuận, DPA này hoặc theo yêu cầu của pháp luật.
2.2.3 GoDaddy sẽ không bán, giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của khách hàng vì mục đích thương mại ngoài mục đích cung cấp Dịch vụ.
2.2.4 GoDaddy sẽ không Xử lý dữ liệu cá nhân của khách hàng ngoài mối quan hệ kinh doanh trực tiếp của Các bên được mô tả trong Thỏa thuận và DPA này.
2.2.5 GoDaddy sẽ không kết hợp Dữ liệu cá nhân của khách hàng với bất kỳ dữ liệu nào khác mà GoDaddy thu thập (dù trực tiếp hay qua bên thứ ba) ngoài trường hợp được cho phép rõ ràng theo Thỏa thuận.
2.2.6 GoDaddy sẽ dừng mọi hoạt động Xử lý và sẽ thông báo cho Khách hàng trong vòng ba (3) ngày làm việc nếu GoDaddy: (a) cho rằng hướng dẫn của Khách hàng vi phạm Luật xử lý dữ liệu hiện hành bất kỳ hoặc (b) xác định GoDaddy không thể tuân thủ Luật xử lý dữ liệu hiện hành bất kỳ hoặc nghĩa vụ của mình theo DPA này.