Hợp đồng bổ sung về xử lý dữ liệu dành cho Đại lý bán lẻ này ("DPA") là một phần của Thỏa thuận được ký kết giữa GoDaddy.com (bao gồm các đơn vị liên kết của mình nếu được dự tính theo Thỏa thuận) (“GoDaddy”) và bạn ("Đại lý bán lẻ") cho mục đích bán sản phẩm và dịch vụ của GoDaddy("Dịch vụ") qua Chương trình đại lý của GoDaddy, và sẽ điều chỉnh việc xử lý bất kỳ Thông tin cá nhân nào của Đại lý bán lẻ thay mặt cho GoDaddy. Đại lý tham gia vào Hợp đồng bổ sung về xử lý dữ liệu này thay mặt cho chính mình và, trong phạm vi được yêu cầu theo các Luật và Quy định bảo vệ dữ liệu hiện hành, nhân danh và thay mặt cho các đơn vị liên kết được ủy quyền của Đại lý. Tất cả các điều khoản viết hoa không được xác định ở đây sẽ có nghĩa được quy định trong Thỏa thuận. Các từ "chúng tôi", "của chúng tôi" sẽ đề cập đến GoDaddy. Các từ "bạn", "của bạn", hoặc "Đại lý" sẽ đề cập đến bất kỳ cá nhân hoặc thực thể nào chấp nhận Thỏa thuận này. Không điều nào trong Thỏa thuận này được coi là bao gồm bất kỳ quyền hoặc lợi ích nào của bên thứ ba. Hợp đồng bổ sung về xử lý dữ liệu này sẽ có hiệu lực và ràng buộc kể từ ngày bạn chấp nhận dưới hình thức điện tử.

Hợp đồng bổ sung về xử lý dữ liệu này bao gồm hai (2) phần khác biệt, được áp dụng theo giải thích dưới đây:

• Quyền riêng tư dữ liệu và Tiêu chuẩn Bảo mật và các yêu cầu: Yêu cầu chính thức về quyền riêng tư dữ liệu và Tiêu chuẩn Bảo mật và các yêu cầu. Áp dụng cho tất cả các Đại lý bán lẻ có quyền quy cập vào và xử lý thông tin nhận dạng cá nhân(theo "định nghĩa tại đây") thuộc bản chất và phạm vi của việc họ tham gia vào Chương trình bán lẻ.
• Điều khoản hợp đồng tiêu chuẩn (và các Phụ lục 1 & 2): Áp dụng điều khoản hợp đồng tiêu chuẩn. Các điều khoản hợp đồng tiêu chuẩn sẽ áp dụng cho Dữ liệu khách hàng được chuyển ra ngoài Khu vực kinh tế Châu Âu, trực tiếp hoặc qua chuyển tiếp, sang bất kỳ quốc gia nào không được Ủy ban Châu Âu công nhận là cung cấp mức bảo vệ thích hợp cho dữ liệu cá nhân (như được mô tả trong Quy định chung về bảo vệ dữ liệu). Các điều khoản hợp đồng tiêu chuẩn sẽ không áp dụng cho Dữ liệu khách hàng không được chuyển, trực tiếp hoặc thông qua chuyển tiếp, ra bên ngoài Khu vực Kinh thế Châu Âu. Mặc dù đã nói ở trên, các Điều khoản hợp đồng tiêu chuẩn sẽ không áp dụng khi dữ liệu được truyền theo tiêu chuẩn tuân thủ được công nhận cho việc chuyển hợp pháp dữ liệu cá nhân (như được định nghĩa trong GDPR) ra ngoài Khu vực kinh tế Châu Âu, chẳng hạn như các Khung thỏa thuận Privacy giữa Châu Âu-Hoa Kỳ và Thụy Sỹ-Hoa Kỳ.

1. Đối tượng và phạm vi

Thỏa thuận cấp độ dịch vụ về Bảo mật và quyền riêng tư của dữ liệu ("Thỏa thuận cấp độ dịch vụ về bảo mật") được đính kèm và hợp nhất vào Thỏa thuận này nhằm đảm bảo mọi thông tin nhận dạng cá nhân (như được định nghĩa dưới đây) được bạn thu thập hoặc sử dụng được xử lý theo cách bảo mật và theo các điều khoản của Thỏa thuận này, Thỏa thuận cấp độ dịch vụ về Bảo mật và luật cũng như quy định hiện hành.

2. Thứ tự ưu tiên.

Thỏa thuận cấp độ dịch vụ về bảo mật này được kết hợp vào và tạo thành một phần của Thỏa thuận. Đối với các vấn đề không được giải quyết theo Thỏa thuận cấp độ dịch vụ về bảo mật này, thì các điều khoản của Thỏa thuận sẽ áp dụng. Liên quan đến quyền và nghĩa vụ của các bên đối với nhau, trong trường hợp có xung đột giữa các điều khoản của Thỏa thuận và Thỏa thuận cấp độ dịch vụ về Bảo mật, các điều khoản của Thỏa thuận cấp độ dịch vụ về bảo mật này sẽ kiểm soát. Trong trường hợp có xung đột giữa các điều khoản của Thỏa thuận cấp độ dịch vụ về Bảo mật và các Điều khoản hợp đồng tiêu chuẩn, thì các Điều khoản hợp đồng tiêu chuẩn sẽ chiếm ưu tiên.

3. Thông tin cá nhân.

1. “PII” hay "Thông tin nhận dạng cá nhân" nghĩa là thông tin trong bất kỳ phương tiện hoặc hình thức nào của bất kỳ loại nào liên quan đến một thể nhân hay hộ gia đình được xác định hoặc có thể nhận dạng; một thể nhân có thể nhận dạng là người có thể được xác định trực tiếp hoặc gián tiếp, đặc biệt là bằng cách tham chiếu đến một giá trị nhận dạng như tên, địa chỉ, số An sinh xã hội hoặc số nhận dạng khác, địa chỉ email, số điện thoại, hồ sơ tài chính, thông tin thẻ tín dụng, số giấy phép lái xe hoặc thông tin khác có thể được liên kết hợp lý với một người cụ thể, máy tính hoặc thiết bị (ví dụ: thông tin được thu thập thông qua công nghệ theo dõi, chẳng hạn như địa chỉ IP) hoặc một hoặc nhiều yếu tố cụ thể về thể chất, bản sắc sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc danh tính xã hội của người đó.

2. Việc xử lý các mục đích của DPA này sẽ kèm theo việc thu thập, ghi lại, tổ chức, cấu trúc, lưu giữ, làm cho thích nghi hay thay đổi, lấy lại, tư vấn, sử dụng, tiết lộ, phổ biến hay ngược lại làm cho khả dụng, kết hợp, hạn chế, xóa hay hủy PII.
3. GoDaddy sẽ tiết lộ PII chỉ cho mình bạn và đặc biệt dành cho năng suất các dịch vụ của bạn thay mặt choGoDaddy và bạn chỉ có thể xử lý PII cho các mục đích hạn chế và cụ thể được mô tả trong Thỏa thuận và theo hướng dẫn bằng văn bản của chúng tôi và không cho mục đích nào khác, bao gồm cả việc chuyển nhượng PII của cá nhân thuộc Châu Âu bên ngoài Liên minh Châu Âu, trừ khi được Liên minh Châu Âu hay luật Bang thành viên của Liên minh Châu Âu yêu cầu thực hiện (dù trường hợp nào bạn cũng phải thông báo cho chúng tôi ngay trước khi thực hiện, trừ khi luật pháp nghiêm cấm bạn thông báo cho chúng tôi).
4. Bạn bị ngăn cấm không được: (i) bán PII; (ii) lưu trữ, sử dụng, hay tiết lộ PII cho mục đích thương mại ngoài cung cấp Dịch vụ; và (iii) lưu trữ, sử dụng, hay tiết lộ PII ngoài Thỏa thuận giữa bạn và GoDaddy.

5. Bạn thừa nhận và xác nhận rằng PII không được để lộ dưới bất kỳ hình thức Dịch vụ nào được cung cấp GoDaddy trong Thỏa thuận. Bạn không được bán bất kỳ PII, theo như điều khoản “bán” được định nghĩa trong Quyền Riêng Tư của Người Tiêu Dùng California vào năm 2018, theo như sửa đổi (“CCPA”), và theo đó bạn xác thực rằng mình hiểu quy tắc, yêu cầu và định nghĩa của CCPA và tất cả hạn chế trong DPA này. Bạn đồng ý sẽ không tiến hành bất kỳ hành động nào mà sẽ làm cho bất kỳ chuyển nhượng PII đến hay từ bạn được xem là "bán thông tin cá nhân" theo CCPA và các luật được áp dụng khác.
6. Bạn chỉ có thể chuyển nhượng PII có liên quan đến các cá nhân EU bên ngoài EU (hay nếu PII này vốn đã bên ngoài EU, cho bất kỳ bên thứ ba nào cũng bên ngoài EU), theo quy định của điều khoản của DPA này và các yêu cầu của Mục 44 đến 49 của GDPR (như được định nghĩa bên dưới).
7. Bạn phải thông báo cho chúng tôi ngay nếu, theo quản điểm của bạn, hướng dẫn của chúng tôi vi phạm bất kỳ luật và quy định bảo vệ dữ liệu nào có áp dụng, bao gồm cả Luật Bảo vệ Dữ liệu EU (như được định nghĩa bên dưới) tại privacy@godaddy.com.

8. Bạn phải xem tất cả PII là tuyệt mật và phải thông báo cho tất cả nhân viên và đối tác chịu trách nhiệm xử lý PII được phê duyệt về bản chất tối mật của PII và đảm bảo rằng tất cả người hay bên này đã ký một thỏa thuận bảo mật để duy trình tính tuyệt mật của PII.
9. Trong trường hợp bạn nhận, duy trì, xử lý hay ngược lại có truy cập PII có liên quan đến Chương trình Đại lý theo Thỏa thuận, bạn hiểu và chấp thuận rằng bạn chịu trách nhiệm duy trì các biện pháp tổ chức và bảo mật thích hợp để bảo vệ PII này. Bạn phải bảo vệ và bảo mật thông tin nhận dạng cá nhân này tuân thủ mọi pháp luật bảo vệ dữ liệu và quyền riêng tư hiện hành, bao gồm nhưng không giới hạn ở Quy định (Liên minh Châu Âu) 2016/679 của Nghị viện Châu Âu và của Hội đồng Châu Âu ngày 27 tháng 4 năm 2016 về việc bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và khi di chuyển tự do những dữ liệu này ("Quy định chung về bảo vệ dữ liệu" hay "GDPR") và luật pháp hoặc quy định của các Quốc gia thành viên Liên minh Châu Âu (cùng với "Luật bảo vệ dữ liệu của Liên minh Châu Âu").

10. Các biện pháp tổ chức và bảo mật thích hợp có trong Phần 3.7 sẽ được kèm theo như cần thiết (nhưng có thể không giới hạn):
    1. Các biện pháp được liệt kê bên dưới tại phần 3 và 4;
    2. Các biện pháp để đảm bảo rằng chỉ có những cá nhân được ủy quyền cho mục đích được mô tả trong Thỏa thuận mới có thể truy cập được PII;
    3. Giả danh tính và mã hóa PII;
    4. Khả năng đảm bảo tính bảo mật liên tục, tính toàn vẹn, khả dụng và tính lâu bền của hệ thống và dịch vụ xử lý;
    5. Khả năng khôi phục tính khả dụng và truy cập PII theo hình thức đúng lúc;
    6. Quá trình thường xuyên thử nghiệm, đánh giá, ước lượng tính hiệu quả của các biện pháp kỹ thuật và tổ chức để đảm bảo tính bảo mật của việc xử lý PII, và
    7. Các biện phạm để xác định lỗ hổng liên quan đến việc xử lý PII trong hệ thống của bạn.
11. Trong trường hợp bạn ký kết hợp đồng với bất kỳ nhà thầu phụ, nhà cung cấp hay bất kỳ bên thứ ba nào để điều phối hiệu suất theo Thỏa thuận, Bạn phải (i) có trước thỏa thuận bằng văn bản từ chúng tôi và (ii) ký kết một thỏa thuận bằng văn bản với bên thứ ba này để đảm bảo bên này cũng tuân theo các điều khoản của DPA và Thỏa thuận.

12. Bất kể bất kỳ ủy quyền nào được chúng tôi cung cấp theo phần 1.11, bạn phải hoàn toàn chịu trách nhiệm cho hành động của bất kỳ nhà thầu phụ, nhà cung cấp, bên thứ ba nào khi các bên này không hoàn thành nghĩa vụ của họ theo DPA này (hay thỏa thuận hợp đồng tương tự được áp dụng để áp đặt các nghĩa vụ tương đương cho bên thứ ba thay mặt cho bạn theo DPA này) hay bất kỳ luật bảo mật hiện hành nào.
13. Bạn sẽ chịu trách nhiệm biện hộ, bồi thường và giữ cho chúng tôi không bị thiệt hại trong tất cả trách nhiệm pháp lý, chi phí và mất mát có liên quan đến bất kỳ tính không khả dụng, mất mát, phá hoại, tiết lộ không được cấp quyền hay truy cập, trộm cắp, xâm nhập PII nào mà là tạm thời hay vĩnh viễn, vô tình hay bất hợp pháp, trộm cướp hay xâm phạm PII hay bất kỳ vi phạm luật bảo vệ dữ liệu hiện hành và bất kỳ vi phạm DPA nào.
14. Trong trường hợp bạn biết rằng bạn đã nhận Thông tin Bảo mật của chúng tôi hay PII mà đáng lẽ bạn không được nhận hay không được cấp quyền để nhận theo Thỏa thuận này, bạn phải (i) nhanh chóng thông báo cho chúng tôi theo địa chỉ privacy@godaddy.com, và (ii) trừ khi được hướng dẫn bằng văn bản, bạn phải lưu giữ thông tin cho đến khi được liên hệ bởi privacy@godaddy.comvới các hướng dẫn nên làm gì với thông tin này.

4. Đánh giá tác động &Kiểm tra bảo mật

1. Đánh giá tác động của bảo vệ dữ liệu. Bạn phải hỗ trợ chúng tôi tiến hành đánh giá tác động bảo vệ dữ liệu để xác định và giảm thiểu mọi rủi ro về quyền riêng tư hoặc bảo mật liên quan đến Chương trình đại lý theo Thỏa thuận.
2. Kiểm tra định kỳ. Chúng tôi có quyền kiểm tra định kỳ (hoặc thuê bên thứ ba, theo chỉ đạo của chúng tôi, kiểm tra) việc bạn tuân thủ DPA này.
3. Kiểm tra sau Sự cố. Trong trường hợp Đại lý vi phạm bảo mật, chúng tôi có thể tiến hành kiểm tra bảo mật để đảm bảo không có Thông tin nhận dạng cá nhân nào bị ảnh hưởng. Bạn sẽ được cho phép 90 ngày để trả lời bất kỳ vấn đề nào được xác định thông qua việc kiểm tra này. Sau khi các vấn đề được xác định đã được giải quyết, chúng tôi có thể tiến hành kiểm tra bảo mật để đảm bảo hoàn thành giải pháp.
4. Thông báo không tuân thủ. Nếu bạn không thể đáp ứng bất kỳ cam kết nào trong DPA này vì bất kỳ lý do gì, bạn phải thông báo cho chúng tôi ngay lập tức. Trong trường hợp như vậy, bạn phải thông báo liệu bạn có khả năng khắc phục bất kỳ vấn đề nào một cách nhanh chóng và không gây nguy hiểm đến khả năng bảo mật của bất kỳ Thông tin nhận dạng cá nhân nào. Nếu không, sau đó chúng tôi có thể chọn chấm dứt Thỏa thuận mà không trì hoãn, phạt hoặc áp dụng thêm trách nhiệm pháp lý cho bạn.

5. Phản hồi sự cố bảo mật

1. Thời gian thông báo. Bạn sẽ thông báo bất kỳ sự cố bảo mật nào liên quan đến dịch vụ của bạn và/hoặc thông tin nhận dạng cá nhân cho chúng tôi ngay sau khi phát hiện ra và sẽ cung cấp phản hồi ngay lập tức về bất kỳ tác động nào mà sự cố này có thể/sẽ gây ra cho chúng tôi hoặc thông tin nhận dạng cá nhân. Bạn sẽ nỗ lực hết sức để thông báo cho chúng tôi về sự cố bảo mật ngay sau khi phát hiện sự cố đó, nhưng trong mọi trường hợp không muộn hơn 1 giờ sau khi bạn phát hiện ra sự cố. Một sự cố cho mục đích của DPA này sẽ bao gồm:
   1. Một khiếu nại hay yêu cầu đối với việc thực hành quyền của cá nhân theo luật hiện hành, bao gồm Luật Bảo vệ Dữ liệu của Liên minh Châu Âu;
   2. Một cuộc điều tra hay thu giữ PII của các viên chức chính phủ, các cơ quan quy định hay thi hành pháp luật hay các chỉ định rằng điều tra hay thu giữ này đã được dự tính;
   3. Bất kỳ tính không khả dụng, mất mát, hủy hoại hay tiết lộ không được cấp quyền hay truy cập, trộm cắp, xâm nhập PII tạm thời hay vĩnh viễn, vô tình hay bất hợp pháp và
   4. Bất kỳ vi phạm bảo mật và/hay các nghĩa vụ bảo mật được nêu trong DPA này.
2. Định dạng và nội dung thông báo. Thông báo về việc vi phạm bảo mật sẽ diễn ra dưới hình thức gọi điện đến Trung tâm điều hành mạng (NOC) của chúng tôi theo số (480) 505-8809, sau đó là thông báo bằng văn bản gửi đến securitybreach@godaddy.com. Bạn phải cung cấp các thông tin dưới đây trong cuộc gọi điện thoại thông báo và trong thông báo văn bản, với các cập nhật chứa đựng nhiều thông tin hơn khi có thông tin khác thu thập được:
   1. Một mô tả về bản chất của sự cố và hệ quả có thể của sự cố này;
   2. Thời gian khắc phục được mong đợi (nếu biết);
   3. Một mô tả về các biện pháp đã thực hiện hay đề xuất để xử lý sự cố bao gồm, các biện pháp giảm thiểu ảnh hưởng xấu có thể với chúng tôi, PII hay các cá nhân có liên quan;
   4. Nếu chưa biết quá trình khắc phục vào lúc gọi điện, bạn phải nói rõ là đây chưa quyết định;
   5. Các hạng mục và lượng PII xấp xỉ có khả năng bị ảnh hưởng bởi sự cố và hệ quả có thể của sự cố xảy ra trên PII và các cá nhân có liên quan đó, và
   6. Tên và số điện thoại của đại diện Đại lý chúng tôi có thể liên hệ để có các cập nhật về sự cố.
3. Tài nguyên bảo mật. Chúng tôi có thể, theo thỏa thuận chung với bạn, cung cấp tài nguyên từ nhóm bảo mật của chúng tôi để hỗ trợ về một trường hợp vi phạm bảo mật được xác định. Bạn đồng ý giúp chúng tôi đáp ứng các nghĩa vụ của mình liên quan đến việc thông báo về việc vi phạm bảo mật theo Luật Bảo vệ dữ liệu của Liên minh Châu Âu hoặc bất kỳ nghĩa vụ thông báo vi phạm pháp lý, quy định, hành chính hoặc hợp đồng nào khác.

6. Mã hóa

1. Mã hóa độc quyền. Các giao dịch bảo đảm giữa bạn và nhà thầu phụ, nhà cung cấp hoặc bên thứ ba khác, cũng như việc lưu trữ Thông tin bí mật của chúng tôi hoặc thông tin nhận dạng cá nhân không được sử dụng bất kỳ thuật toán mật mã nào được bạn phát triển nội bộ. Bất kỳ thuật toán đối xứng, không đối xứng hoặc băm nào được sử dụng bởi cơ sở hạ tầng ứng dụng phải sử dụng các thuật toán đã được cộng đồng mã hóa nói chung phát hành và đánh giá.
2. Sức mạnh mã hóa. Các thuật toán mã hóa phải sử dụng công hệ hiện hành của ngành và đủ sức mạnh, chẳng hạn như AES. Mã hóa khóa công khai SHA-256 hoặc RSA.
3. Hàm băm. Các hàm băm sẽ là sự kết hợp của SHA-256 và ít nhất một trong số MD-5, SHA-2, SHA-3 hoặc tương tự, không bao gồm SHA-1. Nếu các hàm băm thay thế được sử dụng, chúng sẽ có sự chấp thuận rõ ràng từ Nhóm bảo mật thông tin của chúng tôi và phải được kèm theo ít nhất một thuật toán đã phê duyệt.

7. Đang xử lý PII

1. Tuân thủ pháp luật. Trong phạm vi áp dụng, bạn sẽ hỗ trợ chúng tôi trong nghĩa vụ của chúng tôi để phản hồi các yêu cầu của một cá nhân mà thông tin nhận dạng cá nhân của họ đang được xử lý theo Thỏa thuận này và muốn thực hiện bất kỳ quyền nào của họ theo Luật bảo vệ dữ liệu của Liên minh Châu Âu, bao gồm (nhưng không giới hạn ở): (i) quyền truy cập; (ii) quyền di chuyển dữ liệu; (iii) quyền xóa; (iv) quyền cải chính; (v) quyền phản đối việc ra quyết định tự động; hoặc (vi) quyền phản đối xử lý.
2. Xóa/Phá hủy. Bạn phải xóa/phá hủy một cách bảo mật hoặc trả lại mọi thông tin nhận dạng cá nhân và ghi đè ổ đĩa vật lý đã dùng để lưu trữ thông tin này bằng cách sử dụng công nghệ Cryptographic Erase (NIST SP-800-88r1) hoặc biện pháp tương đương tại bất kỳ thời điểm nào theo yêu cầu của chúng tôi hoặc, không có yêu cầu của chúng tôi, sau khi chấm dứt Thỏa thuận này và phá hủy hoặc trả lại mọi bản sao hiện có của cùng thông tin cho chúng tôi.

Cho mục đích của Điều 26(2) của Chỉ thị 95/46/EC về việc chuyển dữ liệu cá nhân cho các đơn vị xử lý được thành lập ở các quốc gia thứ ba mà không đảm bảo mức bảo vệ dữ liệu thích hợp

đơn vị xuất dữ liệu: GoDaddy.com, LLC và các thực thể liên kết

và

đơn vị nhập dữ liệu: Đại lý bán lẻ có tên tham gia vào Chương trình bán lẻ theo các điều khoản của Thỏa thuận này.

mỗi một ‘bên’; cùng nhau gọi là ‘các bên’,

ĐÃ THỐNG NHẤT về các Điều khoản hợp đồng sau đây (Điều khoản) để tăng cường các biện pháp bảo vệ đầy đủ liên quan đến việc bảo vệ quyền riêng tư và các quyền cơ bản và quyền tự do của cá nhân đối với việc chuyển dữ liệu của đơn vị xuất dữ liệu của dữ liệu cá nhân được chỉ định trong Phụ lục 1.

Cho mục đích của Điều khoản này:

(a)'dữ liệu cá nhân', 'các danh mục dữ liệu đặc biệt', 'xử lý/việc xử lý', 'đơn vị kiểm soát', 'đơn vị xử lý', 'chủ thể dữ liệu' và 'cơ quan giám sát' sẽ có cùng định nghĩa như trong Chỉ thị 95/46/EC của Nghị viện và Hội đồng Châu Âu ngày 24 tháng 10 năm 1995 về việc bảo vệ các cá nhân liên quan đến việc xử lý dữ liệu cá nhân và trong việc di chuyển tự do các dữ liệu đó;

(b) 'đơn vị xuất dữ liệu' nghĩa là đơn vị kiểm soát việc truyền dữ liệu cá nhân;

(c) 'đơn vị nhập dữ liệu' nghĩa là đơn vị xử lý đồng ý nhận từ đơn vị xuất dữ liệu dữ liệu cá nhân nhằm xử lý thay mặt đơn vị xuất dữ liệu sau khi chuyển theo các hướng dẫn của đơn vị xuất dữ liệu và theo các điều trong Điều khoản và không tuân theo hệ thống của quốc gia thứ ba đảm bảo bảo vệ đầy đủ theo nghĩa Điều 25(1) của Chỉ thị 95/46/EC;

(d) 'đơn vị xử lý phụ' nghĩa là bất kỳ đơn vị xử lý nào tham gia cùng với đơn vị nhập dữ liệu hoặc bất kỳ đơn vị phụ xử lý dữ liệu nào khác của đơn vị nhập dữ liệu mà đồng ý nhận từ đơn vị nhập dữ liệu hoặc từ bất kỳ đơn vị phụ xử lý nào dữ liệu cá nhân của đơn vị nhập dữ liệu dành riêng cho các hoạt động xử lý được thực hiện thay mặt cho đơn vị xuất dữ liệu sau khi chuyển theo hướng dẫn của đơn vị xuất dữ liệu, các khoản mục trong Điều khoản và điều khoản hợp đồng phụ bằng văn bản;

(e) 'luật bảo vệ dữ liệu hiện hành' nghĩa là pháp luật bảo vệ các quyền cơ bản và quyền tự do của các cá nhân và, đặc biệt là, quyền riêng tư của họ đối với việc xử lý dữ liệu cá nhân áp dụng cho đơn vị kiểm soát dữ liệu trong Quốc gia thành viên mà đơn vị xuất dữ liệu được thành lập;

(f) 'các biện pháp an ninh kỹ thuật và tổ chức' nghĩa là các biện pháp nhằm bảo vệ dữ liệu cá nhân chống lại sự phá hủy vô tình hoặc bất hợp pháp hoặc mất mát, thay đổi, tiết lộ hoặc truy cập trái phép, đặc biệt trong trường hợp việc xử lý liên quan đến việc truyền dữ liệu qua mạng và chống lại tất cả các hình thức xử lý bất hợp pháp khác.

Các chi tiết về việc chuyển dữ liệu và đặc biệt là các danh mục dữ liệu cá nhân, nếu có, được quy định tại Phụ lục 1 tạo thành một phần không tách rời của Điều khoản.

1. Chủ thể dữ liệu có thể thực thi đối với đơn vị xuất dữ liệu Điều khoản này, Điều 4(b) đến (i), Điều 5(a) đến (e), và (g) đến (j), Điều 6(1) và (2), Điều 7, Điều 8(2) và Điều 9 đến 12 trong vai trò là người thụ hưởng bên thứ ba.

2. Chủ thể dữ liệu có thể thực thi đối với đơn vị nhập dữ liệu Điều này, Điều 5(a) đến (e) và (g), Điều 6, Điều 7, Điều 8(2) và các Điều từ 9 đến 12, trong trường hợp đơn vị xuất dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo luật hoặc đã ngừng tồn tại, trừ khi bất kỳ thực thể kế thừa nào đã đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng hoặc theo quy định của pháp luật, do đó, đơn vị này sẽ đảm nhận các quyền và nghĩa vụ của đơn vị xuất dữ liệu, trong trường hợp đó, chủ thể dữ liệu có thể thực các quyền và nghĩa vụ này cho thực thể đó.

3. Chủ thể dữ liệu có thể thực thi đối với đơn vị xử lý phụ Điều này, Điều 5(a) đến (e) và (g), Điều 6, Điều 7, Điều 8(2) và các Điều từ 9 đến 12, trong trường hợp cả đơn vị xuất dữ liệu và đơn vị nhập dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo luật hoặc không còn khả năng thanh toán, trừ khi bất kỳ thực thể kế thừa nào đã đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng hoặc theo quy định của pháp luật, do đó, đơn vị này sẽ đảm nhận các quyền và nghĩa vụ của đơn vị xuất dữ liệu, trong trường hợp đó, chủ thể dữ liệu có thể thực các quyền và nghĩa vụ này cho thực thể đó. Trách nhiệm pháp lý của bên thứ ba này sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

4. Các bên không phản đối một chủ thể dữ liệu được đại diện bởi một hiệp hội hoặc cơ quan khác nếu chủ thể dữ liệu đó thể hiện mong muốn một cách rõ ràng và nếu được luật pháp quốc gia cho phép.

Đơn vị xuất dữ liệu đồng ý và đảm bảo:

(a) rằng việc xử lý, bao gồm cả việc chuyển chính, dữ liệu cá nhân đã và sẽ tiếp tục được thực hiện theo các quy định có liên quan của luật bảo vệ dữ liệu hiện hành (và, nếu có, đã được thông báo cho cơ quan có liên quan của Quốc gia thành viên nơi đơn vị xuất dữ liệu được thành lập) và không vi phạm các quy định có liên quan của Quốc gia đó;

(b) rằng đơn vị đã hướng dẫn và trong suốt thời gian thực hiện các dịch vụ xử lý dữ liệu cá nhân sẽ hướng dẫn đơn vị nhập dữ liệu xử lý dữ liệu cá nhân được chuyển chỉ thay mặt đơn vị xuất dữ liệu và tuân thủ luật bảo vệ dữ liệu hiện hành và các Điều khoản;

(c) rằng đơn vị nhập dữ liệu sẽ cung cấp điều khoản bảo đảm đầy đủ về các biện pháp an ninh kỹ thuật và tổ chức được quy định tại Phụ lục 2 của hợp đồng này;

(d) rằng sau khi đánh giá các yêu cầu của luật bảo vệ dữ liệu hiện hành, các biện pháp an ninh là thích hợp để bảo vệ dữ liệu cá nhân chống lại sự phá hủy vô tình hoặc bất hợp pháp hoặc mất mát ngẫu nhiên, thay đổi, tiết lộ hoặc truy cập trái phép, đặc biệt trong trường hợp việc xử lý liên quan đến việc truyền dữ liệu qua mạng, và chống lại tất cả các hình thức xử lý bất hợp pháp khác, và rằng các biện pháp này đảm bảo mức bảo mật phù hợp đối với các rủi ro do quá trình xử lý và bản chất của dữ liệu được bảo vệ liên quan đến tính hiện đại và chi phí của việc triển khai các biện pháp này;

(e) rằng đơn vị sẽ đảm bảo việc tuân thủ các biện pháp an ninh;

(f) rằng, nếu việc chuyển dữ liệu liên quan đến các danh mục dữ liệu đặc biệt, chủ thể dữ liệu đã được thông báo hoặc sẽ được thông báo trước, hoặc sớm nhất có thể sau đó, thì việc chuyển dữ liệu đó có thể được truyền sang một quốc gia thứ ba không cung cấp các biện pháp bảo vệ thích hợp theo định nghĩa của Chỉ thị 95/46/EC;

(g) chuyển tiếp bất kỳ thông báo nào nhận được từ đơn vị nhập dữ liệu hoặc bất kỳ đơn vị xử lý phụ nào theo Điều 5(b) và Điều 8(3) đến cơ quan giám sát bảo vệ dữ liệu nếu đơn vị xuất dữ liệu quyết định tiếp tục chuyển dữ liệu hoặc gỡ bỏ việc tạm dừng;

(h) để cung cấp cho các chủ thể dữ liệu, theo yêu cầu, bản sao của Điều khoản, ngoại trừ Phụ lục 2 và bản mô tả tóm tắt các biện pháp an ninh, cũng như bản sao của bất kỳ hợp đồng nào cho các dịch vụ xử lý phụ phải được thực hiện theo Điều khoản, trừ khi các Điều khoản hoặc hợp đồng có chứa thông tin thương mại, trong trường hợp đó, nó có thể loại bỏ thông tin thương mại đó;

(i) rằng, trong trường hợp xử lý phụ, hoạt động xử lý được thực hiện theo Điều 11 bởi một đơn vị xử lý phụ cung cấp ít nhất cùng mức độ bảo vệ cho dữ liệu cá nhân và các quyền của chủ thể dữ liệu với tư cách là đơn vị nhập dữ liệu theo Điều khoản; và

(j) rằng đơn vị sẽ đảm bảo việc tuân thủ Điều 4(a) đến (i).

Đơn vị nhập dữ liệu đồng ý và đảm bảo:

(a) chỉ xử lý dữ liệu cá nhân thay mặt đơn vị xuất dữ liệu và tuân thủ các hướng dẫn của đơn vị xuất dữ liệu và Điều khoản; nếu không thể cung cấp sự tuân thủ đó vì bất kỳ lý do nào, đơn vị nhập dữ liệu đồng ý thông báo kịp thời cho đơn vị xuất dữ liệu về việc không tuân thủ, trong trường hợp đó, đơn vị xuất dữ liệu có quyền tạm dừng việc chuyển dữ liệu và / hoặc chấm dứt hợp đồng;

(b) rằng công ty không có lý do gì để tin rằng luật áp dụng cho công ty ngăn cản việc thực hiện các hướng dẫn nhận được từ đơn vị xuất dữ liệu và các nghĩa vụ của công ty theo hợp đồng và trong trường hợp có sự thay đổi trong luật này mà có khả năng có tác động bất lợi đáng kể về việc bảo hành và nghĩa vụ theo quy định của Điều khoản, thì công ty sẽ nhanh chóng thông báo cho đơn vị xuất dữ liệu ngay khi biết được thông tin, trong trường hợp đó, đơn vị xuất dữ liệu có quyền tạm dừng chuyển dữ liệu và/hoặc chấm dứt hợp đồng;

(c) rằng đơn vị đã thực hiện các biện pháp an ninh kỹ thuật và tổ chức quy được nêu trong Phụ lục trước khi xử lý dữ liệu cá nhân được chuyển qua;

(d) rằng đơn vị sẽ nhanh chóng thông báo cho đơn vị xuất dữ liệu về:

(i) bất kỳ yêu cầu ràng buộc pháp lý nào về việc tiết lộ dữ liệu cá nhân của cơ quan hành pháp, trừ khi bị cấm, chẳng hạn như cấm theo luật hình sự để bảo vệ tính bí mật của việc điều tra thực thi pháp luật;

(ii) bất kỳ quyền truy cập vô tình hoặc trái phép nào; và

(iii) bất kỳ yêu cầu nào nhận được trực tiếp từ các chủ thể dữ liệu mà không trả lời yêu cầu đó, trừ khi đơn vị đó được ủy quyền để làm như vậy;

(e) giải quyết kịp thời và đúng cách mọi yêu cầu của đơn vị xuất dữ liệu liên quan đến việc xử lý dữ liệu cá nhân theo hoạt động chuyển dữ liệu và tuân theo hướng dẫn của cơ quan giám sát đối với việc xử lý dữ liệu được chuyển;

(f) theo yêu cầu của đơn vị xuất dữ liệu để gửi dữ liệu của mình cho các cơ sở xử lý dữ liệu để kiểm tra các hoạt động xử lý được bao gồm trong Điều khoản mà sẽ được tiến hành bởi đơn vị xuất dữ liệu hoặc một cơ quan thanh tra bao gồm các thành viên độc lập và có bằng cấp chuyên môn bị ràng buộc bởi trách nhiệm bảo mật, do đơn vị xuất dữ liệu lựa chọn, nếu có, với sự đồng ý của cơ quan giám sát;

(g) để cung cấp cho chủ thể dữ liệu, theo yêu cầu, một bản sao của các Điều khoản, hoặc bất kỳ hợp đồng hiện có nào cho việc xử lý phụ, trừ trường hợp các Điều khoản hoặc hợp đồng có chứa thông tin thương mại, trong trường hợp này đơn vị có thể loại bỏ các thông tin thương mại đó, ngoại trừ Phụ lục 2 mà sẽ được thay thế bằng một bản mô tả tóm tắt về các biện pháp an ninh trong những trường hợp mà chủ thể dữ liệu không thể lấy được bản sao từ đơn vị xuất dữ liệu;

(h) rằng, trong trường hợp xử lý phụ, đơn vị trước đây đã thông báo cho đơn vị xuất dữ liệu và nhận được sự đồng ý trước bằng văn bản;

(i) rằng các dịch vụ xử lý của đơn vị xử lý phụ sẽ được tiến hành theo Điều 11;

(j) để nhanh chóng gửi bản sao của bất kỳ thỏa thuận nào của đơn vị xử lý phụ mà đơn vị quyết định theo các Điều khoản đối với đơn vị xuất dữ liệu.

(k) đơn vị sẽ, bằng chi phí của mình, bảo vệ, bồi thường và giữ vô hại cho đơn vị xuất dữ liệu chống lại tất cả trách nhiệm pháp lý và mất mát liên quan đến bất kỳ tổn thất, tiết lộ trái phép, trộm cắp hoặc xâm phạm dữ liệu cá nhân nào và bất kỳ vi phạm nào đối với luật bảo vệ dữ liệu hiện hành của hoặc từ đơn vị nhập dữ liệu.

1. Các bên đồng ý rằng bất kỳ chủ thể dữ liệu nào bị thiệt hại do bất kỳ vi phạm nghĩa vụ nào nêu tại Điều 3 hoặc Điều 11 của bất kỳ bên hoặc đơn vị xử lý phụ nào đều được nhận khoản bồi thường từ đơn vị xuất dữ liệu.

2. Nếu chủ thể dữ liệu không thể đưa ra yêu cầu bồi thường theo đoạn 1 đối với đơn vị xuất dữ liệu, phát sinh từ việc vi phạm của đơn vị nhập dữ liệu hoặc đơn vị xử lý phụ của đơn vị nhập dữ liệu về bất kỳ nghĩa vụ nào được nêu tại Điều 3 hoặc Điều 11, bởi vì đơn vị xuất dữ liệu đã biến mất hoặc ngừng tồn tại một trên thực tế theo luật pháp hoặc bị phá sản, thì đơn vị nhập dữ liệu đồng ý rằng chủ thể dữ liệu có thể đưa ra khiếu nại chống lại đơn vị nhập dữ liệu như thể đơn vị nhập dữ liệu chính là đơn vị xuất dữ liệu, trừ khi bất kỳ thực thể kế thừa nào đã nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng theo quy định của pháp luật, trong trường hợp đó chủ thể dữ liệu có thể thực thi các quyền của mình đối với thực thể đó.
   
   Đơn vị nhập dữ liệu không được dựa vào một vi phạm của một đơn vị xử lý phụ đối với nghĩa vụ của họ để tránh các trách nhiệm pháp lý của chính mình.

3. Nếu một chủ thể dữ liệu không thể đưa ra khiếu nại chống lại đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu được đề cập trong đoạn 1 và 2, phát sinh từ việc vi phạm bất kỳ nghĩa vụ nào của đơn vị xử lý phụ được nêu tại Điều 3 hoặc Điều 11 vì cả đơn vị xuất dữ liệu và đơn vị nhập dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo pháp luật hoặc đã bị phá sản, thì đơn vị xử lý phụ đồng ý rằng chủ thể dữ liệu có thể đưa ra khiếu nại chống lại đơn vị phụ xử lý dữ liệu liên quan đến các hoạt động xử lý của riêng mình theo các Điều khoản như thể là đơn vị đó là đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu, trừ khi bất kỳ thực thể kế thừa nào đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu theo hợp đồng hoặc theo quy định của pháp luật, trong trường hợp này chủ thể dữ liệu có thể thực thi các quyền chống lại thực thể này. Trách nhiệm pháp lý của đơn vị xử lý phụ sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

1. Đơn vị nhập dữ liệu đồng ý rằng nếu chủ thể dữ liệu yêu cầu quyền lợi thụ hưởng bên thứ ba và/hoặc yêu cầu bồi thường thiệt hại theo Điều khoản, thì đơn vị nhập dữ liệu sẽ chấp nhận quyết định của chủ thể dữ liệu:
   
   (a) đề cập đến tranh chấp cần hòa giải, bởi một cá nhân độc lập hoặc, nếu có, bởi cơ quan giám sát;
   
   (b) đề cập đến tranh chấp với các tòa án ở Quốc gia thành viên nơi đơn vị xuất dữ liệu được thành lập.

2. Các bên đồng ý rằng lựa chọn do chủ thể dữ liệu thực hiện sẽ không ảnh hưởng đến các quyền căn bản hoặc thủ tục của mình để tìm kiếm các biện pháp khắc phục phù hợp với các quy định khác của luật pháp quốc gia hoặc quốc tế.

1. Đơn vị xuất dữ liệu đồng ý gửi một bản sao hợp đồng này đến cơ quan giám sát nếu có yêu cầu hoặc nếu việc gửi như vậy là bắt buộc theo luật bảo vệ dữ liệu hiện hành.

2. Các bên đồng ý rằng cơ quan giám sát có quyền tiến hành kiểm tra đơn vị nhập dữ liệu và bất kỳ đơn vị xử lý phụ nào có cùng phạm vi và tuân theo các điều kiện tương tự như các điều kiện sẽ áp dụng cho việc kiểm tra của đơn vị xuất dữ liệu theo luật bảo vệ dữ liệu hiện hành.

3. Đơn vị nhập dữ liệu phải thông báo kịp thời cho đơn vị xuất dữ liệu về sự tồn tại của luật pháp áp dụng cho đơn vị nhập dữ liệu hoặc bất kỳ đơn vị xử lý phụ nào ngăn chặn việc tiến hành kiểm tra của đơn vị nhập dữ liệu, hoặc bất kỳ đơn vị xử lý phụ nào, theo đoạn 2. Trong trường hợp này, đơn vị xuất dữ liệu có quyền thực hiện các biện pháp dự kiến trong Điều 5 (b).

Các Điều khoản sẽ được điều chỉnh bởi luật pháp của Quốc gia thành viên mà đơn vị xuất dữ liệu được thành lập, hoặc trong trường hợp đơn vị xuất dữ liệu được thành lập ở nhiều khu vực tài phán, sẽ được điều chỉnh bởi luật pháp của Anh và xứ Wales. 

Các bên cam kết không thay đổi hoặc sửa đổi các Điều khoản. Điều này không ngăn cản các bên bổ sung điều khoản về các vấn đề liên quan đến kinh doanh khi được yêu cầu, miễn là các phần bổ sung đó không mâu thuẫn với Điều khoản.

1. Đơn vị nhập dữ liệu không được ký hợp đồng phụ bất kỳ hoạt động xử lý nào được thực hiện thay mặt cho đơn vị xuất dữ liệu theo Điều khoản mà không có sự đồng ý trước bằng văn bản của đơn vị xuất dữ liệu. Trong trường hợp đơn vị nhập dữ liệu ký hợp đồng phụ các nghĩa vụ của mình theo Điều khoản, có sự đồng ý của đơn vị xuất dữ liệu, thì đơn vị nhập dữ liệu chỉ được thực hiện bằng một thỏa thuận văn bản với đơn vị xử lý phụ trong đó áp đặt cùng nghĩa vụ lên đơn vị xử lý phụ như được áp dụng đối với đơn vị nhập dữ liệu theo Điều khoản. Trong trường hợp đơn vị xử lý phụ không thực hiện các nghĩa vụ bảo vệ dữ liệu theo thoả thuận bằng văn bản đó, thì đơn vị nhập dữ liệu phải hoàn toàn chịu trách nhiệm đối với đơn vị xuất dữ liệu để thực hiện các nghĩa vụ của đơn vị xử lý phụ theo thỏa thuận đó.

2. Hợp đồng bằng văn bản trước đây giữa đơn vị nhập dữ liệu và đơn vị xử lý phụ cũng sẽ quy định điều khoản thụ hưởng của bên thứ ba như được quy định tại Điều 3 đối với các trường hợp chủ thể dữ liệu không thể mang yêu cầu bồi thường như nêu tại đoạn 1 của Điều 6 chống lại đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu vì họ đã biến mất hoặc đã ngừng tồn tại theo pháp luật hoặc đã phá sản và không có tổ chức kế thừa nào đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu theo hợp đồng hoặc theo quy định của pháp luật. Trách nhiệm pháp lý của bên thứ ba này sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

3. Các điều khoản liên quan đến các khía cạnh bảo vệ dữ liệu đối với việc xử lý phụ của hợp đồng nêu tại khoản 1 sẽ được điều chỉnh bởi luật của Quốc gia thành viên nơi đơn vị xuất dữ liệu thành lập.

4. Đơn vị xuất dữ liệu phải lưu giữ danh sách các thỏa thuận xử lý phụ được ký kết theo các Điều khoản và được thông báo bởi đơn vị nhập dữ liệu theo Điều 5 (j), mà sẽ được cập nhật ít nhất mỗi năm một lần. Danh sách này sẽ được cung cấp cho cơ quan giám sát bảo vệ dữ liệu của đơn vị xuất dữ liệu.

1. Các bên đồng ý rằng khi việc chấm dứt cung cấp dịch vụ xử lý dữ liệu, đơn vị nhập dữ liệu và đơn vị xử lý phụ, theo sự lựa chọn đơn vị xuất dữ liệu, trả lại tất cả dữ liệu cá nhân đã chuyển và các bản sao của dữ liệu đó cho đơn vị xuất dữ liệu hoặc sẽ phá hủy tất cả dữ liệu cá nhân và chứng nhận cho đơn vị xuất dữ liệu rằng họ đã làm như vậy, trừ khi pháp luật áp đặt khi đơn vị nhập dữ liệu ngăn không cho họ trả lại hoặc hủy tất cả hoặc một phần dữ liệu cá nhân đã chuyển. Trong trường hợp đó, đơn vị nhập dữ liệu đảm bảo rằng họ sẽ đảm bảo tính bí mật của dữ liệu cá nhân đã chuyển và sẽ không chủ động xử lý dữ liệu cá nhân đã chuyển nữa.

2. Đơn vị nhập dữ liệu và đơn vị xử lý phụ đảm bảo rằng theo yêu cầu của đơn vị xuất dữ liệu và/hoặc của cơ quan giám sát, thì đơn vị nhập dữ liệu sẽ gửi thông tin về các cơ sở xử lý dữ liệu của mình để kiểm tra các biện pháp được đề cập trong đoạn 1.

Thông tin cần thiết bổ sung nếu không có trong Phạm vi công việc kèm theo nên được bao gồm trong Phụ lục này:

Đơn vị xuất dữ liệu:
Đơn vị xuất dữ liệu là thực thể được xác định là GoDaddy, một nhà cung cấp của chương trình bán lẻ cho đơn vị nhập dữ liệu để bán lại các sản phẩm và dịch vụ nhất định của GoDaddy cho khách hàng.

Đơn vị nhập dữ liệu:

Đơn vị nhập dữ liệu là một đại lý lẻ của sản phẩm và dịch vụ của GoDaddy.

Chủ thể dữ liệu

Chủ thể dữ liệu là khách hàng.

Các danh mục dữ liệu

Dữ liệu cá nhân được chuyển liên quan đến các danh mục dữ liệu sau:

Khách hàng có thể gửi dữ liệu cá nhân cho các Dịch vụ mà có thể bao gồm, nhưng không giới hạn ở, các loại danh mục dữ liệu cá nhân sau đây:

• Tên và họ
• Email
• Số điện thoại
• Địa chỉ thực
• Hoạt động xử lý

Dữ liệu cá nhân được chuyển sẽ phải tuân theo các hoạt động xử lý cơ bản sau đây:

Đại lý bán lẻ sẽ xử lý dữ liệu cá nhân khi cần thiết để thực hiện Dịch vụ theo Thỏa thuận đại lý, và khi được khách hàng yêu cầu trong suốt quá trình sử dụng Dịch vụ.

Các biện pháp an ninh tổ chức và kỹ thuật

Đơn vị nhập dữ liệu sẽ duy trì các biện pháp bảo vệ kỹ thuật và hành chính để bảo vệ tính bảo mật, tính bí mật và tính toàn vẹn của dữ liệu khách hàng, bao gồm cả Dữ liệu cá nhân, như được nêu trong Hợp đồng bổ sung về xử lý dữ liệu này. Đơn vị nhập dữ liệu sẽ thường xuyên giám sát việc tuân thủ bằng các biện pháp bảo vệ này. Đơn vị nhập dữ liệu sẽ không làm giảm đáng kể tính bảo mật tổng thể của Dịch vụ hoặc Chương trình đại lý.