GoDaddy - 数据处理附录
最后修订日期:13/9/2024
本数据处理附录(“附录”)由您(“客户”)和/或作为通用服务条款以及您与 GoDaddy 之间达成的任何其他协议(统称为“协议”)的一方的 GoDaddy 实体执行。GoDaddy 和客户在此单独称为“一方”,统称为“双方”。本 DPA 自协议生效日期(“生效日期”)起生效,并管辖本协议下对客户个人数据的所有处理。
1.定义。除非适用的数据保护法(定义见下文)中另有定义,否则本节中列出的大写术语具有以下含义:
1.1“加盟商”是指控制一方或与一方共同控制的任何实体。“控制”是指直接或间接拥有或控制任一实体百分之五十 (50%) 或以上的表决权益。
2.数据处理范围和各方关系
1.2.“控制方”是指单独或与他人共同确定根据协议处理客户个人数据的目的和方式的自然人或法人、公共当局、机构或其他团体。
1.3“客户个人数据”是指 GoDaddy 代表客户处理的与客户使用服务有关的任何个人数据(定义见下文)。客户个人数据不包括 GoDaddy 数据。
1.4“数据保护法”是指根据本协议处理客户个人数据所适用的任何法律或法规。
1.5“数据主体”是指与特定个人数据相关的已识别或可识别的自然人。
1.6“无法识别的数据”是指无法合理识别、涉及、描述、能够与特定数据主体相关联或直接或间接链接到特定数据主体的数据。
1.7“GoDaddy 数据”是指 (a) 与 GoDaddy 的业务和服务交付有关的所有信息,包括但不限于有关客户及其员工或代表的个人数据,(b) 与客户账户、交易历史记录、服务使用和身份验证有关或与之相关的其他数据,以及 (c) 受任何适用数据保护法规定的任何限制,无法识别的数据。
1.8“个人数据”是指与已识别或可识别的自然人相关的信息,包括任何适用数据保护法中定义为个人数据、个人信息或个人身份信息(“PII”)的任何信息。个人数据不包括无法识别的数据。
1.10“处理方”是指根据协议代表控制方处理客户个人数据的自然人或法人、公共当局、机构或团体。
1.9“处理”是指对客户个人数据执行的任何操作,例如通过手动或自动方式收集、使用、存储、披露、分析、删除或修改。
1.11“敏感个人数据”是指 (a) 社会保险号、护照号、驾照号或类似标识符;(b) 信用卡或借记卡信息、财务信息、银行账号或账户密码;(c) 就业、财务、遗传、生物识别或健康信息;(d) 种族、民族、政治或宗教信仰、工会会员身份或性生活或性取向相关信息;(e) 账户密码、母亲的婚前姓氏、出生日期以及用于验证用户身份的其他类似信息;(f) 犯罪历史;(g) 用于识别特定个人的生物识别数据(例如指纹);或 (h) 属于任何适用数据保护法中“特殊类别数据”定义的任何其他信息或信息组合。
1.12“服务”是指 GoDaddy 根据本协议同意提供的涉及处理客户个人数据的产品或服务。
1.13“子处理方”是指与 GoDaddy 签订合同以处理客户个人数据的任何自然人或法人、公共当局、机构或团体。
1.14“传输”是指 (a) 将客户个人数据从控制方传输到处理方,无论是通过物理传输还是通过授予对控制方持有或以其他方式控制的客户个人数据的访问权限,或 (b) 将客户个人数据从处理方再传输到子处理方(子处理方随后再传输到另一个子处理方)。
2.1 客户作为控制方或处理方
2.1.1 如果客户是控制方,客户 (a) 全权负责确定处理客户个人数据的目的和方式,(b) 拥有向 GoDaddy 提供客户个人数据的所有必要权限、理由、权利和许可,以及 (c) 将根据适用的数据保护法履行其作为控制方的义务。
2.1.2 如果客户是处理方,客户 (a) 全权负责遵守其与客户代表其处理客户个人数据的数据控制方达成的协议;(b) 拥有控制方向 GoDaddy 提供客户个人数据的所有必要许可,并且 (c) 将遵守其在适用数据处理法中作为处理方的义务。
2.1.2 如果客户是处理方,客户 (a) 全权负责遵守其与客户代表其处理客户个人数据的数据控制方达成的协议;(b) 拥有控制方向 GoDaddy 提供客户个人数据的所有必要许可,并且 (c) 将遵守其在适用数据处理法中作为处理方的义务。
2.2 GoDaddy 作为处理方或子处理方。
2.2.1 GoDaddy 将采取一切合理必要的步骤,使客户能够履行客户在数据保护法中作为控制方和/或处理方的义务,而数据保护法与 GoDaddy 提供的服务的特征、性质、范围和目的一致。为避免疑义,GoDaddy 无需采取任何步骤来更改 GoDaddy 的服务或使其符合客户的特定用途。如果确定服务不符合客户的特定用途,客户的唯一补救措施是终止本协议中与客户个人数据处理相关的任何部分。
2.2.2 GoDaddy 将仅根据协议、本 DPA 中所述的有限和特定目的的书面指示或法律要求处理客户个人数据。
2.2.3 GoDaddy 不得出于提供服务以外的商业目的出售、保留、使用或披露客户个人数据。
2.2.4 GoDaddy 不得在本协议和本 DPA 中所述的双方直接业务关系之外处理客户个人数据。
2.2.5 除非本协议明确允许,否则 GoDaddy 不得将客户个人数据与 GoDaddy(直接或通过任何第三方)收集的任何其他数据合并。
2.2.6 如果 GoDaddy:(a) 认为客户指令违反了任何适用的数据处理法律,或 (b) 确定 GoDaddy 无法遵守任何适用的数据处理法或履行本 DPA 规定的义务,GoDaddy 将停止所有处理,并将在三 (3) 个工作日内通知客户。
2.2.2 GoDaddy 将仅根据协议、本 DPA 中所述的有限和特定目的的书面指示或法律要求处理客户个人数据。
2.2.3 GoDaddy 不得出于提供服务以外的商业目的出售、保留、使用或披露客户个人数据。
2.2.4 GoDaddy 不得在本协议和本 DPA 中所述的双方直接业务关系之外处理客户个人数据。
2.2.5 除非本协议明确允许,否则 GoDaddy 不得将客户个人数据与 GoDaddy(直接或通过任何第三方)收集的任何其他数据合并。
2.2.6 如果 GoDaddy:(a) 认为客户指令违反了任何适用的数据处理法律,或 (b) 确定 GoDaddy 无法遵守任何适用的数据处理法或履行本 DPA 规定的义务,GoDaddy 将停止所有处理,并将在三 (3) 个工作日内通知客户。
2.3.2 加盟商。
3.子处理
2.3.1 客户加盟商。就本 DPA 而言,客户加盟商向 GoDaddy 或 GoDaddy 的加盟商提供,以便代表客户和/或客户的加盟商进行处理的任何个人数据,应被视为客户个人数据,并由客户提供。客户表示,其将采取一切合理必要的措施,确保其加盟商遵守与本 DPA 有关的所有客户义务。客户有责任确保其加盟商遵守本 DPA 的所有条款。
2.3.2 GoDaddy 加盟商。就本 DPA 而言,GoDaddy 加盟商收到的任何客户个人数据均应视为已被 GoDaddy 收到。GoDaddy 表示它将采取一切合理必要的措施,确保其加盟商遵守 GoDaddy 根据本 DPA 处理客户个人数据的义务。GoDaddy 有责任确保 GoDaddy 的加盟商遵守本 DPA 的所有条款。
2.3.2 GoDaddy 加盟商。就本 DPA 而言,GoDaddy 加盟商收到的任何客户个人数据均应视为已被 GoDaddy 收到。GoDaddy 表示它将采取一切合理必要的措施,确保其加盟商遵守 GoDaddy 根据本 DPA 处理客户个人数据的义务。GoDaddy 有责任确保 GoDaddy 的加盟商遵守本 DPA 的所有条款。
3.1 客户为 GoDaddy 提供聘用子处理方的一般授权。
3.2 敬请查看我们的子处理方名单。
3.3 在将客户个人数据传输给子处理方之前,GoDaddy 将:(a) 与子处理方签订书面协议,该协议对客户数据的保护至少与本 DPA 一样;(b) 进行尽职调查,以确认子处理方能够遵守本 DPA 和数据保护法中与 GoDaddy 处理客户数据相关的重要条款,包括本 DPA 第 5、6 和 8 节以及附表 2 的信息安全要求。
3.4 GoDaddy 对其子处理方的作为和不作为负责,其中包括其子处理方的子处理方的任何作为或不作为。 3.5 新子处理方的异议权。
4.法律程序和其他第三方对客户个人数据的请求
3.2 敬请查看我们的子处理方名单。
3.3 在将客户个人数据传输给子处理方之前,GoDaddy 将:(a) 与子处理方签订书面协议,该协议对客户数据的保护至少与本 DPA 一样;(b) 进行尽职调查,以确认子处理方能够遵守本 DPA 和数据保护法中与 GoDaddy 处理客户数据相关的重要条款,包括本 DPA 第 5、6 和 8 节以及附表 2 的信息安全要求。
3.4 GoDaddy 对其子处理方的作为和不作为负责,其中包括其子处理方的子处理方的任何作为或不作为。 3.5 新子处理方的异议权。
3.5.1 如果 GoDaddy 打算指定新的子处理方,GoDaddy 将尽合理努力至少提前六十 (60) 天以书面形式通知客户,但是,如果为了维护客户个人数据的安全或遵守适用法律而需要立即指定新的子处理方,则不需要提前六十 (60) 天通知客户,GoDaddy 将在指定新的子处理方后立即通知客户。
3.5.2 如果客户对新的子处理方存在合理异议,则客户必须在指定子处理方后三十 (30) 天内以书面形式通知 GoDaddy。GoDaddy 可自行决定,GoDaddy 会尽商业上合理的努力解决客户的异议。如果双方无法在三十 (30) 天内解决客户的异议,客户可以终止本 DPA 以及本协议中与客户个人数据处理有关的任何部分。
3.5.3 如果客户在收到子处理方指定通知后三十 (30) 天内未对新的子处理方提出异议,则客户将被视为已接受新的子处理方。
3.5.4 可以通过更新第 3.2 节中所述的子处理方列表来发布新子处理方的声明。
4.1 除非响应传票、搜查令、法院命令或其他类似法律程序(统称为“法律程序”),否则 GoDaddy 不会响应政府机构、执法机构或其他人对任何客户个人数据的任何非正式请求,除非 GoDaddy 合理酌情决定此类披露是 (a) 法律要求的,(b) 为保护 GoDaddy 的系统或数据免受损害或滥用所必需的,或 (c) 为保护 GoDaddy 或任何其他人免受损害或人身伤害所必需的。
5.数据安全
4.2 除非法律禁止,否则如果 GoDaddy 收到任何要求 GoDaddy 提供客户个人数据访问权限或披露客户个人数据的法律程序,它将立即通知客户。
4.3 除非法律另有规定,否则 GoDaddy 将根据法律流程配合客户(由客户承担合理费用)进行任何努力,防止客户个人数据的披露。
5.1 GoDaddy 负责维护一个信息安全计划,其中包括适当且记录在案的技术和组织措施,以确保采用与本协议项下处理客户个人数据的风险相称的安全级别,包括适用的数据保护法要求的任何具体措施。
6. 数据安全事件
5.2 客户明确承认 GoDaddy 提供可用于保护客户个人数据的安全特性和功能。客户全权负责采取适当的基于风险的步骤来保护客户控制范围内的客户账户和客户个人数据的安全,包括使用 GoDaddy 提供的安全特性和功能。客户还全权负责确保客户在服务中放置或导致放置的所有内容不存在可能导致客户个人数据和 GoDaddy 系统受损的漏洞,包括但不限于恶意软件。GoDaddy 不负责备份客户个人数据。
5.3 客户必须遵守所有支付卡行业数据安全标准要求(“PCI-DSS”),并且只能向 GoDaddy 提供包含信用卡、借记卡或其他支付卡持卡人信息(“PCI-DSS 数据”)的客户个人数据(“PCI-DSS 数据”),这些数据与专门设计用于处理此类 PCI-DSS 数据的 GoDaddy 服务相关。如果客户使用 GoDaddy 服务在 GoDaddy 的符合 PCI-DSS 的服务产品之外处理或存储 PCI-DSS 数据,则客户应对任何违反 PCI-DSS 要求的行为承担全部责任。
5.4 除了 GoDaddy 为履行适用数据保护法规定的义务和“PCI-DSS 对符合 GoDaddy PCI-DSS 的服务的要求”规定的义务而需采取的任何措施外,GoDaddy 还将实施本 DPA 附表 2 中确定的具体技术和组织措施。
6.1 GoDaddy 为客户提供大量机会来访问和控制代表客户处理的客户个人数据。对于不是由 GoDaddy 系统受损而导致的客户个人数据的任何意外或非法破坏、丢失、更改、未经授权披露或访问,GoDaddy 概不负责。GoDaddy 概不负责的安全事件的示例包括客户未能维护其密码的保密性、下载恶意内容或由客户导致或引入服务和客户托管环境的任何其他安全漏洞。
7.数据主体权利
6.2 GoDaddy 将尽商业上合理的努力在适用法律要求的时间段内通知客户 GoDaddy 系统存在的安全漏洞,这些漏洞将导致意外或非法破坏、丢失、更改、未经授权披露或访问客户个人数据(“安全事件”)。
6.3 GoDaddy 将采取适当的、基于风险的合理必要步骤,以控制、减轻和补救安全事件,而不会造成不合理的延迟。
6.4 GoDaddy 将提供客户合理要求的信息,以评估安全事件对客户个人数据的影响,并让客户向政府机构、受影响的数据主体或任何其他人提供安全事件通知。
6.5 GoDaddy 对安全事件的确认或通知客户安全事件的决定并不意味着承认过错或责任。
7.1 客户全权负责响应根据数据保护法、客户隐私政策或客户服务条款行使数据主体权利的任何请求,包括但不限于了解、访问、更正或删除客户个人数据的请求(“数据主体请求”)。
8. 数据保护影响评估、事先协商和合规调查
7.2 除非客户有书面指示或适用法律另有要求,否则 GoDaddy 不会响应数据主体请求。
7.3 GoDaddy 将通知客户任何数据主体请求。客户全权负责响应任何数据主体请求。如果客户已用尽所有可用手段来响应数据主体请求(前提是客户同意提前支付 GoDaddy 的合理费用),GoDaddy 将为客户提供合理必要的协助,以允许客户响应数据主体请求。
8.1 数据保护影响评估;事先协商。由客户承担费用,GoDaddy 将为客户提供合理的协助,以就客户个人数据的处理进行任何数据保护影响评估并与政府机构或监管机构进行协商。
9.特定于司法管辖区的要求和个人数据的国际传输
8.2 合规调查。客户可以定期要求提供合理必要的信息,以确认 GoDaddy 是否遵守适用数据保护法规定的义务。如果 GoDaddy 未能在四十五 (45) 天内响应客户的请求,客户可以终止本协议。为避免疑义,本 DPA 中的任何内容均未赋予客户对 GoDaddy 的业务、系统或服务进行审计的权利。GoDaddy 在本节下的义务仅限于向客户提供合理必要的信息,以确认 GoDaddy 是否遵守适用数据保护法规定的义务。
9.1 根据本 DPA 处理客户个人数据可能涉及受一项或多项数据保护法监管的客户个人数据处理和/或可能涉及客户个人数据的国际传输。
10.通用
9.2 如果客户个人数据来自美国,则适用本 DPA 附表 3(第 1 节)中规定的与美国数据保护法相关的条款。
如果客户个人数据来自欧盟/欧洲经济区(“EU/EEA”)、英国(“UK”)或瑞士,或者如果客户在一个或多个司法管辖区开展业务,则适用与本 DPA 附表 3(第 2 节)中规定的适用欧盟/欧洲经济区、英国和/或瑞士数据保护法相关的条款。
9.4 如果需要有效的国际数据传输机制(“强制传输机制”)合法地传输客户个人数据,则适用本 DPA 附表 4 中规定的条款。
10.1 完整协议;解释。本 DPA 构成双方之间就本 DPA 的主题达成的完整协议,并取代双方之间关于本 DPA 主题的所有先前或同期的书面或口头陈述、共识、协议和通信。如果本 DPA 与协议(或双方之间的任何其他协议)发生冲突,则本 DPA 将管辖和控制本 DPA 的主题。如果本 DPA 的任何条款与附表 4 中所述的强制转移条款之间存在冲突,则以这些强制转移条款为准。
附表 1:处理客户个人数据的详细信息
10.2 修正。本 DPA 可由 GoDaddy 根据本协议规定的程序自行决定修改或修正。如果客户不同意此类修正,客户的唯一补救措施是终止本协议中与处理客户个人数据相关的部分,但这需要提前 30 天进行通知。除非双方明确书面同意,否则本协议的任何修正仅对此类修正日期之后发生的处理有效。
10.3 弃权。对任何违反本 DPA 行为的弃权只有在放弃此类违约行为的一方的授权代表以书面形式表示时才有效,并且此类弃权不得解释为对任何后续违约行为的弃权。
10.4 可分割性条款。如果发现本 DPA 的任何条款不可执行,则应在必要的程度上修改该条款以使其可执行,本 DPA 的其余部分应按书面形式继续有效。但是,如果修改任何不可执行的条款将导致本 DPA 的基本目的未能实现,则除非根据第 10.2 节进行修订,否则整个 DPA 应被视为无效。
10.5 声明。除非本文明确规定,否则本 DPA 要求的声明将根据协议中规定的声明要求提供。
10.6 责任。本 DPA 不为任何一方或任何其他人提供任何依据来追讨除本协议中规定的损害赔偿之外的任何类型的损害赔偿,并受其中规定的所有限制的约束。
10.7 执行。本 DPA 的条款只能由双方代表他们自己及其各自的加盟商根据协议中规定的争议解决条款执行。但是,此执行限制对个人数据主体根据数据保护法执行其权利的能力没有影响。
10.8 终止。除非根据本协议或本 DPA 的任何其他适用条款或任何适用的数据保护法提前终止,否则本 DPA 应在处理完成或协议终止时终止,以较晚者为准。本 DPA 终止后,GoDaddy 将根据协议和本 DPA 的条款返回、删除或去识别化客户个人数据,除非 GoDaddy 被要求根据适用法律维护客户个人数据。如果在协议终止后,GoDaddy 被要求保留客户个人数据,GoDaddy 将继续遵守本 DPA 中与处理客户个人数据相关的义务,并在法律不再要求保留后立即返回或删除任何此类客户个人数据。
10.9 管辖法律和司法管辖区。本 DPA 受本协议中规定的法律管辖,除非数据保护法另有要求,在该情况下,数据保护法规定的司法管辖区的法律将适用。本 DPA 的任何条款均不得视为限制任何人在任何适用的数据保护法中的权利或义务。
本附表 1 包括数据保护法要求的处理客户个人数据的详细信息。
客户个人数据处理的主题和持续时间:
客户个人数据处理的主题和持续时间在协议中进行了描述。
客户个人数据处理的性质和目的:
GoDaddy 在处理客户个人数据时被合理要求提供本协议中所述的服务。
个人数据类型和数据主体类别:
客户个人数据的类型和数据主体的类别由客户和/或自行决定向客户提供客户个人数据的控制方控制。
敏感数据或特殊类别的数据:
敏感数据可能会时不时地根据协议进行处理。根据本协议处理的敏感数据类型由客户和/或向客户提供敏感数据的控制方自行决定。
控制方的义务和权利:
客户的义务和权利在协议和本 DPA 中进行了描述。
附表 2:技术和组织安全措施1.适用性
1.1 本附表 2 的要求适用于 GoDaddy 和 GoDaddy 用于提供服务和/或处理客户个人数据的任何子处理方(包括但不限于任何云服务提供商)。
1.2 如果 GoDaddy 使用任何子处理方提供服务和/或处理客户个人数据,GoDaddy 应确保该子处理方遵守本附表的各项要求。
2.信息隐私和数据安全管理
2.1 风险管理流程。GoDaddy 应保持适当的风险管理流程,以制定、评估、响应和监控客户个人数据的风险,从而履行 GoDaddy 在协议、DPA 和适用法律中的义务。
2.2 信息安全计划范围。至少,GoDaddy 的信息安全计划,包括所有适用的隐私和数据保护政策,应旨在:
2.2.1 保护 GoDaddy 拥有或控制或 GoDaddy 有权访问的客户个人数据的机密性、完整性和可用性;
2.2.2 防范对客户个人数据的机密性、完整性和可用性的合理预计的威胁或危害。
2.3 信息安全计划更新。GoDaddy 将根据适合 GoDaddy 处理的客户个人数据的类型、数量和敏感性的行业标准惯例和框架,定期审查和更新其信息安全计划。
2.4 风险评估和测试。GoDaddy 将定期对所有处理客户个人数据的系统进行风险评估,并将在 GoDaddy 合理认为有必要时定期对用于提供服务的应用程序和基础设施进行第三方渗透测试。
2.5 连续性和弹性。GoDaddy 将采取适当措施保护其处理客户个人数据的系统的完整性和可用性,包括性能和可用性监控、冗余和弹性系统设计、不间断电源的使用、DDoS 保护、负载和压力测试以及其他类似措施。3.组织安全
3.1 问责制。GoDaddy 将制定和实施书面信息安全政策和程序,明确定义在 GoDaddy 内保护客户个人数据的责任,包括指定一个或多个特定个人负责管理 GoDaddy 的信息安全计划并保护客户个人数据。
3.2 资产管理和控制。GoDaddy 将维护资产管理政策和资产控制,包括资产分类以及用于提供服务和/或处理客户个人数据的设备和系统清单。
3.3 物理安全。GoDaddy 还应实施基于风险的控制,以维护其设施的物理安全,包括实施合理措施,以确保只有授权用户才能访问 GoDaddy 的电子设备、网络、关键系统、应用程序、服务器机房、通信室和工作环境。在适当情况下,GoDaddy 可以采取的措施包括但不限于警报、闭路电视监控、访客访问管理以及销毁物理设备上的个人数据然后进行处置/回收。
4.安全运维
4.1 安全系统配置。GoDaddy 将建立控制措施,确保用于提供服务和/或处理客户个人数据的系统得到安全配置。
4.2 漏洞和补丁管理。GoDaddy 将建立和维护漏洞和补丁管理系统,确保用于提供服务和/或处理客户个人数据的所有系统在合理的时间内根据补丁的极度重要性和客户个人数据的敏感性,针对已知的安全漏洞进行修补。
4.3 恶意软件防护。GoDaddy 将实施检测、预防和补救控制措施,以防止恶意软件(包括适当的用户意识程序)入侵。
4.4 日志记录和审核。GoDaddy 将采用日志管理程序,该程序使用基于风险的行业标准定义日志的范围、创建、存储、分析和处置。
4.5 安全事件检测和响应。GoDaddy 将按照协议第 6 节的要求维护基于风险的系统来检测安全事件,包括使用入侵检测和入侵防御系统。
5.培训
GoDaddy 将确保其人员定期接受关于其与客户个人数据相关的保密和数据保护义务的培训。
6.访问控制
6.1 唯一标识。GoDaddy 会将个人唯一用户凭据分配给有权访问客户个人数据的人员,包括但不限于具有管理访问权限的人员。
6.2 密码管理。GoDaddy 将实施密码管理策略和程序,包括集中式密码管理和密码策略。
6.3 多因素身份验证。GoDaddy 将实施多因素身份验证,以远程访问用于处理和/或存储客户个人数据的网络、系统或应用程序。
6.4 最小特权。GoDaddy 将客户个人数据访问权限限制为受适当保密义务约束且出于提供服务的目的而“需要知道”或“需要访问”的人员。
7.数据安全控制措施
7.1 数据隔离。GoDaddy 将在逻辑上独立且安全的环境中维护客户个人数据。
7.2 加密和其他措施。GoDaddy 将采用适当的基于风险的措施来保护客户个人数据,包括加密、假名化和其他适当措施,例如采用算法对机密进行哈希处理,包括用于访问包含客户个人数据的系统的密码和 API 令牌。
附表 3:特定于司法管辖区的条款
1.美国
1.1 加利福利亚州。
1.1.1 定义。
1.1.1.1 以下术语根据加州数据保护法中规定的定义进行具体定义:“企业”、“商业目的”、“服务提供商”、“出售”、“共享”和“第三方”。
1.1.1.2“客户个人数据”一词包括已识别或可识别的自然人或家庭的个人信息。
1.1.2 双方的职能。
1.1.2.1 如果根据适用的加州数据保护法,客户被视为企业,则对客户在本 DPA 中作为控制方的权利和义务的所有引用也应被视为对客户作为企业的权利和义务的引用。如果根据适用的加州数据保护法,客户被视为服务提供商,则对客户在本 DPA 中作为处理方的权利和义务的所有引用也应被视为对客户作为服务提供商的权利和义务的引用。
1.1.2.2 如果根据加州数据保护法,GoDaddy 被视为服务提供商或第三方,则对 GoDaddy 在本 DPA 中作为处理方或子处理方的权利和义务的所有引用也应被视为对 GoDaddy 作为服务提供商或第三方(如适用)的权利和义务的引用。
1.2 美国各州(包括加利福尼亚州)。
1.2.1 GoDaddy 不得 (a) 出售或共享客户个人数据,(b) 出于本协议规定的业务目的以外的任何目的保留、使用或披露客户个人数据,或 (c) 在 GoDaddy 与公司之间的直接业务关系以外保留、使用或披露任何客户个人数据。
1.2.2 GoDaddy 对客户个人数据的访问不是双方根据本协议交换的考虑因素之一。
1.2.3 客户有权采取合理措施:(a) 验证 GoDaddy 是否以符合本 DPA 的方式处理客户个人数据,包括行使 DPA 第 8 节中规定的权利;(b) 要求停止和补救 GoDaddy 违反 DPA 条款执行的处理活动;(c) 采取任何其他合理步骤(由客户自行决定)以确保 GoDaddy 遵守本 DPA。如果 GoDaddy 无法或不愿意根据第 1.2.3 条依从客户提出的合理要求,客户的唯一补救措施是终止本 DPA 以及本协议中与客户个人数据处理相关的部分。
1.2.4 GoDaddy 证明其理解并将遵守数据保护法和本 DPA 规定的义务,包括与处理客户个人数据相关的所有限制。
2. 欧盟/欧洲经济区
2.1 子处理方
当 GoDaddy 聘用子处理方时,它将:
2.2 监管处罚责任。尽管本 DPA 或协议中规定了任何其他条款(包括任何一方在本协议中的赔偿义务),任何一方均不对任何监管机构或政府机构对另一方开具或征收的任何罚款负责,包括欧盟 GDPR 第 83 条规定的任何罚款。2.1.1.1 要求子处理方遵守 DPA 第 5、6 和 8 节以及 DPA 附表 2 中规定的适合子处理方处理性质的技术和组织措施,包括但不限于欧盟一般数据保护条例(“GDPR”)第 28 条要求的所有技术和组织措施;
2.1.1.2 要求子处理方书面同意仅在 (a) 欧盟/欧洲经济区、(b) 欧洲委员会已宣布提供“充分”数据保护的国家/地区处理客户个人数据,或 (c) 根据附表 4 中规定的关于客户个人数据国际传输的条款处理客户个人数据。
3.瑞士
3.1 当 GoDaddy 聘用子处理方时,它将:
3.1.1 要求子处理方遵守 DPA 第 5、6 和 8 节以及附表 2 中规定的适合子处理方处理性质的技术和组织措施,包括但不限于 GDPR 第 28 条要求的所有技术和组织措施;
3.1.2 要求子处理方书面同意仅在 (a) 瑞士、(b) 欧盟/欧洲经济区、(c) 欧洲委员会已宣布提供“充分”数据保护的另一个国家/地区处理客户个人数据,或 (d) 根据附表 4 中规定的关于客户个人数据国际传输的条款处理客户个人数据。
3.2 如果从瑞士传输客户个人数据受欧盟标准合同条款(定义见附表 4)的约束,则以下修正适用:
3.2.1 对“成员国”的引用将被解释为包括瑞士;
3.2.2 如果传输受联邦数据保护法(“FADP”)的约束,则对“法规 (EU) 2016/679”的引用将被视为对 FADP 的引用。
3.3 在 FADP 要求的范围内,欧盟标准合同条款将被视为包括与法律实体相关的数据作为客户个人数据。4. 英国
4.1 对“GDPR”的引用将被视为对英国相应法律和法规的引用,包括但不限于英国 GDPR 和 2018 年英国数据保护法。
4.2 当公司聘用子处理方时,它将:
附表 4:国际强制性跨境传输机制
4.2.1 要求子处理方遵守 DPA 第 5、6 和 8 节以及附表 2 中规定的适合子处理方处理性质的技术和组织措施,包括但不限于英国 GDPR 第 28 条要求的所有技术和组织措施;
4.2.2 要求子处理方书面同意仅在 (a) 英国、(b) 欧盟/欧洲经济区、(c) 英国已宣布提供“充分”数据保护的另一个国家/地区处理客户个人数据,或 (d) 根据附表 4 中规定的关于客户个人数据国际传输的条款处理客户个人数据。
1. 定义
1.1“数据隐私框架(“DPF”)是指由美国商务部运作的欧盟-美国、瑞士-美国或英国-美国数据隐私框架认证计划商务部 [www.dataprivacyframework.gov](www.dataprivacyframework.gov)。
1.2“英美数据桥”是指欧盟-美国数据隐私框架的英国扩展。
1.3“欧盟标准合同条款”是指欧盟委员会批准并附在 2021 年 6 月 2021/914 号决定附件中的标准合同条款。
1.4 英国信息专员发布的英国国际数据传输协议(“UK IDTA”)版本 B1.0 被视为自协议生效之日起由双方执行,欧盟标准合同条款被视为按英国 IDTA 就从英国传输数据制定的规定进行修订。
2.优先顺序
2.1 如果传输至客户个人数据传输来源国家/地区的数据保护法认为提供足够数据保护水平的国家/地区,则不使用强制传输机制。
2.2 如果需要传输,并且此类传输可以采用多个强制传输机制,则该传输将按照以下优先顺序采用一个强制传输机制:(a) 适用的欧盟或瑞士 DPF;(b) 英美数据桥;(c) 欧盟标准合同条款;(d) 英国 IDTA;(e) 适用的数据保护法允许的任何其他适用的强制传输机制。
2.3 如果强制传输机制在本协议执行后被视为无效,则所有未来传输将被视为由下一个适用的有效强制传输机制执行。
3. 数据隐私框架
3.1 自行认证。
3.1.1 GoDaddy 的认证。GoDaddy 表示它根据 DPF 自行认证。GoDaddy 同意 (a) 为任何客户个人数据提供至少与 DPF 数据隐私原则所要求的相同级别的保护;(b) 如果 GoDaddy 对 DPF 的认证被撤回、终止、撤销或以其他方式失效,则立即以书面形式通知客户;(c) 在收到客户书面通知后,采取合理和适当的步骤来阻止和补救任何未经授权处理客户个人数据的行为。
3.1.2 公司认证。如果公司根据 DPF 进行认证,则公司同意 (a) 为任何个人数据提供至少与 DPF 数据隐私原则所要求的相同级别的保护;(b) 如果公司对 DPF 的认证被撤回、终止、撤销或以其他方式失效,则立即以书面形式通知 GoDaddy;(c) 在书面通知 GoDaddy 后,采取合理和适当的步骤来阻止和补救任何未经授权处理客户个人数据的行为。
3.2 状态
3.2.1 欧盟-美国 DPF。根据 2023 年 7 月 10 日的充分性决定,欧盟委员会认为欧盟-美国 DPF 提供了足够的数据保护,该 DPF 自 2023 年 10 月 10 日起生效。
3.2.2 英美数据桥。英国科学、创新和技术部大臣认为英美数据桥提供了足够的数据保护,该大臣已于 2023 年 9 月 21 日在议会制定了充分性法规。英美数据桥法规自 2023 年 10 月 12 日起生效,适用的传输将自该日起根据英美数据桥执行。
3.2.3 瑞士-美国 DPF。瑞士-美国 DPF 尚未生效。
3.3 公司和公司的子处理方将采取一切必要措施,使 GoDaddy 遵守其在 DPF 中作为控制方和/或处理方的义务,包括但不限于协助 GoDaddy 和/或控制方响应个人行使其数据主体权利的请求。3.2.3.1 双方同意,鉴于本 DPA 的条款与瑞士 DPF 或其生效时的合理类似条款一致,则适用的从瑞士传输客户个人数据的情况应被视为根据瑞士 DPF 进行传输。
3.2.3.2 如果瑞士 DPF 要求在本 DPA 中添加任何进一步的条款,双方同意此类条款应自动纳入,而无需双方采取进一步行动;前提是此类附加条款不会对任何一方施加任何额外的实质性义务或严重损害本协议的原始条款和条件。
3.2.3.3 如果附加条款不能自动添加到本 DPF,可以修改本 DPA 以允许根据瑞士 DPF 进行传输。
3.2.3.4 尽管本 DPA 有任何其他条款,但本 DPA 中的任何内容均不得限制或以其他方式影响双方根据另一种合法数据传输机制传输个人数据的能力。
4. 欧盟标准合同条款
4.1 对于需根据欧盟标准合同条款从欧盟/欧洲经济区和瑞士传输个人数据的情况,模块二(从控制方到处理方)或模块三(从处理方到处理方)适用,具体取决于 GoDaddy 是要传输的客户个人数据的控制方还是处理方。
4.2 关于欧盟 SCC 的模块二和模块三:
4.2.1 在第 7 条中,可选的对接条款将不适用。
4.2.2 在第 9 条中,选项 2 将适用,提供通知的流程和对子处理方变更的异议期限将如 DPA 第 3 节所述。
4.2.3 在第 11 条中,可选语言将不适用。
4.2.4 在第 17 条(选项 1)中,欧盟标准合同条款将受德国内部法律管辖。
4.2.5 在第 18(b) 条中,与 DPA 有关的争议应在德意志联邦共和国解决。
4.3 就附件 I 第 A 部分而言:
4.3.1 数据输出者
4.3.1.1 数据输出者将是公司。
4.3.1.2 可以通过本协议声明条款中规定的地址与公司联系。
4.3.1.3 通过签订本 DPA,公司被视为自协议生效之日起已签署这些欧盟标准合同条款,包括其附件。
4.3.2 数据输入者
4.3.2.1 数据输入者将是 GoDaddy 和/或 GoDaddy 的授权加盟商。
4.3.2.2 可以通过本协议声明条款中规定的地址或 privacy@GoDaddy.com 与 GoDaddy 联系。
4.3.2.3 通过签订本 DPA,GoDaddy 被视为自协议生效之日起签署了这些欧盟标准合同条款,包括其附件。
4.4 就附件 I 第 B 部分而言:
4.4.1 数据主体的类别在附表 1 中进行了描述。
4.4.2 传输的敏感数据(如有)在附表 1 中进行了描述。
4.4.3 传输频率是协议和 DPA 的期限。
4.4.4 处理性质在附表 1 中进行了描述。
4.4.5 处理目的在附表 1 中进行了描述。
4.4.6 处理期限在附表 1 中进行了描述。
4.5 就附件 I 第 C 部分而言,根据第 13 条,主管监管机构的定义如下:
4.5.1 对于从欧盟/欧洲经济区传输个人数据的情况,监管机构是北莱茵-威斯特法伦州数据保护和信息自由专员。
4.5.2 在相关传输或再传输受瑞士数据保护法律和法规管辖的前提下,瑞士联邦数据保护和信息专员应作为主管监管人。
4.6 在欧盟标准合同条款的附件 II 中,附表 2 包含公司作为数据输入者根据 DPA 实施的技术和组织措施。
4.7 在欧盟标准合同条款的附件 III 中,查看公司的子处理方的名单。5. 英国国际数据传输协议
5.1 英国 IDTA 适用于将客户个人数据从英国传输到英国以外的任何国家/地区的情况,该国家/地区未被主管的英国监管机构或政府机构认可为提供足够的个人数据保护。
5.2 对于受英国 IDTA 约束的传输,英国 IDTA 被视为由双方签订并按如下方式完成:
5.2.1 在 IDTA 的表 1 中,双方的详细信息和关键联系信息位于本附表 4 第 4.3 节中。
5.2.2 在 IDTA 的表 2 中,有关附加英国 IDTA 的欧盟标准合同条款、模块和选定条款版本的信息位于本附表第 4 节中。
5.2.3 在英国 IDTA 的表 3 中:
5.2.3.1 缔约方名单位于本附表 4 的第 4.3 节。
5.2.3.2 传输说明载于附表 1。
5.2.3.3 附件 II 位于附表 2。
5.2.3.4 公司的子处理方名单位于附表 5。
5.2.3.5 在英国 IDTA 的表 4 中,GoDaddy 和公司都可以根据其条款终止英国 IDTA。
5.3 就相关传输受英国数据保护法律和法规管辖而言,英国信息专员应作为主管监督机构。
5.4 冲突。如果欧盟标准合同条款或英国 IDTA 与本数据处理附录中的任何其他条款之间存在任何冲突或不一致,则以欧盟标准合同条款或英国 IDTA 的规定(如适用)为准。