GoDaddy

数据处理附录(客户)

本数据处理附录(本“附录”)由 GoDaddy.com, LLC, a Delaware limited liability company 及其附属公司(“GoDaddy”)和您(”客户“)执行,并作为我们的通用服务条款的附件和补充、 隐私政策,以及任何和所有管辖涵盖服务的协议(统称为“服务条款”)。 除非本附录另有定义,否则本附录未定义的所有术语将具有服务条款中赋予它们的含义。

1.定义

关联公司”是指受 GoDaddy 控制或与其共同控制的任何实体。

涵盖服务”是指任何我们为您提供并可能涉及我们的个人数据处理的托管服务。

客户数据”是指 GoDaddy 代表客户根据或与服务条款,并在 GoDaddy 网络内的任何相关数据当事人个人数据。

数据控制者”是指客户,并作为确定处理个人数据的目的和做法的实体。

数据处理者”是指 GoDaddy,乃代表数据管理者处理个人数据的实体。

数据保护法律”是指适用于根据协议进行的个人数据处理的所有相关法律和法规,包括欧盟的法律和法规。

数据当事人”指的是与个人数据相关的个人。

EEA”是指欧洲经济区。

GoDaddy 网络”是指 GoDaddy 的数据中心设施、服务器、网络设备和主机软件系统(例如虚拟防火墙);这些系统在 GoDaddy 的控制范围内并用于提供涵盖服务。

个人数据”是指任何与已识别或可识别的人士相关的信息。

处理”是指对个人数据进行的任何操作或一系列操作,无论是否采用自动方式,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用和传播披露、传播或以其他方式提供、对齐或组合、限制、删除或销毁。“流程”和“处理”将作相应的解释。处理细节详列在附件 1 中。

安全事故”是指:(a)违反 GoDaddy 安全标准的安全导致意外或非法破坏、丢失、更改、擅自泄露或访问任何客户数据;或(b)任何未经授权的 GoDaddy 设备或设施访问。在该两种情况下,此类访问都会导致客户数据遭到破坏、丢失、未经授权的披露或更改。

安全标准”是指本附录附件 2 所附的安全标准。

标准合同条款”;或“SCC”是指附件 3,其附于并构成本附录的一部分,并根据 2010 年 2 月 5 日欧盟委员会就该指令向个人数据转移给第三国处理者的标准合同条款作出的决定。 

副处理者”是指处理者代表数据控制者处理数据的任何数据处理者。                                                               

2.数据加工

2.1 范围和角色。本附录适用于 GoDaddy 处理的客户数据。 在此情况下,GoDaddy 将代表客户作为数据处理者,作为客户数据的数据控制者。

2.2 处理的细节。GoDaddy 处理客户数据的主题范围,是根据服务条款和特定产品协议履行的涵盖服务。GoDaddy 仅应代表并按照客户的文件化说明处理客户数据,并限制用于以下目的:(i)按照服务条款或适用的产品特定协议进行处理;(ii)最终用户在使用涵盖服务时引起的处理;(iii)遵守客户提供的其他记录在案的合理指示(例如通过电子邮件提供),而此类指示必需与协议条款一致。如果此类说明违反 GDPR 或任何其他适用的数据隐私法,则 GoDaddy 不应被要求遵守或遵守客户的指示。本附录所述的处理持续时间、处理的性质和目的、个人数据的类型以及处理的数据当事人类别在本附录的附件 1(“处理的详情”)中有进一步的说明。

3.客户数据的机密性

GoDaddy 不会向任何政府或任何其他第三方披露客户数据,除非有必要遵守法律或执法机构的有效和具有约束力的命令(例如传票或法院命令)。 如果执法机构向 GoDaddy 发送客户数据请求,GoDaddy 将尝试建议执法机构直接向客户要求数据。作为这项工作的一部分,GoDaddy 可能会向执法机构提供客户的基本联系信息。如果被迫向执法机构披露客户数据,GoDaddy 将给予客户合理的要求通知,允许客户寻求保护令或其他适当的补救措施,除非 GoDaddy 在法律上被禁止执行此行为。

4.安全

4.1 GoDaddy 已经实施并将维护本节所述的 GoDaddy 网络技术和组织措施;相关条款详列于本附录安全标准部分的附件 2 中。GoDaddy 已特别实施并将继续采取以下技术和组织措施来解决(i)GoDaddy 网络的安全问题;(ii)设施的实体安全;(iii)控制员工和承包商对(i)和/或(ii)的访问;(iv)测试、评估和评定 GoDaddy 实施的技术和组织措施有效性的过程。如果我们无法履行此处规定的任何义务,我们将在实际可行的情况下尽快提供书面通知(通过我们的网站和电子邮件)。

4.2 GoDaddy 将提供许多客户可以选择使用并与涵盖服务有关的安全性能和功能。客户有责任(a)正确配置涵盖服务,(b)使用与涵盖服务有关的可用控制(包括安全控制),并确保处理系统和服务的持续保密性、完整性、可用性和灵活性,(c)使用与涵盖服务(包括安全控制)有关的可用控制措施,允许客户在发生实体或技术事故时及时恢复客户数据的可用性和访问权限(例如客户数据的备份和日常归档),(d)采取客户认为足以保持适当安全、保护和删除客户数据的步骤,包括使用加密技术保护客户数据免受未经授权的访问以及控制客户数据访问权限的措施。

5.数据当事人权利

考虑到涵盖服务的性质,GoDaddy 向客户提供本附录“安全”部分所述的某些控制措施,客户可选择使用该措施来检索、更正、删除或限制涵盖服务中所述的客户数据的使用和共享。客户可以将这些控制措施用作技术和组织措施,以协助其履行其在适用隐私法律下的义务,包括对响应数据当事人请求相关的义务。在商业上合理且在合法要求或允许的范围内,GoDaddy 应立即通知客户 GoDaddy 是否直接收到数据当事人的请求以根据任何适用的数据隐私法律行使此类权利(“数据当事人请求”)。此外,如果客户使用涵盖服务限制了其处理数据当事人请求的能力,则 GoDaddy 可在法律允许和适当的情况下并根据客户的具体要求提供商业上合理的帮助来满足该请求,以客户的成本解决请求;相关成本(如有)则由客户负责。

6.副处理

6.1 授权的副处理者。客户同意 GoDaddy 可以使用副处理者履行其服务条款和本附录中的合同义务,或代表其提供某些服务,例如提供支持服务。客户特此同意 GoDaddy 如本节所述使用副处理者。除本节规定或经您明确授权之外,GoDaddy 不会准许任何其他副处理活动。

6.2 副处理者的义务。当 GoDaddy 如第 6.1 节所述使用任何授权的副处理者时,下列条款将适用:

(i) GoDaddy 将限制副处理者对客户数据的访问用于维护涵盖服务或根据涵盖服务向客户和任何最终用户提供涵盖服务。GoDaddy 将禁止副处理者基于任何其他目的访问客户数据;

(ii) GoDaddy 将与副处理者达成书面协议,并且在副处理者正在执行 GoDaddy 于本附录所提供的相同数据处理服务的范围内,GoDaddy 将向分包商处理 GoDaddy 于本附录相同的合同义务;以及

(iii) GoDaddy 将继续负责遵守本附录的义务以及副处理者的任何作为或不作为导致 GoDaddy 违反本附录规定的任何 GoDaddy 的义务。

6.3 新的副处理者。 我们可能会不时根据本附录的条款聘用新的副处理者。 在这种情况下,我们将在任何新的副处理者获得任何客户数据之前提前 60 天通过我们的网站和电子邮件通知。如果客户不批准新的副处理者,客户可在 10 天内或在收到我们的通知后提供书面终止通知,其中包括不批准的原因说明。如果涵盖服务是捆绑或捆绑购买的一部分,则所有终止都将适用于整体服务。如果涵盖服务是捆绑或捆绑购买的一部分,则所有终止都将适用于整体服务。

7.安全违规通知

7.1 安全事故。如果 GoDaddy 发现任何安全事故,GoDaddy 将不会无故拖延:(a)通知客户安全事故;(b)采取合理步骤减轻影响并尽量减少安全事故造成的任何损害。 

7.2 GoDaddy 帮助。 为了协助客户处理其根据任何适用隐私法律作出的任何个人数据泄露通知,GoDaddy 将根据第 8.1 节,并在 GoDaddy 能够合理向客户披露的范围下,在通知中纳入关于安全事故的信息。考虑事项包括涵盖服务的性质、向 GoDaddy 提供的信息以及披露信息的任何限制,例如机密性。  

7.3 失败的安全事故。客户同意:

(i) 失败的安全事故将不受本附录条款的约束。失败的安全事故是指任何客户数据或 GoDaddy 的网络、设备或存储客户数据的设施遭到未经授权访问,并且可能包括但不限于对防火墙或边缘服务器的 ping 和其他广播攻击、端口扫描、不成功的登录尝试、拒绝服务攻击、数据包嗅探(或其他不超出标题以外、未经授权的流量数据访问)或类似事件;以及

(ii) 根据本节,GoDaddy 根据本安全事故报告或回复安全事故的义务不会被视为 GoDaddy 对安全事故的任何过失或 GoDaddy 的责任承认。  

7.4 通信。安全事件通知(如有)将通过 GoDaddy 选择的任何方式(包括通过电子邮件)发送给一位或多位客户的管理员。客户全权负责确保客户的管理员在 GoDaddy 管理控制台上始终保持准确的联系信息并随时保证传输安全。

8.客户权利

8.1 独立决定。客户负责审查 GoDaddy 提供的数据安全及其安全标准相关的信息,并独立确定涵盖服务是否符合客户的要求和法律义务以及客户在本附录中的义务。所提供的信息旨在帮助客户在数据保护影响评估和事先协商方面遵守客户在适用隐私法律(包括 GDPR)下的义务。

8.2 客户审核权利。客户有权通过行使合理的权利进行审计或检查,确认 GoDaddy 遵守适用于涵盖服务的本附录(包括 GoDaddy 遵守其安全标准)的合规性,包括根据标准合同条款(如果适用),通过书面形式向 GoDaddy 的服务条款中规定的地址提出具体要求。如果 GoDaddy 拒绝遵循客户要求的关于适当要求和范围的审计或检查的任何指示,则客户有权终止本附录和服务条款。如果标准合同条款适用,本节中的任何内容都不会改变或修改标准合同条款,也不影响标准合同条款下的任何监督机构或数据当事人的权利。本部分也将适用于 GoDaddy 代表客户执行对副处理者的监管。

9.个人数据转移

9.1 美国基本处理。除服务条款中特别注明外,客户数据将在欧洲经济区以外转让并在美国进行处理。 

9.2 标准合同条款的适用性。标准合同条款将适用于在欧洲经济区以外转移的客户数据,可以直接或通过转发向任何未被欧盟委员会认可的国家提供足够的个人数据保护(如 GDPR 中所述)。标准合同条款不适用于未在欧洲经济区以外直接或通过转发传输的客户数据。 尽管有上述规定,但如果数据根据公认的合规标准传输,以便在欧洲经济区以外(如欧盟美国和瑞士美国的隐私保护服务框架)合法转让个人数据(如 GDPR 中定义的),则标准合同条款将不适用。  

10.附录的终止

本附录将继续有效,直至服务条款列明的处理终止日(“终止日期”)。  

11.退还或删除客户数据。

如涵盖服务中所述,客户可能会收取可用于检索或删除客户数据的控件。客户数据的任何删除都将受特定涵盖服务的条款管辖。

12.责任限制

本附录中各方的责任将受服务条款中规定的排除和责任限制约束。客户同意,GoDaddy 因客户未能遵守本附录及任何适用隐私法规下的义务而产生的客户数据相关的任何监管处罚将计入并转移 GoDaddy 在服务条款下的责任予客户承担。

13.完整服务条款;争议

本附录取代并替代客户与 GoDaddy 之间的所有关于本附录主题,先前或同期的任何书面及口头的陈述、理解、协议或通信,包括 GoDaddy 与客户之间就处理个人数据和这些数据的自由移动而签订的任何数据处理附录。 除经本附录修订外,服务条款仍将完全有效。 如果双方之间的任何其他协议(包括服务条款和本附录)之间存在冲突,则以本附录的条款为准。

** ************************************************

附件 1

 处理的细节

 1.处理性质和目的。根据服务条款、产品特定协议以及客户在使用涵盖服务期间的进一步指示,GoDaddy 将根据需要处理个人数据以执行涵盖服务。

 2.处理持续时间。根据附录第 10 节规定,GoDaddy 将在服务条款生效日期之内处理个人数据,并且除非另有书面约定,在该期限过后继续遵守本附录的条款。

3.数据当事人类别。客户可以在使用涵盖服务的过程中上传个人数据,其范围由客户自行决定和控制,并且可能包括但不限于与以下数据当事人类别有关的个人数据:

  • 潜在客户、客户、业务合作伙伴和供应商(自然人)
  • 客户的潜在雇员或联系人、客户、业务合作伙伴和供应商
  • 客户、代理人、顾问、客户聘用的自由职业者(自然人)
  • 客户授权使用涵盖服务的客户用户

 4.个人数据种类。客户可以在使用涵盖服务的过程中上传个人数据,其类型和程度由客户自行决定和控制,其中可能包括但不限于以下几类数据当事人的个人数据: 

  • 名称
  • 地址
  • 电话号码
  • 出生日期
  • 电子邮件地址
  • 所收集并可以直接或间接识别您身份的其他数据。

** ************************************************

附件 2

安全标准

I. 技术和组织措施  

我们致力于保护客户的信息。  考虑到最佳做法,实施成本以及处理的性质、范围、情况和目的,以及不同的自然人的权利和自由风险的发生和严重程度,我们将采取以下技术和组织措施。  在选择度量时,将考虑系统的机密性、完整性、可用性和弹性。发生实体或技术事故后,保证能够快速恢复。 

II. 数据隐私计划。  

我们的数据隐私计划旨在维护全球数据治理结构并在其整个生命周期内保护信息安全。该计划由数据保护官办事处负责,该办事处负责监督隐私实践和安全措施的实施。 我们定期测试、评估和评估其数据隐私计划和安全标准的有效性。   

1.保密。“保密”是指个人数据不受未经授权的披露。  

我们采用各种实体和逻辑措施来保护客户个人数据的机密性。这些措施包括:   

  实体安全  

  • 实体访问控制系统(证件访问控制、安全事故监控等) 
  • 监控系统,包括警报和闭路电视监控(适用情况下)
  • 清理桌面政策和控制措施(锁定无人看管的电脑、锁柜等)  
  • 访问者访问管理
  • 销毁有形媒体和文件的数据(粉碎、消磁等) 

  访问控制和防止未经授权的访问 

  • 适用用户访问限制和基于职责分离原则提供/审查基于角色的访问权限
  • 强大的身份验证和授权方法(多因素身份验证、基于证书的授权、自动停用/注销等) 
  • 集中密码管理和强大/复杂的密码策略(最小长度、字符复杂度、密码到期等)   
  • 受控的电子邮件和互联网访问
  • 防毒管理
  • 入侵防御系统管理

加密   

  • 通过强稳加密协定处理,对外部和内部通信进行加密
  • 静态加密 PII/SPII数据(数据库、共享目录等)   
  • 公司电脑和笔记本电脑的全盘加密
  • 储存媒介的加密
  • 通过VPN对与公司网络的远程连接进行加密
  • 确保加密密钥的生命周期

 数据最小化    

  • 应用程序、调试和安全日志中的 PII/SPI 最小化
  • 用于防止直接识别个人身份的个人数据假名化
  • 按功能存储的数据分离(测试、预发布、正式发布)
  • 按角色访问权限的数据逻辑隔离
  • 定义个人数据的数据保留期

安全测试     

  • 针对关键公司网络和平台托管个人数据的渗透测试
  • 定期进行网络和漏洞扫描

2.诚信。“完整性”是指确保数据的正确性(整体性)和系统的正确功能。当术语“完整性”与“数据”一词结合使用时,表示数据完整且不变。  

除了访问控制之外,还有适当的变更和日志管理控制,以保持个人数据的完整性,例如:    

变更和发布管理    

  • 更改和发布管理流程,包括(影响分析、审批、测试、安全评审、分期、监控等)  
  • 基于角色和功能(职责分离)的访问配置生产环境。

记录和监控

  • 记录访问和数据更改
  • 集中审计和安全日志
  • 监测数据传输的完整性和正确性(端到端检查)

3.可用性。“如果用户按预期随时使用服务和 IT 系统、IT 应用程序和 IT 网络功能或信息,其可用性将获得保证。”    

我们实施适当的连续性和安全措施来维护其服务和驻留在这些服务中的数据的可用性:    

  • 为关键服务应用常规故障转移测试
  • 针对关键系统的广泛性能/可用性的监控和报告。
  • 安全事故响应计划
  • 重复或备份关键数据(云备份/硬盘/数据库复制等) 
  • 计划中的软件、基础架构和安全维护(软件更新安全补丁等)   
  • 位于异地和/或地理位置分散位置的冗余和弹性系统(服务器群集、镜像数据库、高可用性设置等)
  • 使用不间断电源,失败备用硬件和网络系统
  • 警示和安全系统到位
  • 关键场所的实体保护措施(电涌保护、活动地板、冷却系统、火灾和/或烟雾探测器、灭火系统等) 
  • 维持可用性的 DDOS 保护
  • 负载和压力测试

4数据处理指令。“数据处理指令是指确保只按照数据控制者和相关公司措施的指示处理个人数据”  

我们制定了内部隐私政策和协议,并对员工进行定期隐私培训,以确保根据客户的偏好和指示处理个人数据。   

  • 员工合同中的隐私和保密条款
  • 定期为员工提供数据隐私和安全培训
  • 与分包商签订协议的适当合同条款,以维持指示控制权。
  • 定期对外部服务提供商进行隐私检查
  • 为客户提供对其数据处理偏好的全面控制
  • 定期安全审计

**********************************************

附件 3

有关这些标准合同条款的适用性,请参阅附录的第 9.2 节

标准合同条款(处理者)

根据第 95/46 /EC 号指令第 26(2) 条的规定,针对个人数据传输给在第三国家建立的处理者,其数据不能保证足够的数据保护水平:

该实体在附录中被标识为“客户”
(“数据输出者”)

GoDaddy.com, LLC

 (“数据输入者”)

“方”是指一方;“各方”和“双方”是指多方,

已经同意以下合同条款(条款),以便就保护个人隐私权和基本权利及自由达成适当的保护措施,以便数据输出者向数据输入者转移附录 1 中规定的个人数据。

条款 1

定义

就条款适用:

(a) “个人数据”,“特殊数据类别”,“处理/处理”,“控制者”,“处理者”,“数据当事人”“监督当局”应与 1995 年 10 月 24 日欧洲议会和理事会针对保护个人在处理个人数据和自由移动这些数据方面的指令 95/46/EC 中的含义相同;

(b) “数据输出者”是指传送个人数据的控制者;

(c) “数据输入者”是指同意根据其指示和条款条款,从数据输出者处接收个人数据,以便其在转移后代表处理该等数据的处理者。数据输入者不受制于指令 95/46/EC 第 25(1) 条含义范围内,第三国系统需要确保提供充分保护的要求;

(d) “副处理者”是指数据输入者所使用的任何处理者,或数据输入者的任何其他副处理者。副处理者同意从数据输入者或数据输入者的任何其他副处理者接收个人数据;此等数据是按照其指示、条款要求和书面分包合同的条款收取,并专门用于在转移后代表数据输出者进行处理;

(e) “适用的数据保护法”是指该立法保护个人的基本权利和自由,特别是在处理适用于建立数据输出者的成员国的数据控制者的个人数据方面的隐私权;

(f) “技术和组织安全措施”是指旨在保护个人数据免受意外或非法破坏或意外丢失、变更、未经授权披露或访问的措施,特别是在处理涉及通过网络传输数据及所有其他非法形式的情况下。

条款 2

转移的详细信息

转移的细节,特别是适用的个人数据的特殊类别在附录 1 中有详细说明,该附录是条款的组成部分。

条款 3

第三方受益人条款

1. 作为第三方受益人,数据当事人可以对数据输出者执行本条款、条款 4(b) 至 (i)、条款 5(a) 至 (e) 和 (g) 至 (j)、条款 6(1) 和 (2)、条款 7、条款 8(2) 和 条款 9 至 12,条作为第三方受益人。

2. 如果数据输出者实际上已经消失或不再存在,除非任何继承实体已经通过合同或依法运作承担了数据输出者的全部法律义务, 数据当事人应承担数据输出者的权利和义务(在此情况下,数据当事人可以对这些实体进行强制执行义务),并案本条款第 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12 强制执行义务。

3. 如果数据输出者和数据输入者实际上已经消失或不再存在或或已经破产,除非任何继承实体已经通过合同或依法运作承担了数据输出者的全部法律义务, 数据当事人应承担副处理者的权利和义务(在此情况下,数据当事人可以对这些实体进行强制执行义务),并案本条款第 5(a) 至 (e) 和 (g)、条款 6、条款 7、条款 8(2) 和条款 9 至 12 强制执行义务。副处理者的此等第三方责任应限于其条款下的处理操作。

4. 如果数据当事人明确希望并且得到国家法律允许,双方不得反对由协会或其他机构代表数据当事人。

条款 4

数据输出者的义务

数据输出方同意并保证:

个人数据的处理(包括转让本身)已经并将继续按照适用的数据保护法(在适用的情况下,通知设立数据输出者的成员国的有关当局)的有关规定进行,并且不违反该国的有关规定;

(b)该等措施已依照适用的数据保护法和条款,发出指示并且在整个个人数据处理服务期间,指示数据输入者仅代表数据输出者处理传送的个人数据。

(c)数据输入者将对本合同附件 2 中规定的技术和组织安全措施提供充分的保证;

(d) 在评估适用的数据保护法的要求后,安全措施适用于保护个人数据免遭意外或非法破坏或意外丢失、变更、未经授权的披露或访问(特别是在处理涉及通过网络传输数据的情况下),以及所有其他非法形式的处理。此等措施必需能够确保适合处理所衍生的风险安保水平,并考虑到现有技术水平和实施成本的需要,保护数据的性质;

(e) 其将确保遵守安全措施;

(f) 如果转让涉及特殊类别的数据,数据当事人将在转让之前、即时或已接获通知,得知其数据将可能传送给第三国,但未能提供指令 95/46/EC 含义范围内的适当保护;

(g) 如果数据输出者决定继续转移或解除暂停,则将根据条款 5(b) 和 8(3) 从数据输入者或任何副处理者收到的任何通知转发给数据保护监督机构;

(h) 除非条款或合同中包含商业信息(在此情况下,此类商业信息可能会被删除),根据请求向数据当事人提供除附录 2 外的条款副本,以及安全措施的总结说明,以及必须根据条款进行的副处理服务合同副本;

在副处理过程中,处理活动是按照条款 11 由副处理者执行,而该副处理者至少提供与个人数据相同级别的保护及作为数据输入者的数据当事人在条款下的权利;

(j) 确保遵守条款 4(a) 至 (i)。

条款 51

数据输入者的义务

数据输入者同意并保证:

(a) 仅代表数据输出者并按照其指令和条款处理个人数;如果由于任何原因无法提供此类合规性,则同意及时通知数据输出者无法遵守,而在此情况下,数据输出者有权暂停数据传输和/或终止合同;

(b) 没有理由相信适用的法规会阻止其履行从数据输出者收到的指示及其在合同下的义务。如果该等法规发生变化,可能会对条款提供的保证和义务产生重大不利影响,将会及时通知数据输出者相关变化(在此等情况下,数据输出者有权暂停数据传输和/或终止合同);

(c) 在处理所传送的个人数据前,已执行附录 2 所指明的技术和组织安全措施;

(d) 将及时通知数据输出者:

(i) 除非另有禁止,执法机构披露个人数据的任何具有法律约束力的要求,例如刑法禁止保护执法调查的机密性;

(ii) 任何意外或未经授权的访问,以及

(iii) 除非另有授权指示,在没有回复该请求的情况下直接从数据当事人收到的任何请求;

(e) 及时妥善处理数据输出者就处理被转移个人数据的所有询问,并遵守监督机构对处理所转交数据的意见;

(f) 应数据输出者的要求提交其数据处理设施,以审查数据输出者或由独立成员组成的检查机构(拥有受保密义务约束的所需专业资格,并在适用情况下,由数据输出者经监管机构同意选择)应执行的条款所涵盖的处理活动;

(h) 除非条款或合同中包含商业信息(在此情况下,此类商业信息可能会被删除),根据要求向数据当事人提供条款的副本或任何现有的副处理合同;附录 2 除外,其应由数据当事人无法从数据输出者获得副本的情况下获得的安全措施摘要取代;

(h)在进行副处理时,事先已通知数据输出者并获得事先书面同意;

副处理者的处理服务将按照条款 11 进行;

(j) 立即将其根据条款达成的任何副处理者协议副本发送给数据输出者。

条款 6

责任

1. 双方同意,由于任何一方或其子方违反条款 3 或条款 11 所述义务而遭受损害的任何数据当事人有权从数据输出方获得损害赔偿。

2. 如数据当事人由于数据输入者或其副处理者违反条款 3 或条款 11 中提到的任何义务,并而数据输出者已经在事实上消失或不再存在法律中或已破产,继而无法向段落 1 所述的数据输出者提出申索,该数据输入者同意数据当事人可以(如数据输出者一样),向数据副处理者提出索赔;除非任何继承实体已经通过合同或法律的规定承担了数据输出者的全部法律义务(在此情况下,数据当事人可以对这些实体强制执行其权利)。数据输入者不得依靠副处理者违反其义务的行为来避免其自身的责任。

3. 如数据当事人由于副处理者违反条款 3 或条款 11 中提到的任何义务,因为数据输出者和数据输入者已经在事实上消失或不再存在法律中或已破产,继而无法向段落 1 及 2 所述的数据输出者或数据输入者提出申索,该副处理者同意数据当事人可以(如数据输出者或数据输入者一样)就数据副处理者根据其条款下的处理操作,向数据副处理者提出索赔;除非任何继承实体已经通过合同或法律的规定承担了数据输出者或数据输入者的全部法律义务(在此情况下,数据当事人可以对这些实体强制执行其权利)。副处理者的责任应限于其条款下的处理操作。

条款 7

调解和管辖权

1. 数据输入者同意,如果数据当事人援引第三方受益人权利和/或索赔条款下的损害赔偿,数据输入者将接受数据当事人的决定:

(a) 由独立人士或在适用情况下由监督机构将争议提交调解;

(b) 将争议提交给设立数据输出者的成员国的法院。

2. 各方同意,数据当事人所作的选择不会损害其根据国家或国际法其他规定寻求补救的实质性或程序性权利。

条款 8

与监管机构合作

1. 数据输出者同意向监管当局提交本合同的副本(如有此要求)或根据适用的数据保护法要求此类存档。

2. 各方同意监督机构有权对数据输入者和任何副处理者进行审计,其范围与根据适用的数据保护法对数据输出者进行审计的范围相同,并受到相同条件的约束。

3. 数据输入者应立即通知数据输出者关于是否存在适用的立法,或根据第 2 段落,任何阻止对数据输入者或任何副处理者进行审计的副处理者。在这种情况下,数据输出者有权采取 5 (b) 所预见的措施。

条款 9

治理法律

条款应受制于数据输出者所在成员国的法律的管辖,并且如有疑问或牵涉多个数据输出者的情况下,将受英格兰和威尔士法律的管辖。 

条款 10

合同的变化

双方承诺不更改或修改条款。这并不妨碍各方在需要时在业务相关问题上增加条款,只要其与条款不矛盾即可。

条款 11

副处理

1. 未经数据输出者事先书面同意,数据输入者不得将分包商根据条款代表数据输出者进行的任何处理操作分包。如果数据输入者经数据输出者同意后根据条款分包其义务,则只能通过书面协议与副处理者签订书面协议;副处理者只能履行与数据输入者相同的义务。如果该处理程序未能履行其书面协议规定的数据保护义务,数据输入者应对数据输出者履行该协议项下的处理者义务,并承担全部责任。

2. 数据输入者和副处理者之间的事先书面合同应根据条款 3 立定第三方受益人条款,如有以下情况:数据当事人无法将条款 6 段落 1 所述的赔偿要求提交给数据输出者或数据输入者,由于他们事实上已失踪或不再存在于法律之中或已经破产,并没有任何继承实体承担数据输出者或数据输入者通过合同或法律实施的全部法律义务。副处理者的此等第三方责任应限于其条款下的处理操作。

3. 段落 1 所述关于副处理合同的数据保护方面的规定,应由设立数据输出者的成员国的法律管辖。

4. 数据输出者应保留根据条款和数据输入者根据条款 5 (j) 的副处理协议清单;该清单应至少每年更新一次。该清单应提供给数据输出者的数据保护监督机构。

条款 12

个人数据处理服务终止后的义务

1. 各方同意,在终止提供数据处理服务时,数据输入者和副处理者应根据数据输出者的选择,将所有传输的个人数据及其副本返还给数据输出者,或应销毁所有个人数据并向数据出口商证明上述行动已完成。在数据输入者施加的法规阻止其返还或销毁全部或部分转移的个人数据的情况除外。在这种情况下,数据输入者保证将保证传输的个人数据的机密性,并且不会主动处理再次传输的个人数据。

2. 数据输入者和副处理者保证,根据数据输出者和/或监督机构的请求,数据输入者和数据处理者将提交数据处理设施,以按照第 1 段落所述措施进行审计。

**********************************************

标准合同条款附录 1

数据输出者:

数据输出者是在附录中标识为“客户”的实体。

数据输入者:

数据输入者是 GoDaddy.com, LLC ,为托管服务提供商。

数据当事人

处理操作在附录的第 1.3 节和附件 1 中定义。

数据类别

处理操作在附录的第 1.3 节和附件 1 中定义。

处理操作

处理操作在附录的第 1.3 节和附件 1 中定义。

标准合同条款附录 2

本附录构成条款的一部分。 通过从 GoDaddy 购买涵盖服务,附录和本附件 2 将被视为由双方当事人接受和执行。

根据条款 4(d) 和 5(c)(或所附文件/法规),数据输入者实施的技术和组织安全措施的说明:

数据输入者实施的技术和组织安全措施如附录中所述,具体见附件 2,该附件已被纳入并附于附录中。


1              根据指令 95/46/EC 第 13(1) 条所列的其中一项利益,数据导输入者的国家法规适用且不超出民主社会所必需范围的强制性要求。仅限于如果此等要求构成维护国家安全、国防、公共安全、预防、调查、侦查和起诉刑事犯罪或违反职业道德的必要措施(国家的重要经济或财政利益,或保护数据当事人或他人的权利和自由)与标准合同条款不矛盾的情况下。这些强制性要求的某些例子并不超出民主社会的必要条件,其中包括国际公认的制裁、税收报告要求或反洗钱报告要求。

修订日期:29/1/2019
版权 © 2019 GoDaddy.com, LLC 保留所有权利。