GoDaddy - PHỤ LỤC HỢP ĐỒNG VỀ XỬ LÝ DỮ LIỆU

Phụ lục hợp đồng về xử lý dữ liệu này (Phụ lục hợp đồng) được thực hiện bởi và giữa GoDaddy.com, LLC, a Delaware limited liability company và các đại lý của công ty (“GoDaddy”) và bạn (“Khách hàng”) và được sáp nhập vào và bổ sung cho Điều khoản dịch vụ chung, Chính sách quyền riêng tư của chúng tôi và bất kỳ và tất cả các thỏa thuận điều chỉnh các Dịch vụ được bao gồm (gọi chung là "Điều khoản dịch vụ").

1.1 Trừ khi có quy định khác trong Phụ lục hợp đồng này, tất cả các thuật ngữ viết hoa không được định nghĩa trong Phụ lục hợp đồng này sẽ có ý nghĩa cụ thể trong Điều khoản dịch vụ

“Đơn vị liên kết” nghĩa là bất kỳ thực thể nào chịu sự kiểm soát của, là bên kiểm soát hoặc dưới quyền kiểm soát chung với GoDaddy.

“Dịch vụ được bao gồm” có nghĩa là các dịch vụ được lưu trữ có thể liên quan đến việc chúng tôi Xử lý dữ liệu cá nhân, tuân theo điều khoản và điều kiện của các Thỏa thuận sau: (1) Dịch vụ tiếp thị qua email, (2) Dịch vụ lưu trữ, (3) Cửa hàng trực tuyến/Giỏ mua hàng nhanh, (4) Dịch vụ website, (5) Dịch vụ không gian làm việc.

“Dữ liệu khách hàng” có nghĩa là Dữ liệu cá nhân của bất kỳ Chủ thể dữ liệu nào được GoDaddy thay mặt Khách hàng xử lý trong Mạng lưới của GoDaddy, tuân theo hoặc có liên quan đến Điều khoản dịch vụ.

“Luật bảo vệ dữ liệu” có nghĩa là tất cả các luật và quy định về bảo vệ dữ liệu hoặc quyền riêng tư áp dụng cho việc Xử lý dữ liệu cá nhân theo Thỏa thuận, trong đó bao gồm những không giới hạn ở (i) Nguyên tắc về quyền riêng tư của Úc và Đạo luật về quyền riêng tư của Úc (1988), (ii) Đạo luật chung về bảo vệ dữ liệu (LGPD) của Brazil, (iii) Đạo luật về quyền riêng tư người tiêu dùng của California (CCPA), (iv) Đạo luật về bảo vệ thông tin cá nhân và tài liệu điện tử liên bang của Canada (PIPEDA), (v) GDPR của Liên minh châu Âu, (vi) bất kỳ luật bảo vệ dữ liệu quốc gia nào được lập theo hoặc tuân thủ GDPR (vii) Chỉ thị về quyền riêng tư và truyền thông điện tử của Liên minh châu Âu (Chỉ thị 2002/58/EC), (viii) Đạo luật bảo vệ dữ liệu cá nhân (PDPA) của Singapore năm 2012, (ix) Đạo luật về bảo vệ dữ liệu liên bang Thụy Sĩ ngày 19/06/1992 và Sắc lệnh đi kèm, và (x) GDPR của Vương quốc Anh hoặc Đạo luật bảo vệ dữ liệu năm 2018; trong mỗi trường hợp có thể được sửa đổi, thay thế hoặc thế chỗ.

“EEA” nghĩa là Khu vực kinh tế châu Âu.

“GDPR” có nghĩa là Quy định (Liên minh châu Âu) 2016/679 của Nghị viện châu Âu và của Hội đồng vào ngày 27 tháng 4 năm 2016 về việc bảo vệ các thể nhân liên quan đến quá trình xử lý dữ liệu cá nhân và việc di chuyển tự do của dữ liệu đó, cũng như việc bãi bỏ Chỉ thị 95/46/EC.

“Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu” có nghĩa là các điều khoản bảo vệ dữ liệu tiêu chuẩn được phê duyệt bởi quyết định 2021/914 ngày 4 tháng 6 năm 2021 của Ủy ban châu Âu được kết hợp bằng cách tham chiếu. Mô-đun hai (Bên kiểm soát tới Bên xử lý) Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu và Mô-đun ba (Bên xử lý tới Bên xử lý) Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu có sẵn để tải xuống tại trang web EUR-Lex.

“GoDaddy Mạng lưới” nghĩa là GoDaddycác cơ sở trung tâm dữ liệu, máy chủ, thiết bị nối mạng và hệ thống phần mềm lưu trữ (ví dụ: tường lửa ảo) của GoDaddy thuộc quyền kiểm soát và được sử dụng để cung cấp Dịch vụ được bao gồm.

“Sự cố về bảo mật” có nghĩa là sự vi phạm bảo mật của Tiêu chuẩn bảo mật GoDaddy dẫn đến việc vô tình hoặc bất hợp pháp phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép vào bất kỳ Dữ liệu khách hàng nào trên các hệ thống được quản lý hoặc kiểm soát bởi GoDaddy.

“Các tiêu chuẩn bảo mật” có nghĩa là các tiêu chuẩn an ninh trong Phụ lục 2 đi kèm Phụ lục hợp đồng này.

"Dữ liệu nhạy cảm" nghĩa là (a) số an sinh xã hội, số hộ chiếu, số giấy phép lái xe hoặc mã số định danh tương tự (hoặc bất kỳ phần nào trong số đó); (b) số thẻ tín dụng hoặc thẻ ghi nợ (trừ số rút gọn (bốn chữ số cuối) của thẻ tín dụng hoặc thẻ ghi nợ), thông tin tài chính, số tài khoản ngân hàng hoặc mật khẩu; (c) thông tin nghề nghiệp, tài chính, di truyền, sinh trắc học hoặc sức khỏe; (d) chủng tộc, sắc tộc, đảng phái chính trị hoặc tôn giáo, tư cách thành viên công đoàn, hoặc thông tin về đời sống tình dục hoặc xu hướng tính dục; (e) mật khẩu tài khoản, tên thời con gái của mẹ hoặc ngày sinh; (f) tiền án; hoặc (g) bất kỳ thông tin nào khác hoặc cách kết hợp thông tin nằm trong định nghĩa về “các loại dữ liệu đặc biệt” theo GDPR hay bất kỳ luật hoặc quy định hiện hành nào khác liên quan đến quyền riêng tư và việc bảo vệ dữ liệu.

“Bên xử lý phụ” nghĩa là bất kỳ bên xử lý nào do Bên xử lý thuê để Xử lý dữ liệu thay mặt cho bên kiểm soát.

“GDPR của Vương quốc Anh” có nghĩa là GDPR của Liên minh châu Âu đã được sửa đổi và đưa vào luật pháp của Vương quốc Anh theo Đạo luật Liên minh châu Âu (Rút khỏi) năm 2018 của Vương quốc Anh và luật thứ cấp hiện hành được tạo ra theo Đạo luật đó.

“Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh” có nghĩa là Phụ lục hợp đồng chuyển dữ liệu quốc tế đối với các Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu do Cao ủy thông tin Vương quốc Anh ban hành, Phiên bản B1.0 có hiệu lực từ ngày 21 tháng 3 năm 2022 được đưa vào đây để tham khảo. Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh sẵn có để tải xuống tại Trang web Cao ủy thông tin của Vương quốc Anh

1.2 Các thuật ngữ “dữ liệu cá nhân”, “chủ thể dữ liệu”, “xử lý”, “bên kiểm soát” và “bên xử lý” như được sử dụng trong Phụ lục hợp đồng này có các ý nghĩa được đưa ra trong GDPR của Liên minh châu Âu, bất kể Luật bảo vệ dữ liệu nào được áp dụng.

2.1 GoDaddy như Bên xử lý. Các bên thừa nhận và đồng ý như sau: (i) GoDaddy là bên xử lý Dữ liệu khách hàng theo Luật bảo vệ dữ liệu; (ii) Khách hàng là bên kiểm soát hoặc xử lý, nếu phù hợp, đối với Dữ liệu khách hàng theo Luật bảo vệ dữ liệu; và (iii) mỗi bên sẽ tuân thủ các nghĩa vụ của mình theo Luật bảo vệ dữ liệu hiện hành liên quan đến việc xử lý Dữ liệu khách hàng.

2.2 Chi tiết về việc xử lý dữ liệu. Nội dung chủ yếu trong việc xử lý Dữ liệu khách hàng của GoDaddy là việc thực hiện các Dịch vụ được bao gồm theo Điều khoản dịch vụ. GoDaddy sẽ chỉ xử lý dữ liệu khách hàng thay mặt cho Khách hàng và theo hướng dẫn bằng văn bản của Khách hàng với các mục đích sau: (i) xử lý theo Điều khoản dịch vụ; (ii) việc xử lý do người dùng cuối thực hiện khi sử dụng các Dịch vụ được bao gồm; (iii) xử lý để tuân thủ các văn bản hướng dẫn hợp lý khác do Khách hàng cung cấp (ví dụ như qua email) trong đó các hướng dẫn này nhất quán với các Điều khoản dịch vụ. GoDaddy sẽ không: (a) xử lý, lưu giữ, sử dụng, bán, hay tiết lộ Dữ liệu khách hàng trừ khi cần thiết để cung cấp các Dịch vụ được bao gồm theo Điều khoản dịch vụ, hay theo luật pháp yêu cầu; (b) bán Dữ liệu khách hàng đó cho bất kỳ bên thứ ba nào; (c) lưu giữ, sử dụng hay tiết lộ Dữ liệu khách hàng đó ra bên ngoài mối quan hệ kinh doanh trực tiếp giữa GoDaddy với Khách hàng.

Để tránh nghi vấn, các hướng dẫn của Khách hàng về việc xử lý Dữ liệu khách hàng sẽ tuân theo tất cả các Luật về bảo vệ dữ liệu. Khách hàng chịu trách nhiệm duy nhất về sự chính xác, chất lượng và tính hợp pháp của Dữ liệu khách hàng và phương thức mà Khách hàng nhận được Dữ liệu khách hàng. Nếu Khách hàng là người kiểm soát Dữ liệu khách hàng, Khách hàng thừa nhận và đồng ý như sau: (i) Bạn phải sử dụng các nỗ lực thương mại hợp lý để nói rõ ​​ràng và nhận được sự đồng ý đối với mọi hoạt động thu thập, chia sẻ và sử dụng dữ liệu trên bất kỳ Dịch vụ được bao gồm nào; và (ii) Bạn phải nói rõ rằng do việc sử dụng Dịch vụ được bao gồm của bạn nên dữ liệu của Người dùng cuối có thể được xử lý bên ngoài quốc gia ban đầu của họ. Nếu Khách hàng là bên xử lý Dữ liệu khách hàng, Khách hàng đảm bảo rằng các hướng dẫn và hành động của Khách hàng đối với Dữ liệu khách hàng, bao gồm cả việc chỉ định GoDaddy làm bên xử lý khác, đã được ủy quyền bởi bên kiểm soát có liên quan. GoDaddy sẽ không bắt buộc phải tuân thủ hoặc tuân theo hướng dẫn của Khách hàng nếu những hướng dẫn đó vi phạm Luật bảo vệ dữ liệu. Thời gian Xử lý, tính chất và mục đích của việc Xử lý, các loại Dữ liệu cá nhân và các loại Chủ thể dữ liệu được xử lý theo Phụ lục hợp đồng này được trình bày chi tiết hơn trong Phụ lục 1 ("Chi tiết về việc xử lý") của Phụ lục hợp đồng này.

GoDaddy sẽ không tiết lộ Dữ liệu khách hàng cho bất kỳ chính phủ hoặc bất kỳ bên thứ ba nào khác, trừ khi cần thiết để tuân thủ luật pháp hoặc lệnh bắt buộc và hợp lệ của cơ quan thực thi pháp luật (như trát đòi hầu tòa hoặc lệnh của tòa án). Trong trường hợp GoDaddy nhận được một trát đòi hầu tòa dân sự có hiệu lực và trong phạm vi được cho phép, GoDaddy sẽ nỗ lực cung cấp cho Khách hàng thông báo thích hợp về yêu cầu này qua email hoặc thư gửi qua dường bưu điện để cho phép Khách hàng tìm kiếm một lệnh bảo vệ hoặc các biện pháp khắc phục phù hợp khác.

4.1 GoDaddy đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức cho Mạng của GoDaddy như được mô tả trong Phần này và được mô tả thêm trong Phụ lục 2 của Phụ lục hợp đồng này, Các tiêu chuẩn bảo mật. Cụ thể, GoDaddy đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức sau mà đề cập đến (i) tính bảo mật của Mạng GoDaddy; (ii) an ninh vật lý của cơ sở hạ tầng; (iii) quyền kiểm soát đối với quyền truy cập của nhân viên và nhà thầu (i) và/hoặc (ii); và (iv) các quy trình kiểm tra, đánh giá, xác định tính hiệu quả của các biện pháp kỹ thuật và tổ chức do GoDaddy triển khai. Trong trường hợp chúng tôi không thể đáp ứng nghĩa vụ bất kỳ nào được nêu trong tài liệu này, chúng tôi sẽ thông báo bằng văn bản (qua website hoặc email) ngay khi khả thi trên thực tế.

4.2 GoDaddy cung cấp một số tính năng và chức năng bảo mật mà Khách hàng có thể chọn sử dụng liên quan đến Dịch vụ được bao gồm. Khách hàng chịu trách nhiệm (a) định cấu hình chính xác các Dịch vụ được bao gồm, (b) sử dụng các quyền kiểm soát có sẵn liên quan đến Dịch vụ được bao gồm (bao gồm cả các quyền kiểm soát bảo mật) để đảm bảo tính bảo mật liên tục, tính trọn vẹn, khả năng sử dụng, khả năng phục hồi của các dịch vụ và hệ thống xử lý, (c) sử dụng các quyền kiểm soát có sẵn liên quan đến Dịch vụ bao gồm (bao gồm cả quyền kiểm soát bảo mật) để cho phép Khách hàng khôi phục khả năng sử dụng và quyền truy cập vào Dữ liệu khách hàng một cách kịp thời trong trường hợp xảy ra sự cố kỹ thuật hoặc sự cố vật chất (ví dụ: các bản sao lưu và quy trình lưu trữ Dữ liệu khách hàng) và (d) thực hiện các bước khi Khách hàng cho là cần thiết để duy trì mức độ bảo mật hợp lý, bảo vệ và xóa Dữ liệu khách hàng, bao gồm cả việc sử dụng công nghệ mã hóa để bảo vệ Dữ liệu khách hàng khỏi việc truy cập trái phép và các biện pháp trái phép nhằm giành quyền kiểm soát truy cập vào Dữ liệu khách hàng.

Xét đến bản chất của Dịch vụ được bao gồm, GoDaddy cung cấp cho Khách hàng các quyền kiểm soát nhất định mà Khách hàng có thể chọn sử dụng để truy xuất, chỉnh sửa, xóa hoặc hạn chế việc sử dụng và chia sẻ Dữ liệu khách hàng như được mô tả trong các Dịch vụ được bao gồm. Khách hàng có thể sử dụng các quyền kiểm soát này làm biện pháp kỹ thuật và tổ chức để hỗ trợ mình liên quan đến các nghĩa vụ của khách hàng theo Luật bảo vệ dữ liệu, bao gồm nghĩa vụ liên quan đến việc phản hồi lại các yêu cầu từ chủ thể dữ liệu. Khi hợp lý về mặt thương mại và trong phạm vi theo yêu cầu hoặc sự cho phép của pháp luật, GoDaddy sẽ thông báo ngay cho Khách hàng nếu GoDaddy trực tiếp nhận được yêu cầu từ một chủ thể dữ liệu để thực thi các quyền này theo Luật bảo vệ dữ liệu hiện hành ("Yêu cầu của chủ thể dữ liệu"). Ngoài ra, trong trường hợp việc sử dụng của Khách hàng đối với những Dịch vụ được bao gồm giới hạn khả năng xử lý Yêu cầu của chủ thể dữ liệu, thì GoDaddy có thể, ở những nơi được pháp luật cho phép và phù hợp và theo yêu cầu cụ thể của Khách hàng, cung cấp hỗ trợ hợp lý về mặt thương mại để giải quyết yêu cầu này, bằng chi phí của Khách hàng (nếu có).

6.1 Bên xử lý phụ được ủy quyền. Khách hàng đồng ý rằng GoDaddy có thể sử dụng các bên xử lý phụ để thực hiện các nghĩa vụ theo hợp đồng theo Điều khoản dịch vụ và Phụ lục hợp đồng này hoặc để cung cấp các dịch vụ nhất định thay mặt cho mình, chẳng hạn như cung cấp các dịch vụ hỗ trợ. Khách hàng theo đây đồng ý cho GoDaddy sử dụng bên xử lý phụ như được mô tả trong Phần này.

6.2 Nghĩa vụ của bên xử lý phụ. Trong trường hợp GoDaddy sử dụng bất kỳ bên xử lý phụ được ủy quyền nào theo mô tả trong Phần 6.1:

(i) GoDaddy sẽ hạn chế quyền truy cập của bên xử lý phụ vào Dữ liệu khách hàng chỉ cho những gì cần thiết để duy trì Dịch vụ được bao gồm hoặc để cung cấp Dịch vụ được bao gồm cho Khách hàng và bất kỳ người dùng cuối nào phù hợp với Điều khoản dịch vụ. GoDaddy sẽ cấm các bên xử lý phụ truy cập vào Dữ liệu khách hàng vì bất kỳ mục đích nào khác;

(ii) GoDaddy sẽ ký một thỏa thuận bằng văn bản với bên xử lý phụ và, trong phạm vi mà bên xử lý phụ đang thực hiện cùng các dịch vụ xử lý dữ liệu mà đang được GoDaddy cung cấp theo Phụ lục hợp đồng này, thì GoDaddy sẽ áp dụng các nghĩa vụ theo hợp đồng tương tự mà GoDaddy có theo Phụ lục hợp đồng này lên bên xử lý phụ; và

(iii) GoDaddy sẽ vẫn chịu trách nhiệm tuân thủ các nghĩa vụ của Phụ lục hợp đồng này và đối với bất kỳ hành vi hoặc thiếu sót nào của bên xử lý phụ khiến GoDaddy vi phạm bất kỳ nghĩa vụ nào của GoDaddy theo Phụ lục hợp đồng này.

6.3 Bên xử lý phụ mới.  Thỉnh thoảng, chúng tôi có thể thuê các bên xử lý phụ mới theo và tuân theo các điều khoản của Phụ lục này.  Trong trường hợp như vậy, chúng tôi sẽ thông báo trước 30 ngày (thông qua website hoặc email) trước khi bất kỳ bên xử lý phụ mới nào có được Dữ liệu khách hàng. Nếu Khách hàng của bạn không phê duyệt bên xử lý phụ mới, thì Khách hàng có thể chấm dứt bất kỳ Dịch vụ được bao gồm nào mà không bị phạt bằng cách: trong vòng 10 ngày kể từ khi nhận được thông báo của chúng tôi, gửi văn bản báo cho chúng tôi về việc chấm dứt, trong đó có phần giải thích lý do không phê duyệt. Nếu Dịch vụ được bao gồm là một phần của một gói hoặc một giao dịch mua theo gói, toàn bộ gói sẽ bị chấm dứt.

7.1 Sự cố bảo mật. Nếu GoDaddy biết về một Sự cố bảo mật, GoDaddy sẽ ngay lập tức: (a) thông báo cho Khách hàng về Sự cố bảo mật; và (b) thực hiện các bước hợp lý để giảm thiểu tác động và giảm thiểu bất kỳ thiệt hại nào do Sự cố bảo mật này gây ra.

7.2 GoDaddy Hỗ trợ. Để hỗ trợ Khách hàng liên quan đến bất kỳ thông báo vi phạm dữ liệu cá nhân nào mà Khách hàng bắt buộc phải thực hiện theo bất kỳ các Luật bảo vệ dữ liệu, GoDaddy sẽ bao gồm trong thông báo này thông tin về Sự cố bảo mật nếu GoDaddy có thể tiết lộ cho Khách hàng theo cách hợp lý, có cân nhắc đến bản chất của Dịch vụ liên quan, thông tin cung cấp cho GoDaddy, và bất kỳ hạn chế nào đối với việc tiết lộ thông tin này, chẳng hạn như tính bí mật.

7.3 Sự cố bảo mật không thành. Khách hàng đồng ý rằng một sự cố bảo mật không thành sẽ không phải tuân theo các điều khoản của Phụ lục hợp đồng này. Một Sự cố bảo mật không thành là một sự cố không dẫn đến việc truy cập trái phép vào Dữ liệu khách hàng hoặc bất kỳ Mạng, thiết bị, hoặc cơ sở vật chất lưu trữ Dữ liệu khách hàng nào của GoDaddy, và có thể bao gồm, nhưng không giới hạn đối với các lệnh ping, và các cuộc tấn công truyền phát khác trên tường lửa hoặc máy chủ biên, lượt quét cổng, nỗ lực đăng nhập không thành công, cuộc tấn công từ chối dịch vụ, đánh cắp gói (hoặc việc truy cập trái phép khác vào dữ liệu lưu lượng mà không dẫn đến việc truy cập bên ngoài các tiêu đề) hoặc các sự cố tương tự.

7.4 Thông báo. Thông báo về Sự cố bảo mật, nếu có, sẽ được gửi đến một hoặc nhiều quản trị viên của Khách hàng theo bất kỳ cách nào mà GoDaddy lựa chọn, bao gồm cả qua email. Khách hàng chịu hoàn toàn trách nhiệm trong việc đảm bảo rằng các quản trị viên của Khách hàng duy trì thông tin liên hệ chính xác trên bảng điều khiển quản lý của GoDaddy cũng như việc truyền dữ liệu an toàn tại mọi thời điểm.

7.5 Việc không xác nhận lỗi của GoDaddy: Nghĩa vụ của GoDaddy trong việc báo cáo hoặc phản ứng trước một Sự cố bảo mật theo Phần này không và sẽ không được cấu thành như một sự xác nhận của GoDaddy về bất kỳ lỗi hoặc trách nhiệm pháp lý nào của GoDaddy liên quan đến Sự cố bảo mật đó.

8.1 Quyết định độc lập. Khách hàng chịu trách nhiệm xem xét thông tin do GoDaddy cung cấp liên quan đến việc bảo mật dữ liệu và các Tiêu chuẩn bảo mật của mình và đưa ra quyết định độc lập về việc liệu Dịch vụ được bao gồm có đáp ứng yêu cầu của Khách hàng và nghĩa vụ pháp lý cũng như nghĩa vụ của Khách hàng theo Phụ lục hợp đồng này hay không. Thông tin có sẵn nhằm mục đích hỗ trợ Khách hàng tuân thủ với nghĩa vụ của Khách hàng theo các Luật bảo vệ dữ liệu hiện hành. Khách hàng đồng ý rằng các Dịch vụ được bao gồm và các Tiêu chuẩn an ninh được thực hiện và duy trì bởi GoDaddy để cung cấp mức độ bảo mật phù hợp với rủi ro đối với dữ liệu cá nhân (có tính đến sự hiện đại, chi phí triển khai và bản chất, phạm vi, bối cảnh và mục đích của việc xử lý dữ liệu cá nhân cũng như các rủi ro đối với các cá nhân).

8.2 Quyền kiểm tra của khách hàng. Khách hàng có quyền xác nhận sự tuân thủ của GoDaddy đối với Hợp đồng bổ sung này khi áp dụng cho các Dịch vụ được bao gồm bằng cách đưa ra yêu cầu cụ thể bằng văn bản, trong khoảng thời gian hợp lý, tới địa chỉ được nêu trong Điều khoản dịch vụ. Nếu GoDaddy từ chối tuân theo bất kỳ hướng dẫn nào được Khách hàng yêu cầu về việc kiểm tra hoặc thanh tra có phạm vi và được yêu cầu đúng cách, thì Khách hàng có quyền chấm dứt Hợp đồng bổ sung này và Điều khoản dịch vụ.

9.1 Việc xử lý tại Hoa Kỳ. Trừ phi được ghi chú cụ thể trong Điều khoản dịch vụ, Dữ liệu khách hàng sẽ được truyền ra bên ngoài Vương quốc Anh hoặc Khu vực kinh tế châu Âu (EEA) và được xử lý tại Hoa Kỳ.

9.2 Áp dụng điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu. Mô-đun hai (Bên điều khiển tới Bên xử lý) Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu hoặc Mô-đun ba (Bên xử lý tới Bên xử lý) Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu sẽ áp dụng đối với Dữ liệu khách hàng được truyền ra ngoài Khu vực kinh tế châu Âu, trực tiếp hoặc chuyển tiếp sang bất kỳ quốc gia nào không được Ủy ban châu Âu công nhận là cung cấp mức độ bảo vệ đầy đủ cho Dữ liệu khách hàng. Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu sẽ không áp dụng cho Dữ liệu khách hàng không được truyền (trực tiếp hoặc thông qua hướng chuyển tiếp) ra bên ngoài Khu vực kinh tế châu Âu. Bất kể nội dung ở phần trên, Các điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu sẽ không áp dụng khi dữ liệu được truyền theo tiêu chuẩn tuân thủ được công nhận cho việc truyền hợp pháp Dữ liệu cá nhân ra ngoài Khu vực kinh tế châu Âu, chẳng hạn như khi cần thiết để thực hiện Dịch vụ được bao gồm theo các Điều khoản dịch vụ hoặc với sự đồng ý của bạn.

1. Đối với mỗi Mô-đun nếu có:
   1. trong Điều khoản 7 của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, điều khoản bổ sung tùy chọn sẽ không áp dụng;
   2. trong Khoản 9 của Điều khoản Hợp đồng Tiêu chuẩn của Liên minh châu Âu, Tùy chọn 2 sẽ được áp dụng và khoảng thời gian để thông báo trước bằng văn bản về những thay đổi của bên xử lý phụ sẽ được quy định trong Mục 6.3 (Bên xử lý phụ mới) của Phụ lục này;
   3. trong Khoản 11 của Điều khoản Hợp đồng Tiêu chuẩn của Liên minh châu Âu, ngôn ngữ tùy chọn sẽ không được áp dụng;
   4. trong Khoản 17 (Tùy chọn 1), Các Điều khoản Hợp đồng Tiêu chuẩn của Liên minh châu Âu sẽ được điều chỉnh bởi luật pháp Đức;
   5. trong Khoản 18 (b) của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, các tranh chấp sẽ được giải quyết trước các tòa án của Cộng hòa Liên bang Đức;
   6. trong Phụ lục I, Phần A của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
      • Danh sách các bên
        
        xuất dữ liệu: Bên xuất dữ liệu là thực thể được xác định là "Khách hàng" trong Phụ lục hợp đồng
        Chữ ký và ngày: Kể từ ngày có sự chấp nhận điện tử của Bên xuất dữ liệu đối với Điều khoản dịch vụ của Bên nhập dữ liệu, thì Bên xuất dữ liệu được coi là đã ký các Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu.
        Vai trò: Bên kiểm soát (dưới Phần hai) hoặc Bên xử lý (Dưới Phần ba)
        
        (Các) trình nhập dữ liệu: GoDaddy.com, LLC
        Chi tiết liên hệ: Văn phòng chuyên viên Bảo vệ dữ liệu – privacy@godaddy.com
        Chữ ký và ngày: Kể từ ngày có sự chấp nhận điện tử của Bên xuất dữ liệu đối với Điều khoản dịch vụ của Bên nhập dữ liệu, thì Bên xuất dữ liệu được coi là đã ký các Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu.
        Vai trò: Bên xử lý
   7. trong Phụ lục I, Phần B của các Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
      • Description of Transfer
        
        Mô tả Danh mục chuyển giao của các chủ thể dữ liệu có dữ liệu cá nhân được chuyển giao được mô tả trong Phụ lục 1 của Phụ lục hợp đồng.
        Các loại dữ liệu cá nhân được chuyển được mô tả trong Phụ lục 1 của Phụ lục hợp đồng. Dữ liệu nhạy cảm được chuyển được mô tả trong Phụ lục 1 của Phụ lục hợp đồng này.
        Tần suất chuyển là liên tục trong suốt thời gian của Điều khoản dịch vụ.
        Bản chất của quá trình xử lý được mô tả trong Phần 2.2 và Phụ lục 1 của Phụ lục hợp đồng.
        (Các) mục đích của việc truyền dữ liệu và xử lý thêm được mô tả trong Phần 2.2 và Phụ lục 1 của Phụ lục hợp đồng này.
        Khoảng thời gian dữ liệu cá nhân sẽ được lưu giữ được mô tả trong Phụ lục 1 của Phụ lục hợp đồng này.
        Đối với việc chuyển giao cho các bên xử lý (phụ), đối tượng, bản chất và thời hạn của quá trình xử lý được quy định trong Phụ lục III của các Điều khoản hợp đồng tiêu chuẩn.
   8. trong Phụ lục I, Phần C của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
      • Cơ quan giám sát có thẩm quyền
        Cao ủy Bang North Rhine-Westphalia về Bảo vệ dữ liệu và Tự do thông tin ('LDI NRW') là cơ quan giám sát có thẩm quyền.
   9. trong Phụ lục II của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
      
      Các biện pháp bảo mật kỹ thuật và tổ chức do Nhà nhập khẩu dữ liệu thực hiện như trong Phụ lục 2 của Phụ lục.
   10. trong Phụ lục III của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu:
       
       Danh sách các bên xử lý phụ có trong Phụ lục 3 của Phụ lục hợp đồng này.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. Đối với việc chuyển dữ liệu từ Vương quốc Anh tuân theo Phụ lục chuyển dữ liệu quốc tế của Vương quốc Anh, Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh sẽ được coi là đã được đưa vào (và được kết hợp vào Phụ lục này bằng tài liệu tham khảo này) và hoàn thành như sau:
   1. Trong Bảng 1 của Phụ lục hợp đồng về chuyển giao dữ liệu quốc tế Vương quốc Anh, chi tiết của các bên và thông tin liên hệ chính có trong Mục 9.2 (i) (f) của Phụ lục này.
   2. Trong Bảng 2 của Phụ lục chuyển dữ liệu quốc tế của Vương quốc Anh, thông tin về phiên bản của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu, mô-đun và các điều khoản đã chọn mà Phụ lục chuyển dữ liệu quốc tế của Vương quốc Anh này được bổ sung nằm trong Mục 9.2 (Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu) của Phụ lục này.
   3. Trong Bảng 3 của Phụ lục về Chuyển dữ liệu Quốc tế của Vương quốc Anh:
      1. Danh sách các Bên nằm trong Mục 9.2 (i) (f) của Phụ lục này.
      2. Mô tả về việc chuyển giao được nêu trong Phần 1 (Bản chất và Mục đích của Quá trình) của Phụ lục 1 (Chi tiết về quy trình) của Phụ lục này.
      3. Phụ lục II nằm trong Phụ lục 2 (Tiêu chuẩn an ninh) của Phụ lục hợp đồng này
      4. Danh sách các bên xử lý phụ có trong Phụ lục 3 của Phụ lục này.
   4. Trong Bảng 4 của Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh, cả Nhà nhập khẩu và Nhà xuất khẩu có thể kết thúc Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh theo các điều khoản của Phụ lục hợp đồng về chuyển dữ liệu quốc tế của Vương quốc Anh.

Hợp đồng bổ sung này sẽ tiếp tục có hiệu lực cho đến khi có sự chấm dứt việc xử lý của chúng tôi theo Điều khoản dịch vụ (“Ngày chấm dứt”).   

Như được mô tả trong Dịch vụ được bao gồm, Khách hàng có thể được cung cấp quyền kiểm soát để truy xuất hoặc xóa Dữ liệu khách hàng. Việc xóa Dữ liệu khách hàng sẽ diễn ra trong ba mươi (30) ngày sau Ngày chấm dứt, tuân theo các điều khoản của Dịch vụ được bao gồm cụ thể. Khách hàng thừa nhận rằng trước Ngày chấm dứt, Khách hàng có trách nhiệm xuất bất kỳ Dữ liệu khách hàng nào muốn giữ lại sau Ngày chấm dứt.

Trách nhiệm pháp lý của mỗi bên theo Phụ lục hợp đồng này sẽ phụ thuộc vào các phần loại trừ và giới hạn của trách nhiệm pháp lý nêu trong Điều khoản dịch vụ. Khách hàng đồng ý rằng bất kỳ hình phạt theo quy định nào phát sinh bởi GoDaddy liên quan đến Dữ liệu khách hàng phát sinh từ kết quả của, hoặc có liên quan đến, việc Khách hàng không tuân thủ nghĩa vụ của mình theo Phụ lục hợp đồng này và bất kỳ Luật bảo vệ dữ liệu hiện hành nào sẽ tính vào và làm giảm trách nhiệm pháp lý của GoDaddy theo Điều khoản dịch vụ như thể đó là trách nhiệm pháp lý của Khách hàng theo Điều khoản dịch vụ.

Phụ lục hợp đồng này thay thế tất cả các tuyên bố, hiểu biết, thỏa thuận hoặc nội dung trao đổi trước đây hoặc hiện tại giữa Khách hàng và GoDaddy, cho dù bằng văn bản hay bằng lời, liên quan đến chủ đề của Phụ lục hợp đồng này, bao gồm mọi phụ lục về việc xử lý dữ liệu được ký kết giữa GoDaddy và Khách hàng liên quan đến việc xử lý dữ liệu cá nhân và về việc di chuyển tự do của dữ liệu đó.  Trong phạm vi có bất kỳ sự xung đột hoặc không nhất quán nào giữa Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu hoặc Phụ lục hợp đồng chuyển dữ liệu quốc tế của Vương quốc Anh và bất kỳ điều khoản nào khác trong Phụ lục này hoặc Điều khoản dịch vụ, các quy định của Điều khoản hợp đồng tiêu chuẩn của Liên minh châu Âu hoặc Phụ lục hợp đồng chuyển dữ liệu quốc tế của Vương quốc Anh, như áp dụng, sẽ được ưu tiên. Trừ phi được sửa đổi bởi Phụ lục hợp đồng này, Điều khoản dịch vụ sẽ vẫn có hiệu lực đầy đủ.  Nếu có mâu thuẫn giữa Điều khoản dịch vụ và Phụ lục hợp đồng này thì các điều khoản của Phụ lục hợp đồng sẽ được ưu tiên áp dụng.

 CHI TIẾT CỦA VIỆC XỬ LÝ

 1. Tính chất và mục đích của việc xử lý. GoDaddy sẽ xử lý Dữ liệu khách hàng khi cần thiết để thực hiện các Dịch vụ được bao gồm theo Điều khoản dịch vụ và hướng dẫn bổ sung của Khách hàng trong suốt quá trình khách hàng sử dụng Dịch vụ được bao gồm.

 2. Thời gian xử lý. Theo Phần 10 và 11 của Hợp đồng bổ sung này, GoDaddy sẽ Xử lý dữ liệu khách hàng trong ngày mà Điều khoản dịch vụ có hiệu lực. Bất chấp những điều đã nói ở trên, GoDaddy có thể giữ lại Dữ liệu khách hàng hoặc bất kỳ phần nào trong đó, nếu có yêu cầu của luật pháp hoặc quy định hiện hành, bao gồm cả Luật bảo vệ dữ liệu hiện hành, miễn là Dữ liệu khách hàng đó vẫn được bảo vệ theo các điều khoản của Hợp đồng bổ sung này và Luật bảo vệ dữ liệu hiện hành.

3. Các danh mục chủ thể dữ liệu. Khách hàng có thể tải Dữ liệu cá nhân lên trong quá trình sử dụng Dịch vụ được bao gồm, trong phạm vi được Khách hàng xác định và kiểm soát theo quyết định của riêng mình, và có thể bao gồm, nhưng không giới hạn ở Dữ liệu cá nhân liên quan đến các danh mục của Chủ thể dữ liệu sau:

• Khách hàng tiềm năng, khách hàng, đối tác kinh doanh và nhà cung cấp của Khách hàng (là những thể nhân)
• Nhân viên hoặc người liên hệ của khách hàng tiềm năng, khách hàng, đối tác kinh doanh và nhà cung cấp của Khách hàng
• Nhân viên, đại diện, cố vấn, cộng tác viên của Khách hàng (là những thể nhân)
• Người dùng của Khách hàng được Khách hàng ủy quyền sử dụng các Dịch vụ được bao gồm

4. Các loại Dữ liệu cá nhân. Khách hàng có thể tải Dữ liệu cá nhân lên trong quá trình sử dụng Dịch vụ được bao gồm, trong đó loại và phạm vi do Khách hàng tùy ý xác định và kiểm soát, có thể bao gồm nhưng không giới hạn ở các loại Dữ liệu cá nhân sau của Chủ thể dữ liệu: 

• Tên
• Địa chỉ
• Số điện thoại
• Ngày sinh
• Địa chỉ email
• Các dữ liệu khác được thu thập có thể xác định danh tính chủ thể dữ liệu một cách trực tiếp hoặc gián tiếp.

5. Dữ liệu nhạy cảm hoặc loại dữ liệu đặc biệt. Khách hàng có thể tải lên Dữ liệu nhạy cảm trong quá trình sử dụng Dịch vụ được bao gồm, trong đó loại và mức độ được Khách hàng tùy ý quyết định và kiểm soát. Khách hàng chịu trách nhiệm áp dụng các hạn chế hoặc biện pháp bảo vệ có cân nhắc đầy đủ đến tính chất của dữ liệu và các rủi ro liên quan trước khi truyền hoặc xử lý bất kỳ Dữ liệu nhạy cảm nào thông qua Dịch vụ được bao gồm.

Các tiêu chuẩn bảo mật

I.  Biện pháp kỹ thuật và tổ chức  

Chúng tôi cam kết bảo vệ thông tin của khách hàng.  Có tính đến các phương pháp tối ưu, chi phí thực hiện và tính chất, phạm vi, tình huống và mục đích xử lý cũng như khả năng xảy ra và mức độ nghiêm trọng khác nhau của rủi ro đối với các quyền và quyền tự do của các thể nhân, chúng tôi thực hiện các biện pháp kỹ thuật và tổ chức sau đây.  Khi lựa chọn các biện pháp, chúng tôi luôn cân nhắc đến tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống.

II.  Chương trình bảo mật dữ liệu  

Chương trình quyền riêng tư của dữ liệu của chúng tôi được thiết lập để duy trì cấu trúc quản trị dữ liệu toàn cầu và thông tin bảo mật trong suốt vòng đời của thông tin. Chương trình này được điều hành bởi giám đốc bảo vệ dữ liệu, người giám sát việc thực hiện các biện pháp bảo mật và biện pháp bảo mật. Chúng tôi thường xuyên kiểm tra, đánh giá tính hiệu quả của Chương trình bảo mật dữ liệu và các Tiêu chuẩn bảo mật.

1. Tính bí mật. “Tính bí mật có nghĩa là dữ liệu cá nhân được bảo vệ chống lại việc tiết lộ trái phép."  

Chúng tôi sử dụng nhiều biện pháp vật lý và logic để bảo vệ tính bí mật của dữ liệu cá nhân của khách hàng. Các biện pháp này bao gồm:   

  Bảo mật vật lý  

• Hệ thống kiểm soát truy cập vật lý tại chỗ (Kiểm soát truy cập bằng thẻ, Giám sát sự kiện an ninh, v.v.) 
• Các hệ thống giám sát bao gồm chuông báo và, nếu phù hợp, giám sát bằng CCTV
• Chính sách bàn sạch và quyền kiểm soát tại chỗ (Khóa máy tính không có giám sát, tủ khóa v.v.)  
•  Quản lý quyền truy cập của khách
• Phá hủy dữ liệu trên phương tiện vật lý và tài liệu (xén, khử, v.v.)

  Kiểm soát truy cập & Ngăn chặn truy cập trái phép 

• Các hạn chế truy cập của người dùng được áp dụng và quyền truy cập dựa trên vai trò được cung cấp/xem xét dựa trên nguyên tắc tách biệt trách nhiệm
• Các biện pháp ủy quyền và xác thực mạnh mẽ (Xác thực nhiều yếu tố, ủy quyền dựa trên chứng chỉ, hủy kích hoạt/đăng xuất tự động, v.v) 
• Quản lý mật khẩu tập trung và chính sách mật khẩu mạnh/phức tạp (độ dài tối thiểu, độ phức tạp của các ký tự, thời hạn hết hạn của mật khẩu, v.v.)   
• Truy cập có kiểm soát vào email và Internet
• Quản lý chống virus  
• Quản lý hệ thống phòng chống xâm nhập

Mã hóa   

• Mã hóa giao tiếp bên ngoài và nội bộ qua các giao thức mật mã mạnh mẽ  
• Mã hóa dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm nằm trên các thiết bị lưu trữ (cơ sở dữ liệu, thư mục dùng chung, v.v.)   
• Mã hóa ổ đĩa toàn bộ cho PC và máy tính xách tay của công ty   
• Mã hóa phương tiện lưu trữ   
• Các kết nối từ xa đến mạng công ty được mã hóa qua VPN   
• Bảo vệ an toàn cho vòng đời của các khóa mã hóa

 Giảm thiểu hóa dữ liệu    

• Giảm thiểu thông tin nhận dạng cá nhân/thông tin cá nhân nhạy cảm (PII/SPI) trong ứng dụng, nhật ký gỡ lỗi và bảo mật 
• Ẩn danh dữ liệu cá nhân để ngăn nhận dạng cá nhân trực tiếp
• Phân chia dữ liệu được lưu trữ theo chức năng (kiểm tra, thử nghiệm, vận hành trực tiếp) 
• Phân tách hợp lý dữ liệu theo quyền truy cập dựa trên vai trò 
• Xác định thời gian lưu giữ dữ liệu cá nhân   

Kiểm tra bảo mật     

• Kiểm tra xâm nhập đối với các mạng quan trọng của công ty và các nền tảng lưu trữ dữ liệu cá nhân
• Quét tìm lỗ hổng và lỗi mạng thường xuyên

2. Sự chính trực. “Tính toàn vẹn đề cập đến việc đảm bảo độ chính xác (nguyên vẹn) của dữ liệu và hoạt động chính xác của hệ thống. Khi thuật ngữ tính toàn vẹn được sử dụng liên quan đến thuật ngữ “dữ liệu”, nó biểu thị rằng dữ liệu đó là hoàn chỉnh và không thay đổi.”  

Các quyền kiểm soát quản lý nhật ký và thay đổi phù hợp được áp dụng tại chỗ, ngoài các quyền kiểm soát truy cập để có thể duy trì tính toàn vẹn của dữ liệu cá nhân, chẳng hạn như:    

Quản lý thay đổi và phát hành    

• Quy trình quản lý thay đổi và phát hành bao gồm (phân tích tác động, phê duyệt, kiểm tra, đánh giá bảo mật, chuẩn bị, giám sát, v.v.)  
• Quyền truy cập dựa trên vai trò & chức năng (Tách biệt trách nhiệm) cung cấp trong môi trường sản xuất

Ghi nhật ký và giám sát

• Ghi nhật ký truy cập và các lần thay đổi đối với dữ liệu  
• Nhật ký bảo mật và kiểm tra tập trung   
• Giám sát tính hoàn thiện và chính xác của việc chuyển dữ liệu (kiểm tra từ đầu đến cuối)

3. Tính sẵn có. “Tính sẵn có của dịch vụ và hệ thống công nghệ thông tin, ứng dụng công nghệ thông tin và các chức năng của mạng công nghệ thông tin hoặc của thông tin được đảm bảo, nếu người dùng không thể sử dụng chúng tại mọi thời điểm như dự định.”    

Chúng tôi triển khai các biện pháp bảo mật và sự liên tục phù hợp để duy trì tính sẵn có của dịch vụ và dữ liệu có trong các dịch vụ này:    

• Kiểm tra chuyển đổi dự phòng thường xuyên được áp dụng cho các dịch vụ quan trọng  
• Giá sát và báo cáo khả hăng hoạt động/hiệu suất cho các hệ thống quan trọng  
• Chương trình ứng cứu sự cố  
• Dữ liệu quan trọng được sao chép hoặc sao lưu (Các bản Sao lưu đám mây/Ổ đĩa cứng/Cơ sở dữ liệu, v.v.) 
• Bảo trì phần mềm, cơ sở hạ tầng và bảo mật theo kế hoạch tại chỗ (Các bản cập nhật phần mềm, bản vá bảo mật, v.v.)   
• Hệ thống dự phòng và phục hồi (cụm máy chủ, cơ sở dữ liệu được ánh xạ, các thành phần thiết lập về phạm vi cung cấp cao, v.v.) nằm ở vị trí bên ngoài và/hoặc vị trí địa lý tách biệt    
• Sử dụng nguồn cấp điện liên tục, phần cứng dự phòng khi có lỗi và các hệ thống mạng  
• Các hệ thống cảnh báo, bảo mật tại chỗ  
• Các biện pháp bảo vệ vật lý tại chỗ cho các vị trí quan trọng (bảo vệ đột biến, sàn nâng, hệ thống làm mát, thiết bị báo cháy và/hoặc khói, hệ thống chữa cháy, v.v.) 
• Bảo vệ chống DDOS để duy trì tính sẵn có   
• Kiểm tra ứng suất và tải

4. Hướng dẫn xử lý dữ liệu. "Hướng dẫn xử lý dữ liệu nói đến việc đảm bảo rằng dữ liệu cá nhân sẽ chỉ được xử lý theo hướng dẫn của bên kiểm soát dữ liệu và các biện pháp có liên quan của công ty"  

Chúng tôi đã thiết lập các chính sách nội bộ về quyền riêng tư, các thỏa thuận và triển khai đào tạo thường xuyên về quyền riêng tư cho nhân viên để đảm bảo rằng dữ liệu cá nhân được xử lý theo ý muốn và hướng dẫn của khách hàng.   

• Các điều khoản về tính bí mật và quyền riêng tư được áp dụng trong hợp đồng của nhân viên 
• Đào tạo thường xuyên về bảo mật và quyền riêng tư dữ liệu cho nhân viên 
• Các điều khoản hợp đồng phù hợp đối với các thỏa thuận với nhà thầu phụ để duy trì các quyền kiểm soát theo hướng dẫn 
• Thường xuyên kiểm tra về quyền riêng tư đối với các nhà cung cấp dịch vụ bên ngoài 
• Trao cho khách hàng toàn quyền kiểm soát đối với các tùy chọn xử lý dữ liệu của họ
• Thường xuyên kiểm tra bảo mật 

Xem danh sách Bên xử lý phụ của GoDaddy