Adendum Pemrosesan Data Reseller (“DPA”) ini merupakan bagian dari Perjanjian yang ditandatangani antara GoDaddy.com, LLC (termasuk entitas afiliasinya jika dimaksudkan berdasarkan Perjanjian) (“GoDaddy”) dan Anda (“Reseller”) untuk tujuan menjual produk dan layanan GoDaddy (“Layanan”) melalui Program Reseller GoDaddy, dan akan mengatur sehubungan dengan pemrosesan Informasi Pribadi apa pun oleh Reseller atas nama GoDaddy. Reseller mengadakan DPA ini atas nama dirinya sendiri dan, sejauh diwajibkan berdasarkan Hukum dan Peraturan Perlindungan Data yang berlaku, diperuntukkan dan atas nama afiliasi resminya. Semua istilah yang ditulis dengan huruf kapital yang tidak disebutkan di sini memiliki makna sesuai yang ditetapkan dalam Perjanjian. Istilah “kami” merujuk pada GoDaddy. Istilah “Anda” atau “Reseller” merujuk pada individu atau entitas yang menyetujui Perjanjian ini. Tidak ada ketentuan dalam Perjanjian ini yang dapat dianggap memberikan hak atau keuntungan kepada pihak ketiga mana pun. DPA ini akan berlaku dan mengikat sejak tanggal penerimaan elektronik Anda.

DPA ini terdiri dari dua (2) bagian berbeda, yang berlaku sebagaimana dijelaskan di bawah ini:

• Standar dan Persyaratan Privasi dan Keamanan Data: Penerapan Standar dan Persyaratan Privasi dan Keamanan Data. Berlaku bagi semua Reseller yang memiliki akses dan dapat memproses PII (sebagaimana “ditetapkan di sini”) sesuai kategori dan lingkup partisipasi mereka dalam Program Reseller.
• Klausul Kontrak Standar (dan Apendiks 1 & 2): Penerapan Klausul Kontrak Standar. Klausul Kontrak Standar akan berlaku untuk Data Pelanggan yang ditransfer di luar EEA, baik secara langsung maupun dari penerima ke penerima, ke negara mana pun yang tidak diakui oleh Komisi Eropa sebagai negara yang memberikan tingkat perlindungan yang memadai untuk data pribadi (seperti yang dijelaskan dalam GDPR). Klausul Kontrak Standar tidak berlaku untuk Data Pelanggan yang tidak ditransfer, baik secara langsung maupun dari penerima ke penerima, ke luar EEA. Sekalipun demikian, Klausul Kontrak Standar tidak akan berlaku jika data ditransfer sesuai dengan standar kepatuhan yang diakui untuk transfer data pribadi yang sah (sebagaimana ditetapkan dalam GDPR) di luar EEA, seperti Kerangka Kerja Perlindungan Privasi UE-AS dan Swiss-AS.

1. Pokok Bahasan dan Cakupan

SLA Keamanan dan Privasi Data ini (“SLA Keamanan”) dilampirkan dan disertakan dalam Perjanjian untuk memastikan setiap PII (sebagaimana ditetapkan di bawah) yang dikumpulkan atau digunakan oleh Anda ditangani dengan cara yang aman dan sesuai dengan ketentuan dalam Perjanjian, SLA Keamanan ini, serta undang-undang dan peraturan yang berlaku.

2. Urutan Prioritas.

SLA Keamanan ini disertakan ke dalam dan membentuk bagian dari Perjanjian. Untuk masalah yang tidak dibahas dalam SLA Keamanan ini, syarat-syarat dalam Perjanjian akan berlaku. Dengan mempertimbangkan hak dan kewajiban setiap pihak terhadap satu sama lain, jika terjadi ketidaksesuaian antara syarat-syarat Perjanjian dan SLA Keamanan ini, syarat-syarat SLA Keamanan ini yang akan mengatur. Jika terdapat ketidaksesuaian antara syarat-syarat SLA Keamanan dan Klausul Kontrak Standar, Klausul Kontrak Standar akan berlaku.

3. Informasi Pribadi.

1. “PII” atau “Informasi Pribadi,” berarti informasi dalam setiap media atau bentuk apa pun yang berkaitan dengan individu atau rumah tangga yang teridentifikasi atau dapat diidentifikasi; individu yang dapat diidentifikasi adalah seseorang yang dapat diidentifikasi, secara langsung atau tidak langsung, khususnya dengan mengacu pada pengenal seperti nama, alamat, nomor Jaminan Sosial atau nomor identifikasi lainnya, alamat email, nomor telepon, profil keuangan, informasi kartu kredit, nomor SIM, atau informasi lain yang dapat dikaitkan secara wajar dengan seseorang, komputer, atau perangkat tertentu (misalnya informasi yang dikumpulkan melalui teknologi pelacakan, seperti alamat IP), atau ke satu atau beberapa faktor yang menjurus pada identitas fisik, fisiologis, genetik, mental, ekonomi, budaya, atau sosial orang tersebut.

2. Pemrosesan untuk tujuan DPA ini harus mencakup pengumpulan, pencatatan, pengorganisasian, penataan, penyimpanan, penyesuaian atau pengubahan, pengambilan, konsultasi, penggunaan, pengungkapan, penyebarluasan atau penyediaan, penggabungan, pembatasan, penghapusan atau pemusnahan PII.
3. GoDaddy mengungkapkan PII kepada Anda semata-mata dan secara eksklusif agar Anda bisa menyediakan Layanan atas nama GoDaddy dan Anda hanya dapat memproses PII untuk tujuan terbatas dan spesifik yang dijelaskan dalam Perjanjian dan instruksi tertulis dari kami, dan bukan tujuan lain, termasuk yang berkaitan dengan transfer PII individu Uni Eropa di luar Uni Eropa, kecuali jika diwajibkan untuk melaksanakannya oleh undang-undang Uni Eropa atau Negara Anggota Uni Eropa (dalam hal ini, Anda harus segera memberi tahu kami sebelum melaksanakannya, kecuali jika dilarang memberi tahu kami menurut undang-undang).
4. Anda dilarang: (i) menjual PII; (ii) menyimpan, menggunakan, atau mengungkapkan PII untuk tujuan komersial selain untuk tujuan menyediakan Layanan; dan (iii) menyimpan, menggunakan, atau mengungkapkan PII di luar Perjanjian antara Anda dan GoDaddy.

5. Anda mengakui dan menegaskan bahwa PII tidak diungkapkan sebagai pertimbangan untuk Layanan apa pun yang diberikan kepada GoDaddy berdasarkan Perjanjian ini. Anda tidak boleh menjual PII apa pun, sebagaimana istilah “menjual” yang didefinisikan menurut Undang-Undang Privasi Konsumen California tahun 2018, sebagai amendemen (“CCPA”), dan dengan ini Anda menegaskan bahwa Anda memahami aturan, persyaratan, dan definisi CCPA, serta semua batasan dalam DPA ini. Anda setuju untuk menahan diri dari mengambil tindakan apa pun yang akan menyebabkan transfer PII ke atau dari Anda yang bisa dianggap sebagai “menjual informasi pribadi” menurut CCPA dan semua undang-undang lainnya yang berlaku.
6. Anda hanya dapat mentransfer PII yang terkait dengan individu Uni Eropa ke luar Uni Eropa (atau jika PII tersebut sudah berada di luar UE, kepada pihak ketiga mana pun yang juga di luar UE), sesuai dengan ketentuan DPA ini dan persyaratan Pasal 44 hingga 49 dari GDPR (sebagaimana diuraikan di bawah ini).
7. Anda harus segera memberi tahu kami jika, menurut pendapat Anda, instruksi kami melanggar undang-undang dan peraturan perlindungan data apa pun yang berlaku, termasuk Undang-Undang Perlindungan Data UE (sebagaimana diuraikan di bawah) di privacy@godaddy.com.

8. Anda harus memperlakukan semua PII sebagai sesuatu yang sangat rahasia dan harus memberi tahu semua karyawannya atau agen yang disetujui dan terlibat dalam pemrosesan PII tentang sifat kerahasiaan PII, dan memastikan bahwa semua orang atau pihak tersebut telah menandatangani perjanjian kerahasiaan yang sesuai untuk menjaga kerahasiaan PII.
9. Sejauh Anda menerima, mempertahankan, memproses, atau memiliki akses ke PII sehubungan dengan Program Reseller berdasarkan Perjanjian, Anda menerima dan menyetujui bahwa Anda bertanggung jawab untuk melakukan tindakan organisasi dan keamanan yang sesuai untuk melindungi PII. Anda harus melindungi dan mengamankan PII tersebut sesuai dengan semua undang-undang perlindungan privasi dan data yang berlaku, termasuk tetapi tidak terbatas pada Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 tentang perlindungan individu yang berkaitan dengan pemrosesan data pribadi dan tentang pergerakan bebas dari data tersebut (“Peraturan Perlindungan Data Umum” atau “GDPR”) dan peraturan atau undang-undang Negara Anggota Uni Eropa terkait (bersama-sama disebut “Undang-Undang Perlindungan Data UE”).

10. Tindakan organisasi dan keamanan yang sesuai yang dirujuk pada Pasal 3.7 harus disertakan sebagaimana mestinya (namun tidak terbatas pada):
    1. Tindakan-tindakan yang tercantum di bawah pada Pasal 3 dan 4;
    2. Tindakan untuk memastikan bahwa hanya individu yang berwenang yang dapat mengakses PII untuk tujuan yang dijelaskan dalam Perjanjian;
    3. Penerapan pseudonim dan enkripsi PII;
    4. Kemampuan untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem pemrosesan serta layanan Anda yang berkelanjutan;
    5. Kemampuan untuk memulihkan ketersediaan dan akses ke PII secara tepat waktu;
    6. Proses untuk menguji, menilai, dan mengevaluasi efektivitas tindakan teknis dan organisasi secara berkala untuk memastikan keamanan pemrosesan PII; dan
    7. Tindakan untuk mengidentifikasi kerentanan terkait pemrosesan PII di sistem Anda.
11. Selama Anda melakukan kontrak dengan subkontraktor, vendor, atau pihak ketiga lainnya untuk memfasilitasi kinerjanya berdasarkan Perjanjian, Anda harus (i) mendapatkan persetujuan tertulis sebelumnya dari kami; dan (ii) mengadakan perjanjian tertulis dengan pihak ketiga tersebut untuk memastikan pihak tersebut juga mematuhi ketentuan dalam DPA dan Perjanjian ini.

12. Meskipun terdapat otorisasi apa pun yang diberikan oleh kami sesuai dengan Pasal 1.11, Anda akan tetap bertanggung jawab penuh atas tindakan subkontraktor, vendor, atau pihak ketiga lainnya jika pihak tersebut gagal memenuhi kewajibannya berdasarkan DPA ini (atau pengaturan kontrak serupa yang diberlakukan untuk membebankan kewajiban yang setara pada pihak ketiga terhadap mereka yang berkewajiban kepada Anda berdasarkan DPA ini) atau berdasarkan undang-undang privasi yang berlaku.
13. Anda akan, dengan biaya sendiri, membela, mengganti rugi, dan membebaskan kami dari segala tanggung jawab, biaya, dan kerugian yang terkait dengan ketersediaan, kerugian, kerusakan, pengungkapan atau akses yang tidak sah, pencurian, atau hal-hal yang membahayakan PII yang bersifat sementara atau permanen, tidak disengaja atau tidak sah, dan pelanggaran apa pun lainnya terhadap undang-undang perlindungan data yang berlaku, dan setiap pelanggaran DPA ini.
14. Apabila Anda mengetahui bahwa Anda telah menerima Informasi Rahasia atau PII yang bukan ditujukan untuk Anda atau Anda tidak berwenang untuk menerimanya berdasarkan Perjanjian ini, Anda harus (i) segera memberi tahu kami di privacy@godaddy.com, dan (ii) kecuali diinstruksikan lain secara tertulis, mempertahankan informasi tersebut hingga Anda dihubungi oleh privacy@godaddy.comdengan instruksi apa yang harus dilakukan terhadap informasi tersebut.

4. Penilaian Dampak & Audit Keamanan

1. Penilaian Dampak Perlindungan Data. Anda harus membantu kami dalam melakukan penilaian dampak perlindungan data untuk mengidentifikasi dan meminimalkan risiko privasi atau keamanan apa pun yang terkait dengan Program Reseller berdasarkan Perjanjian.
2. Audit Berkala. Kami secara berkala berhak mengaudit (atau meminta pihak ketiga, berdasarkan instruksi kami, mengaudit) kepatuhan Anda terhadap DPA ini.
3. Audit setelah Insiden. Jika Reseller mengalami pelanggaran keamanan, kami dapat menjalankan audit keamanan untuk memastikan bahwa tidak ada PII yang terkena dampak. Anda memiliki waktu 90 hari untuk merespons setiap masalah yang teridentifikasi melalui audit. Setelah masalah yang teridentifikasi diatasi, kami dapat menjalankan audit keamanan untuk memastikan penyelesaian resolusi.
4. Pemberitahuan Ketidakpatuhan. Apabila Anda tidak dapat memenuhi komitmen yang terdapat dalam DPA ini karena alasan apa pun, Anda harus memberi tahu kami secepatnya. Dalam kasus tersebut, Anda harus mempertimbangkan apakah SLA dapat mengatasi masalah dengan cepat dan tanpa menimbulkan risiko terhadap keamanan PII. Jika tidak, kami dapat memilih untuk langsung mengakhiri Perjanjian, penalti atau kewajiban lain kepada Anda.

5. Tanggapan Insiden Keamanan

1. Pengaturan Waktu Pemberitahuan. Anda akan menyampaikan setiap insiden keamanan terkait layanan Anda dan/atau PII langsung kepada kami setelah insiden ditemukan dan langsung memberikan umpan balik tentang setiap dampak yang mungkin/akan memengaruhi kami atau PII. Anda harus memberi tahu kami tentang insiden keamanan langsung setelah insiden tersebut terdeteksi, namun tidak boleh lebih dari 1 jam setelah mendeteksi insiden tersebut. Insiden untuk tujuan DPA ini juga harus mencakup:
   1. Keluhan atau permintaan sehubungan dengan pelaksanaan hak individu berdasarkan undang-undang yang berlaku termasuk Undang-Undang Perlindungan Data UE;
   2. Investigasi atau penyitaan PII oleh pejabat pemerintah, lembaga penegak hukum atau peraturan, atau indikasi bahwa penyelidikan atau penyitaan tersebut disengaja;
   3. Setiap ketidaktersediaan, kerugian, kerusakan, pengungkapan atau akses yang tidak sah, pencurian, atau hal-hal yang membahayakan PII yang bersifat sementara atau permanen, tidak disengaja atau tidak sah; dan
   4. Pelanggaran keamanan dan/atau kewajiban kerahasiaan apa pun yang ditetapkan dalam DPA ini.
2. Format dan Konten Pemberitahuan. Pemberitahuan tentang pelanggaran keamanan harus berupa panggilan telepon ke Pusat Operasi Jaringan (NOC) kami di (480) 505-8809, diikuti dengan pemberitahuan tertulis ke securitybreach@godaddy.com. Anda harus memberikan informasi berikut selama panggilan telepon terkait pemberitahuan, dan dalam pemberitahuan tertulis, semaksimal mungkin dengan pembaruan lebih lanjut saat terdapat informasi tambahan yang terungkap:
   1. Deskripsi tentang sifat insiden dan kemungkinan konsekuensi insiden;
   2. Ekspektasi waktu penyelesaian (jika diketahui);
   3. Deskripsi tentang tindakan yang diambil atau yang diajukan untuk mengatasi insiden, termasuk tindakan untuk mengurangi kemungkinan dampak buruknya bagi kami, PII, atau individu yang terkait;
   4. Jika jalur penyelesaian tidak diketahui pada saat panggilan telepon, Anda harus mengklarifikasi bahwa hal itu belum ditentukan;
   5. Kategori dan perkiraan jumlah PII dan individu yang berpotensi dapat terpengaruh oleh insiden, dan kemungkinan konsekuensi dari insiden terhadap PII tersebut dan individu yang terkait; dan
   6. Nama dan nomor telepon perwakilan Reseller yang dapat kami hubungi untuk mendapatkan informasi terbaru sehubungan insiden.
3. Sumber Daya Keamanan. Kami dapat, atas persetujuan bersama dengan Anda, memberikan sumber daya dari grup keamanan kami untuk membantu menangani pelanggaran keamanan yang teridentifikasi. Anda setuju untuk membantu kami dalam memenuhi kewajibannya terkait dengan pemberitahuan pelanggaran keamanan berdasarkan Undang-undang Perlindungan Data UE atau kewajiban pemberitahuan pelanggaran terkait perundang-undangan, peraturan, administratif, atau kontraktual lainnya.

6. Kriptografi

1. Enkripsi Kepemilikan. Transaksi aman antara Anda dan subkontraktor, vendor, atau pihak ketiga lainnya, serta penyimpanan Informasi Rahasia atau PII kami tidak dapat menggunakan algoritme kriptografi yang Anda kembangkan secara internal. Setiap algoritme simetri, asimetri, dan hashing yang digunakan oleh infrastruktur aplikasi akan menggunakan algoritme yang telah diterbitkan dan dievaluasi oleh komunitas kriptografi umum.
2. Kekuatan Enkripsi. Algoritme enkripsi harus menerapkan teknologi standar industri terkini dan memiliki kekuatan yang memadai, seperti AES. Enkripsi kunci publik RSA atau SHA-256.
3. Fungsi Hashing. Fungsi hashing berupa kombinasi SHA-256 dan paling tidak salah satu MD-5, SHA-2, SHA-3 atau yang serupa, tidak termasuk SHA-1. Jika fungsi hashing alternatif akan digunakan, fungsi tersebut telah disetujui Tim Keamanan Informasi kami dan harus dilengkapi minimal dengan satu algoritme yang disetujui.

7. Pemrosesan PII

1. Kepatuhan terhadap Undang-Undang. Selama ketentuan berlaku, Anda akan membantu kami dalam kewajiban kami untuk menanggapi permintaan dari individu yang PII miliknya sedang diproses berdasarkan Perjanjian dan yang ingin menggunakan hak mereka berdasarkan Undang-undang Perlindungan Data UE, termasuk (tetapi tidak terbatas pada): (i) hak akses; (ii) hak atas portabilitas data; (iii) hak untuk menghapus; (iv) hak atas perbaikan; (v) hak untuk menolak pengambilan keputusan otomatis; atau (vi) hak untuk menolak pemrosesan.
2. Penghapusan/Pemusnahan. Anda harus menghapus/memusnahkan atau mengembalikan semua PII secara aman dan menimpa drive fisik yang digunakan untuk penyimpanannya menggunakan Cryptographic Erase (NIST SP-800-88r1) atau metode yang setara kapan pun atas permintaan kami atau, tanpa permintaan kami, setelah pengakhiran Perjanjian serta memusnahkan atau mengembalikan salinan apa pun yang ada kepada kami.

Untuk tujuan Pasal 26(2) Pedoman 95/46/EC untuk transfer data pribadi ke pemroses yang didirikan di negara ketiga yang tidak menjamin tingkat perlindungan data yang memadai

pengekspor data: GoDaddy.com, LLC dan entitas afiliasinya

dan

pengimpor data: Reseller yang ditentukan yang berpartisipasi dalam Program Reseller dan tunduk pada syarat-syarat dalam Perjanjian.

masing-masing disebut ‘pihak’; bersama-sama disebut ‘pihak-pihak’,

TELAH MENYETUJUI Klausul Kontrak (Klausul) berikut untuk menjelaskan perlindungan yang memadai sehubungan dengan perlindungan privasi, hak-hak mendasar, dan kebebasan individu untuk transfer data pribadi dari pengekspor data ke pengimpor data yang ditentukan dalam Apendiks 1.

Untuk tujuan Klausul:

(a) ‘data pribadi’, ‘kategori data khusus’, ‘proses/pemrosesan’, ‘pengontrol’, ‘pemroses’, ‘subjek data’, dan ‘otoritas pengawas’ akan memiliki arti yang sama sesuai dengan Directive 95/46/EC European Parliament and of Council of 24 October 1995 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang pergerakan bebas data tersebut;

(b) ‘pengekspor data’ berarti pengontrol yang mentransfer data pribadi;

(c) ‘pengimpor data’ berarti pemroses yang setuju untuk menerima dari data pribadi pengekspor data yang dimaksudkan untuk pemrosesan atas namanya setelah transfer sesuai dengan instruksinya dan persyaratan Klausul dan yang tidak tunduk pada sistem negara ketiga yang memastikan perlindungan yang memadai dalam arti Pasal 25(1) dari Pedoman 95/46/EC;

(d) ‘sub-pemroses’ berarti setiap pemroses yang dilibatkan oleh pengimpor data atau oleh sub-pemroses pengimpor data lain yang setuju untuk menerima data pribadi dari pengimpor data atau sub-pemroses pengimpor data lainnya yang secara eksklusif dimaksudkan agar aktivitas pemrosesan dilakukan atas nama pengekspor data setelah transfer sesuai dengan instruksinya, ketentuan dalam Klausul, dan ketentuan dalam subkontrak tertulis;

(e) ‘undang-undang perlindungan data yang berlaku’ berarti undang-undang yang melindungi hak dasar dan kebebasan individu dan, khususnya, hak mereka untuk privasi sehubungan dengan pemrosesan data pribadi yang berlaku untuk pengontrol data di Negara Anggota tempat pengekspor data didirikan;

(f) ‘tindakan keamanan teknis dan organisasi’ berarti tindakan yang ditujukan untuk melindungi data pribadi terhadap penghancuran yang tidak disengaja atau tidak sah atau kehilangan yang tidak disengaja, perubahan, pengungkapan atau akses yang tidak sah, khususnya pemrosesan yang melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan lainnya yang tidak sah.

Detail transfer dan khususnya kategori khusus data pribadi jika berlaku tercantum dalam Apendiks 1 yang membentuk bagian integral Klausul.

1. Subjek data dapat menerapkan Klausul ini, Klausul 4(b) hingga (i), Klausul 5(a) hingga (e), dan (g) hingga (j), Klausul 6(1) dan (2), Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12 terhadap pengekspor data sebagai penerima pihak ketiga.

2. Subjek data dapat menerapkan Klausul ini, Klausul 5(a) hingga (e) dan (g), Klausul 6, Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12 terhadap pengimpor data, jika pengekspor data menghilang secara faktual atau tidak ada lagi dalam hukum, kecuali ada entitas penerus yang menanggung seluruh kewajiban hukum pengekspor data berdasarkan kontrak atau operasi hukum, yang menyebabkan pelimpahan hak dan kewajiban pengekspor data kepada entitas tersebut, sehingga subjek data dapat menerapkannya terhadap entitas ini.

3. Subjek data dapat menerapkan Klausul ini, Klausul 5(a) hingga (e) dan (g), Klausul 6, Klausul 7, Klausul 8(2), dan Klausul 9 hingga 12 terhadap sub-pemroses, jika pengekspor dan pengimpor data menghilang secara faktual, tidak ada lagi dalam hukum, atau telah pailit, kecuali ada entitas penerus yang menanggung seluruh kewajiban hukum pengekspor data berdasarkan kontrak atau operasi hukum yang menyebabkan pelimpahan hak dan kewajiban pengekspor data kepada entitas tersebut, sehingga subjek data dapat menerapkannya terhadap entitas ini. Tanggung jawab pihak ketiga sub-pemroses tersebut harus dibatasi pada operasi pemrosesannya sendiri berdasarkan Klausul.

4. Para pihak tidak keberatan dengan subjek data yang diwakili oleh asosiasi atau badan lainnya jika subjek data secara tegas menginginkannya dan jika diizinkan oleh hukum nasional.

Pengekspor data menyetujui dan menjamin:

(a) bahwa pemrosesan, termasuk transfer itu sendiri, data pribadi telah dan akan terus dilakukan sesuai dengan ketentuan hukum perlindungan data yang relevan dan berlaku (dan, jika berlaku, telah diberitahukan kepada pihak berwenang Negara Anggota tempat pengekspor data didirikan) dan tidak melanggar ketentuan yang relevan dari Negara Bagian tersebut;

(b) bahwa pengekspor data telah menginstruksikan dan sepanjang durasi layanan pemrosesan data pribadi akan menginstruksikan pengimpor data untuk memproses data pribadi yang ditransfer hanya atas nama pengekspor data dan sesuai dengan undang-undang perlindungan data yang berlaku dan Klausul;

(c) bahwa pengimpor data akan menyediakan jaminan yang memadai sehubungan dengan tindakan keamanan teknis dan organisasi yang ditentukan dalam Apendiks 2 pada kontrak ini;

(d) bahwa setelah penilaian persyaratan hukum perlindungan data yang berlaku, tindakan keamanan tepat untuk melindungi data pribadi terhadap penghancuran yang tidak sengaja atau tidak sah atau kehilangan yang tidak sengaja, perubahan, pengungkapan atau akses yang tidak sah, khususnya pemrosesan yang melibatkan transmisi data melalui jaringan, dan terhadap semua bentuk pemrosesan lainnya yang tidak sah, dan bahwa tindakan ini memastikan tingkat keamanan yang sesuai dengan risiko yang ada karena pemrosesan dan sifat data yang harus dilindungi dengan memperhatikan perkembangan terbaru dan biaya pelaksanaannya;

(e) bahwa pengekspor data akan memastikan kepatuhan terhadap tindakan keamanan;

(f) bahwa, jika transfer melibatkan kategori data khusus, subjek data telah diberi tahu atau akan diberi tahu sebelumnya, atau sesegera mungkin setelah, mengenai transfer bahwa datanya dapat ditransmisikan ke negara ketiga yang tidak memberikan perlindungan yang memadai sesuai makna Directive 95/46/EC;

(g) untuk meneruskan pemberitahuan yang diterima dari pengimpor data atau sub-pemroses sesuai dengan Klausul 5(b) dan Klausul 8(3) kepada otoritas pengawas perlindungan data jika pengekspor data memutuskan untuk melanjutkan transfer atau untuk mencabut penangguhan;

(h) agar tersedia bagi subjek data setelah permintaan salinan Klausul, dengan pengecualian Apendiks 2, dan deskripsi ringkasan tindakan keamanan, serta salinan kontrak untuk layanan sub-pemrosesan yang harus dibuat sesuai dengan Klausul, kecuali Klausul atau kontrak berisi informasi komersial, sehingga informasi komersial tersebut dapat dihapus;

(i) bahwa, dalam hal terkait sub-pemrosesan, aktivitas pemrosesan dilakukan sesuai dengan Klausul 11 oleh sub-pemroses yang memberikan setidaknya tingkat perlindungan yang sama untuk data pribadi dan hak subjek data seperti pengimpor data berdasarkan Klausul; dan

(j) bahwa pengekspor data akan memastikan kepatuhan terhadap Klausul 4(a) hingga (i).

Pengimpor data menyetujui dan menjamin:

(a) untuk memproses data pribadi hanya atas nama pengekspor data dan sesuai dengan instruksi dan Klausul; jika tidak dapat mematuhinya dengan alasan apa pun, pengimpor data setuju untuk segera memberi tahu pengekspor data terkait ketidakmampuannya dalam mematuhi, dan pengekspor data berhak menangguhkan transfer data dan/atau mengakhiri kontrak;

(b) bahwa pengimpor data tidak memiliki alasan untuk meyakini bahwa undang-undang yang berlaku mencegahnya memenuhi instruksi yang diterima dari pengekspor data dan kewajibannya berdasarkan kontrak dan bahwa jika terdapat perubahan dalam undang-undang ini yang cenderung memiliki efek merugikan yang besar pada jaminan dan kewajiban yang diberikan oleh Klausul, pengimpor data akan segera memberitahukan perubahan kepada pengekspor data segera setelah mengetahui adanya perubahan, dan pengekspor data berhak untuk menangguhkan transfer data dan/atau mengakhiri kontrak;

(c) bahwa pengimpor data telah menerapkan tindakan keamanan teknis dan organisasi yang ditentukan dalam Apendiks sebelum memproses data pribadi yang ditransfer;

(d) bahwa pengimpor data akan segera memberi tahu pengekspor data tentang:

(i) setiap permintaan yang mengikat secara hukum untuk pengungkapan data pribadi oleh otoritas penegak hukum kecuali jika dilarang, seperti larangan berdasarkan hukum pidana untuk menjaga kerahasiaan penyelidikan penegakan hukum;

(ii) akses tidak disengaja atau tidak sah; dan

(iii) setiap permintaan yang diterima langsung dari subjek data tanpa menanggapi permintaan tersebut, kecuali jika telah diberi wewenang untuk melakukannya;

(e) untuk menangani semua pertanyaan dari pengekspor data terkait pemrosesan data pribadi dengan cepat dan tepat yang sesuai dengan transfer dan untuk mematuhi saran otoritas pengawas yang berkaitan dengan pemrosesan data yang ditransfer;

(f) atas permintaan pengekspor data untuk menyerahkan fasilitas pemrosesan data guna melakukan audit aktivitas pemrosesan yang dicakup dalam Klausul yang harus dilakukan oleh pengekspor data atau badan inspeksi yang terdiri dari anggota independen dan memiliki kualifikasi profesional wajib yang terikat dengan tugas kerahasiaan, dipilih oleh pengekspor data, jika berlaku, dalam perjanjian dengan otoritas pengawas;

(g) ketersediaan salinan Klausul bagi subjek data setelah diminta, atau kontrak sub-pemrosesan yang ada, kecuali Klausul atau kontrak berisi informasi komersial, sehingga informasi komersial tersebut dapat dihapus, dengan pengecualian Apendiks 2 yang harus diganti dengan deskripsi ringkasan tindakan keamanan ketika subjek data tidak dapat memperoleh salinan dari pengekspor data;

(h) bahwa, dalam hal sub-pemrosesan, pengekspor data telah diberi tahu sebelumnya dan persetujuan tertulis telah diperoleh sebelumnya;

(i) bahwa layanan pemrosesan oleh sub-pemroses akan dilakukan sesuai dengan Klausul 11;

(j) untuk segera mengirimkan salinan perjanjian sub-pemroses yang disimpulkan berdasarkan Klausul kepada pengekspor data.

(k) bahwa pengimpor data akan, dengan usahanya sendiri, melindungi, mengganti rugi, dan membebaskan pengekspor data terhadap semua kewajiban dan kerugian sehubungan dengan kerugian apa pun, pengungkapan yang tidak sah, pencurian, atau hal yang membahayakan data pribadi, serta pelanggaran lain terhadap undang-undang perlindungan data yang berlaku oleh atau dari pengimpor data.

1. Para pihak setuju bahwa subjek data, yang mengalami kerugian sebagai akibat dari pelanggaran kewajiban yang dimaksud dalam Klausul 3 atau dalam Klausul 11 oleh pihak atau sub-pemroses, berhak menerima kompensasi dari pengekspor data untuk kerugian yang dialami.

2. Jika subjek data tidak dapat mengajukan klaim untuk kompensasi sesuai dengan paragraf 1 terhadap pengekspor data, yang timbul karena pelanggaran oleh pengimpor data atau sub-pemrosesnya atas kewajiban apa pun yang dirujuk dalam Klausul 3 atau Klausul 11, karena pengekspor data menghilang secara faktual, tidak ada lagi dalam hukum, atau telah menjadi pailit, pengimpor data setuju bahwa subjek data dapat mengajukan klaim terhadap pengimpor data seolah-olah itu adalah pengekspor data, kecuali entitas penerus menanggung seluruh kewajiban hukum pengekspor data berdasarkan kontrak atau berdasarkan operasi hukum, sehingga subjek data dapat menerapkan haknya terhadap entitas tersebut.
   
   Pengimpor data tidak boleh bergantung pada pelanggaran kewajiban oleh sub-pemroses untuk menghindari kewajibannya sendiri.

3. Jika subjek data tidak dapat mengajukan klaim terhadap pengekspor atau pengimpor data sesuai dengan paragraf 1 dan 2, yang timbul karena pelanggaran oleh sub-pemroses atas kewajiban apa pun yang dirujuk dalam Klausul 3 atau Klausul 11, karena pengekspor dan pengimpor data menghilang secara faktual, tidak ada lagi dalam hukum, atau telah menjadi pailit, sub-pemroses setuju bahwa subjek data dapat mengajukan klaim terhadap sub-pemroses data sehubungan dengan operasi pemrosesannya sendiri berdasarkan Klausul seolah-olah itu adalah pengekspor atau pengimpor data, kecuali entitas penerus menanggung seluruh kewajiban hukum pengekspor atau pengimpor data berdasarkan kontrak atau berdasarkan operasi hukum, sehingga subjek data dapat menerapkan haknya terhadap entitas tersebut. Tanggung jawab sub-pemroses tersebut harus dibatasi pada operasi pemrosesannya sendiri berdasarkan Klausul.

1. Pengimpor data menyetujui bahwa jika subjek data meminta hak penerima pihak ketiga dan/atau kompensasi klaim atas kerusakan berdasarkan Klausul, pengimpor data akan menerima keputusan subjek data:
   
   (a) untuk mengarahkan sengketa ke mediasi, oleh orang pribadi atau, jika memungkinkan, oleh otoritas pengawas;
   
   (b) untuk mengarahkan sengketa ke pengadilan di Negara Anggota tempat pengekspor data didirikan.

2. Para pihak setuju bahwa pilihan yang dibuat oleh subjek data tidak akan merugikan hak substantif atau proseduralnya untuk mencari penyelesaian sesuai dengan ketentuan hukum nasional atau internasional lainnya.

1. Pengekspor data setuju untuk menyimpan salinan kontrak ini dengan otoritas pengawas jika diminta demikian atau jika diperlukan berdasarkan undang-undang perlindungan data yang berlaku.

2. Para pihak setuju bahwa otoritas pengawas berhak melakukan audit terhadap pengimpor data, dan sub-pemroses mana pun, yang memiliki ruang lingkup yang sama dan tunduk pada ketentuan yang sama seperti yang akan diterapkan pada audit pengekspor data berdasarkan undang-undang perlindungan data yang berlaku.

3. Pengimpor data harus segera memberi tahu pengekspor data tentang keberadaan undang-undang yang berlaku atau sub-pemroses yang mencegah dilakukannya audit terhadap pengimpor data, atau sub-pemroses, sesuai dengan paragraf 2. Dalam kasus tersebut, pengekspor data berhak mengambil tindakan yang sudah ditetapkan dalam Klausul 5(b).

Klausul akan diatur oleh hukum Negara Anggota tempat pengekspor data didirikan, atau jika tempat pengekspor data didirikan di beberapa yurisdiksi, hukum Inggris dan Wales akan berlaku.

Para pihak yang terlibat tidak dapat mengubah atau memodifikasi Klausul. Hal ini tidak menghalangi para pihak untuk menambahkan klausul mengenai masalah terkait bisnis jika diperlukan selama tidak bertentangan dengan Klausul.

1. Pengimpor data tidak boleh melakukan subkontrak terhadap salah satu operasi pemrosesan yang dilakukan atas nama pengekspor data berdasarkan Klausul tanpa persetujuan tertulis sebelumnya dari pengekspor data. Jika pengimpor data melakukan subkontrak terhadap kewajibannya berdasarkan Klausul, dengan persetujuan dari pengekspor data, pengimpor data harus melakukannya hanya dengan cara perjanjian tertulis dengan sub-pemroses yang membebankan kewajiban yang sama kepada sub-pemroses sebagaimana yang dikenakan kepada pengimpor data berdasarkan Klausul. Jika sub-pemroses gagal memenuhi kewajiban perlindungan datanya berdasarkan perjanjian tertulis tersebut, pengimpor data akan tetap bertanggung jawab sepenuhnya kepada pengekspor data untuk pelaksanaan kewajiban sub-pemroses berdasarkan perjanjian tersebut.

2. Kontrak tertulis sebelumnya antara pengimpor data dan sub-pemroses juga harus berisi klausul penerima pihak ketiga sebagaimana ditetapkan dalam Klausul 3 untuk kasus yang mana subjek data tidak dapat mengajukan klaim untuk kompensasi sebagaimana dimaksud dalam paragraf 1 Klausul 6 terhadap pengekspor atau pengimpor data karena mereka telah hilang secara faktual, tidak ada dalam hukum, atau telah menjadi pailit dan tidak ada entitas penerus yang menanggung seluruh kewajiban hukum pengekspor atau pengimpor data berdasarkan kontrak atau berdasarkan operasi hukum. Tanggung jawab pihak ketiga sub-pemroses tersebut harus dibatasi pada operasi pemrosesannya sendiri berdasarkan Klausul.

3. Ketentuan yang berkaitan dengan aspek perlindungan data untuk sub-pemrosesan kontrak sebagaimana dimaksud dalam paragraf 1 diatur oleh hukum Negara Anggota tempat pengekspor data didirikan.

4. Pengekspor data harus menyimpan daftar perjanjian sub-pemrosesan yang disepakati berdasarkan Klausul dan diberitahukan oleh pengimpor data sesuai dengan Klausul 5(j), yang harus diperbarui setidaknya sekali dalam setahun. Daftar tersebut harus tersedia bagi otoritas pengawas perlindungan data pengekspor data.

1. Semua pihak setuju bahwa setelah penghentian penyediaan layanan pemrosesan data, pengimpor data dan sub-pemroses harus, sesuai pilihan pengekspor data, mengembalikan semua data pribadi yang ditransfer dan salinannya ke pengekspor data atau harus memusnahkan semua data pribadi, dan menegaskan kepada pengekspor data bahwa hal tersebut telah dilakukan, kecuali undang-undang yang dikenakan kepada pengimpor data mencegahnya mengembalikan atau memusnahkan semua atau sebagian data pribadi yang ditransfer. Dalam hal ini, pengimpor data menjamin bahwa pengimpor data akan menjamin kerahasiaan data pribadi yang ditransfer dan tidak akan lagi secara aktif memproses data pribadi yang ditransfer.

2. Pengimpor data dan sub-pemroses menjamin bahwa atas permintaan pengekspor data dan/atau otoritas pengawas, fasilitas pemrosesan datanya akan diserahkan untuk audit tindakan yang disebutkan dalam paragraf 1.

Informasi tambahan yang diperlukan jika tidak terdapat dalam SOW yang menyertainya harus disertakan dalam Apendiks ini:

Pengekspor data:
Pengekspor data adalah entitas yang diidentifikasi sebagai GoDaddy, penyedia program reseller bagi pengimpor data untuk menjual kembali produk dan layanan tertentu dari GoDaddy kepada pelanggan.

Pengimpor data:

Pengimpor data adalah reseller produk dan layanan GoDaddy.

Subjek data

Subjek data adalah pelanggan.

Kategori data

Data pribadi yang ditransfer menyangkut kategori data berikut:

Pelanggan dapat mengirimkan data pribadi ke Layanan yang dapat termasuk, tetapi tidak terbatas pada, kategori data pribadi berikut:

• Nama depan dan belakang
• Email
• Nomor Telepon
• Alamat Fisik
• Operasi pemrosesan

Data pribadi yang ditransfer akan tunduk pada aktivitas pemrosesan dasar berikut:

Reseller akan memproses data pribadi seperlunya untuk menyediakan Layanan berdasarkan Perjanjian Reseller, dan sebagaimana diinstruksikan lebih lanjut oleh pelanggan selama penggunaan Layanan.

Tindakan Keamanan Teknis dan Organisasi

Pengimpor Data harus mempertahankan perlindungan teknis dan administratif untuk melindungi keamanan, kerahasiaan, dan integritas data pelanggan, termasuk Data Pribadi, sebagaimana ditetapkan dalam Adendum Pemrosesan Data ini. Pengimpor Data harus secara rutin memantau kepatuhan terhadap perlindungan ini. Pengimpor Data tidak akan menurunkan keseluruhan tingkat keamanan Layanan atau Program Penjual dalam skala besar.