Niniejszy Aneks do Umowy odsprzedawcy o przetwarzaniu danych („DPA”) stanowi część umowy zawartej pomiędzy GoDaddy.com, LLC (w tym jej podmiotami powiązanymi, jeśli zostało to wskazane w Umowie) („GoDaddy”) oraz Użytkownikiem („Odsprzedawcą”) o sprzedaż produktów i usług GoDaddy („Usługi”) w ramach Programu dla odsprzedawców GoDaddy; reguluje ona przetwarzanie Danych osobowych przez Odsprzedawcę w imieniu GoDaddy. Odsprzedawca zawiera niniejszy DPA w imieniu swoim oraz w zakresie wymaganym obowiązującym przepisami o ochronie danych i przepisami wykonawczymi w imieniu swoich upoważnionych partnerów. Wszystkie niezdefiniowane w tym dokumencie terminy pisane dużą literą będą mieć znaczenie określone w Umowie. Terminy „my”, „nas” lub „nasze” odnoszą się do GoDaddy. Określenia „ty", „twój" lub „Odsprzedawca” dotyczą osoby fizycznej lub prawnej, która akceptuje niniejszą Umowę. Żadne z postanowień niniejszej Umowy nie będzie interpretowane jako przyznanie stronom trzecim jakichkolwiek praw ani korzyści. Niniejszy DPA wchodzi w życie i stanie się wiążący w dniu jego elektronicznej akceptacji przez Użytkownika.

Niniejszy DPA składa się z dwóch (2) odrębnych części, które stosuje się w sposób opisany poniżej:

• Standardy i wymagania dotyczące ochrony danych i bezpieczeństwa. Stosowanie standardów i wymagań dotyczących ochrony danych i bezpieczeństwa. Umowa ma zastosowanie do wszystkich Odsprzedawców mających dostęp do Informacji umożliwiających ustalenie tożsamości i przetwarzających takie informacje (zgodnie z definicją podaną w niniejszej Umowie) w ramach ich uczestnictwa w Programie dla Odsprzedawców
• Standardowe klauzule umowne (i ich Załączniki 1 i 2). Zastosowanie Standardowych klauzul umownych. Standardowe klauzule umowne będą miały zastosowanie dla danych klienta, które będą przekazywane poza EOG, zarówno bezpośrednio, jak i przy dalszym przekazywaniu danych do jakiegokolwiek kraju uznanego przez Komisję Europejską za niezapewniającego wystarczających środków bezpieczeństwa danych osobowych (opisanych w RODO). Standardowe klauzule umowne nie mają zastosowania do Danych Klienta, które nie są przekazywane – zarówno bezpośrednio, jak i w ramach dalszym przekazywania – poza EOG. Bez względu na wyżej wymienione przepisy, Standardowe klauzule umowne nie będą miały zastosowania, gdy dane są przenoszone zgodnie z uznanym standardem zgodnego z prawem przenoszenia danych osobowych (zgodnie z definicją RODO) poza EOG, takim jak program „Tarcza prywatności” zawarty pomiędzy Unią Europejską a Stanami Zjednoczonymi oraz pomiędzy Szwajcarią a USA.

1. Przedmiot i zakres umowy

Niniejsza Umowa o gwarantowanym poziomie ochrony i bezpieczeństwa danych („Umowa SLA”) jest załączona i stanowi część Umowy w celu zagwarantowania, że Informacje umożliwiające ustalenie tożsamości (o których mowa poniżej), gromadzone lub wykorzystywane przez Użytkownika będą przetwarzane w sposób bezpieczny i zgodny z postanowieniami Umowy, niniejszej Umowy SLA oraz obowiązującymi przepisami prawa i przepisami wykonawczymi.

2. Hierarchia ważności.

Niniejsza Umowa SLA jest włączona do Umowy i stanowi jej integralną część. Do kwestii nieuregulowanych niniejszą Umową SLA mają zastosowanie postanowienia Umowy. W odniesieniu do praw i obowiązków stron wobec siebie nawzajem, w przypadku konfliktu pomiędzy warunkami Umowy oraz niniejszej Umowy SLA, pierwszeństwo będą mieć postanowienia Umowy SLA. W przypadku konfliktu pomiędzy warunkami Umowy SLA oraz Standardowymi klauzulami umownymi, pierwszeństwo będą mieć postanowienia Standardowych klauzul umownych.

3. Dane osobowe.

1. „Informacje umożliwiające ustalenie tożsamości” lub „Dane osobowe” oznaczają informacje na dowolnym nośniku lub w dowolnej formie dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej albo gospodarstwa domowego. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, adres, numer ubezpieczenia społecznego lub inny numer identyfikacyjny, adres e-mail, numer telefonu, profil finansowy, informacje o karcie kredytowej, numer prawa jazdy lub inne informacje, które można powiązać z konkretną osobą, komputerem lub urządzeniem (np. informacje gromadzone za pomocą technologii śledzących np. adres IP) bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby fizycznej.

2. Przetwarzanie w celach związanych z niniejszym DPA obejmować będzie zbieranie, utrwalanie, organizowanie, porządkowanie, adaptowanie lub modyfikowanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie, rozpowszechnianie lub innego rodzaju udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie Informacji umożliwiających ustalenie tożsamości.
3. Firma GoDaddy ujawnia Użytkownikowi informacje umożliwiające ustalenie tożsamości wyłącznie w celu świadczenia przez Użytkownika usług w imieniu firmy GoDaddy, a Użytkownik może przetwarzać Informacje umożliwiające ustalenie tożsamości wyłącznie w ograniczonym i wyraźnie określonym celu lub celach opisanych w Umowie oraz zgodnie z pisemnymi dyspozycjami firmy, w tym również dotyczącymi przekazania Informacji umożliwiających ustalenie tożsamości osób fizycznych z UE poza terytorium Unii Europejskiej, chyba że wymaga tego prawo Unii Europejskiej lub państwa członkowskiego Unii Europejskiej (w takim przypadku Użytkownik musi natychmiast powiadomić firmę przed przystąpieniem do działania, chyba że zabrania tego prawo).
4. Zabrania się: (i) sprzedawania informacji umożliwiających ustalenie tożsamości; (ii) zatrzymywania, używania lub ujawniania informacji umożliwiających ustalenie tożsamości do celów komercyjnych innych niż świadczenie Usług; oraz (iii) zatrzymywania, używania lub ujawniania informacji umożliwiających ustalenie tożsamości poza zakresem niniejszej Umowy między Użytkownikiem a firmą GoDaddy.

5. Użytkownik przyjmuje do wiadomości i potwierdza, że informacje umożliwiające ustalenie tożsamości nie są ujawniane w zamian za jakiekolwiek Usługi, które są świadczone firmie GoDaddy w ramach Umowy. Użytkownik nie może sprzedawać żadnych informacji umożliwiających ustalenie tożsamości, ponieważ termin „sprzedaż” został zdefiniowany w ustawie California Consumer Privacy Act (Ustawa o ochronie prywatności konsumentów w stanie Kalifornia, „CCPA”), a ponadto Użytkownik niniejszym zaświadcza, że rozumie zasady, wymagania i definicje CCPA oraz wszystkie ograniczenia zawarte w tym DPA. Użytkownik zgadza się powstrzymywać od podejmowania jakichkolwiek działań, które spowodowałyby, że dowolne transfery informacji umożliwiających ustalenie tożsamości do Użytkownika lub od niego kwalifikowałyby się jako „sprzedaż danych osobowych” zgodnie z CCPA i wszelkimi innymi obowiązującymi przepisami prawa.
6. Użytkownik ma prawo przekazać Informacje umożliwiające ustalenie tożsamości dotyczące osób z UE poza UE (lub jeśli informacje te znajdują się już poza terytorium UE - osobie trzeciej poza UE) wyłącznie zgodnie z postanowieniami niniejszego DPA oraz wymogami określonymi w art. 44-49 RODO (zdefiniowanego poniżej).
7. Użytkownik musi niezwłocznie powiadomić firmę, jeśli uzna, że polecenia firmy naruszają obowiązujące przepisy prawa i przepisy o ochronie danych osobowych, w tym Przepisy UE o ochronie danych osobowych (zdefiniowane poniżej); taką wiadomość należy wysłać na adres privacy@godaddy.com.

8. Użytkownik musi traktować wszystkie Informacje umożliwiające ustalenie tożsamości jako ściśle poufne oraz poinformować wszystkich swoich pracowników lub upoważnionych pośredników zajmujących się przetwarzaniem Informacji umożliwiających ustalenie tożsamości o poufnym charakterze tych informacji; ponadto Użytkownik musi dopilnować, aby wszystkie takie osoby lub strony podpisały odpowiednią umowę o zachowaniu poufności Informacji umożliwiających ustalenie tożsamości.
9. W zakresie w jakim Użytkownik otrzymuje, utrzymuje, przetwarza lub w inny sposób ma dostęp do Informacji umożliwiających ustalenie tożsamości w związku z Programem dla odsprzedawców na mocy Umowy, Użytkownik przyjmuje do wiadomości i uznaje, że jest odpowiedzialny za utrzymywanie odpowiednich środków organizacyjnych i ochronnych w celu ochrony Informacji umożliwiających ustalenie tożsamości. Użytkownik musi chronić i zabezpieczyć Informacje umożliwiające ustalenie tożsamości zgodnie z wszystkimi obowiązującymi przepisami prawa o ochronie danych osobowych w tym m.in. Rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych („Rozporządzenie ogólne o ochronie danych osobowych” lub „RODO”) i powiązanymi przepisami prawa lub przepisami wykonawczymi państw członkowskich Unii Europejskiej (zwanymi łącznie „Przepisami UE o ochronie danych osobowych”) oraz CCPA.

10. Odpowiednie środki organizacyjne i środki bezpieczeństwa, o których mowa w pkt 3.7, obejmują, odpowiednio m.in.:
    1. Środki wymienione poniżej w punktach 3 i 4;
    2. Środki mające zagwarantować, że dostęp do Informacji umożliwiających ustalenie tożsamości będą miały jedynie upoważnione osoby w celach określonych w Umowie;
    3. Pseudonimizację i szyfrowanie Informacji umożliwiających ustalenie tożsamości;
    4. Zdolność zagwarantowania stałej poufności, integralności, dostępności i wytrzymałości swoich systemów i usług przetwarzania;
    5. Zdolność terminowego przywrócenia dostępności Informacji umożliwiających ustalenie tożsamości i dostępu do nich;
    6. Proces regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania Informacji umożliwiających ustalenie tożsamości; oraz
    7. Środki służące do zidentyfikowania słabych punktów w zakresie przetwarzania w systemach Użytkownika Informacji umożliwiających ustalenie tożsamości.
11. W zakresie w jakim Użytkownik zawarł umowę z podwykonawcą, dostawcą lub inną stroną dotyczącą ułatwienia realizacji Umowy, Użytkownik musi (i) uzyskać uprzednio zgodę firmy na piśmie na taką współpracę oraz (ii) zawrzeć pisemną umowę z taką stroną trzecią, aby zagwarantować, że strona ta będzie również przestrzegać postanowień niniejszego DPA oraz Umowy.

12. Niezależnie od upoważnienia udzielonego przez firmę zgodnie z pkt 1.11 Użytkownik będzie ponosił pełną odpowiedzialność za działania takiego podwykonawcy, dostawcy lub innej strony trzeciej, jeśli nie wywiążą się oni ze swoich obowiązków na mocy niniejszego DPA (lub podobnej umowy zawartej w celu nałożenia na stronę trzecią obowiązków równoważnych do tych obowiązujących Użytkownika na mocy niniejszego DPA) lub mających zastosowanie przepisów o ochronie danych.
13. Użytkownik będzie na własny koszt chronił, zabezpieczy i zwolni spółkę z odpowiedzialności z tytułu odpowiedzialności prawnej, kosztów i straty związanej z krótkotrwałym lub trwałym, przypadkowym lub niezgodnym z prawem brakiem dostępności, utratą, zniszczeniem, nieuprawnionym ujawnieniem lub udostępnieniem, kradzieżą lub narażeniem na szkodę Informacji umożliwiających ustalenie tożsamości oraz innego rodzaju naruszeniem obowiązujących przepisów o ochronie danych lub niniejszego DPA.
14. Jeżeli Użytkownik poweźmie wiedzę, że otrzymał Informacje poufne spółki lub Informacje umożliwiające ustalenie tożsamości, które nie były przeznaczone do niego lub których zgodnie z niniejszą Umową nie ma prawa otrzymać, musi (i) niezwłocznie powiadomić o tym fakcie spółkę, pisząc na adres privacy@godaddy.com, oraz (ii) o ile nie zostanie inaczej poinstruowany na piśmie, zachować te informacje do czasu otrzymania z adresu privacy@godaddy.com dyspozycji, co ma zrobić z takimi informacjami.

4. Oceny oddziaływania i audyty bezpieczeństwa

1. Oceny oddziaływania ochrony danych. Użytkownik musi pomagać spółce przeprowadzać oceny oddziaływania ochrony danych w celu rozpoznania i zminimalizowania ryzyka naruszenia prywatności i bezpieczeństwa związanego z Programem dla odsprzedawców na mocy Umowy.
2. Audyty okresowe. Spółka zastrzega sobie prawo przeprowadzania okresowych audytów, aby sprawdzić czy Użytkownik przestrzega warunków niniejszego DPA.
3. Audyt po Incydencie. W przypadku naruszenia bezpieczeństwa po stronie Odsprzedawcy spółka może przeprowadzić audyt bezpieczeństwa, aby sprawdzić, czy naruszenie to nie zaszkodziło Informacjom umożliwiającym ustalenie tożsamości. Użytkownik będzie mieć 90 dni na ustosunkowanie się do wszelkich problemów stwierdzonych w trakcie audytu. Kiedy już stwierdzone problemy zostaną rozwiązane, możemy przeprowadzić audyt bezpieczeństwa, aby zapewnić finalizację rozwiązania.
4. Zawiadomienie o braku zgodności. W przypadku gdyby Użytkownik nie był w stanie z jakiegokolwiek powodu spełnić którychkolwiek z zobowiązań zawartych w niniejszym DPA, Użytkownik musi nas natychmiast zawiadomić. W takim przypadku Użytkownik musi poinformować czy jest w stanie szybko i bez żadnego zagrożenia dla bezpieczeństwa jakichkolwiek Informacji umożliwiających ustalenie tożsamości naprawić wszelkie problemy. Jeśli nie, możemy wówczas zdecydować o zerwaniu Umowy bez zwłoki, kary ani dalszej odpowiedzialności Użytkownika.

5. Reagowanie na incydenty dotyczące bezpieczeństwa

1. Czas zawiadamiania. Użytkownik zawiadomi spółkę o każdym naruszeniu bezpieczeństwa dotyczącego jego usług i (lub) Informacji umożliwiających ustalenie tożsamości niezwłocznie po odkryciu takiego naruszenia oraz niezwłocznie przekaże informacje o tym, jak incydent ten może wpłynąć lub wpłynie na spółkę lub Informacje umożliwiające ustalenie tożsamości. Użytkownik dołoży wszelkich starań, aby powiadomić spółkę o naruszeniu bezpieczeństwa niezwłocznie po odkryciu wystąpienia takiego incydentu, ale nie później niż 1 godzinę po jego odkryciu. Na potrzeby niniejszego DPA incydent obejmuje również:
   1. Skargę lub żądanie dotyczące wykonywania praw osoby fizycznej na mocy obowiązującego prawa, w tym Przepisów UE o ochronie danych osobowych;
   2. Dochodzenie w sprawie Informacji umożliwiających ustalenie tożsamości lub ich przejęcia prowadzone przez urzędników państwowych, organ nadzorczy lub organy ścigania lub podejrzenia, że takie dochodzenie lub przejęcie jest brane pod uwagę;
   3. Krótkotrwały lub trwały, przypadkowy lub niezgodny z prawem brak dostępności, utratę, zniszczenie, nieuprawnione ujawnienie lub udostępnienie, kradzież lub narażenie na szkodę Informacji umożliwiających ustalenie tożsamości; oraz
   4. Naruszenie obowiązków bezpieczeństwa i (lub) poufności określonych w niniejszym DPA.
2. Format i treść zawiadomienia. Zawiadomienia o naruszeniu bezpieczeństwa należy przekazywać telefonicznie do Centrum Operacyjnego Sieci (NOC) na numer (480) 505-8809, a następnie przesłać pisemne zawiadomienie na adres: securitybreach@godaddy.com. Zgłaszając telefonicznie zawiadomienie o naruszeniu bezpieczeństwa, Użytkownik musi przekazać następujące informacje, a następnie w zawiadomieniu pisemnym, w najszerszym możliwym zakresie, z kolejnymi aktualizacjami, w miarę jak na światło dzienne będą wychodziły dalsze informacje:
   1. Opis charakteru incydentu i jego prawdopodobne konsekwencje;
   2. Oczekiwany czas rozwiązania (jeśli jest znany);
   3. Opis środków podjętych lub proponowanych w celu zaradzenia incydentowi, w tym środki służące złagodzeniu ewentualnych niekorzystnych skutków incydentu dla firmy, Informacji umożliwiających ustalenie tożsamości lub osób fizycznych;
   4. Jeśli ścieżka rozwiązania problemu nie jest znana w momencie dokonywania zgłoszenia telefonicznego, należy wyjaśnić, że nie zostało to jeszcze ustalone;
   5. Kategorie i przybliżoną ilość Informacji umożliwiających ustalenie tożsamości oraz osoby, których incydent może dotyczyć, jak również prawdopodobne konsekwencje, jakie incydent może mieć na Informacje umożliwiające ustalenie tożsamości i osoby powiązane; oraz
   6. Imię i nazwisko przedstawiciela Odsprzedawcy, z którym spółka może się kontaktować w sprawie aktualnych informacji o incydencie.
3. Zasoby bezpieczeństwa. Możemy, po zawarciu z Użytkownikiem porozumienia, zapewnić zasoby z naszej grupy bezpieczeństwa, aby pomóc przy stwierdzonym naruszeniu bezpieczeństwa. Użytkownik zgadza się pomóc spółce wywiązać się z jej obowiązków w zakresie powiadomienia o naruszeniu bezpieczeństwa nałożonych przez Przepisy UE o ochronie danych osobowych lub innych ustawowych, regulacyjnych, administracyjnych lub umownych obowiązków w zakresie powiadamiania o naruszeniu bezpieczeństwa.

6. Kryptografia

1. Szyfrowanie zastrzeżone. Transakcje zabezpieczone realizowane pomiędzy Użytkownikiem a podwykonawcą, dostawcą lub inną stroną trzecią, jak również przechowywanie Informacji poufnych spółki lub Informacji umożliwiających ustalenie tożsamości nie może obejmować wykorzystania algorytmów kryptograficznych opracowanych wewnętrznie przez Użytkownika. Wszelkie algorytmy symetryczne, asymetryczne lub haszowania wykorzystywane przez infrastrukturę aplikacji będą bazować na algorytmach opublikowanych i opracowanych przez ogólne społeczeństwo kryptograficzne.
2. Siła szyfrowania. Algorytmy szyfrowania muszą być zgodne z aktualną, standardową technologią branżową i o wystarczającej sile, takie jak AES. SHA-256 lub publiczny klucz szyfrowania RSA.
3. Funkcje haszowania. Funkcje haszowania będą stanowić połączenie SHA-256 i co najmniej jednego z MD-5, SHA-2, SHA-3 lub podobnych, z wyłączeniem SHA-1. Jeśli będą wykorzystywane alternatywne funkcje haszowania, będą one opatrzone wyraźną zgodą ze strony naszego Zespołu ds. bezpieczeństwa informacji i musi im towarzyszyć co najmniej jeden zatwierdzony algorytm.

7. Przetwarzanie Informacji umożliwiających ustalenie tożsamości

1. Zgodność z przepisami prawnymi. W stosownym zakresie Użytkownik pomoże firmie wywiązać się jej z obowiązku udzielenia odpowiedzi na żądania osoby, której Informacje umożliwiające ustalenie tożsamości są przetwarzane na mocy Umowy, a która pragnie skorzystać ze swoich praw przysługujących jej zgodnie z Przepisami UE o ochronie danych osobowych, w tym m.in. (i) prawa wglądu do danych, (ii) prawa do przenoszenia danych, (iii) prawa do usunięcia danych, (iv) prawa do sprostowania danych, (v) prawa do sprzeciwu wobec zautomatyzowanego podejmowania decyzji lub (vi) prawa do sprzeciwu wobec przetwarzania danych.
2. Usuwanie/Niszczenie danych. Użytkownik musi w sposób bezpieczny zniszczyć/usunąć lub zwrócić wszystkie Informacje umożliwiające ustalenie tożsamości oraz nadpisać dyski wykorzystywane do ich przechowywania za pomocą kryptograficznego usuwania danych (NIST SP-800-88r1) lub równoważnego sposobu na każde żądanie spółki lub bez takiego żądania po rozwiązaniu Umowy, a pozostałe istniejące kopie tych informacji zwróci firmie.

Do celów art. 26 ust. 2 dyrektywy 95/46/WE dla przekazywania danych osobowych podmiotom przetwarzającym prowadzącym działalność gospodarczą w kraju trzecim, który nie zapewnia wystarczającego poziomu bezpieczeństwa danych

podmiot przekazujący dane: GoDaddy.com, LLC i jego partnerzy

i

Podmiot odbierający dane: Wskazany Odsprzedawca, który uczestniczył w Programie dla odsprzedawców na warunkach Umowy.

każdy zwany „stroną”; razem „stronami”,

UZGADNIAJĄ następujące klauzule umowne (klauzule) w celu dostarczenia odpowiednich gwarancji ochrony prywatności i podstawowych praw i wolności osób fizycznych w zakresie przekazywania podmiotowi odbierającemu dane przez podmiot przekazujący danych osobowych wyszczególnionych w dodatku 1.

Dla potrzeb klauzul:

(a) ’dane osobowe', 'szczególne kategorie danych', 'przetwarzać/przetwarzanie', 'administrator', 'przetwarzający', 'osoba, której dane dotyczą' oraz 'organ nadzorczy' zachowują znaczenie opisane w Dyrektywie 95/46/WE Parlamentu Europejskiego oraz Rady Europejskiej z dnia 24 października 1995 dotyczącej ochrony osób w zakresie przetwarzania danych osobowych oraz swobodnego przepływu niniejszych danych;

(b) 'podmiot przekazujący dane' oznacza administratora danych, który przekazuje dane osobowe;

(c) 'podmiot odbierający dane' oznacza podmiot przetwarzający, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszych Klauzulach i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;

(d) ’podwykonawca przetwarzania’ oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, warunkami Klauzul i warunkami sporządzonej na piśmie umowy o podwykonawstwo;

(e) 'właściwe prawo o ochronie danych osobowych' oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;

(f) 'techniczne i organizacyjne środki ochrony' oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.

Szczegóły dotyczące przekazywania danych, a w szczególności w stosownych przypadkach szczególne kategorie danych, są określone w Załączniku 1, który stanowi integralną część klauzul.

1. Osoba, której dane dotyczą, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 4(b) do (i), klauzuli 5 (a) do (e), oraz (g) do (j), klauzuli 6(1) oraz (2), klauzuli 7, klauzuli 8(2) i klauzul 9 do 12, jako zewnętrzny beneficjent umowy.

2. Osoba, której dotyczą dane, może żądać od podmiotu odbierającego dane wykonania niniejszej Klauzuli, Klauzuli 5(a) do (e) oraz (g), Klauzuli 6, Klauzuli 7, Klauzuli 8(2) i Klauzul 9–12, w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy.

3. Osoba, której dane dotyczą, może żądać od podwykonawcy przetwarzania wykonania niniejszej Klauzuli, Klauzuli 5(a) do (e) oraz (g), Klauzuli 6, Klauzuli 7, Klauzuli 8(2) i Klauzul 9–12, w przypadkach, w których zarówno podmioty przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stały się niewypłacalne. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy. Taka odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych Klauzul.

4. Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli takie jest wyraźne życzenie osoby, której dane dotyczą, i jeżeli zezwala na to prawo krajowe.

Podmiot przekazujący dane zgadza się na poniższe warunki i gwarantuje, że:

(a) przetwarzanie danych, włącznie z samym ich przekazywaniem, odbywało się i będzie się nadal odbywało zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (i w stosownych przypadkach było przedmiotem powiadomienia odpowiednich władz państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą) oraz bez naruszenia odpowiednich przepisów tego państwa;

(b) nakazał i będzie nakazywał podmiotowi odbierającemu dane podczas całego okresu świadczenia usług przetwarzania danych osobowych, przetwarzanie przekazywanych danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z właściwym prawem o ochronie danych i z niniejszymi Klauzulami;

(c) podmiot odbierający dane zapewni wystarczające gwarancje w odniesieniu do środków technicznych i organizacyjnych wyszczególnionych w Załączniku 2 do niniejszej umowy;

(d) biorąc pod uwagę ocenę wymogów właściwego prawa o ochronie danych osobowych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub niezgodnym z prawem zniszczeniem, przypadkową utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci, oraz przed innymi niezgodnymi z prawem formami przetwarzania, a także że środki te zapewniają poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie, uwzględniając stan wiedzy w tej dziedzinie i koszty ich wdrożenia;

(e) zapewni zgodność ze środkami bezpieczeństwa;

(f) jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została lub będzie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu danych o tym, że jej dane mogą być przekazane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w rozumieniu dyrektywy 95/46/WE;

(g) prześle wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane lub podwykonawcy przetwarzania na mocy Klauzuli 5 (b) i Klauzuli 8 (3) do organu nadzorczego ds. ochrony danych, jeżeli podmiot przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie;

(h) na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych Klauzul, z wyjątkiem Załącznika 2, oraz skrócony opis środków bezpieczeństwa, a także kopię każdej umowy dotyczącej usług podwykonawstwa przetwarzania danych, która musi być zawarta zgodnie z niniejszymi Klauzulami; jednakże w przypadku gdy Klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć;

(i) w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona jest zgodnie z Klauzulą 11 przez podwykonawcę przetwarzania zapewniającego co najmniej ten sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, co podmiot odbierający dane zgodnie z niniejszymi Klauzulami; oraz

(j) zapewni zgodność z Klauzulą 4(a) do (i).

Podmiot odbierający dane zgadza się na poniższe warunki i gwarantuje, że:

(a) będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz niniejszymi klauzulami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, zgadza się na natychmiastowe poinformowanie podmiotu przekazującego dane o niemożności spełnienia tego warunku, a podmiot przekazujący dane jest w takim przypadku uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;

(b) nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy oraz że w przypadku zmiany prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w niniejszych Klauzulach, zawiadomi o tym jak najszybciej podmiot przekazujący dane, który w takim przypadku jest uprawniony do zawieszenia przekazywania danych i (lub) rozwiązania umowy;

(c) wdrożył techniczne i organizacyjne środki bezpieczeństwa wyszczególnione w Załączniku przed przetwarzaniem przekazanych danych osobowych;

(d) niezwłocznie zawiadomi podmiot przekazujący dane o:

(i) każdym prawnie wiążącym wniosku o udostępnienie danych osobowych wystosowany przez organ ścigania, o ile nie jest to zakazane w inny sposób, na przykład poprzez zakaz na mocy prawa karnego do zachowania poufności dochodzenia prowadzonego przez organ ścigania;

(ii) jakimkolwiek przypadkowym lub nieupoważnionym dostępie; oraz

(iii) jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dane dotyczą, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;

(e) niezwłocznie i we właściwy sposób rozpatrzy wszystkie zapytania ze strony podmiotu przekazującego dane, dotyczące przetwarzania przez niego danych osobowych będących przedmiotem przekazania, oraz zastosuje się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych;

(f) na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu audytu działalności związanej z przetwarzaniem danych objętej niniejszymi klauzulami, przeprowadzanego przez podmiot przekazujący dane lub organ kontrolny złożony z niezależnych członków i posiadający wymagane kwalifikacje zawodowe, związany obowiązkiem zachowania poufności, wybrany przez podmiot przekazujący dane, w stosownych przypadkach w porozumieniu z organem nadzorczym;

(g) na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych Klauzul lub jakiejkolwiek istniejącej umowy dotyczącej podwykonawstwa przetwarzania danych; jednakże w przypadku gdy Klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć, z wyjątkiem Załącznika 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa w przypadkach, w których osoba, której dane dotyczą, nie jest w stanie uzyskać kopii od podmiotu przekazującego dane;

(h) w przypadku podwykonawstwa przetwarzania danych poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę;

(i) w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona będzie zgodnie z Klauzulą 11;

(j) niezwłocznie prześle podmiotowi przekazującemu dane kopię każdej umowy dotyczącej podwykonawstwa przetwarzania danych zawartej na podstawie niniejszych Klauzul.

(k) na własny koszt będzie chronił, zabezpieczy i zwolni podmiot przekazujący dane z tytułu wszelkiej odpowiedzialności i straty związanej z utratą, nieuprawnionym ujawnieniem, kradzieżą lub narażeniem na szkodę danych osobowych oraz innego rodzaju naruszenia obowiązujących przepisów o ochronie danych ze strony podmiotu odbierającego dane.

1. Strony uzgadniają, że każda osoba, której dane dotyczą, która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, o których mowa w klauzuli 3 lub 11, przez którąkolwiek ze stron lub podwykonawcę przetwarzania, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.

2. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1, wynikającym z naruszenia przez podmiot odbierający dane lub jego podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w Klauzuli 3 lub Klauzuli 11, ponieważ podmiot przekazujący dane przestał istnieć faktycznie lub formalnie, lub stał się niewypłacalny, podmiot odbierający zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podmiotu odbierającego, tak jakby był on podmiotem przekazującym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy.
   
   Podmiot odbierający dane nie może powoływać się na naruszenie przez podwykonawcę przetwarzania jego obowiązków, aby uniknąć swojej własnej odpowiedzialności.

3. Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1 oraz 2, wynikającym z naruszenia przez podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w Klauzuli 3 lub Klauzuli 11, ponieważ zarówno podmiot przekazujący dane, jak i podmiot odbierający dane przestali istnieć faktycznie lub formalnie, lub stali się niewypłacalni, podwykonawca przetwarzania zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podwykonawcy przetwarzania w odniesieniu do jego własnych czynności przetwarzania na mocy w/w Klauzul, tak jakby był on podmiotem przekazującym dane lub podmiotem odbierającym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane lub podmiotu odbierającego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy. Odpowiedzialność podwykonawcy przetwarzania będzie ograniczona do jego własnych czynności przetwarzania danych zgodnie z Klauzulami.

1. Podmiot odbierający dane zgadza się na to, że jeżeli osoba, której dane dotyczą, powołuje się wobec niego na prawa beneficjenta będącego osobą trzecią i (lub) występuje o odszkodowanie za szkody na podstawie niniejszych klauzul, podmiot odbierający dane przyjmie decyzję osoby, której dane dotyczą:
   (a) o przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub w stosownych przypadkach organ nadzorczy;
   
   (b) o przekazaniu sporu do sądów w państwie członkowskim, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.

2. Strony uzgadniają, że wybór osoby, której dotyczą dane, nie będzie naruszał jej materialnych lub proceduralnych praw do środków ochrony prawnej zgodnie z odrębnymi przepisami prawa krajowego lub międzynarodowego.

1. Podmiot przekazujący dane zgadza się dostarczyć kopię niniejszej umowy organowi nadzorczemu na jego żądanie lub jeżeli dostarczenie kopii jest wymagane na mocy obowiązującego prawa o ochronie danych.

2. Strony uzgadniają, że organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania, który ma ten sam zakres i podlega tym samym warunkom, jakie miałyby zastosowanie do kontroli podmiotu przekazującego dane na mocy właściwego prawa o ochronie danych.

3. Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane o istnieniu przepisów mających zastosowanie do podmiotu odbierającego dane lub któregokolwiek z podwykonawców przetwarzania działających na jego zlecenie, które uniemożliwiałyby przeprowadzenie audytu podmiotu odbierającego dane lub podwykonawcy przetwarzania na podstawie pkt 2. W takim przypadku podmiot przekazujący dane ma prawo podjąć środki przewidziane w klauzuli 5 (b).

Prawem właściwym dla niniejszych klauzul jest prawo państwa członkowskiego, w którym prowadzi swoją działalność gospodarczą podmiot przekazujący dane lub w przypadku, gdy podmiot przekazujący dane prowadzi działalność w wielu państwach, obowiązującym prawem będzie prawodawstwo Anglii oraz Walii.

Strony zobowiązują się do niedokonywania zmian lub modyfikacji niniejszych Klauzul. Nie wyklucza to dodawania przez strony w razie potrzeby klauzul dotyczących kwestii związanych z ich działalnością gospodarczą, pod warunkiem że nie są one sprzeczne z niniejszymi Klauzulami.

1. Podmiot odbierający dane nie będzie podzlecać czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul. Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy.

2. Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dane dotyczą, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane. Taka odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.

3. Przepisy odnoszące się do ochrony danych w zakresie podwykonawstwa przetwarzania umowy o której mowa w punkcie 1 będą podlegać przepisom prawa państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.

4. Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5(j); wykaz ten podlega aktualizacji co najmniej raz do roku. Podmiot przekazujący dane ma obowiązek udostępnić wykaz organowi nadzorczemu ochrony danych.

1. Strony uzgadniają, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania zwrócą podmiotowi przekazującemu dane wszystkie przekazane dane osobowe i ich kopie lub zniszczą wszystkie dane osobowe i poświadczą przekazującemu dane, że to uczynili, w zależności od decyzji przekazującego dane, chyba że przepisy prawa obowiązujące podmiot odbierający dane uniemożliwiają mu zwrot lub zniszczenie wszystkich lub części przekazanych danych osobowych. W tym przypadku podmiot odbierający dane gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie ich już aktywnie przetwarzał.

2. Podmiot odbierający dane oraz podwykonawca przetwarzania gwarantują przedstawienie na żądanie podmiotu przekazującego dane i (lub) organu nadzorczego urządzeń do przetwarzania danych do celów kontroli środków, o których mowa w punkcie 1.

Dodatkowe niezbędne informacje, które należy dołączyć do niniejszego Załącznika, jeśli nie zostały uwzględnione w warunkach zlecenia:

Podmiot przekazujący dane:
Podmiot przekazujący dane oznacza GoDaddy, dostawcę programu odsprzedażowego dla podmiotu odbierającego dane polegającego na odsprzedaży pewnych produktów i usług GoDaddy klientom.

Podmiot odbierający dane:

Podmiot odbierający dane jest odsprzedawcą produktów i usług GoDaddy.

Osoby, których dane dotyczą

Osoby, których dane dotyczą, są klientami.

Kategorie danych

Przekazywane dane osobowe dotyczą następujących kategorii danych:

Klient może przekazać dane osobowe w ramach korzystania z Usług; dane te mogą obejmować między innymi następujące kategorie danych osobowych:

• Imię i nazwisko
• E-mail
• Numer telefonu
• Adres fizyczny
• Czynności przetwarzania

Przekazywane dane osobowe będą podlegać następującym czynnościom przetwarzania:

Odsprzedawca będzie przetwarzał dane osobowe w zakresie niezbędnym do świadczenia Usług zgodnie z Umową odsprzedawcy oraz zgodnie z dyspozycjami klienta udzielonymi podczas korzystania przez niego z Usług.

Techniczne i organizacyjne środki bezpieczeństwa

Podmiot odbierający dane będzie utrzymywał techniczne i administracyjne zabezpieczenia w celu ochrony bezpieczeństwa, poufności i integralności danych klienta, w tym Danych osobowych, w sposób określony w niniejszym Załączniku dotyczącym przetwarzania danych. Podmiot odbierający dane będzie regularnie monitorował zachowywanie tych środków bezpieczeństwa. Podmiot przetwarzający dane nie zmniejszy w istotnym stopniu ogólnego bezpieczeństwa Usług lub Programu dla odsprzedawców.