GoDaddy - PHỤ LỤC HỢP ĐỒNG VỀ XỬ LÝ DỮ LIỆU
Sửa đổi gần lần đây nhất: 13/09/2024
Hợp đồng bổ sung về xử lý dữ liệu (“Hợp đồng bổ sung”) này được thực hiện bởi các bên tham gia là bạn (“Khách hàng”) và thực thể GoDaddy là một bên của Điều khoản dịch vụ chung, cũng như bất kỳ thỏa thuận nào khác giữa bạn và GoDaddy (gọi chung là "Thỏa thuận"). GoDaddy và Khách hàng được gọi riêng trong tài liệu này là "Bên" và gọi chung là "Các bên". DPA này có hiệu lực kể từ ngày có hiệu lực của Thỏa thuận ("Ngày có hiệu lực") và điều chỉnh tất cả hoạt động Xử lý dữ liệu cá nhân của Khách hàng theo Thỏa thuận.
1. Định nghĩa. Trừ phi được định nghĩa khác trong Luật bảo vệ dữ liệu hiện hành (theo định nghĩa dưới đây), thuật ngữ viết hoa được liệt kê trong Phần này được hiểu theo nghĩa như sau:
1.1 “Đơn vị liên kết” nghĩa là bất kỳ thực thể nào kiểm soát hoặc chịu sự kiểm soát chung với một Bên. “Kiểm soát” nghĩa là sở hữu hoặc kiểm soát (trực tiếp hoặc gián tiếp) tối thiểu năm mươi phần trăm (50%) quyền bỏ phiếu của một thực thể.
2. Phạm vi xử lý dữ liệu và mối quan hệ của các bên
1.2. “Bên kiểm soát” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức khác, hoạt động riêng lẻ hoặc chung với những bên khác, xác định mục đích và cách thức xử lý Dữ liệu cá nhân của Khách hàng theo Thỏa thuận.
1.3 "Dữ liệu cá nhân của Khách hàng" nghĩa là bất kỳ Dữ liệu cá nhân nào (theo định nghĩa dưới đây) do GoDaddy thay mặt Khách hàng xử lý liên quan đến việc Khách hàng sử dụng Dịch vụ. Dữ liệu cá nhân của Khách hàng không bao gồm Dữ liệu của GoDaddy.
1.4 “Luật bảo vệ dữ liệu” nghĩa là bất kỳ luật hoặc quy định nào áp dụng cho việc xử lý Dữ liệu cá nhân của Khách hàng theo Thỏa thuận.
1.5 “Chủ thể dữ liệu” nghĩa là một thể nhân đã xác định hoặc có thể xác định liên quan đến Dữ liệu cá nhân cụ thể.
1.6 “Dữ liệu mất khả năng nhận dạng” nghĩa là dữ liệu không thể xác định một cách hợp lý, liên quan đến, mô tả, có khả năng liên tưởng hoặc được liên kết, trực tiếp hay gián tiếp, với một Chủ thể dữ liệu cụ thể.
1.7 “Dữ liệu của GoDaddy” nghĩa là (a) tất cả thông tin liên quan đến hoạt động kinh doanh và cung cấp Dịch vụ của GoDaddy, bao gồm nhưng không giới hạn ở Dữ liệu cá nhân về Khách hàng và nhân viên hoặc đại diện của Khách hàng, (b) dữ liệu khác về hoặc liên quan đến tài khoản, lịch sử giao dịch, việc sử dụng Dịch vụ và xác minh danh tính của Khách hàng và (c) phải tuân theo mọi hạn chế trong Luật bảo vệ dữ liệu hiện hành, Dữ liệu mất khả năng nhận dạng.
1.8 “Dữ liệu cá nhân” nghĩa là thông tin liên quan đến một thể nhân đã xác định hoặc có thể xác định, bao gồm mọi thông tin được định nghĩa là Dữ liệu cá nhân, Thông tin cá nhân hoặc Thông tin nhận dạng cá nhân (“PII”) trong Luật bảo vệ dữ liệu hiện hành bất kỳ. Dữ liệu cá nhân không bao gồm Dữ liệu mất khả năng nhận dạng.
1.10 "Bên xử lý” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức xử lý Dữ liệu cá nhân của Khách hàng thay mặt cho Bên kiểm soát theo Thỏa thuận.
1.9 "Xử lý” nghĩa là mọi hoạt động được thực hiện đối với Dữ liệu cá nhân của Khách hàng, ví dụ: thu thập, sử dụng, lưu trữ, tiết lộ, phân tích, xóa hoặc sửa đổi, cho dù theo cách thức thủ công hay tự động.
1.11 “Dữ liệu cá nhân nhạy cảm” nghĩa là (a) số an sinh xã hội, số hộ chiếu, số giấy phép lái xe hoặc mã số định danh tương tự; (b) thông tin thẻ tín dụng hoặc thẻ ghi nợ, thông tin tài chính, số tài khoản ngân hàng hoặc mật khẩu tài khoản; (c) thông tin nghề nghiệp, tài chính, di truyền, sinh trắc học hoặc sức khỏe; (d) chủng tộc, sắc tộc, đảng phái chính trị hoặc tôn giáo, tư cách thành viên công đoàn hoặc thông tin về đời sống tình dụng hoặc xu hướng tính dục; (e) mật khẩu tài khoản, tên thời con gái của mẹ, ngày sinh và các thông tin tương tự khác dùng để xác thực danh tính người dùng; (f) tiền án; (g) dữ liệu sinh trắc học dùng để nhận dạng một người cụ thể (ví dụ: dấu vân tay); hoặc (h) bất kỳ thông tin nào khác hoặc cách kết hợp thông tin nằm trong định nghĩa về “các loại dữ liệu đặc biệt” theo Luật bảo vệ dữ liệu hiện hành bất kỳ.
1.12 "Dịch vụ” nghĩa là sản phẩm hoặc dịch vụ mà GoDaddy đã đồng ý cung cấp theo Thỏa thuận, đòi hỏi phải xử lý Dữ liệu cá nhân của Khách hàng.
1.13 “Bên xử lý phụ” nghĩa là thể nhân hoặc pháp nhân, cơ quan công quyền, cơ quan hay tổ chức bất kỳ mà GoDaddy ký hợp đồng xử lý Dữ liệu cá nhân của Khách hàng.
1.14 “Chuyển” nghĩa là (a) chuyển Dữ liệu cá nhân của Khách hàng từ Bên kiểm soát đến Bên xử lý, dù bằng cách chuyển vật lý hay cấp quyền truy cập vào Dữ liệu cá nhân của Khách hàng do Bên kiểm soát nắm giữ hoặc kiểm soát hoặc (b) chuyển tiếp Dữ liệu cá nhân của Khách hàng từ Bên xử lý đến Bên xử lý phụ (rồi Bên xử lý phụ chuyển tiếp đến một Bên xử lý phụ khác).
2.1 Khách hàng là Bên kiểm soát hoặc Bên xử lý
2.1.1 Trong trường hợp Khách hàng là Bên kiểm soát, Khách hàng (a) hoàn toàn chịu trách nhiệm xác định mục đích và cách thức xử lý Dữ liệu cá nhân của Khách hàng, (b) có tất cả thẩm quyền, căn cứ, quyền và giấy phép cần thiết để cung cấp Dữ liệu cá nhân của Khách hàng cho GoDaddy và (c) sẽ tuân thủ nghĩa vụ của mình với tư cách Bên kiểm soát theo Luật bảo vệ dữ liệu hiện hành.
2.1.2 Trong trường hợp Khách hàng là Bên xử lý, Khách hàng (a) hoàn toàn chịu trách nhiệm tuân thủ (các) thỏa thuận của mình với (các) Bên kiểm soát dữ liệu mà Khách hàng thay mặt họ xử lý Dữ liệu cá nhân của Khách hàng; (b) có tất cả giấy phép cần thiết từ Bên kiểm soát để cung cấp Dữ liệu cá nhân của Khách hàng cho GoDaddy và (c) sẽ tuân thủ các nghĩa vụ của mình với tư cách Bên xử lý theo Luật xử lý dữ liệu hiện hành.
2.1.2 Trong trường hợp Khách hàng là Bên xử lý, Khách hàng (a) hoàn toàn chịu trách nhiệm tuân thủ (các) thỏa thuận của mình với (các) Bên kiểm soát dữ liệu mà Khách hàng thay mặt họ xử lý Dữ liệu cá nhân của Khách hàng; (b) có tất cả giấy phép cần thiết từ Bên kiểm soát để cung cấp Dữ liệu cá nhân của Khách hàng cho GoDaddy và (c) sẽ tuân thủ các nghĩa vụ của mình với tư cách Bên xử lý theo Luật xử lý dữ liệu hiện hành.
2.2 GoDaddy là Bên xử lý hoặc Bên xử lý phụ.
2.2.1 GoDaddy sẽ thực hiện tất cả các bước cần thiết một cách hợp lý để Khách hàng có thể tuân thủ nghĩa vụ của Khách hàng với tư cách Bên kiểm soát và/hoặc Bên xử lý theo Luật bảo vệ dữ liệu nhất quán với đặc điểm, tính chất, phạm vi và mục đích của Dịch vụ do GoDaddy cung cấp. Để tránh nhầm lẫn, GoDaddy không buộc phải thực hiện bất kỳ bước nào để thay đổi hoặc điều chỉnh Dịch vụ của GoDaddy cho phù hợp với mục đích sử dụng cụ thể của Khách hàng. Trong trường hợp xác định được Dịch vụ không tuân thủ mục đích sử dụng cụ thể của Khách hàng, biện pháp khắc phục duy nhất của Khách hàng là chấm dứt phần Thỏa thuận liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng.
2.2.2 GoDaddy sẽ chỉ xử lý Dữ liệu cá nhân của Khách hàng theo tài liệu hướng dẫn với mục đích cụ thể và có hạn chế được mô tả trong Thỏa thuận, DPA này hoặc theo yêu cầu của pháp luật.
2.2.3 GoDaddy sẽ không bán, giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của Khách hàng vì mục đích thương mại ngoài mục đích cung cấp Dịch vụ.
2.2.4 GoDaddy sẽ không Xử lý dữ liệu cá nhân của Khách hàng ngoài mối quan hệ kinh doanh trực tiếp của Các bên được mô tả trong Thỏa thuận và DPA này.
2.2.5 GoDaddy sẽ không kết hợp Dữ liệu cá nhân của Khách hàng với bất kỳ dữ liệu nào khác mà GoDaddy thu thập (dù trực tiếp hay qua bên thứ ba) ngoài trường hợp được cho phép rõ ràng theo Thỏa thuận.
2.2.6 GoDaddy sẽ dừng mọi hoạt động Xử lý và sẽ thông báo cho Khách hàng trong vòng ba (3) ngày làm việc nếu GoDaddy: (a) cho rằng hướng dẫn của Khách hàng vi phạm Luật xử lý dữ liệu hiện hành bất kỳ hoặc (b) xác định rằng GoDaddy không thể tuân thủ Luật xử lý dữ liệu hiện hành bất kỳ hoặc nghĩa vụ của mình theo DPA này.
2.2.2 GoDaddy sẽ chỉ xử lý Dữ liệu cá nhân của Khách hàng theo tài liệu hướng dẫn với mục đích cụ thể và có hạn chế được mô tả trong Thỏa thuận, DPA này hoặc theo yêu cầu của pháp luật.
2.2.3 GoDaddy sẽ không bán, giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của Khách hàng vì mục đích thương mại ngoài mục đích cung cấp Dịch vụ.
2.2.4 GoDaddy sẽ không Xử lý dữ liệu cá nhân của Khách hàng ngoài mối quan hệ kinh doanh trực tiếp của Các bên được mô tả trong Thỏa thuận và DPA này.
2.2.5 GoDaddy sẽ không kết hợp Dữ liệu cá nhân của Khách hàng với bất kỳ dữ liệu nào khác mà GoDaddy thu thập (dù trực tiếp hay qua bên thứ ba) ngoài trường hợp được cho phép rõ ràng theo Thỏa thuận.
2.2.6 GoDaddy sẽ dừng mọi hoạt động Xử lý và sẽ thông báo cho Khách hàng trong vòng ba (3) ngày làm việc nếu GoDaddy: (a) cho rằng hướng dẫn của Khách hàng vi phạm Luật xử lý dữ liệu hiện hành bất kỳ hoặc (b) xác định rằng GoDaddy không thể tuân thủ Luật xử lý dữ liệu hiện hành bất kỳ hoặc nghĩa vụ của mình theo DPA này.
2.3 Đơn vị liên kết.
3. Xử lý phụ
2.3.1 Đơn vị liên kết của Khách hàng. Nhằm phục vụ các mục đích của DPA này, mọi Dữ liệu cá nhânđược Đơn vị liên kết của Khách hàng cung cấp cho GoDaddy hoặc Đơn vị liên kết của GoDaddy để xử lý thay mặt Khách hàng và/hoặc Đơn vị liên kết của Khách hàng sẽ được hiểu là Dữ liệu cá nhân của Khách hàng và do Khách hàng cung cấp. Khách hàng cam đoan sẽ thực hiện mọi biện pháp cần thiết một cách hợp lý để đảm bảo Đơn vị liên kết tuân thủ tất cả các nghĩa vụ của Khách hàng liên quan đến DPA này. Khách hàng chịu trách nhiệm về việc Đơn vị liên kết của mình tuân thủ tất cả các điều khoản của DPA này.
2.3.2 Đơn vị liên kết của GoDaddy. Nhằm phục vụ các mục đích của DPA này, mọi Dữ liệu cá nhân của Khách hàng mà Đơn vị liên kết của GoDaddy nhận được sẽ được hiểu là đã do GoDaddy nhận. GoDaddy cam đoan sẽ thực hiện tất cả các biện pháp cần thiết một cách hợp lý để đảm bảo Đơn vị liên kết của mình tuân thủ nghĩa vụ của GoDaddy liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng theo DPA này. GoDaddy chịu trách nhiệm về việc Đơn vị liên kết của GoDaddy tuân thủ tất cả điều khoản của DPA này.
2.3.2 Đơn vị liên kết của GoDaddy. Nhằm phục vụ các mục đích của DPA này, mọi Dữ liệu cá nhân của Khách hàng mà Đơn vị liên kết của GoDaddy nhận được sẽ được hiểu là đã do GoDaddy nhận. GoDaddy cam đoan sẽ thực hiện tất cả các biện pháp cần thiết một cách hợp lý để đảm bảo Đơn vị liên kết của mình tuân thủ nghĩa vụ của GoDaddy liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng theo DPA này. GoDaddy chịu trách nhiệm về việc Đơn vị liên kết của GoDaddy tuân thủ tất cả điều khoản của DPA này.
3.1 Khách hàng ủy quyền chung cho GoDaddy thuê bên xử lý phụ.
3.2 Bạn nên xem xét danh sách Bên xử lý phụ của chúng tôi
3.3 Trước khi chuyển Dữ liệu cá nhân của Khách hàng cho Bên xử lý phụ, GoDaddy sẽ: (a) ký kết một văn bản thỏa thuận với Bên xử lý phụ có thể bảo vệ Dữ liệu của Khách hàng tối thiểu là bằng DPA này; (b) tiến hành thẩm định để xác nhận Bên xử lý phụ có thể tuân thủ các điều khoản quan trọng của DPA này và Luật bảo vệ dữ liệu khi họ liên quan đến việc GoDaddy xử lý Dữ liệu của Khách hàng, bao gồm cả yêu cầu về bảo mật thông tin trong Phần 5, 6, 8 và Danh mục 2 của DPA này.
3.4 GoDaddy chịu trách nhiệm pháp lý về các hành động và thiếu sót của Bên xử lý phụ của mình, bao gồm cả mọi hành động hoặc thiếu sót của bên xử lý phụ của Bên xử lý phụ. 3.5 Bên xử lý phụ mới; Quyền phản đối.
4. Quy trình pháp lý và các yêu cầu khác đối với bên thứ ba về dữ liệu cá nhân của khách hàng
3.2 Bạn nên xem xét danh sách Bên xử lý phụ của chúng tôi
3.3 Trước khi chuyển Dữ liệu cá nhân của Khách hàng cho Bên xử lý phụ, GoDaddy sẽ: (a) ký kết một văn bản thỏa thuận với Bên xử lý phụ có thể bảo vệ Dữ liệu của Khách hàng tối thiểu là bằng DPA này; (b) tiến hành thẩm định để xác nhận Bên xử lý phụ có thể tuân thủ các điều khoản quan trọng của DPA này và Luật bảo vệ dữ liệu khi họ liên quan đến việc GoDaddy xử lý Dữ liệu của Khách hàng, bao gồm cả yêu cầu về bảo mật thông tin trong Phần 5, 6, 8 và Danh mục 2 của DPA này.
3.4 GoDaddy chịu trách nhiệm pháp lý về các hành động và thiếu sót của Bên xử lý phụ của mình, bao gồm cả mọi hành động hoặc thiếu sót của bên xử lý phụ của Bên xử lý phụ. 3.5 Bên xử lý phụ mới; Quyền phản đối.
3.5.1 GoDaddy sẽ nỗ lực hợp lý để thông báo cho Khách hàng bằng văn bản trước ít nhất sáu mươi (60) ngày nếu GoDaddy dự định chỉ định Bên xử lý phụ mới; tuy nhiên, với điều kiện là không bắt buộc thông báo trước sáu mươi (60) ngày và GoDaddy sẽ thông báo sớm nhất có thể cho Khách hàng sau khi chỉ định Bên xử lý phụ mới nếu cần chỉ định ngay để duy trì tính bảo mật cho Dữ liệu cá nhân của Khách hàng hoặc để tuân thủ luật hiện hành.
3.5.2 Nếu Khách hàng phản đối Bên xử lý phụ mới một cách hợp lý thì Khách hàng phải thông báo cho GoDaddy bằng văn bản trong vòng ba mươi (30) ngày sau khi Bên xử lý phụ được chỉ định. Theo toàn quyền quyết định của GoDaddy, GoDaddy có thể nỗ lực hợp lý về mặt thương mại để giải quyết sự phản đối của Khách hàng. Nếu Các bên không thể giải quyết sự phản đối của Khách hàng trong vòng ba mươi (30) ngày thì Khách hàng có thể chấm dứt DPA này và bất kỳ phần nào của Thỏa thuận liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng.
3.5.3 Nếu Khách hàng không phản đối Bên xử lý phụ mới trong vòng ba mươi (30) ngày kể từ thông báo chỉ định Bên xử lý phụ thì chúng tôi sẽ hiểu là Khách hàng đã chấp nhận Bên xử lý phụ mới.
3.5.4 Thông báo về Bên xử lý phụ mới có thể được cung cấp bằng cách cập nhật danh sách Bên xử lý phụ được mô tả trong Phần 3.2.
4.1 GoDaddy sẽ không đáp ứng bất kỳ yêu cầu không chính thức nào đối với Dữ liệu cá nhân của Khách hàng từ cơ quan chính quyền, cơ quan hành pháp hoặc người khác ngoại trừ để đáp ứng trát đòi hầu tòa, lệnh khám xét, lệnh của tòa án hoặc quy trình pháp lý tương tự khác (gọi chung là “Quy trình pháp lý”), trừ phi việc tiết lộ như vậy được GoDaddy xác định theo quyền quyết định hợp lý của mình là (a) bắt buộc theo luật, (b) cần thiết để bảo vệ hệ thống hoặc dữ liệu của GoDaddy khỏi tổn hại hoặc sử dụng sai mục đích hoặc (c) cần thiết để bảo vệ GoDaddy hoặc bất kỳ người nào khác khỏi thiệt hại hoặc thương tích.
5. Bảo mật dữ liệu
4.2 Trừ phi bị luật cấm, GoDaddy sẽ nhanh chóng thông báo với Khách hàng nếu tiếp nhận Quy trình pháp lý yêu cầu GoDaddy cung cấp quyền truy cập hoặc tiết lộ Dữ liệu cá nhân của Khách hàng.
4.3 Trừ phi luật có yêu cầu khác, GoDaddy sẽ hợp tác với Khách hàng (chi phí hợp lý do Khách hàng gánh chịu) trong mọi nỗ lực của Khách hàng để ngăn việc tiết lộ Dữ liệu cá nhân của Khách hàng khi đáp ứng Quy trình pháp lý.
5.1 GoDaddy duy trì một chương trình bảo mật thông tin bao gồm các biện pháp kỹ thuật và tổ chức thích hợp, được lập thành văn bản, để đảm bảo mức độ bảo mật thích hợp đối với rủi ro khi Xử lý dữ liệu cá nhân của Khách hàng theo Thỏa thuận, bao gồm mọi biện pháp cụ thể theo yêu cầu của Luật bảo vệ dữ liệu hiện hành.
6. Sự cố bảo mật dữ liệu
5.2 Khách hàng công nhận rõ ràng rằng GoDaddy cung cấp chức năng và tính năng bảo mật mà Khách hàng dùng để bảo vệ Dữ liệu cá nhân của Khách hàng. Khách hàng hoàn toàn chịu trách nhiệm thực hiện các bước thích hợp theo mức độ rủi ro để bảo vệ sự an toàn cho tài khoản của Khách hàng và Dữ liệu cá nhân của Khách hàng trong tầm kiểm soát của Khách hàng, bao gồm cả cách sử dụng chức năng và tính năng bảo mật do GoDaddy cung cấp. Khách hàng cũng hoàn toàn chịu trách nhiệm đảm bảo rằng tất cả nội dung mà Khách hàng đưa vào hoặc khiến cho được đưa vào Dịch vụ không có lỗ hổng bảo mật mà có thể dẫn đến sự cố xâm phạm Dữ liệu cá nhân của Khách hàng và hệ thống của GoDaddy, bao gồm nhưng không giới hạn ở phần mềm độc hại. GoDaddy không có trách nhiệm sao lưu Dữ liệu cá nhân của Khách hàng.
5.3 Khách hàng phải tuân thủ tất cả Yêu cầu của tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (“PCI-DSS”) và chỉ được cung cấp cho GoDaddy Dữ liệu cá nhân của Khách hàng chứa thông tin thẻ tín dụng, thẻ ghi nợ hoặc thông tin khác của chủ thẻ thanh toán (“Dữ liệu PCI-DSS”) liên quan đến Dịch vụ của GoDaddy chuyên để Xử lý Dữ liệu PCI-DSS đó. Khách hàng hoàn toàn chịu trách nhiệm về mọi hành vi vi phạm yêu cầu của PCI-DSS nếu Khách hàng sử dụng Dịch vụ của GoDaddy để xử lý hoặc lưu trữ Dữ liệu PCI-DSS ngoài Dịch vụ tuân thủ PCI-DSS của GoDaddy.
5.4 Ngoài mọi biện pháp GoDaddy buộc phải thực hiện để tuân thủ nghĩa vụ theo Luật bảo vệ dữ liệu hiện hành và Yêu cầu của PCI-DSS đối với Dịch vụ khiếu nại về PCI-DSS của GoDaddy, GoDaddy sẽ thực hiện các biện pháp cụ thể về kỹ thuật và tổ chức được xác định trong Danh mục 2 của DPA này.
6.1 GoDaddy trao cho Khách hàng nhiều cơ hội truy cập và kiểm soát Dữ liệu cá nhân của Khách hàng được xử lý thay mặt Khách hàng. GoDaddy không chịu trách nhiệm về bất kỳ trường hợp vô tình hoặc dùng cách bất hợp pháp nào để tiêu hủy, làm mất, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu cá nhân của Khách hàng mà không xuất phát từ sự cố xâm nhập hệ thống của GoDaddy. Ví dụ về Sự cố bảo mật mà GoDaddy không chịu trách nhiệm: Khách hàng không giữ bí mật mật khẩu, tải xuống nội dung độc hại hay bất kỳ lỗ hổng bảo mật nào khác do Khách hàng gây ra hoặc đưa vào môi trường lưu trữ của Khách hàng và Dịch vụ.
7. Quyền của chủ thể dữ liệu
6.2 GoDaddy sẽ nỗ lực hợp lý về mặt thương mại để thông báo với Khách hàng về sự cố xâm phạm bảo mật hệ thống của GoDaddy dẫn đến trường hợp do vô tình hoặc dùng cách bất hợp pháp để tiêu hủy, làm mất, thay đổi, tiết lộ trái phép hoặc truy cập vào Dữ liệu cá nhân của Khách hàng (“Sự cố bảo mật”) trong thời gian quy định của luật hiện hành.
6.3 GoDaddy sẽ thực hiện các bước thích hợp, tùy theo rủi ro, cần thiết một cách hợp lý để ngăn chặn, giảm thiểu và khắc phục Sự cố bảo mật sớm nhất có thể.
6.4 GoDaddy sẽ cung cấp thông tin do Khách hàng yêu cầu một cách hợp lý để đánh giá tác động của Sự cố bảo mật đối với Dữ liệu cá nhân của Khách hàng và để Khách hàng thông báo về Sự cố bảo mật cho cơ quan chính quyền, Chủ thể dữ liệu bị ảnh hưởng hoặc bất kỳ người nào khác.
6.5 Việc GoDaddy ghi nhận Sự cố bảo mật hoặc quyết định thông báo cho Khách hàng về Sự cố bảo mật không phải là công nhận lỗi hoặc trách nhiệm pháp lý.
7.1 Khách hàng hoàn toàn chịu trách nhiệm đáp ứng yêu cầu thực hiện quyền của Chủ thể dữ liệu theo Luật bảo vệ dữ liệu, chính sách quyền riêng tư của Khách hàng hoặc điều khoản dịch vụ của Khách hàng, bao gồm nhưng không giới hạn ở yêu cầu thực hiện quyền được biết, truy cập, chỉnh sửa hoặc xóa Dữ liệu cá nhân của Khách hàng (“Yêu cầu của Chủ thể dữ liệu”).
8. Đánh giá tác động bảo vệ dữ liệu, Tham khảo ý kiến trước và Yêu cầu thông tin về sự tuân thủ
7.2 GoDaddy sẽ không đáp ứng Yêu cầu của Chủ thể dữ liệu ngoại trừ theo tài liệu hướng dẫn của Khách hàng hoặc theo yêu cầu khác của luật hiện hành.
7.3 GoDaddy sẽ thông báo cho Khách hàng về mọi Yêu cầu của Chủ thể dữ liệu. Khách hàng hoàn toàn chịu trách nhiệm đáp ứng yêu cầu của Chủ thể dữ liệu. Nếu Khách hàng đã tận dụng hết mọi cách có thể để đáp ứng Yêu cầu của Chủ thể dữ liệu – theo thỏa thuận Khách hàng thanh toán trước chi phí hợp lý của GoDaddy – GoDaddy sẽ cung cấp cho Khách hàng sự hỗ trợ cần thiết một cách hợp lý để Khách hàng có thể đáp ứng Yêu cầu của Chủ thể dữ liệu.
8.1 Đánh giá tác động của biện pháp bảo vệ dữ liệu, Tham khảo ý kiến trước. Bằng chi phí do Khách hàng tự chịu, GoDaddy sẽ cung cấp sự hỗ trợ hợp lý cho Khách hàng để tiến hành mọi đánh giá tác động của biện pháp bảo vệ dữ liệu và tham khảo ý kiến của cơ quan chính quyền hoặc cơ quan quản lý liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng.
9. Yêu cầu cụ thể theo khu vực pháp lý và Chuyển dữ liệu cá nhân ra quốc tế
8.2 Yêu cầu thông tin về sự tuân thủ. Khách hàng có thể định kỳ yêu cầu cung cấp thông tin cần thiết một cách hợp lý để xác nhận sự tuân thủ nghĩa vụ của GoDaddy theo Luật bảo vệ dữ liệu hiện hành. Nếu GoDaddy không phản hồi yêu cầu của Khách hàng trong vòng bốn mươi lăm (45) ngày, Khách hàng có thể chấm dứt Thỏa thuận. Để tránh nhầm lẫn, nội dung trong DPA này không cấp cho Khách hàng quyền tiến hành kiểm tra hoạt động kinh doanh, hệ thống hoặc dịch vụ của GoDaddy. Nghĩa vụ của GoDaddy trong phần này giới hạn ở việc cung cấp cho Khách hàng thông tin cần thiết một cách hợp lý để xác nhận rằng GoDaddy đang tuân thủ nghĩa vụ theo Luật bảo vệ dữ liệu hiện hành.
9.1 Việc xử lý Dữ liệu cá nhân của Khách hàng theo DPA này có thể đòi hỏi phải Xử lý dưới sự điều chỉnh của một hoặc nhiều Luật bảo vệ dữ liệu và/hoặc có thể đòi hỏi chuyển Dữ liệu cá nhân của Khách hàng ra quốc tế.
10. Điều khoản chung
9.2 Nếu Dữ liệu cá nhân của Khách hàng bắt nguồn từ Hoa Kỳ thì các điều khoản liên quan đến Luật bảo vệ dữ liệu của Hoa Kỳ nêu trong Danh mục 3 (Phần 1) của DPA này sẽ được áp dụng.
9.3 Nếu Dữ liệu cá nhân của Khách hàng bắt nguồn từ Liên minh châu Âu/Khu vực kinh tế châu Âu (“EU/EEA”), Vương quốc Anh hoặc Thụy Sĩ hoặc nếu cơ sở của Khách hàng ở một hoặc nhiều khu vực pháp lý đó, thì sẽ áp dụng các điều khoản liên quan đến Luật bảo vệ dữ liệu hiện hành tại EU/EEA, Vương quốc Anh và/hoặc Thụy Sĩ nêu trong Danh mục 3 (Phần 2) của DPA này.
9.4 Nếu phải có cơ chế hợp lệ về chuyển dữ liệu ra quốc tế (“Cơ chế chuyển bắt buộc”) để Chuyển dữ liệu cá nhân của Khách hàng một cách hợp pháp thì các điều khoản nêu trong Danh mục 4 của DPA này sẽ được áp dụng.
10.1 Thỏa thuận đầy đủ; Giải thích. DPA này cấu thành toàn bộ thỏa thuận giữa Các bên liên quan đến đối tượng của DPA này và thay thế tất cả các tuyên bố, hiểu biết, thỏa thuận và nội dung trao đổi trước đây hoặc hiện tại giữa Các bên, dù bằng văn bản hay lời nói, liên quan đến đối tượng của DPA này. Trong trường hợp DPA này và Thỏa thuận (hoặc bất kỳ thỏa thuận nào khác giữa Các bên) có mâu thuẫn, DPA này sẽ điều chỉnh và kiểm soát liên quan tới đối tượng của DPA này. Nếu bất kỳ điều khoản nào trong DPA này và Điều khoản chuyển bắt buộc như mô tả trong Danh mục 4 có mâu thuẫn, Điều khoản chuyển bắt buộc sẽ được ưu tiên áp dụng.
Danh mục 1: Chi tiết xử lý dữ liệu cá nhân của khách hàng
10.2 Sửa đổi. GoDaddy có toàn quyền quyết định thay đổi hoặc sửa đổi DPA này theo các quy trình nêu trong Thỏa thuận. Nếu Khách hàng không đồng ý với sửa đổi đó, biện pháp khắc phục duy nhất của Khách hàng là chấm dứt phần Thỏa thuận liên quan đến việc Xử lý dữ liệu cá nhân của Khách hàng bằng thông báo trước ba mươi (30) ngày. Trừ phi có thỏa thuận rõ ràng bằng văn bản của Các bên, mọi sửa đổi với Thỏa thuận này chỉ có hiệu lực đối với hoạt động Xử lý diễn ra sau ngày sửa đổi đó.
10.3 Miễn trừ. Việc miễn trừ bất kỳ hành vi vi phạm nào đối với DPA này chỉ có hiệu lực nếu được đại diện có thẩm quyền của Bên miễn trừ hành vi vi phạm đó cho phép bằng văn bản và không có sự miễn trừ nào được hiểu là miễn trừ hành vi vi phạm sau đó.
10.4 Hiệu lực riêng biệt. Nếu bất kỳ điều khoản nào của DPA này được phát hiện là không thể thực thi thì điều khoản đó phải được sửa đổi trong phạm vi cần thiết để có thể thực thi và phần còn lại của DPA này sẽ vẫn có hiệu lực như đã lập. Tuy nhiên, nếu việc sửa đổi bất kỳ điều khoản không thể thực thi nào dẫn đến không thực hiện được mục đích thiết yếu của DPA này, toàn bộ DPA sẽ được coi là vô giá trị và vô hiệu, trừ phi được sửa đổi theo Phần 10.2.
10.5 Thông báo. Trừ phi được nêu rõ ràng trong tài liệu này, các thông báo theo yêu cầu của DPA này sẽ được cung cấp theo các yêu cầu về Thông báo được nêu trong Thỏa thuận.
10.6 Trách nhiệm pháp lý. DPA này không cung cấp cơ sở cho Bên nào hoặc bất kỳ cá nhân nào khác để bồi thường bất kỳ loại thiệt hại nào khác ngoài những loại thiệt hại đã nêu trong Thỏa thuận và phải tuân theo tất cả giới hạn đã nêu trong đó.
10.7 Thực thi. Chỉ Các bên đại diện cho chính mình và Đơn vị liên kết tương ứng mới được thực thi các điều khoản của DPA này theo các điều khoản giải quyết tranh chấp đã nêu trong Thỏa thuận. Tuy nhiên, quy định hạn chế thực thi này không có hiệu lực cho khả năng của cá nhân Chủ thể dữ liệu trong việc thực thi quyền của họ theo Luật bảo vệ dữ liệu.
10.8 Chấm dứt. Trừ phi bị chấm dứt sớm hơn theo Thỏa thuận hay bất kỳ điều khoản hiện hành nào khác của DPA này hoặc Luật bảo vệ dữ liệu hiện hành bất kỳ, DPA này sẽ chấm dứt sau khi hoàn thành Xử lý hoặc chấm dứt Thỏa thuận, tùy theo thời điểm nào đến sau. Sau khi chấm dứt DPA này, GoDaddy sẽ trả lại, xóa hoặc làm mất khả năng nhận dạng Dữ liệu cá nhân của Khách hàng theo điều khoản của Thỏa thuận và DPA này, trừ phi GoDaddy bắt buộc phải duy trì Dữ liệu cá nhân của Khách hàng theo luật hiện hành. Nếu GoDaddy phải giữ lại Dữ liệu cá nhân của Khách hàng sau khi chấm dứt Thỏa thuận, GoDaddy sẽ tiếp tục tuân thủ các nghĩa vụ của mình liên quan đến việc Xử lý dữ liệu cá nhân của Khách hàng theo DPA này và sẽ nhanh chóng trả lại hoặc xóa mọi Dữ liệu cá nhân của Khách hàng đó sau khi không còn bắt buộc phải giữ lại theo luật nữa.
10.9 Luật điều chỉnh và khu vực pháp lý. DPA này chịu sự điều chỉnh của các luật nêu trong Thỏa thuận, ngoại trừ phạm vi yêu cầu khác của Luật bảo vệ dữ liệu. Trong trường hợp đó, các luật của khu vực pháp lý theo chỉ định của Luật bảo vệ dữ liệu sẽ được áp dụng. Mọi điều khoản của DPA này sẽ không được hiểu là giới hạn quyền hoặc nghĩa vụ của cá nhân theo bất kỳ Luật bảo vệ dữ liệu hiện hành nào.
Danh mục 1 này bao gồm chi tiết Xử lý dữ liệu cá nhân của Khách hàng theo yêu cầu của Luật bảo vệ dữ liệu.
Đối tượng và thời gian Xử lý dữ liệu cá nhân của Khách hàng:
Đối tượng và thời gian Xử lý dữ liệu cá nhân của Khách hàng được mô tả trong Thỏa thuận.
Tính chất và mục đích Xử lý dữ liệu cá nhân của Khách hàng:
Việc GoDaddy xử lý Dữ liệu cá nhân của Khách hàng là cần thiết một cách hợp lý để cung cấp Dịch vụ như mô tả trong Thỏa thuận.
Loại Dữ liệu cá nhân và danh mục Chủ thể dữ liệu:
Loại Dữ liệu cá nhân của Khách hàng và danh mục Chủ thể dữ liệu chịu sự kiểm soát của Khách hàng và/hoặc Bên kiểm soát cung cấp Dữ liệu cá nhân của Khách hàng cho Khách hàng theo toàn quyền quyết định của họ.
Dữ liệu nhạy cảm hoặc loại dữ liệu đặc biệt:
Tùy từng thời điểm, Dữ liệu nhạy cảm có thể được xử lý theo Thỏa thuận. Các loại Dữ liệu nhạy cảm được xử lý theo Thỏa thuận sẽ do Khách hàng và/hoặc Bên kiểm soát cung cấp Dữ liệu nhạy cảm cho Khách hàng xác định, theo toàn quyền quyết định của họ.
Nghĩa vụ và quyền của Bên kiểm soát:
Nghĩa vụ và quyền của Khách hàng được mô tả trong Thỏa thuận và DPA này.
Danh mục 2: Các biện pháp bảo mật về mặt tổ chức và kỹ thuật1. Phạm vi áp dụng
1.1 Yêu cầu của Danh mục 2 này áp dụng cho GoDaddy và Bên xử lý phụ bất kỳ (bao gồm nhưng không giới hạn ở nhà cung cấp dịch vụ đám mây bất kỳ) do GoDaddy sử dụng để cung cấp Dịch vụ và/hoặc Xử lý dữ liệu cá nhân của Khách hàng.
1.2 Nếu GoDaddy sử dụng Bên xử lý phụ để cung cấp Dịch vụ và/hoặc Xử lý dữ liệu cá nhân của Khách hàng, GoDaddy phải đảm bảo Bên xử lý phụ đó tuân thủ từng quy định của Danh mục này.
2. Quyền riêng tư thông tin và quản lý bảo mật dữ liệu
2.1 Quy trình quản lý rủi ro. GoDaddy sẽ duy trì một quy trình quản lý rủi ro thích hợp để xác định, đánh giá, ứng phó và theo dõi rủi ro đối với Dữ liệu cá nhân của Khách hàng, phù hợp với nghĩa vụ của GoDaddy theo Thỏa thuận, DPA và luật hiện hành.
2.2 Phạm vi chương trình bảo mật thông tin. Tối thiểu, chương trình bảo mật thông tin của GoDaddy, bao gồm tất cả chính sách quyền riêng tư và bảo vệ dữ liệu hiện hành, phải được thiết kế để:
2.2.1 Bảo vệ tính bí mật, tính toàn vẹn và tính sẵn có của Dữ liệu cá nhân của Khách hàng trong khi GoDaddy nắm giữ hoặc kiểm soát hoặc GoDaddy có quyền truy cập; và
2.2.2 Bảo vệ trước các mối đe dọa hoặc mối nguy hiểm được dự liệu hợp lý đối với tính bí mật, tính toàn vẹn và tính sẵn có của Dữ liệu cá nhân của Khách hàng.
2.3 Cập nhật chương trình bảo mật thông tin. GoDaddy sẽ thường xuyên xem xét và cập nhật chương trình bảo mật thông tin của mình theo hoạt động và khuôn khổ tiêu chuẩn của ngành phù hợp với loại, khối lượng và độ nhạy cảm của Dữ liệu cá nhân của Khách hàng do GoDaddy xử lý.
2.4 Đánh giá rủi ro và kiểm tra. GoDaddy sẽ thường xuyên đánh giá rủi ro đối với tất cả các hệ thống xử lý Dữ liệu cá nhân của Khách hàng và sẽ định kỳ tiến hành kiểm tra khả năng thâm nhập của bên thứ ba trên các ứng dụng và cơ sở hạ tầng dùng để cung cấp Dịch vụ nếu GoDaddy cho là cần thiết một cách hợp lý.
2.5 Tính liên tục và khả năng phục hồi. GoDaddy sẽ thực hiện các biện pháp thích hợp để bảo vệ tính toàn vẹn và tính sẵn có của các hệ thống Xử lý dữ liệu cá nhân của Khách hàng, bao gồm các biện pháp như theo dõi hiệu suất và tính sẵn có, thiết kế hệ thống dự phòng và có khả năng phục hồi, sử dụng nguồn cấp điện liên tục, bảo vệ chống DDoS, kiểm tra tải và ứng suất, cùng các biện pháp tương tự khác.3. An ninh của tổ chức
3.1 Trách nhiệm giải trình. GoDaddy sẽ xây dựng và triển khai các văn bản chính sách và quy trình bảo mật thông tin xác định rõ ràng trách nhiệm bảo vệ Dữ liệu cá nhân của Khách hàng trong phạm vi GoDaddy, bao gồm cả chỉ định một hoặc nhiều cá nhân cụ thể chịu trách nhiệm quản lý chương trình bảo mật thông tin của GoDaddy và bảo vệ Dữ liệu cá nhân của Khách hàng.
3.2 Kiểm soát và quản lý tài sản. GoDaddy sẽ duy trì một chính sách quản lý tài sản và các biện pháp kiểm soát tài sản, bao gồm cả phân loại tài sản cùng bản kê khai các thiết bị và hệ thống dùng để cung cấp Dịch vụ và/hoặc xử lý Dữ liệu cá nhân của Khách hàng.
3.3 An toàn vật lý. GoDaddy cũng sẽ thực hiện các biện pháp kiểm soát tùy theo rủi ro để duy trì sự an toàn vật lý cho các cơ sở của mình, bao gồm cả thực hiện các biện pháp hợp lý để đảm bảo chỉ người dùng có thẩm quyền mới có quyền ra vào/sử dụng các thiết bị điện tử, mạng, hệ thống quan trọng, ứng dụng, phòng máy chủ, phòng thông tin liên lạc và môi trường làm việc của GoDaddy. Những biện pháp GoDaddy có thể triển khai (trong điều kiện thích hợp) bao gồm nhưng không giới hạn ở báo động, giám sát bằng CCTV, quản lý việc ra vào của khách đến thăm và tiêu hủy Dữ liệu cá nhân trên các thiết bị vật lý trước khi thải bỏ/tái chế thiết bị.
4. Hoạt động bảo mật
4.1 Cấu hình hệ thống bảo mật. GoDaddy sẽ thiết lập các biện pháp kiểm soát để đảm bảo cấu hình an toàn cho các hệ thống dùng để cung cấp Dịch vụ và/hoặc Xử lý dữ liệu cá nhân của Khách hàng.
4.2 Quản lý lỗ hổng bảo mật và bản vá. GoDaddy sẽ thiết lập và duy trì một hệ thống quản lý lỗ hổng bảo mật và bản vá để đảm bảo tất cả hệ thống dùng để cung cấp Dịch vụ và/hoặc Xử lý dữ liệu cá nhân của Khách hàng đều được vá các lỗ hổng bảo mật đã xác định trong khoảng thời gian hợp lý dựa trên mức độ quan trọng của bản vá và độ nhạy cảm của Dữ liệu cá nhân của Khách hàng.
4.3 Ngăn chặn phần mềm độc hại. GoDaddy sẽ thực hiện các biện pháp kiểm soát phát hiện, ngăn chặn và khắc phục để chống lại phần mềm độc hại (bao gồm cả chương trình thích hợp để nâng cao nhận thức cho người dùng).
4.4 Ghi nhật ký và kiểm tra. GoDaddy sẽ sử dụng chương trình quản lý nhật ký để xác định phạm vi, hoạt động tạo, lưu trữ, phân tích và xử lý nhật ký theo các tiêu chuẩn tùy theo rủi ro của ngành.
4.5 Phát hiện và ứng phó với sự cố bảo mật. GoDaddy sẽ duy trì các hệ thống tùy theo rủi ro để phát hiện Sự cố bảo mật theo yêu cầu trong Phần 6 của Thỏa thuận, bao gồm cả việc sử dụng hệ thống phát hiện xâm nhập và ngăn chặn xâm nhập.
5. Đào tạo
GoDaddy sẽ đảm bảo rằng nhân viên của mình được đào tạo thường xuyên về nghĩa vụ đối với việc bảo vệ dữ liệu và tính bí mật liên quan đến Dữ liệu cá nhân của khách hàng.
6. Biện pháp kiểm soát quyền truy cập
6.1 Thông tin nhận dạng duy nhất. GoDaddy sẽ chỉ định thông tin xác thực người dùng riêng biệt của cá nhân cho nhân viên có quyền truy cập vào Dữ liệu cá nhân của Khách hàng, bao gồm nhưng không giới hạn ở nhân viên có quyền truy cập quản trị.
6.2 Quản lý mật khẩu. GoDaddy sẽ thực hiện các chính sách và quy trình quản lý mật khẩu, bao gồm cả quản lý mật khẩu tập trung và chính sách mật khẩu.
6.3 Xác thực nhiều yếu tố. GoDaddy sẽ thực hiện xác thực nhiều yếu tố đối với hoạt động truy cập từ xa vào mạng, hệ thống hoặc ứng dụng dùng để Xử lý và/hoặc lưu trữ Dữ liệu cá nhân của Khách hàng.
6.4 Đặc quyền tối thiểu. GoDaddy sẽ giới hạn quyền truy cập vào Dữ liệu cá nhân của Khách hàng chỉ trong phạm vi những nhân viên chịu sự ràng buộc của nghĩa vụ thích hợp về tính bí mật và “cần biết” hoặc “cần truy cập” với mục đích cung cấp Dịch vụ.
7. Biện pháp kiểm soát bảo mật dữ liệu
7.1 Phân chia dữ liệu. GoDaddy sẽ duy trì Dữ liệu cá nhân của Khách hàng trong các môi trường bảo mật và riêng rẽ hợp lý.
7.2 Mã hóa và các biện pháp khác. GoDaddy sẽ triển khai các biện pháp thích hợp tùy theo rủi ro để bảo vệ Dữ liệu cá nhân của Khách hàng, trong đó bao gồm mã hóa, thay bằng thông tin giả và các biện pháp thích hợp khác như sử dụng thuật toán để giữ kín bí mật bằng mã băm, bao gồm cả mật khẩu và mã thông báo API dùng để truy cập hệ thống chứa Dữ liệu cá nhân của Khách hàng.
Danh mục 3: Điều khoản cụ thể theo khu vực pháp lý
1. Hoa Kỳ
1.1 California.
1.1.1 Định nghĩa.
1.1.1.1 Các thuật ngữ sau đây được xác định riêng theo định nghĩa nêu trong Luật bảo vệ dữ liệu của California: “Doanh nghiệp”, “Mục đích thương mại”, “Nhà cung cấp dịch vụ”, “Bán”, “Chia sẻ” và “Bên thứ ba”.
1.1.1.2 Thuật ngữ “Dữ liệu cá nhân của Khách hàng” bao gồm cả Thông tin cá nhân của một thể nhân hoặc hộ gia đình đã xác định hoặc có thể xác định.
1.1.2 Vai trò của Các bên.
1.1.2.1 Nếu Khách hàng được hiểu là Doanh nghiệp theo Luật bảo vệ dữ liệu hiện hành của California, tất cả các lần nhắc đến quyền và nghĩa vụ của Khách hàng với tư cách Bên kiểm soát theo DPA này cũng sẽ được hiểu là nhắc đến quyền và nghĩa vụ của Khách hàng với tư cách Doanh nghiệp. Nếu Khách hàng được hiểu là Nhà cung cấp dịch vụ theo Luật bảo vệ dữ liệu hiện hành của California, tất cả các lần nhắc đến quyền và nghĩa vụ của Khách hàng với tư cách Bên xử lý theo DPA này cũng sẽ được hiểu là nhắc đến quyền và nghĩa vụ của Khách hàng với tư cách Nhà cung cấp dịch vụ.
1.1.2.2 Nếu GoDaddy được hiểu là Nhà cung cấp dịch vụ hoặc Bên thứ ba theo Luật bảo vệ dữ liệu của California, tất cả các lần nhắc đến quyền và nghĩa vụ của GoDaddy với tư cách Bên xử lý hoặc Bên xử lý phụ theo DPA này cũng sẽ được hiểu là nhắc đến quyền và nghĩa vụ của GoDaddy với tư cách Nhà cung cấp dịch vụ hoặc Bên thứ ba, tùy trường hợp áp dụng.
1.2 Tất cả các bang của Hoa Kỳ (bao gồm cả California).
1.2.1 GoDaddy không được (a) bán hoặc chia sẻ Dữ liệu cá nhân của Khách hàng, (b) giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của Khách hàng với bất kỳ mục đích nào ngoài mục đích kinh doanh được quy định trong Thỏa thuận hoặc (c) giữ lại, sử dụng, tiết lộ Dữ liệu cá nhân của Khách hàng ngoài mối quan hệ kinh doanh trực tiếp giữa GoDaddy và Công ty.
1.2.2 Quyền truy cập của GoDaddy vào Dữ liệu cá nhân của Khách hàng không nằm trong nội dung cân nhắc Các bên trao đổi theo Thỏa thuận.
1.2.3 Khách hàng sẽ có quyền thực hiện các bước hợp lý để: (a) xác minh rằng GoDaddy xử lý Dữ liệu cá nhân của Khách hàng theo cách thức phù hợp với DPA này, bao gồm cả thực hiện các quyền đã nêu trong Phần 8 của DPA; (b) yêu cầu dừng và khắc phục các hoạt động Xử lý mà GoDaddy đã tiến hành vi phạm điều khoản của DPA và (c) thực hiện mọi bước hợp lý khác (theo toàn quyền quyết định của Khách hàng) để đảm bảo GoDaddy tuân thủ DPA này. Nếu GoDaddy không thể hoặc không muốn đáp ứng các yêu cầu hợp lý của Khách hàng theo Phần 1.2.3 này, biện pháp khắc phục duy nhất của Khách hàng là chấm dứt DPA này và phần Thỏa thuận liên quan đến việc xử lý Dữ liệu cá nhân của Khách hàng.
1.2.4 GoDaddy chứng nhận đã hiểu và sẽ tuân thủ nghĩa vụ theo Luật bảo vệ dữ liệu và DPA này, bao gồm cả mọi hạn chế đối với việc Xử lý dữ liệu cá nhân của Khách hàng.
2. Liên minh châu Âu/Khu vực kinh tế châu Âu
2.1 Bên xử lý phụ
2.1.1 Khi thuê Bên xử lý phụ, GoDaddy sẽ:
2.2 Trách nhiệm pháp lý về hình phạt theo quy định. Không kể bất kỳ điều khoản nào khác được nêu trong DPA này hoặc Thỏa thuận (bao gồm cả nghĩa vụ bồi thường của mỗi Bên theo Thỏa thuận), cả hai Bên đều không phải chịu trách nhiệm về bất kỳ khoản tiền phạt nào do bất kỳ cơ quan quản lý hoặc cơ quan chính quyền nào đưa ra hoặc áp dụng đối với Bên còn lại, bao gồm cả mọi khoản tiền phạt theo Điều 83 trong GDPR của Liên minh châu Âu.2.1.1.1 Yêu cầu Bên xử lý phụ tuân thủ biện pháp kỹ thuật và tổ chức được nêu trong Phần 5, 6, 8 của DPA và Danh mục 2 của DPA phù hợp với tính chất xử lý của Bên xử lý phụ, bao gồm nhưng không giới hạn ở tất cả các biện pháp kỹ thuật và tổ chức theo yêu cầu của Điều 28 trong Quy định bảo vệ dữ liệu chung (“GDPR”) của Liên minh châu Âu; và
2.1.1.2 Yêu cầu Bên xử lý phụ đồng ý bằng văn bản rằng chỉ xử lý Dữ liệu cá nhân của Khách hàng (a) ở EU/EEA, (b) ở quốc gia khác mà Ủy ban châu Âu đã tuyên bố là có mức độ bảo vệ dữ liệu “thỏa đáng” hoặc (c) theo các điều khoản được nêu trong Danh mục 4 về việc Chuyển dữ liệu cá nhân của Khách hàng ra quốc tế.
3. Thụy Sĩ
3.1 Khi thuê Bên xử lý phụ, GoDaddy sẽ:
3.1.1 Yêu cầu Bên xử lý phụ tuân thủ Các biện pháp kỹ thuật và tổ chức được nêu trong Phần 5, 6, 8 và Danh mục 2 của DPA phù hợp với tính chất xử lý của Bên xử lý phụ, bao gồm nhưng không giới hạn ở tất cả Các biện pháp kỹ thuật và tổ chức theo yêu cầu của Điều 28 trong GDPR; và
3.1.2 Yêu cầu Bên xử lý phụ đồng ý bằng văn bản rằng chỉ xử lý Dữ liệu cá nhân của Khách hàng (a) ở Thụy Sĩ, (b) ở EU/EEA, (c) ở quốc gia khác mà Ủy ban châu Âu đã tuyên bố là có mức độ bảo vệ dữ liệu “thỏa đáng” hoặc (d) theo các điều khoản được nêu trong Danh mục 4 về việc Chuyển dữ liệu cá nhân của Khách hàng ra quốc tế.
3.2 Trong phạm vi thực hiện việc Chuyển dữ liệu cá nhân của Khách hàng từ Thụy Sĩ theo Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu (như định nghĩa trong Danh mục 4), các sửa đổi sau được áp dụng:
3.2.1 Những lần nhắc đến “Quốc gia thành viên” sẽ được hiểu là bao gồm cả Thụy Sĩ; và
3.2.2 Trong phạm vi việc Chuyển dữ liệu phải tuân theo Đạo luật bảo vệ dữ liệu liên bang (“FADP”), những lần nhắc đến “Quy định (Liên minh châu Âu) 2016/679” sẽ được hiểu là nhắc đến FADP.
3.3 Trong phạm vi FADP yêu cầu, Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu sẽ được hiểu là bao gồm cả dữ liệu liên quan đến các pháp nhân trong khái niệm Dữ liệu cá nhân của Khách hàng.4. Vương quốc Anh
4.1 Những lần nhắc đến “GDPR” sẽ được hiểu là nhắc đến các luật và quy định tương ứng của Vương quốc Anh, bao gồm nhưng không giới hạn ở GDPR của Vương quốc Anh và Đạo luật bảo vệ dữ liệu của Vương quốc Anh năm 2018.
4.2 Khi thuê Bên xử lý phụ, Công ty sẽ:
Danh mục 4: Các cơ chế chuyển dữ liệu xuyên biên giới bắt buộc ra quốc tế
4.2.1 Yêu cầu Bên xử lý phụ tuân thủ các biện pháp kỹ thuật và tổ chức được nêu trong Phần 5, 6, 8 và Danh mục 2 của DPA phù hợp với tính chất xử lý của Bên xử lý phụ, bao gồm nhưng không giới hạn ở tất cả các biện pháp kỹ thuật và tổ chức theo yêu cầu của Điều 28 trong GDPR của Vương quốc Anh; và
4.2.2 Yêu cầu Bên xử lý phụ đồng ý bằng văn bản rằng sẽ chỉ xử lý Dữ liệu cá nhân của Khách hàng ở (a) Vương quốc Anh, (b) EU/EEA, (c) quốc gia khác mà Vương quốc Anh đã tuyên bố có mức độ bảo vệ dữ liệu “thỏa đáng” hoặc (d) theo các điều khoản quy định trong Danh mục 4 về việc Chuyển dữ liệu cá nhân của Khách hàng ra quốc tế.
1. Định nghĩa
1.1 “Khuôn khổ bảo vệ quyền riêng tư dữ liệu (DPF)” nghĩa là chương trình chứng nhận Khuôn khổ bảo vệ quyền riêng tư dữ liệu Liên minh châu Âu – Hoa Kỳ, Thụy Sĩ – Hoa Kỳ hoặc Vương quốc Anh – Hoa Kỳ do Bộ Thương mại Hoa Kỳ điều hành [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 “Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ” là Bản mở rộng tại Vương quốc Anh đối với Khuôn khổ bảo vệ quyền riêng tư dữ liệu Liên minh châu Âu – Hoa Kỳ.
1.3 “Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu” nghĩa là các điều khoản hợp đồng tiêu chuẩn được Ủy ban châu Âu phê duyệt và đính kèm trong phụ lục của quyết định 2021/914 tháng 6 năm 2021.
1.4 Thỏa thuận chuyển dữ liệu ra quốc tế của Vương quốc Anh (“IDTA Vương quốc Anh”) do Ủy ban thông tin Vương quốc Anh ban hành, Phiên bản B1.0, được hiểu là do Các bên thực hiện kể từ Ngày có hiệu lực của Thỏa thuận và Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu được hiểu là đã sửa đổi theo quy định của IDTA Vương quốc Anh liên quan đến việc chuyển dữ liệu từ Vương quốc Anh.
2. Thứ tự ưu tiên
2.1 Không sử dụng Cơ chế chuyển bắt buộc nếu thực hiện chuyển dữ liệu đến một quốc gia được đánh giá là cung cấp mức độ bảo vệ dữ liệu thỏa đáng theo Luật bảo vệ dữ liệu của quốc gia nơi Dữ liệu cá nhân của Khách hàng được chuyển đến.
2.2 Nếu cần Chuyển dữ liệu và việc Chuyển dữ liệu đó thuộc diện áp dụng của nhiều Cơ chế chuyển bắt buộc, việc Chuyển dữ liệu sẽ tuân theo một Cơ chế chuyển bắt buộc theo thứ tự ưu tiên sau đây: (a) DPF Liên minh châu Âu hoặc Thụy Sĩ hiện hành; (b) Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ; (c) Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu; (d) IDTA Vương quốc Anh; hoặc (e) bất kỳ Cơ chế chuyển bắt buộc hiện hành nào khác được phép theo Luật bảo vệ dữ liệu hiện hành.
2.3 Nếu một Cơ chế chuyển bắt buộc được cho là không hợp lệ sau khi thực hiện Thỏa thuận này, tất cả hoạt động Chuyển dữ liệu trong tương lai sẽ được hiểu là thực hiện theo Cơ chế chuyển bắt buộc hợp lệ hiện hành tiếp theo.
3. Khuôn khổ bảo vệ quyền riêng tư dữ liệu
3.1 Tự chứng nhận.
3.1.1 Chứng nhận của GoDaddy. GoDaddy cam đoan tự chứng nhận theo DPF. GoDaddy đồng ý (a) cung cấp mức độ bảo vệ tối thiểu là tương tự đối với mọi Dữ liệu cá nhân của Khách hàng theo yêu cầu trong Nguyên tắc về quyền riêng tư dữ liệu của DPF; (b) thông báo cho Khách hàng bằng văn bản sớm nhất có thể nếu chứng nhận của GoDaddy về DPF bị rút lại, chấm dứt, thu hồi hoặc phế bỏ; và (c) thực hiện các bước hợp lý và thích đáng để dừng và khắc phục mọi hoạt động xử lý trái phép đối với Dữ liệu cá nhân của Khách hàng sau khi có thông báo bằng văn bản từ Khách hàng.
3.1.2 Chứng nhận của Công ty. Trong phạm vi Công ty được chứng nhận theo DPF, Công ty đồng ý (a) cung cấp mức độ bảo vệ tối thiểu là tương tự đối với mọi Dữ liệu cá nhân theo yêu cầu trong Nguyên tắc về quyền riêng tư dữ liệu của DPF; (b) thông báo cho GoDaddy bằng văn bản sớm nhất có thể nếu chứng nhận của Công ty bị rút lại, chấm dứt, thu hồi hoặc phế bỏ; và (c) thực hiện các bước hợp lý và thích đáng để dừng và khắc phục mọi hoạt động xử lý trái phép đối với Dữ liệu cá nhân của Khách hàng sau khi có thông báo bằng văn bản đến GoDaddy.
3.2 Trạng thái
3.2.1 DPF Liên minh châu Âu – Hoa Kỳ. DPF Liên minh châu Âu – Hoa Kỳ đã được Ủy ban châu Âu đánh giá là cung cấp mức độ bảo vệ dữ liệu thỏa đáng theo quyết định về tính thỏa đáng vào ngày 10 tháng 7 năm 2023 và có hiệu lực kể từ ngày 10 tháng 10 năm 2023.
3.2.2 Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ. Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ đã được Bộ trưởng Bộ Khoa học, Đổi mới và Công nghệ Vương quốc Anh, người đặt ra quy định về tính thỏa đáng tại Nghị viện kể từ ngày 21 tháng 9 năm 2023, đánh giá là cung cấp mức độ bảo vệ dữ liệu thỏa đáng. Quy định của Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ có hiệu lực kể từ ngày 12 tháng 10 năm 2023 và việc Chuyển dữ liệu hiện hành sẽ được thực hiện theo Cầu nối dữ liệu Vương quốc Anh – Hoa Kỳ kể từ ngày đó.
3.2.3 DPF Thụy Sĩ – Hoa Kỳ. DPF Thụy Sĩ – Hoa Kỳ chưa có hiệu lực.
3.3 Công ty và Bên xử lý phụ của Công ty sẽ thực hiện tất cả các bước cần thiết để GoDaddy có thể tuân thủ nghĩa vụ với tư cách Bên kiểm soát và/hoặc Bên xử lý theo DPF, bao gồm nhưng không giới hạn ở việc hỗ trợ GoDaddy và/hoặc Bên kiểm soát trong việc đáp ứng yêu cầu thực hiện quyền Chủ thể dữ liệu của các cá nhân.3.2.3.1 Các bên đồng ý rằng trong phạm vi điều khoản của DPA này nhất quán với DPF của Thụy Sĩ hoặc điều khoản hợp lý tương tự với DPF Thụy Sĩ khi có hiệu lực, việc Chuyển dữ liệu cá nhân của Khách hàng từ Thụy Sĩ hiện hành sẽ được coi là thực hiện theo DPF của Thụy Sĩ.
3.2.3.2 Trong phạm vi DPF của Thụy Sĩ yêu cầu bổ sung bất kỳ điều khoản nào vào DPA này, Các bên đồng ý rằng điều khoản đó sẽ được tự động đưa vào DPA mà không cần Các bên hành động thêm, với điều kiện là điều khoản bổ sung không áp đặt thêm bất kỳ nghĩa vụ quan trọng nào đối với mỗi Bên hoặc làm suy giảm đáng kể điều khoản và điều kiện ban đầu của Thỏa thuận.
3.2.3.3 Trong phạm vi không thể tự động thêm điều khoản bổ sung vào DPF này, có thể sửa đổi DPA này để cho phép Chuyển dữ liệu theo DPF của Thụy Sĩ.
3.2.3.4 Không kể bất kỳ điều khoản nào khác của DPA này, nội dung trong DPA này không giới hạn, hạn chế hoặc làm ảnh hưởng đến khả năng của Các bên trong việc chuyển Dữ liệu cá nhân theo cơ chế chuyển dữ liệu hợp pháp khác.
4. Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu
4.1 Đối với việc Chuyển dữ liệu cá nhân từ EU/EEA và Thụy Sĩ tuân theo Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, Mô-đun 2 (Bên kiểm soát đến Bên xử lý) hoặc Mô-đun 3 (Bên xử lý đến Bên xử lý) sẽ được áp dụng, tùy vào việc GoDaddy là Bên kiểm soát hay Bên xử lý đối với Dữ liệu cá nhân của Khách hàng sẽ được chuyển.
4.2 Đối với Mô-đun 2 và Mô-đun 3 trong Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
4.2.1 Trong Khoản 7, điều khoản về bên tham gia thêm sẽ không được áp dụng.
4.2.2 Trong Khoản 9, Tùy chọn 2 sẽ được áp dụng và quy trình thông báo cũng như khoảng thời gian để phản đối những thay đổi của Bên xử lý phụ sẽ được quy định trong Phần 3 của DPA.
4.2.3 Trong Khoản 11, ngôn ngữ tùy chọn sẽ không được áp dụng.
4.2.4 Trong Khoản 17 (Tùy chọn 1), Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu sẽ chịu sự điều chỉnh của luật pháp nội bộ của Đức.
4.2.5 Trong Khoản 18(b), tranh chấp liên quan đến DPA sẽ được giải quyết tại Cộng hòa Liên bang Đức.
4.3 Nhằm phục vụ các mục đích ở Phụ lục I, Phần A:
4.3.1 Bên xuất dữ liệu
4.3.1.1 Bên xuất dữ liệu sẽ là Công ty.
4.3.1.2 Có thể liên hệ Công ty theo địa chỉ nêu trong điều khoản thông báo của Thỏa thuận.
4.3.1.3 Qua việc ký kết DPA này, Công ty được hiểu là đã ký Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, bao gồm cả Phụ lục, kể từ Ngày có hiệu lực của Thỏa thuận.
4.3.2 Bên nhập dữ liệu
4.3.2.1 Bên nhập dữ liệu sẽ là GoDaddy và/hoặc đơn vị liên kết được ủy quyền của GoDaddy.
4.3.2.2 Có thể liên hệ GoDaddy theo địa chỉ nêu trong điều khoản thông báo của Thỏa thuận hoặc theo địa chỉ privacy@GoDaddy.com.
4.3.2.3 Qua việc ký kết DPA này, GoDaddy được hiểu là đã ký Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, bao gồm cả Phụ lục, kể từ Ngày có hiệu lực của Thỏa thuận.
4.4 Nhằm phục vụ các mục đích của Phụ lục I, Phần B:
4.4.1 Danh mục Chủ thể dữ liệu được mô tả ở Danh mục 1
4.4.2 Dữ liệu nhạy cảm (nếu có) trong hoạt động Chuyển được mô tả ở Danh mục 1.
4.4.3 Tần suất Chuyển là thời gian của Thỏa thuận và DPA.
4.4.4 Tính chất Xử lý được mô tả ở Danh mục 1.
4.4.5 Mục đích Xử lý được mô tả ở Danh mục 1.
4.4.6 Thời gian Xử lý được mô tả ở Danh mục 1.
4.5 Nhằm phục vụ các mục đích của Phụ lục I, Phần C, theo khoản 13, cơ quan giám sát có thẩm quyền được định nghĩa như sau:
4.5.1 Đối với việc chuyển Dữ liệu cá nhân từ EU/EEA, Ủy ban bảo vệ dữ liệu và tự do thông tin của bang North Rhine-Westphalia là Cơ quan giám sát.
4.5.2 Ủy ban thông tin và bảo vệ dữ liệu Liên bang Thụy Sĩ sẽ đóng vai trò là cơ quan giám sát có thẩm quyền trong trường hợp việc Chuyển hoặc Chuyển tiếp có liên quan được điều chỉnh bởi Luật và quy định bảo vệ dữ liệu Thụy Sĩ.
4.6 Trong Phụ lục II của Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, Danh mục 2 có các biện pháp kỹ thuật và tổ chức do Công ty với tư cách Bên nhập dữ liệu thực hiện theo DPA.
4.7 Trong Phụ lục III của Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, bạn có thể xem danh sách Các bên xử lý phụ của Công ty.5. Thỏa thuận chuyển dữ liệu ra quốc tế của Vương quốc Anh
5.1 IDTA Vương quốc Anh áp dụng cho việc Chuyển dữ liệu cá nhân của Khách hàng từ Vương quốc Anh đến bất kỳ quốc gia nào ngoài Vương quốc Anh không được cơ quan quản lý hoặc cơ quan chính phủ có thẩm quyền của Vương quốc Anh công nhận là cung cấp mức độ bảo vệ Dữ liệu cá nhân thỏa đáng.
5.2 Đối với việc Chuyển dữ liệu tuân theo IDTA Vương quốc Anh, Các bên được hiểu là đã ký kết và hoàn thành IDTA Vương quốc Anh như sau:
5.2.1 Trong Bảng 1 của IDTA, chi tiết và thông tin liên hệ chính của Các bên nằm ở Phần 4.3 của Danh mục 4 này.
5.2.2 Trong Bảng 2 của IDTA, thông tin về phiên bản Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, mô-đun và điều khoản được chọn có bổ sung IDTA Vương quốc Anh nằm ở Phần 4 của Danh mục này.
5.2.3 Trong Bảng 3 của IDTA Vương quốc Anh:
5.2.3.1 Danh sách Các bên nằm ở Phần 4.3 của Danh mục 4 này.
5.2.3.2 Mô tả về việc chuyển dữ liệu được nêu trong Danh mục 1.
5.2.3.3 Phụ lục II nằm ở Danh mục 2.
5.2.3.4 Danh sách các Bên xử lý phụ của Công ty nằm ở Danh mục 5.
5.2.3.5 Trong Bảng 4 của IDTA Vương quốc Anh, cả GoDaddy và Công ty có thể kết thúc IDTA Vương quốc Anh theo điều khoản của thỏa thuận này.
5.3 Ủy ban thông tin Vương quốc Anh sẽ đóng vai trò cơ quan giám sát có thẩm quyền trong phạm vi việc Chuyển dữ liệu liên quan chịu sự điều chỉnh của Luật và quy định bảo vệ dữ liệu của Vương quốc Anh.
5.4 Xung đột. Trong phạm vi có bất kỳ sự xung đột hoặc không nhất quán nào giữa Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu hoặc IDTA Vương quốc Anh và bất kỳ điều khoản nào khác trong Hợp đồng bổ sung về xử lý dữ liệu này, các điều khoản trong Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu hoặc IDTA Vương quốc Anh (tùy trường hợp áp dụng), sẽ được ưu tiên áp dụng.
Bản dịch của chính sách và thỏa thuận pháp lý được cung cấp chỉ nhằm hỗ trợ để đọc và hiểu phiên bản tiếng Anh. Mục tiêu của việc cung cấp bản dịch cho chính sách và thỏa thuận pháp lý không phải là để tạo thêm thỏa thuận ràng buộc về mặt pháp lý và không nhằm để thay thế tính hiệu lực về mặt pháp lý của phiên bản tiếng Anh. Trong tường hợp có tranh chấp hoặc mâu thuẫn, trong mọi trường hợp, phiên bản tiếng Anh của chính sách và thỏa thuận pháp lý này sẽ chi phối mối quan hệ của chúng tôi và sẽ phủ quyết các điều khoản ở ngôn ngữ khác.