此经销商数据处理附录(“DPA”)构成 GoDaddy.com, LLC(在协议项下,则包括其附属实体)(“GoDaddy”)与您(“经销商”)之间执行的协议的一部分,目的是通过 GoDaddy 的经销商计划销售 GoDaddy 的产品和服务(“服务”),并适用于经销商代表 GoDaddy 处理的任何个人信息。经销商代表其自身以及在适用的数据保护法律法规要求的范围内,以其名义和代表授权的关联方名义受本 DPA 约束。此处未定义的所有大写术语均具有协议中规定的含义。术语“我们”、“我们的”指的是 GoDaddy。术语“您”、“您的”或“经销商”指的是接受本协议的任何个人或实体。本协议中的规定不应被视为赋予任何第三方权利或权益。本 DPA 在您的电子验收之日起生效并具有约束力。
DPA 由两 (2) 个不同的部分组成,其适用情况如下:
- 数据隐私与安全标准和要求:数据隐私与安全标准和要求的应用。适用于在参与经销商计划的性质和范围内有权访问和处理 PII(如“此处定义”)的所有经销商。
- 标准合同条款(及相关附录 1 与 2):标准合同条款的适用性。标准合同条款将适用于在欧洲经济区以外转移的客户数据,可以直接或通过转发向任何未被欧盟委员会认可的国家提供足够的个人数据保护(如 GDPR 中所述)。标准合同条款不适用于未在欧洲经济区以外直接或通过转发传输的客户数据。尽管有上述规定,但如果数据根据公认的合规标准传输,以便在欧洲经济区以外(如欧盟美国和瑞士美国的隐私保护服务框架)合法转让个人数据(如 GDPR 中定义的),则标准合同条款将不适用。
数据隐私和安全 SLA
1.主题内容与适用范围
此数据隐私和安全 SLA(“安全 SLA”)已附加并纳入本协议,为确保您以安全的方式处理您收集或使用的任何 PII(如下所定义),并遵守协议条款、本安全 SLA 以及适用的法律法规。
2.优先顺序。
此安全 SLA 已纳入并构成本协议的一部分。本协议条款适用于本安全 SLA 未解决的任何事项。关于双方相互之间的权利和义务,如果协议条款与本安全 SLA 之间存在冲突,则以本安全 SLA 的条款为准。如果安全 SLA 条款与标准合同条款之间存在冲突,则以标准合同条款为准。
3.个人信息。
- “PII”或“个人信息”指的是以任何与识别或可识别的自然人或家庭有关的任何格式或形式的信息。可识别的自然人指的是可以直接或间接是通过参考以下信息识别身份的个人:姓名、地址、社会安全号码或其他识别号码、电子邮件地址、电话号码、财务状况、信用卡信息、驾驶员许可证号码,或可以合理地与特定个人、电脑或设备相关联的其他信息(例如,通过 IP 地址的跟踪技术收集的信息),或与一个或多个特定于该人的身体、生理、遗传、精神、经济、文化或社会身份的因素有关的其他信息。
- 为了本 DPA 的目的而进行的处理应包括收集、记录、组织、构造、存储、改编或更改、检索、咨询、使用、公开、传播或以其他方式提供、组合、限制、擦除或销毁 PII。
- GoDaddy 仅出于代表 GoDaddy 执行服务而向您披露 PII,并且您只能出于本协议和我们的书面指示中所述的有限和特定目的处理 PII,不得用于其他目的 目的,包括将欧盟个人的 PII 转移到欧盟以外,除非欧盟或欧盟成员国法律要求这样做(在这种情况下,您必须在这样做之前立即通知我们,除非根据法律禁止通知我们)。
- 您不得:(i) 出售个人身份信息;(ii) 除提供服务外,出于商业目的保留、使用或披露 PII;(iii) 在您与 GoDaddy 之间的协议之外保留、使用或披露 PII。
- 您承认并确认,未将 PII 作为本协议项下提供给 GoDaddy 的任何服务的对价进行披露。不得出售任何 PII,请参考《2018 年加州消费者隐私法案》(修订版)(“CCPA”)对“销售”做出的定义。您特此证明,您了解 CCPA 的规则、要求和定义,而且理解本 DPA 中列出的各项限制。您同意不采取任何根据 CCPA 和任何其他适用法律,与您进行的任何 PII 转移均被视为“销售个人信息”的行为。
- 您可以依照本 DPA 的条款和 GDPR(如下定义)第 44 至 49 条的要求,仅将与欧盟个人有关的 PII 转移到欧盟以外(或如果该 PII 已经在欧盟之外,则转移到也在欧盟以外的任何第三方)。
- 如果您认为我们的说明违反了所有适用数据保护法律和法规,包括欧盟数据保护法律(如下定义),则必须立即通过 privacy@godaddy.com 通知我们。
- 您必须将所有 PII 严格保密,并且必须向处理 PII 的所有员工或认可的代理商告知 PII 的机密性质,确保所有此类人员或机构均已签署适当的机密性协议以确保 PII 的机密。
- 在您根据本协议接受、维护、处理或以其他方式获得与经销商计划相关的 PII 的情况下,您确认并同意您有责任保持适当的组织和安全措施来保护此类 PII。您必须根据所有适用的隐私和数据保护法保护和捍卫此类个人身份信息,包括但不仅限于欧洲议会和理事会 2016 年 4 月 27 日关于保护自然人及处理个人数据和自由移动此类数据的欧盟法规 2016/679(“通用数据保护条例”或“GDPR”),以及相关的欧盟成员国立法或法规(合称“欧盟数据保护法”)和 CCPA。
- 第 3.7 节中引用的适当组织和安全措施应酌情包括(但不限于):
- 以下第 3 节和第 4 节中列出的那些措施;
- 采取措施确保只有获得授权的个人出于协议中所述的目的才能访问 PII;
- PII 的假名和加密;
- 确保您的处理系统和服务的持续保密性、完整性、可用性和灵活性;
- 及时恢复 PII 的可用性和访问权限的能力;
- 定期测试、评估和评定确保 PII 处理安全性技术和组织措施有效性的过程;以及
- 辨识系统的 PII 处理漏洞的措施。
- 如果您与任何分包商、供应商或其他第三方签订合同以促进履行协议下的义务,您必须 (i) 获得我们的事先书面同意;(ii) 与相关第三方签订书面协议,确保该方遵守本 DPA 和协议条款。
- 尽管根据第 1.11 节我们给予了任何授权,但任何分包商、供应商或其他第三方如未能履行本 DPA(或为了对第三方施加与本 DPA 规定由您承担的义务相同的义务而实施的类似合同安排)或适用的隐私法规定的义务,您仍将承担全部责任。
- 您将捍卫、维护和保护我们免受以下损害,并承担一切相关责任、费用、成本和损失:任何 PII 的临时或永久的意外、非法使用、不可用、丢失、破坏、未经授权泄露或访问、盗窃或泄露、以及任何其他违反适用数据保护法规及违反本 DPA 的情况。
- 如果您发现您已收到我们的机密信息或 PII,而这些信息或 PII 本来不旨在由您接收或根据本协议授权予您来接收,您必须 (i) 立即通过 privacy@godaddy.com 通知我们,并且 (ii) 除非另有书面指示,否则请保留信息,直到 privacy@godaddy.com 与您联系,提供有关如何处理此类信息的说明。
4.影响评估和安全审核
- 数据保护影响评估。您必须协助我们进行数据保护影响评估,以最大限度地降低并确定协议下关于经销商计划的任何隐私或安全风险。
- 定期审核。我们保留定期审核(或在我们的指导下邀请第三方审核)您遵守本 DPA 的权利。
- 事件后审核。如果出现经销商安全漏洞,我们可能会进行安全审核,以确保不会影响 PII。您将获得 90 天的时间来回复通过审核发现的任何问题。一旦确定问题得到解决,我们可以进行安全审核,以确保完成决议。
- 违规通知。如果您因任何原因无法履行本 DPA 中的任何承诺,您必须立即通知我们。在这种情况下,您必须表明是否能够快速解决任何问题而不会危及任何 PII 的安全性。如果不能,我们可以选择立即终止协议、惩罚或进一步对您追究责任。
5.安全事件响应
- 通知时间。您将在发现任何与您的服务和/或 PII 相关的安全事件后立即与我们沟通,并将就此事件可能/将对我们或 PII 产生的任何影响提供即时反馈。您将尽最大努力在发现此类事件后立即通知我们安全事件,但无论如何不得迟于您检测到事件后 1 小时。就本 DPA 而言,事件还应包括:
- 根据适用法律(包括《欧盟数据保护法》)关于行使个人权利的投诉或请求;
- 政府官员、监管机构或执法机构对 PII 进行调查或没收,或者有迹象表明打算进行此类调查或没收;
- PII 的任何暂时或永久、偶然或非法的不可用、丢失、破坏、未经授权披露或访问、盗窃或破坏;及
- 任何违反本 DPA 中规定的安全性和/或保密义务的行为。
- 通知格式和内容。有关安全漏洞的通知将通过电话 (480) 505-8809 通知我们的网络运营中心(NOC),然后再以书面通知发送至 securitybreach@godaddy.com。在通知电话期间,您必须提供以下信息,而在书面通知中,若获得更多信息,尽最大可能提供进一步的更新:
- 事件性质的描述以及事件可能造成的后果;
- 预计的解决时间(如果知道);
- 对为解决事件而采取或提议采取的措施的说明,包括减轻其可能对我们、PII 或相关个人造成不利影响的措施;
- 如果在致电时不清楚解析路径,则必须澄清该路径尚未确定;
- 受事件潜在影响的 PII 和个人的类别和大概数量,以及事件对 PII 及相关个人可能造成的后果;及
- 我们可以联系以获取事件更新的经销商代表的姓名和电话号码。
- 安全资源。在与您达成共识后,我们可以从我们的安全组提供资源,以协助发现已发现的安全漏洞。您同意根据欧盟数据保护法或任何其他法定、监管、行政或合同违约通知义务,协助履行违规通知的义务。
6.加密
- 专有加密。您与分包商、供应商或其他第三方之间的安全交易以及我们的机密信息或 PII 的存储,可能不会使用您在内部开发的任何加密算法。应用程序基础结构所使用的任何对称、非对称或散列算法都将使用已由一般密码社区发布和评估的算法。
- 加密强度。加密算法必须是当前的行业标准技术并且具有足够的强度,例如 AES。SHA-256 或 RSA 公钥加密。
- 4.3 哈希函数。散列函数将是 SHA-256 与 MD-5、SHA-2、SHA-3 或类似程序中的至少一个的组合,不包括 SHA-1。如果要使用备用散列函数,必须获得我们的信息安全团队的明确批准,并且必须至少附带一个经过批准的算法。
7.处理 PII
- 遵守法律。在适用的情况下,您将协助我们履行义务,并回应其 PII 正在根据协议进行处理的个人的请求,以及希望根据“欧盟数据保护法”行使其权利的个人的请求,包括(但不限于):(i) 访问权;(ii) 数据可移植性的权利;(iii) 删除权;(iv) 整改权;(v) 反对自动决策的权利;或 (vi) 反对处理的权利。
- 删除/销毁。在我们的要求下,或者在没有我们的请求的情况下,只要在协议终止后,您必须使用加密擦除(NIST SP-800-88r1)或同等方法安全地删除/销毁或归还所有 PII 并覆盖用于其存储的实体驱动器,以及销毁或归还任何现有的副本给我们。
标准合同条款
根据第 95/46 /EC 号指令第 26(2) 条的规定,针对个人数据传输给在第三国家建立的处理者,其数据不能保证足够的数据保护水平
数据输出者:GoDaddy.com, LLC 及其附属实体
和
数据输入者:受协议条款约束并参与经销商计划的指定经销商。
“方”是指一方;“各方”和“双方”是指多方,
已经同意以下合同条款(条款),以便就保护个人隐私权和基本权利及自由达成适当的保护措施,以便数据输出者向数据输入者转移附录 1 中规定的个人数据。
定义
就条款适用:
(a) '个人数据','特殊数据类别','处理/处理','控制者','处理者','数据当事人'及'监督当局'应与 1995 年 10 月 24 日欧洲议会和理事会针对保护个人在处理个人数据和自由移动这些数据方面的指令 95/46/EC 中的含义相同;
(b) “数据输出者”是指传送个人数据的控制者;
(c) “数据输入者”是指同意根据其指示和条款条款,从数据输出者处接收个人数据,以便其在转移后代表处理该等数据的处理者。数据输入者不受制于指令 95/46/EC 第 25(1) 条含义范围内,第三国系统需要确保提供充分保护的要求;
(d) “副处理者”是指数据输入者所使用的任何处理者,或数据输入者的任何其他副处理者。副处理者同意从数据输入者或数据输入者的任何其他副处理者接收个人数据;此等数据是按照其指示、条款要求和书面分包合同的条款收取,并专门用于在转移后代表数据输出者进行处理;
(e)“适用的数据保护法”是指该立法保护个人的基本权利和自由,特别是在处理适用于建立数据输出者的成员国的数据控制者的个人数据方面的隐私权;
(f) “'技术和组织安全措施”是指旨在保护个人数据免受意外或非法破坏或意外丢失、变更、未经授权披露或访问的措施,特别是在处理涉及通过网络传输数据及所有其他非法形式的情况下。
转移的详细信息
转移的细节,特别是适用的个人数据的特殊类别在附录 1 中有详细说明,该附录是条款的组成部分。
条款 3第三方受益人条款
-
作为第三方受益人,数据当事人可以对数据输出者执行本条款、条款 4(b) 至 (i)、条款 5(a) 至 (e) 和 (g) 至 (j)、条款 6(1) 和 (2)、条款 7、条款 8(2) 和 条款 9 至 12,条作为第三方受益人。
-
如果数据输出者实际上已经消失或不再存在,除非任何继承实体已经通过合同或依法运作承担了数据输出者的全部法律义务, 数据当事人应承担数据输出者的权利和义务(在此情况下,数据当事人可以对这些实体进行强制执行义务),并案本条款第 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12 强制执行义务。
-
如果数据输出者和数据输入者实际上已经消失或不再存在或或已经破产,除非任何继承实体已经通过合同或依法运作承担了数据输出者的全部法律义务, 数据当事人应承担副处理者的权利和义务(在此情况下,数据当事人可以对这些实体进行强制执行义务),并案本条款第 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12 强制执行义务。副处理者的此等第三方责任应限于其条款下的处理操作。
-
如果数据当事人明确希望并且得到国家法律允许,双方不得反对由协会或其他机构代表数据当事人。
数据输出者的义务
数据输出方同意并保证:
个人数据的处理(包括转让本身)已经并将继续按照适用的数据保护法(在适用的情况下,通知设立数据输出者的成员国的有关当局)的有关规定进行,并且不违反该国的有关规定;
(b) 该等措施已依照适用的数据保护法和条款,发出指示并且在整个个人数据处理服务期间,指示数据输入者仅代表数据输出者处理传送的个人数据。
(c) 数据输入者将对本合同附件 2 中规定的技术和组织安全措施提供充分的保证;
(d) 在评估适用的数据保护法的要求后,安全措施适用于保护个人数据免遭意外或非法破坏或意外丢失、变更、未经授权的披露或访问(特别是在处理涉及通过网络传输数据的情况下),以及所有其他非法形式的处理。此等措施必需能够确保适合处理所衍生的风险安保水平,并考虑到现有技术水平和实施成本的需要,保护数据的性质;
(e) 其将确保遵守安全措施;
(f) 如果转让涉及特殊类别的数据,数据当事人将在转让之前、即时或已接获通知,得知其数据将可能传送给第三国,但未能提供指令 95/46/EC 含义范围内的适当保护;
(g) 如果数据输出者决定继续转移或解除暂停,则将根据条款 5(b) 和 8(3) 从数据输入者或任何副处理者收到的任何通知转发给数据保护监督机构;
(h) 除非条款或合同中包含商业信息(在此情况下,此类商业信息可能会被删除),根据请求向数据当事人提供除附录 2 外的条款副本,以及安全措施的总结说明,以及必须根据条款进行的副处理服务合同副本;
(i) 在副处理过程中,处理活动是按照条款 11 由副处理者执行,而该副处理者至少提供与个人数据相同级别的保护及作为数据输入者的数据当事人在条款下的权利;
(j) 确保遵守条款 4(a) 至 (i)。
数据输入者的义务
数据输入者同意并保证:
(a) 仅代表数据输出者并按照其指令和条款处理个人数;如果由于任何原因无法提供此类合规性,则同意及时通知数据输出者无法遵守,而在此情况下,数据输出者有权暂停数据传输和/或终止合同;
(b) 没有理由相信适用的法规会阻止其履行从数据输出者收到的指示及其在合同下的义务。如果该等法规发生变化,可能会对条款提供的保证和义务产生重大不利影响,将会及时通知数据输出者相关变化(在此等情况下,数据输出者有权暂停数据传输和/或终止合同);
(c) 在处理所传送的个人数据前,已执行附录所指明的技术和组织安全措施;
(d) 将及时通知数据输出者:
(i) 除非另有禁止,执法机构披露个人数据的任何具有法律约束力的要求,例如刑法禁止保护执法调查的机密性;
(ii) 任何意外或未经授权的访问,以及
(iii) 除非另有授权指示,在没有回复该请求的情况下直接从数据当事人收到的任何请求;
(e) 及时妥善处理数据输出者就处理被转移个人数据的所有询问,并遵守监督机构对处理所转交数据的意见;
(f) 应数据输出者的要求提交其数据处理设施,以审查数据输出者或由独立成员组成的检查机构(拥有受保密义务约束的所需专业资格,并在适用情况下,由数据输出者经监管机构同意选择)应执行的条款所涵盖的处理活动;
(h) 除非条款或合同中包含商业信息(在此情况下,此类商业信息可能会被删除),根据要求向数据当事人提供条款的副本或任何现有的副处理合同;附录 2 除外,其应由数据当事人无法从数据输出者获得副本的情况下获得的安全措施摘要取代;
(h) 在进行副处理时,事先已通知数据输出者并获得事先书面同意;
(i) 副处理者的处理服务将按照条款 11 进行;
(j) 立即将其根据条款达成的任何副处理者协议副本发送给数据输出者。
(k) 捍卫、维护和保护数据输出者免受以下损害,并承担一切相关费用、责任和损失:任何丢失、未经授权的披露、盗窃或个人数据泄露,以及任何其他违反数据输入者的适用数据保护法规。
责任
-
双方同意,由于任何一方或其子方违反条款 3 或条款 11 所述义务而遭受损害的任何数据当事人有权从数据输出方获得损害赔偿。
-
如数据当事人由于数据输入者或其副处理者违反条款 3 或条款 11 中提到的任何义务,并而数据输出者已经在事实上消失或不再存在法律中或已破产,继而无法向段落 1 所述的数据输出者提出申索,该数据输入者同意数据当事人可以(如数据输出者一样),向数据副处理者提出索赔;除非任何继承实体已经通过合同或法律的规定承担了数据输出者的全部法律义务(在此情况下,数据当事人可以对这些实体强制执行其权利)。
数据输入者不得依靠副处理者违反其义务的行为来避免其自身的责任。 -
如数据当事人由于副处理者违反条款 3 或条款 11 中提到的任何义务,因为数据输出者和数据输入者已经在事实上消失或不再存在法律中或已破产,继而无法向段落 1 及 2 所述的数据输出者或数据输入者提出申索,该副处理者同意数据当事人可以(如数据输出者或数据输入者一样)就数据副处理者根据其条款下的处理操作,向数据副处理者提出索赔;除非任何继承实体已经通过合同或法律的规定承担了数据输出者或数据输入者的全部法律义务(在此情况下,数据当事人可以对这些实体强制执行其权利)。副处理者的责任应限于其条款下的处理操作。
调解和管辖权
-
数据输入者同意,如果数据当事人援引第三方受益人权利和/或索赔条款下的损害赔偿,数据输入者将接受数据当事人的决定:
(a) 由独立人士或在适用情况下由监督机构将争议提交调解;
(b) 将争议提交给设立数据输出者的成员国的法院。 -
各方同意,数据当事人所作的选择不会损害其根据国家或国际法其他规定寻求补救的实质性或程序性权利。
与监管机构合作
-
数据输出者同意向监管当局提交本合同的副本(如有此要求)或根据适用的数据保护法要求此类存档。
-
各方同意监督机构有权对数据输入者和任何副处理者进行审计,其范围与根据适用的数据保护法对数据输出者进行审计的范围相同,并受到相同条件的约束。
-
数据输入者应立即通知数据输出者关于是否存在适用的立法,或根据第 2 段落,任何阻止对数据输入者或任何副处理者进行审计的副处理者。在这种情况下,数据输出者有权采取 5(b) 所预见的措施。
治理法律
条款应受制于数据输出者所在成员国的法律的管辖,并且如牵涉多个司法管辖区的数据输出者,将受英格兰和威尔士法律的管辖。
条款 10合同的变化
双方承诺不更改或修改条款。这并不妨碍各方在需要时在业务相关问题上增加条款,只要其与条款不矛盾即可。
条款 11副处理
-
未经数据输出者事先书面同意,数据输入者不得将分包商根据条款代表数据输出者进行的任何处理操作分包。如果数据输入者经数据输出者同意后根据条款分包其义务,则只能通过书面协议与副处理者签订书面协议;副处理者只能履行与数据输入者相同的义务。如果该处理程序未能履行其书面协议规定的数据保护义务,数据输入者应对数据输出者履行该协议项下的处理者义务,并承担全部责任。
-
数据输入者和副处理者之间的事先书面合同应根据条款 3 立定第三方受益人条款,如有以下情况:数据当事人无法将条款 6 段落 1 所述的赔偿要求提交给数据输出者或数据输入者,由于他们事实上已失踪或不再存在于法律之中或已经破产,并没有任何继承实体承担数据输出者或数据输入者通过合同或法律实施的全部法律义务。副处理者的此等第三方责任应限于其条款下的处理操作。
-
段落 1 所述关于副处理合同的数据保护方面的规定,应由设立数据输出者的成员国的法律管辖。
-
数据输出者应保留根据条款和数据输入者根据条款 5(j) 的副处理协议清单;该清单应至少每年更新一次。该清单应提供给数据输出者的数据保护监督机构。
个人数据处理服务终止后的义务
-
各方同意,在终止提供数据处理服务时,数据输入者和副处理者应根据数据输出者的选择,将所有传输的个人数据及其副本返还给数据输出者,或应销毁所有个人数据并向数据出口商证明上述行动已完成。在数据输入者施加的法规阻止其返还或销毁全部或部分转移的个人数据的情况除外。在这种情况下,数据输入者保证将保证传输的个人数据的机密性,并且不会主动处理再次传输的个人数据。
-
数据输入者和副处理者保证,根据数据输出者和/或监督机构的请求,数据输入者和数据处理者将提交数据处理设施,以按照第 1 段落所述措施进行审计。
标准合同条款附录 1
不包含在附带 SOW 中的其他必要信息,应包含在本附录中:
数据输出者:
数据输出者是 GoDaddy(向客户转售 GoDaddy 某些产品和服务、数据输入者的经销商计划提供商)。
数据输入者:
数据输入者是 GoDaddy 产品和服务的经销商。
数据当事人
数据当事人是指客户本身。
数据类别
传输的个人数据涉及以下类别的数据:
客户可向服务提交个人数据,其中可能包括但不限于以下类别的个人数据:
- 名字和姓氏
- 电子邮件
- 电话号码
- 实际地址
- 处理操作
所传输的个人数据仅限以下基本处理活动:
经销商将根据需要处理个人数据,以根据经销商协议执行服务,并会按照客户在使用服务期间提供的其他指示。
标准合同条款附录 2
技术和组织安全措施
数据输入者有责任如本数据处理附录所述,维护技术和管理保护措施,以保护客户数据(包括个人数据)的安全性、机密性和完整性。数据输入者应定期监控此等保障措施的遵守情况。数据输入者不会实质性降低服务或转售商计划的整体安全性。