Dit addendum voor gegevensverwerking door resellers maakt deel uit van de overeenkomst tussen GoDaddy.com, LLC (inclusief bijbehorende gelieerde rechtspersonen als deze onder de overeenkomst worden overwogen) (GoDaddy) en u (reseller) met als doel het verkopen van producten en services (services) van GoDaddy via het Reseller-programma van GoDaddy. Dit addendum beheerst de verwerking van persoonlijke informatie door door de reseller namens GoDaddy. De reseller gaat dit addendum aan namens zichzelf, en, voor zover vereist door toepasselijke wetten en voorschriften met betrekking tot gegevensbescherming, in naam van en namens de bijbehorende erkende gelieerde bedrijven van de reseller. Alle termen in dit document die niet zijn gedefinieerd, hebben de betekenis die daaraan is toegekend in de overeenkomst. De termen wij, ons of onze verwijzen naar GoDaddy. De termen u, uw of reseller verwijzen naar de persoon of de rechtspersoon die deze overeenkomst aanvaardt. Niets uit deze overeenkomst mag worden aangemerkt als het toekennen van rechten of voordelen aan derden. Dit addendum voor gegevensverwerking gaat in en is bindend vanaf het moment van uw elektronische aanvaarding.

Dit addendum voor gegevensverwerking bestaat uit twee (2) afzonderlijke delen, die, zoals hieronder wordt uitgelegd, van toepassing zijn:

• Normen en vereisten voor gegevensprivacy en -beveiliging: Toepassing van normen en vereisten voor gegevensprivacy en -beveiliging. Van toepassing op alle resellers die toegang hebben tot en die persoonlijke informatie verwerken (zoals in dit document is omschreven) binnen de aard en omvang van hun deelname aan het Reseller-programma.
• Standaard contractuele bepalingen (en bijbehorende Bijlage 1 en 2): Toepassing van standaard contractuele bepalingen. De standaard contractuele bepalingen zijn van toepassing op de klantgegevens die buiten de EER (Europese Economische Ruimte) worden overgedragen, via rechtstreekse of via verdere overdracht, naar een land dat niet door de Europese Commissie wordt erkend voor het bieden van adequate bescherming van persoonlijke gegevens (zoals beschreven in de AVG). De standaard contractuele bepalingen zijn niet van toepassing op de klantgegevens die niet naar buiten de EER worden overgedragen via rechtstreekse of via verdere overdracht. Niettegenstaande het voorgaande zijn de standaard contractuele bepalingen niet van toepassing wanneer de gegevens worden overgedragen in overeenstemming met een erkende nalevingsnorm voor de rechtmatige overdracht van persoonsgegevens (zoals gedefinieerd in de AVG) buiten de EER, zoals de EU-VS en Zwitserland-VS Privacy Shield Frameworks.

1. Onderwerp en reikwijdte

Deze serviceovereenkomst voor gegevensprivacy en -beveiliging (beveiligingsserviceovereenkomst) is gekoppeld aan en opgenomen in de overeenkomst en heeft tot doel, waarborgen dat eventuele persoonlijke informatie (zoals deze hieronder is gedefinieerd) die door u wordt verzameld of gebruikt, op een beveiligde manier wordt behandeld en anderszins in overeenstemming met de voorwaarden van de overeenkomst, deze beveiligingsserviceovereenkomst en de toepasselijke wetten en voorschriften wordt behandeld.

2. Volgorde van prioriteit.

Deze beveiligingsserviceovereenkomst is opgenomen in en is onderdeel van de overeenkomst. Op zaken die niet worden behandeld in deze beveiligingsserviceovereenkomst, zijn de voorwaarden van de overeenkomst van toepassing. Met betrekking tot de rechten en plichten van de partijen ten opzichte van elkaar, gelden in het geval van een conflict tussen de voorwaarden van de overeenkomst en deze beveiligingsserviceovereenkomst, de voorwaarden van deze beveiligingsserviceovereenkomst. In het geval van een conflict tussen de voorwaarden van de beveiligingsserviceovereenkomst en de standaardcontractbepalingen, zullen de standaardcontractbepalingen prevaleren.

3. Persoonlijke informatie.

1. Persoonlijke informatie is informatie op elk medium of in welke vorm dan ook van een geïdentificeerd of identificeerbaar natuurlijk persoon of huishouden. Een identificeerbaar natuurlijk persoon is iemand die direct of indirect kan worden geïdentificeerd, en dit in het bijzonder door verwijzing naar een id, zoals een naam, adres, burgerservicenummer of ander identificatienummer, e-mailadres, telefoonnummer, financieel profiel, creditcardinformatie, rijbewijsnummer of andere informatie die redelijkerwijs kan worden gekoppeld aan een bepaald persoon, een bepaalde computer of apparaat (zoals informatie verzameld via trackingtechnologieën, waaronder een IP-adres), of aan een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die persoon.

2. De verwerking voor de doeleinden van dit addendum voor gegevensverwerking omvat het verzamelen, opnemen, organiseren, structureren, opslaan, aanpassen of wijzigen, opvragen, raadplegen, gebruiken, bekendmaken, verspreiden of anderszins beschikbaar stellen, combineren, beperken, wissen of vernietigen van persoonlijke informatie.
3. GoDaddy maakt persoonlijke informatie alleen aan u bekend en dit uitsluitend voor uw prestatie met betrekking tot de services namens GoDaddy. U mag persoonlijke informatie bovendien alleen verwerken voor de beperkte en specifieke doelen die in de overeenkomst zijn beschreven en dit volgens onze schriftelijke instructies, en voor geen enkel ander doel, inclusief, met betrekking tot overdrachten van persoonlijke informatie van EU-ingezetenen naar buiten de Europese Unie, tenzij dat is vereist door de Europese Unie of de wetten van een Europese lidstaat (in welk geval u ons onmiddellijk en vooraf daarvan op de hoogte dient te stellen, tenzij ons informeren wettelijk is verboden).
4. Het volgende is u niet toegestaan: (i) persoonlijke informatie verkopen; (ii) persoonlijke informatie vasthouden, gebruiken of openbaar maken voor een ander commercieel doeleinde dan het verzorgen van de services; en (iii) het vasthouden, gebruiken of openbaar maken van persoonlijke informatie buiten de overeenkomst tussen u en GoDaddy.

5. U erkent en bevestigt dat persoonlijke informatie niet openbaar wordt gemaakt als overweging ten aanzien van services die onder de overeenkomst worden verzorgd voor GoDaddy. U bent niet gerechtigd om eventuele persoonlijke informatie te verkopen, zoals deze term is gedefinieerd onder de California Consumer Privacy Act van 2018, zoals deze is gewijzigd (CCPA), en u geeft hierbij aan dat u de regels, vereisten en definities van de CCPA begrijpt, evenals alle beperkingen in dit addendum voor gegevensverwerking. U stemt ermee in zich te onthouden van elke actie waarbij persoonlijke informatie aan of door u wordt overgedragen die kan worden gekwalificeerd als het verkopen van persoonlijke informatie onder de CCPA en eventuele andere toepasselijke wetgeving.
6. U mag persoonlijke informatie van EU-ingezetenen alleen naar buiten de EU overbrengen (of als dergelijke persoonlijke informatie zich al buiten de EU bevindt, overbrengen naar derden die zich ook buiten de EU bevinden), wanneer dit geschiedt in overeenstemming met de voorwaarden van dit addendum voor gegevensverwerking en de vereisten van artikel 44 tot en met 49 van de AVG (zoals hieronder beschreven).
7. U dient ons onmiddellijk op de hoogte te stellen als, volgens u, onze instructies inbreuk maken op toepasselijke gegevensbeschermingswetgeving en -voorschriften, inclusief de Europese wet op gegevensbescherming (zoals hieronder omschreven) op privacy@godaddy.com.

8. U moet persoonlijke informatie als strikt vertrouwelijk behandelen en u moet alle werknemers of goedgekeurde vertegenwoordigers die zijn betrokken bij de verwerking van persoonlijke informatie in kennis stellen van de vertrouwelijke aard van deze persoonlijke informatie. U moet bovendien waarborgen dat dergelijke personen of partijen een goedgekeurde vertrouwelijkheidsovereenkomst hebben ondertekend om de vertrouwelijkheid van de persoonlijke informatie te garanderen.
9. Voor zover u in verband met het Reseller-programma uit hoofde van de overeenkomst toegang tot persoonlijke informatie krijgt, persoonlijke informatie onderhoudt, persoonlijke informatie verwerkt of u anderszins toegang hebt tot persoonlijke informatie, erkent u en gaat u ermee akkoord dat u verantwoordelijk bent voor het handhaven van gepaste organisatiegebonden maatregelen en beveiligingsmaatregelen om dergelijke persoonlijke informatie te beschermen. U moet dergelijke persoonlijke informatie beschermen en beveiligen in overeenstemming met alle toepasselijke privacy- en gegevensbeschermingswetgeving, waaronder maar niet beperkt tot Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 inzake de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonlijke gegevens en het vrije verkeer van dergelijke gegevens (Algemene Verordening Gegevensbescherming of AVG) en bijbehorende wetgeving of voorschriften van de Europese Unie (gezamenlijk aangeduid als de EU-wetgeving inzake gegevensbescherming).

10. De passende organisatiegebonden maatregelen en beveiligingsmaatregelen waarnaar in Sectie 3.7 wordt verwezen, omvatten waar nodig (maar zijn niet beperkt tot) het volgende:
    1. De maatregelen die hierna zijn beschreven in Sectie 3 en 4;
    2. Maatregelen om ervoor te zorgen dat alleen bevoegde personen voor in de overeenkomst beschreven doelen toegang hebben tot de persoonlijke informatie;
    3. De pseudonimisering en versleuteling van de persoonlijke informatie;
    4. Het vermogen om continue vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van uw verwerkingssystemen en -services te waarborgen;
    5. Het vermogen om de beschikbaarheid van en toegang tot persoonlijke informatie tijdig te herstellen;
    6. Een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatiegebonden maatregelen voor het waarborgen van de beveiliging van de verwerking van persoonlijke informatie; en
    7. Maatregelen om kwetsbaarheden te identificeren met betrekking tot het verwerken van persoonlijke informatie op uw systemen.
11. Als u een contract tekent met een onderaannemer, leverancier of andere derde partij om de prestaties uit hoofde van de overeenkomst te bevorderen, moet u (i) voorafgaande schriftelijke toestemming van ons verkrijgen; en (ii) een schriftelijke overeenkomst aangaan met een dergelijke derde partij om ervoor te zorgen dat deze partij ook voldoet aan de voorwaarden van dit addendum voor gegevensverwerking en aan de overeenkomst.

12. Niettegenstaande enige toestemming die door ons wordt gegeven in overeenstemming met Sectie 1.11, blijft u volledig aansprakelijk voor dergelijke handelingen van een onderleverancier, verkoper of andere derde partij wanneer een dergelijke partij niet voldoet aan zijn verplichtingen onder dit addendum voor gegevensverwerking (of soortgelijke contractuele afspraken die zijn geïmplementeerd om vergelijkbare verplichtingen op te leggen aan de derde partij die u op grond van dit addendum voor gegevensverwerking gebruikt) of toepasselijke privacywetgeving.
13. U zult ons, op eigen kosten, verdedigen, schadeloos stellen en vrijwaren van elke aansprakelijkheid, alle kosten en elk verlies in verband met elke tijdelijke of permanente, toevallige of onrechtmatige onbeschikbaarheid, kwijtraking, vernietiging, ongeautoriseerde openbaarmaking van of toegang tot, diefstal of compromittering van persoonlijke informatie, en elke andere schending van toepasselijke wetgeving inzake gegevensbescherming en elke schending van dit addendum voor gegevensverwerking.
14. Als u merkt dat u onze Vertrouwelijke informatie of PII heeft ontvangen die niet bedoeld was om door u te worden ontvangen of die toestemming had om door u onder deze Overeenkomst te worden ontvangen, moet u (i) ons onmiddellijk op de hoogte stellen via privacy@godaddy.com, en (ii) tenzij anders schriftelijk is opgedragen, bewaart u de informatie totdat u wordt gecontacteerd door privacy@godaddy.com met instructies over wat te doen met dergelijke informatie.

4. Impactbeoordelingen en beveiligingsaudits

1. Impactbeoordeling voor gegevensbescherming. U moet ons bijstaan bij het uitvoeren van impactbeoordelingen voor gegevensbescherming om privacy- of beveiligingsrisico's gerelateerd aan het Reseller-programma onder de overeenkomst te identificeren en te minimaliseren.
2. Periodieke audits. Wij behouden ons het recht voor om periodieke audits uit te voeren (of om op aanwijzing van ons een audit te laten uitvoeren door een derde partij) in verband met uw naleving van dit addendum voor gegevensverwerking.
3. Audit na een incident. In het geval van een inbreuk op de beveiliging van een reseller, kunnen we een beveiligingsaudit uitvoeren om te waarborgen dat er geen sprake is van een nadelige invloed op persoonlijke informatie. U krijgt 90 dagen om te reageren op problemen die tijdens de audit zijn vastgesteld. Nadat geïdentificeerde problemen zijn opgelost, kunnen we een beveiligingsaudit uitvoeren om de voltooiing van de oplossing te garanderen.
4. Kennisgeving van niet-naleving. Als u om welke reden dan ook niet in staat bent om aan de verplichtingen in dit addendum voor gegevensverwerking te voldoen, moet u ons hiervan onmiddellijk in kennis stellen. In dat geval moet u aangeven of het probleem snel en zonder gevaar voor de beveiliging van persoonlijke informatie kan worden verholpen. Als dat het niet het geval is, kunnen we ervoor kiezen de overeenkomst zonder vertraging, boete of verdere aansprakelijkheid ten aanzien van u te beëindigen.

5. Respons voor beveiligingsincident

1. Timing van kennisgeving. U zult alle veiligheidsincidenten met betrekking tot uw services en/of persoonlijke informatie onmiddellijk na ontdekking daarvan aan ons melden en onmiddellijk feedback geven over de mogelijke gevolgen van dit incident voor ons of persoonlijke informatie. U zult zich inspannen om ons onmiddellijk op de hoogte te stellen van het beveiligingsincident nadat een dergelijk incident is ontdekt, maar zeker niet later dan 1 uur nadat u het incident hebt ontdekt. Een incident in de zin van dit addendum voor gegevensverwerking omvat ook het volgende:
   1. Een klacht of aanvraag met betrekking tot de uitoefening van de rechten van een individu onder de toepasselijke wetten, waaronder EU-wetgeving inzake gegevensbescherming;
   2. Een onderzoek naar of inbeslagname van persoonlijke informatie door overheidsfunctionarissen, regelgevende of wetshandhavingsinstanties, of aanwijzingen dat een dergelijk onderzoek of inbeslagneming wordt overwogen;
   3. Elke tijdelijke of permanente, toevallige of onrechtmatige onbeschikbaarheid, vernietiging, ongeoorloofde openbaarmaking van of toegang tot, diefstal of compromittering van persoonlijke informatie en elk tijdelijk of permanent, toevallig of onrechtmatig verlies daarvan; en
   4. Elke inbreuk op de beveiliging- en/of vertrouwelijkheidsverplichtingen die zijn uiteengezet in dit addendum voor gegevensverwerking.
2. Vorm en inhoud van kennisgeving. Kennisgeving van een inbreuk op de beveiliging zal geschieden via een telefoontje naar ons Network Operations Center (NOC) via (480) 505-8809, gevolgd door een schriftelijke kennisgeving naar securitybreach@godaddy.com. U moet de volgende informatie verstrekken tijdens de telefonische kennisgeving, en in de schriftelijke kennisgeving, en dit voor zover mogelijk met verdere updates naarmate aanvullende informatie aan het licht komt:
   1. Een beschrijving van de aard van het incident en de waarschijnlijke gevolgen van het incident;
   2. Verwachte oplossingsduur (indien bekend);
   3. Een beschrijving van de genomen of voorgestelde maatregelen om met het incident aan te pakken, waaronder maatregelen om de mogelijke negatieve effecten op ons, de persoonlijke informatie of daaraan gekoppelde personen te matigen;
   4. Als het oplossingstraject niet bekend is op het moment van het telefoongesprek, moet u duidelijk maken dat dit nog niet is vastgesteld;
   5. De categorieën en het geschatte volume aan betrokken persoonlijke informatie en aan personen, en de waarschijnlijke gevolgen van het incident voor die persoonlijke informatie en de daaraan gekoppelde personen; en
   6. De naam en het telefoonnummer van een vertegenwoordiger van de reseller waarmee we contact kunnen opnemen voor actuele en bijgewerkte informatie over het incident.
3. Beveiligingsbronnen. Wij kunnen, na gezamenlijk akkoord met u, bronnen verstrekken afkomstig van onze beveiligingsgroep om te helpen bij een geïdentificeerde inbreuk op de beveiliging. U stemt ermee in om ons bij te staan bij het voldoen aan de verplichtingen wat betreft de kennisgeving van een inbreuk op de beveiliging onder de EU-wetgeving inzake gegevensbescherming, of wat betreft enige andere wettelijke, regelgevende, administratieve of contractuele kennisgeving van een schending.

6. Cryptografie

1. Eigen versleuteling. Voor beveiligde transacties tussen u en onderaannemers, leveranciers of andere derde partijen mogen, evenals voor opslag van onze vertrouwelijke informatie of persoonlijke informatie, geen intern door u ontwikkelde cryptografie-algoritmen worden gebruikt. Elk symmetrisch, asymmetrisch of hash-algoritme dat door de toepassingsinfrastructuur wordt gebruikt, maakt gebruik van algoritmen die zijn gepubliceerd en geëvalueerd door de algemene cryptografische gemeenschap.
2. Sterkte van versleuteling. Versleutelingsalgoritmen moeten voldoen aan huidige standaardtechnologie in de bedrijfstak en voldoende sterkte zijn, zoals AES. SHA-256 of RSA openbare-sleutelversleuteling.
3. Hashing-functies. Hashing-functies zullen een combinatie zijn van SHA-256 en minstens een van MD-5, SHA-2, SHA-3 of gelijksoortig, met uitzondering van SHA-1. Als afwisselende hashing-functies moeten worden gebruikt, is voor deze uitdrukkelijke toestemming vereist van ons Information Security Team, en deze moeten vergezeld gaan met minstens één goedgekeurd algoritme.

7. Persoonlijke informatie verwerken

1. Naleving van de wet. Voor zover van toepassing, helpt u ons bij het nakomen van onze verplichtingen om te reageren op verzoeken van een persoon die volgens de overeenkomst persoonlijke informatie verwerkt en die zijn of haar rechten uit hoofde van de EU-wetgeving inzake gegevensbescherming wenst uit te oefenen, waaronder (maar niet beperkt tot) de volgende rechten: (i) het recht op toegang; (ii) het recht op gegevensportabiliteit; (iii) het recht om te wissen; (iv) het recht op rectificatie; (v) het recht om bezwaar te maken tegen geautomatiseerde besluitvorming; of (vi) het recht om bezwaar te maken tegen verwerking.
2. Verwijderen/vernietigen. U moet alle persoonlijke informatie veilig verwijderen/vernietigen en fysieke stations overschrijven die worden gebruikt voor de opslag ervan. Dit moet worden gedaan met Cryptographic Erase (NIST SP-800-88r1) of een equivalente methode wanneer wij daarom vragen, of, wanneer er geen aanvraag van ons is, na beëindiging van de overeenkomst, en u moet alle bestaande kopieën ervan vernietigen of aan ons teruggeven.

Voor de toepassing van Artikel 26(2), van Verordening 95/46/EG voor de overdracht van persoonsgegevens aan in derde landen gevestigde verwerkers die niet zorgen voor een passend niveau van gegevensbescherming

gegevensexporteur: GoDaddy.com, LLC en zijn partners

en

gegevensimporteur: De vermelde reseller die deelnam in het Reseller-programma is onderhevig aan de voorwaarden van de Overeenkomst.

elk een 'partij'; samen 'de partijen',

ZIJN AKKOORD GEGAAN met de volgende Contractbepalingen (de Clausules) teneinde voldoende garanties te bieden met betrekking tot de bescherming van privacy en fundamentele rechten en vrijheden van personen voor de doorgifte door de gegevensexporteur aan de gegevensimporteur van de in Bijlage 1 gespecificeerde persoonsgegevens.

Voor de toepassing van de Clausules:

(a) 'persoonlijke gegevens', 'speciale categorieën gegevens', 'proces/verwerking', 'controller', 'verwerker', betrokkene' en 'toezichthoudende autoriteit' hebben dezelfde betekenis in de verordening 95/46/EC van het Europese Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van personen voor de verwerking van persoonlijke gegevens en het vrije verkeer van dergelijke gegevens;

(b) 'de gegevensverwerker' betekent de controller die de persoonlijke gegevens overbrengt;

(c) 'de gegevensimporteur' is de verwerker die ermee instemt van de gegevensexporteur persoonsgegevens te ontvangen die bestemd zijn/haar voor verwerking, namens de verwerker, na de overdracht in overeenstemming met zijn/haar instructies en de voorwaarden van de Clausules en die niet onderworpen zijn aan het systeem van een derde land dat adequate bescherming biedt in de zin van Artikel 25(1), van Verordening 95/46/EG;

(d) de subverwerker is elke verwerker die door de gegevensimporteur is aangesteld of door een andere subverwerker van de gegevensimporteur die ermee instemt persoonsgegevens te ontvangen van de gegevensimporteur of van een andere subverwerker van de gegevensimporteur, die uitsluitend bestemd zijn voor verwerkingsactiviteiten die namens de gegevensexporteur moeten worden uitgevoerd, na de overdracht in overeenstemming met zijn/haar instructies, de voorwaarden van de Clausules en de voorwaarden van het schriftelijke subcontract;

(e) 'de van toepassing zijnde wet gegevensbescherming' betekent de wetgeving die de fundamentele rechten en vrijheden van personen beschermt en, met name, hun privacyrechten wat betreft de verwerking van persoonlijke gegevens van toepassing op een gegevenscontroller in de lidstaat waarin de gegevensexporteur is gevestigd;

(f) 'technische en organisatorische beveiligingsmaatregelen' betekent die maatregelen die gericht zijn op het beschermen van persoonlijke gegevens tegen accidentele of onwettige vernietiging of accidenteel verlies, wijziging, ongeoorloofde openbaarmaking of toegang, met name wanneer de verwerking de doorgifte van gegevens via een netwerk betreft, en tegen alle andere onwettige vormen van verwerking.

De details van de overdracht en in het bijzonder de speciale categorieën persoonsgegevens, indien van toepassing, worden gespecificeerd in Bijlage 1, die een integraal onderdeel van de Clausules vormt.

1. De betrokkene kan tegen de gegevensexporteur deze Clausule afdwingen, Clausule 4(b) tot (i), Clausule 5(a) tot (e), en (g) tot (j), Clausule 6(1) en (2), Clausule 7, Clausule 8(2) en Clausules 9 tot 12 als derde begunstigde.

2. De betrokkene kan tegen de gegevensimporteur deze Clausule afdwingen, Clausule 5(a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8(2) en Clausules 9 tot 12, in gevallen waarin de gegevensexporteur feitelijk verdwenen is of ophoudt te bestaan, tenzij een van de opvolgende rechtspersonen de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of bij wet heeft opgelegd, waardoor het de rechten en plichten van de gegevensexporteur overneemt, in welk geval de betrokkene deze kan afdwingen jegens die rechtspersoon.

3. De betrokkene kan tegen de subverwerker deze clausule afdwingen, Clausule 5(a) tot (e) en (g), Clausule 6, Clausule 7, Clausule 8(2) en Clausules 9 tot 12, in gevallen waarin de gegevensexporteur en de gegevensimporteur beide feitelijk zijn verdwenen of zijn opgehouden te bestaan of insolvent zijn geworden, tenzij een van de opvolgende rechtspersonen de volledige wettelijke verplichtingen van de gegevensexporteur bij overeenkomst of bij wet heeft opgelegd, waardoor het de rechten en plichten van de gegevensexporteur overneemt, in welk geval de betrokkene deze kan afdwingen jegens die rechtspersoon. Dergelijke derde-partij aansprakelijkheid van de subverwerker is beperkt tot zijn/haar eigen verwerkingen overeenkomstig de Clausules.

4. De partijen maken er geen bezwaar tegen dat een betrokkene wordt vertegenwoordigd door een vereniging of een ander orgaan indien de betrokkene dit uitdrukkelijk wenst en indien toegestaan door de nationale wetgeving.

De gegevensexporteur gaat akkoord met en garandeert:

(a) dat de verwerking, inclusief de overdracht zelf, van de persoonsgegevens is en zal worden uitgevoerd in overeenstemming met de relevante bepalingen van de toepasselijke wetgeving inzake gegevensbescherming (en, indien van toepassing, is gemeld aan de relevante autoriteiten van de lidstaat waar de gegevensexporteur is gevestigd) en schendt de relevante bepalingen van die staat niet;

(b) dat het instructies heeft gegeven en tijdens de gehele duur van de diensten voor de verwerking van persoonsgegevens de gegevensimporteur opdracht geeft de persoonsgegevens die uitsluitend worden overgedragen namens de gegevensexporteur en in overeenstemming met de toepasselijke wetgeving inzake gegevensbescherming en de Clausules te verwerken;

(c) dat de gegevensimporteur adequate garanties biedt wat betreft de technische en organisatorische beveiligingsmaatregelen zoals uiteengezet in Bijlage 2 van dit contract;

(d) dat na beoordeling van de vereisten van de toepasselijke wetgeving inzake gegevensbescherming, de beveiligingsmaatregelen geschikt zijn om persoonsgegevens te beschermen tegen toevallige of onwettige vernietiging of accidenteel verlies, wijziging, ongeautoriseerde openbaarmaking of toegang, met name wanneer de verwerking de overdracht van gegevens over een netwerk omvat, en tegen alle andere onwettige vormen van verwerking, en dat deze maatregelen zorgen voor een beveiligingsniveau dat is afgestemd op de risico's van de verwerking en de aard van de te beschermen gegevens, rekening houdend met de stand van de techniek en de kosten van hun implementatie;

(e) dat het zorgt voor de naleving van de beveiligingsmaatregelen;

(f) dat, indien de overdracht betrekking heeft op speciale categorieën gegevens, de betrokkene op de hoogte is gebracht of zal hij/zij vóór of zo snel mogelijk na de doorgifte ervan op de hoogte wordt gebracht dat zijn/haar gegevens kunnen worden doorgegeven aan een derde land dat niet de adequate bescherming biedt binnen de betekenis van Verordening 95/46/EG;

(g) overeenkomstig Clausule 5(b) en Clausule 8(3), van de gegevensimporteur of subverwerker ontvangen informatie door te geven aan de toezichthoudende autoriteit voor gegevensbescherming, indien de gegevensexporteur besluit de overdracht voort te zetten of de opschorting op te heffen;

(h) om de betrokkene op verzoek een kopie te verstekken van de Clausules, met uitzondering van Bijlage 2, en een beknopte beschrijving van de beveiligingsmaatregelen, evenals een kopie van elk contract voor subverwerkingsdiensten dat moet worden gemaakt in overeenstemming met de Clausules, tenzij de Clausules of het contract commerciële informatie bevatten, waarin in het geval dat het dergelijke commerciële informatie bevat, deze mag verwijderen;

(i) dat, bij subverwerking, de verwerkingsactiviteit wordt uitgevoerd in overeenstemming met Clausule 11 door een subverwerker die minstens hetzelfde niveau bescherming biedt voor de persoonlijke gegevens en de rechten van betrokkene als de gegevensimporteur onder de Clausules; en

(j) dat het zorgt voor de naleving van Clausule 4(a) tot (i).

De gegevensimporteur gaat akkoord met en garandeert:

(a) de persoonsgegevens alleen te verwerken namens de gegevensexporteur en in overeenstemming met zijn instructies en de Clausules; indien zij om welke reden dan ook niet in staat zijn deze naleving te garanderen, stemmen zij ermee in om de gegevensexporteur direct op de hoogte te stellen van het onvermogen om eraan te voldoen, in welk geval de gegevensexporteur gerechtigd is om de overdracht van gegevens op te schorten en/of het contract te beëindigen;

(b) dat er geen reden is om aan te nemen dat de wetgeving die op hem van toepassing is, niet in staat is de instructies van de gegevensexporteur en zijn verplichtingen uit hoofde van het contract na te leven, en dat in het geval van een wijziging van deze wetgeving die waarschijnlijk een aanzienlijk ongunstig effect heeft op de garanties en verplichtingen die door de Clausules worden geboden, zal het de wijziging onmiddellijk aan de gegevensexporteur melden, in welk geval de gegevensexporteur gerechtigd is om de overdracht van gegevens op te schorten en/of het contract te beëindigen;

(c) dat het de technische en organisatorische beveiligingsmaatregelen heeft geïmplementeerd als uiteengezet in de Bijlage voordat de overgedragen gegevens zijn verwerkt;

(d) dat het de gegevensexporteur onmiddellijk op de hoogte zal brengen van:

(i) een juridisch bindend verzoek tot openbaarmaking van de persoonsgegevens door een rechtshandhavingsinstantie, tenzij anderszins verboden, zoals een strafrechtelijk verbod om de vertrouwelijkheid van een onderzoek naar rechtshandhaving te waarborgen;

(ii) elke onopzettelijke of ongeoorloofde toegang; en

(iii) alle verzoeken die rechtstreeks van betrokkenen worden ontvangen zonder op de verzoeken te reageren, tenzij het anderszins is geautoriseerd;

(e) om snel en op juiste wijze te reageren met alle verzoeken van de gegevensexporteur betreffende het verwerken van de persoonlijke gegevens onderhevig aan de overdracht, en om het advies na te leven van de toezichthoudende autoriteit wat betreft de verwerking van de overgebrachte gegevens;

(f) op verzoek van de gegevensexporteur om zijn gegevensverwerkingsfaciliteiten in te dienen voor audit van de verwerkingsactiviteiten waarop de Clausules betrekking hebben, die door de gegevensexporteur of een keuringsinstantie die uit onafhankelijke leden is samengesteld wordt uitgevoerd, en in het bezit van de vereiste beroepskwalificaties die door een geheimhoudingsplicht zijn gebonden, gekozen door de gegevensexporteur, indien van toepassing, in overleg met de toezichthoudende autoriteit;

(g) om de betrokkene op verzoek een kopie te verstrekken van de Clausules, of enig bestaand contract voor subverwerking, tenzij de Clausules of het contract commerciële informatie bevat, in welk geval het dergelijke commerciële informatie mag verwijderen, met uitzondering van Bijlage 2, dat vervangen zal worden door een beschrijvingsoverzicht van de beveiligingsmaatregelen in dergelijke gevallen waar de betrokkene niet in staat is een kopie van de gegevensexporteur te verkrijgen;

(h) dat, in geval van subverwerking, het de gegevensexporteur eerder op de hoogte heeft gesteld van en de eerdere schriftelijke toestemming is verkregen;

(i) dat de verwerkingsdiensten door de subverwerker worden uitgevoerd in navolging van Clausule 11;

(j) om direct een kopie van de overeenkomst met een subverwerker te versturen die onder de Clausules voor de gegevensexporteur zijn gesloten.

(k) dat het op eigen kosten de gegevensexporteur zal verdedigen, schadeloosstellen en behouden tegen alle aansprakelijkheid en verlies in verband met verlies, ongeautoriseerde openbaarmaking, diefstal of compromittering van persoonlijke gegevens, en elke andere schending van toepasselijke wetgeving inzake gegevensbescherming door of van de gegevensimporteur. 

1. De partijen komen overeen dat elke betrokkene, die schade heeft geleden als gevolg van een inbreuk op de verplichtingen waarnaar wordt verwezen in Clausule 3 of in clausule 11 door een partij of subverwerker, recht heeft op een vergoeding van de gegevensexporteur voor de geleden schade.

2. Als een betrokkene een claim ter compensatie niet kan indienen, in overeenstemming met paragraaf 1 van de gegevensexporteur, voortkomend uit een schending door de gegevensexporteur of zijn/haar subverwerker of hun verplichtingen waarnaar verwezen wordt in Clausule 3 of Clausule 11, omdat de gegevensexporteur feitelijk verdwenen is of ophoudt te bestaan of deze onvermogend is, dan gaat de gegevensimporteur ermee akkoord dat de betrokkene een claim kan indienen tegen de gegevensimporteur alsof deze de gegevensexporteur is, tenzij een opvolgingsentiteit contractueel de wettelijke verplichtingen heeft overgenomen van de gegevensexporteur overeenkomstig de wet, in welk geval de betrokkene zijn/haar rechten kan uitvoeren tegen die entiteit.
   
   De gegevensimporteur mag zich niet beroepen op een schending van een subverwerker van zijn verplichtingen om zijn eigen verplichtingen te vermijden.

3. Als een betrokkene een claim tegen de gegevensexporteur of de gegevensimporteur naar verwezen in paragraaf 1 en 2, voortkomend uit een schending door de subverwerker of zijn/haar verplichtingen waarnaar verwezen wordt in Clausule 3 of Clausule 11, omdat de gegevensexporteur en de gegevensimporteur feitelijk verdwenen zijn of zijn opgehouden te bestaan of deze onvermogend zijn, dan gaat de gegevensverwerker ermee akkoord dat de betrokkene een claim kan indienen tegen de gegevensverwerker wat betreft zijn/haar eigen verwerkingshandelingen onder de Clausules alsof deze de gegevensexporteur of gegevensimporteur is, tenzij een opvolgingsentiteit contractueel de wettelijke verplichtingen heeft overgenomen van de gegevensexporteur of gegevensimporteur, overeenkomstig de wet, in welk geval de betrokkene zijn/haar rechten kan uitvoeren tegen die entiteit. De aansprakelijkheid van de subverwerker is beperkt tot zijn/haar eigen verwerkingen overeenkomstig de Clausules.

1. De gegevensimporteur gaat ermee akkoord dat als de betrokkene zich beroept op de rechten van de derde begunstigde en/of schadevergoeding vordert op grond van de Clausules, de gegevensimporteur de beslissing van de betrokkene accepteert:
   
   (a) het geschil te verwijzen voor bemiddeling, door een onafhankelijke persoon of, waar van toepassing, door de toezichthoudende autoriteit;
   
   (b) het geschil voor te leggen aan de rechtbanken van de lidstaat waar de gegevensexporteur is gevestigd.

2. De partijen zijn het erover eens dat de keuze van de betrokkene geen afbreuk doet aan de materiële of procedurele rechten om rechtsmiddelen te zoeken in overeenstemming met andere bepalingen van nationaal of internationaal recht.

1. De gegevensexporteur stemt ermee in om een kopie van dit contract bij de toezichthoudende autoriteit te deponeren indien daarom wordt gevraagd, of als een dergelijke deposito vereist is volgens de toepasselijke wetgeving inzake gegevensbescherming.

2. De partijen zijn het erover eens dat de toezichthoudende autoriteit het recht heeft om een audit uit te voeren van de gegevensimporteur en van elke subverwerker, die dezelfde reikwijdte heeft en die onderworpen is aan dezelfde voorwaarden als zou gelden voor een audit van de gegevensexporteur onder de toepasselijke wet bescherming persoonsgegevens.

3. De gegevensimporteur dient direct de gegevensexporteur op de hoogte te stellen van het bestaan van wetgeving die van toepassing is op deze of andere subverwerkers waardoor uitvoeren van audits van de gegevensimporteur wordt voorkomen, of van welke subverwerker dan ook, volgens paragraaf 2. In een dergelijk geval is de gegevensexporteur gerechtigd de maatregelen te nemen waarin is voorzien in clausule 5 (b).

De Clausules worden beheerst door het recht van de lidstaat waarin de gegevensexporteur is gevestigd, of waar de gegevensexporteur in meerdere rechtsgebieden is gevestigd, onder het recht van Engeland en Wales.

De partijen zullen de Clausules niet wijzigen of aanpassen. Dit sluit de partijen niet uit om waar nodig clausules over zakelijke aangelegenheden toe te voegen, zolang deze niet in tegenspraak zijn met de Clausule.

1. De gegevensimporteur besteedt geen enkele van zijn verwerkingshandelingen uit die namens de gegevensexporteur overeenkomstig de bepalingen zijn uitgevoerd, zonder voorafgaande schriftelijke toestemming van de gegevensexporteur. Wanneer de gegevensimporteur zijn verplichtingen uit hoofde van de Clausules uitbesteedt, met toestemming van de gegevensexporteur, dan doet hij dit alleen bij een schriftelijke overeenkomst met de subverwerker die dezelfde verplichtingen oplegt aan de subverwerker als die de gegevensimporteur op grond van de Clausules zijn opgelegd. Indien de subverwerker zijn verplichtingen op het gebied van gegevensbescherming krachtens deze schriftelijke overeenkomst niet nakomt, blijft de gegevensimporteur volledig aansprakelijk jegens de gegevensexporteur voor de nakoming van de verplichtingen van de subverwerker ingevolge die overeenkomst.

2. Het voorafgaande schriftelijke contract tussen de gegevensimporteur en de subverwerker moet ook voorzien in een derde-begunstigde clausule zoals bepaald in Clausule 3 voor gevallen waarin de betrokkene niet in staat is de vordering tot schadevergoeding als bedoeld in paragraaf 1 van Clausule 6 in te dienen tegen de gegevensexporteur of de gegevensimporteur, omdat deze feitelijk verdwenen zijn of niet meer wettelijk bestaan of insolvent zijn geworden en geen enkele opvolger de volledige wettelijke verplichtingen van de gegevensexporteur of gegevensimporteur bij overeenkomst of bij wet heeft opgelegd. Dergelijke derde-partij aansprakelijkheid van de subverwerker is beperkt tot zijn/haar eigen verwerkingen overeenkomstig de Clausules.

3. De bepalingen betreffende gegevensbeschermingsaspecten voor subverwerking van het in paragraaf 1 bedoelde contract, worden beheerst door het recht van de lidstaat waarin de gegevensexporteur is gevestigd.

4. De gegevensexporteur houdt een lijst bij van subverwerkingsovereenkomsten die krachtens de Clausules zijn gesloten en door de gegevensimporteur overeenkomstig Clausule 5(j) zijn aangemeld, die ten minste eenmaal per jaar moet worden bijgewerkt. De lijst staat ter beschikking van de toezichthoudende autoriteit voor gegevensbescherming van de gegevensexporteur.

1. De partijen komen overeen dat bij de beëindiging van het aanbieden van gegevensverwerkingsservices, de gegevensimporteur en de subverwerker, naar keuze van de gegevensexporteur, alle overgedragen persoonsgegevens en de kopieën daarvan aan de gegevensexporteur retourneren, of alle persoonsgegevens zal vernietigen, en aan de gegevensexporteur verklaren dat dit is gedaan, tenzij de wetgeving die aan de gegevensimporteur is opgelegd hem/haar belet om alle of een deel van de overgedragen persoonsgegevens te retourneren of te vernietigen. In dat geval garandeert de gegevensimporteur dat deze de vertrouwelijkheid van de overgedragen persoonsgegevens garandeert en de overgedragen persoonsgegevens niet actief verwerkt.

2. De gegevensimporteur en de subverwerker garanderen dat het op verzoek van de gegevensexporteur en/of van de toezichthoudende autoriteit, haar gegevensverwerkingsfaciliteiten ter audit van de in paragraaf 1 vermelde maatregelen indient.

Aanvullende noodzakelijke informatie, indien deze niet is opgenomen in een begeleidende SOW, moet in deze Bijlage worden opgenomen:

Gegevensexporteur:
De gegevensexporteur is de rechtspersoon die geïdentificeerd wordt als GoDaddy, een leverancier van het reseller-programma voor gegevensimporteur om bepaalde producten en services van GoDaddy aan klanten te wederverkopen.

Gegevensimporteur:

De gegevensimporteur is een reseller van de producten en services van GoDaddy.

Betrokkenen

De betrokkenen zijn klanten.

Gegevenscategorieën

De overgebrachte persoonlijke gegevens betreffen de volgende gegevenscategorieën:

Klanten kunnen persoonlijke gegevens bij de Services indienen die de volgende categorieën van persoonlijke gegevens kunnen omvatten, maar niet zijn beperkt tot deze:

• Voor- en achternaam
• E-mail
• Telefoonnummer
• Fysiek adres
• Verwerkingsbewerkingen

De overgedragen persoonlijke gegevens zijn onderhevig aan de volgende standaard verwerkingshandelingen:

Reseller verwerkt persoonsgegevens voor zover noodzakelijk voor het uitvoeren van Services onder de Reseller-overeenkomst, en zoals verder geïnstrueerd door de klant tijdens het gebruik van de Services.

Technische en organisatorische beveiligingsmaatregelen

Gegevensimporteur zal technische en administratieve veiligheidsmaatregelen handhaven voor de bescherming van de beveiliging, vertrouwelijkheid en integriteit van klantgegevens, inclusief persoonlijke gegevens, zoals uiteengezet in dit Addendum voor gegevensverwerking. Gegevensimporteur zal regelmatig de naleving met deze veiligheidsmaatregelen monitoren. Gegevensimporteur zal de algemene beveiliging van het Services- of Reseller-programma niet wezenlijk verminderen.