Este Adendo de Processamento de Dados de Revendedor (“DPA”) faz parte do Contrato assinado entre a GoDaddy.com, LLC (inclusive suas entidades afiliadas, se contempladas no Contrato) (“GoDaddy”) e você (“Revendedor”), com a finalidade de vender os produtos e os serviços da GoDaddy (“Serviços”) através do Programa de Revendedor da GoDaddy e regerá o processamento de qualquer Informação Pessoal por Revendedor em nome da GoDaddy. O Revendedor entra neste DPA em seu próprio nome e, na medida exigida pela Legislação e Regulamentações de Proteção de Dados aplicáveis, em nome de e representando suas afiliadas autorizadas. Todos os termos em maiúsculas não definidos neste documento terão o significado estabelecido no Contrato. Os termos "nós" ou "nosso(s)/nossa(s)" referem-se à GoDaddy. Os termos "você", "seu(s)/sua(s)" ou "Revendedor" referem-se a qualquer indivíduo ou entidade que aceite este Contrato. Nada neste Contrato deve ser considerado como concessão de direitos ou benefícios a terceiros. Este DPA entrará em vigor e será vinculativo a partir da data de sua aceitação eletrônica.

Este DPA consiste em duas (2) partes distintas, aplicáveis conforme explicado abaixo:

• Padrões e requisitos de privacidade e segurança de dados. Aplicação de padrões e requisitos de privacidade e segurança de dados. Aplicável a todos os Revendedores que tenham acesso e processem informações pessoais identificáveis (conforme “definido aqui”) dentro da natureza e escopo de sua participação no Programa de Revendedor
• Cláusulas contratuais padrão (e seus apêndices 1 e 2). Aplicação de Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão serão aplicadas aos Dados do Cliente que são transferidos para fora do EEE, diretamente ou por transferência subsequente, para qualquer país não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção de dados pessoais (conforme descrito no RGDP). As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não sejam transferidos, diretamente ou por meio de transferência posterior, fora do EEE. Apesar do acima exposto, as Cláusulas Contratuais Padrão não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência legítima de dados pessoais (conforme definido no GDPR) para fora do EEE, como Estruturas de Privacy Shield da UE-EUA e da Suíça-EUA.

1. Assunto e escopo

Este SLA de Privacidade e Segurança de Dados (“SLA de Segurança”) é anexado e incorporado ao Contrato com a finalidade de garantir que qualquer IIP (conforme definido abaixo) coletada ou utilizada por você seja tratada de maneira segura e de acordo com os termos do Contrato, este SLA de Segurança e as leis e regulamentos aplicáveis.

2. Ordem de Prioridade.

Este SLA de Segurança é incorporado e faz parte do Contrato. Para assuntos não abordados neste SLA de Segurança, aplicam-se os termos do Contrato. Com relação aos direitos e obrigações entre as partes, no caso de um conflito entre os termos do Contrato e este SLA de Segurança, os termos deste SLA de Segurança prevalecerão. No caso de um conflito entre os termos do SLA de Segurança e as Cláusulas Contratuais Padrão, as Cláusulas Contratuais Padrão prevalecerão.

3. Informações pessoais.

1. “IIP” ou “Informações pessoais” significa informação em qualquer meio ou forma pertencente a uma pessoa ou agregado familiar identificado ou identificável. Uma pessoa identificável é aquela que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como nome, endereço, número da previdência ou outro número de identificação, endereço de email, número de telefone, perfil financeiro, dados de cartão de crédito, número da carteira nacional de habilitação ou outras informações que possam ser razoavelmente ligadas a ela, a um computador ou a um dispositivo em particular (por exemplo, informações coletadas por meio de tecnologias de rastreamento, como endereço IP) ou a um ou mais fatores específicos da aparência física, identidade fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

2. O processamento para os fins deste DPA deverá incluir a coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação, disseminação ou disponibilização, combinação, restrição, exclusão ou destruição de IIP.
3. GoDaddyAs IIP deverão ser reveladas a Você única e exclusivamente para a realização dos Serviços em nome deGoDaddy, e Você só poderá processar as IIP para os fins limitados e específicos descritos no Contrato e em nossas instruções por escrito, e para nenhum outro propósito, inclusive em relação às transferências de IIP para fora da União Europeia, a menos que exigido pela legislação da União Europeia ou dos Estados Membros da União Europeia (caso em que você deve nos notificar imediatamente antes de fazê-lo, a menos que esteja proibido de nos informar por lei).
4. Você está proibido de:(i) vender IIP; (ii) reter, usar ou divulgar IIP para um propósito comercial que não seja a prestação dos Serviços; e (iii) reter, usar ou divulgar IIP fora do Contrato entre Você eGoDaddy.

5. Você declara e confirma que as IIP não são divulgadas no fornecimento de quaisquer Serviços à GoDaddy nos termos do Contrato. Você não está autorizado a vender IIP, conforme definição do termo “venda” que consta na Lei de Privacidade do Consumidor da Califórnia (“CCPA”), de 2018. Você confirma, por meio deste, que entende as regras, requisitos e definições da CCPA e todas as restrições deste DPA. Você concorda em abster-se de adotar qualquer ação que possa causar eventuais transferências IIP para ou de Você que possam qualificar-se como "venda de dados pessoais" nos termos do CCPA e de quaisquer outras leis aplicáveis.
6. Você só poderá transferir IIP relativos a indivíduos da UE fora da UE (ou se tais IIP já estiverem fora da UE, para qualquer terceiro também fora da UE), em conformidade com os termos deste DPA e as exigências dos Artigos 44 a 49 do GDPR (conforme definido abaixo).
7. Você deve nos notificar imediatamente se, em sua opinião, nossas instruções infringem quaisquer leis e regulamentos de proteção de dados aplicáveis, incluindo a Lei de Proteção de Dados da UE (conforme definido abaixo) em privacy@godaddy.com.

8. Você deve tratar todas as IIP como sendo estritamente confidenciais, e deve informar todos os seus funcionários ou agentes aprovados envolvidos no processamento das IIP sobre a natureza confidencial das mesmas, e assegurar que todas essas pessoas ou partes tenham assinado um acordo de confidencialidade apropriado para manter a confiabilidade das IIP.
9. Na medida em que você receba, mantenha, processe ou tenha acesso às IIP em conexão com o Programa de Revenda nos termos do Contrato, você reconhece e concorda que é responsável por manter medidas organizacionais e de segurança apropriadas para proteger tais IIP. Você deve proteger e manter seguras essas IIP de acordo com todas as leis de privacidade e proteção de dados aplicáveis, incluindo, entre outros, o Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 sobre a proteção de pessoas com relação ao processamento de dados pessoais e a livre circulação desses dados (o “Regulamento Geral de Proteção de Dados” ou ”GDPR”) e a legislação ou regulamentos associados do estado-membro da UE (conjuntamente com a “Lei de Proteção de Dados da UE”).

10. As medidas organizacionais e de segurança apropriadas referidas na Seção 3.7 devem incluir, conforme apropriado (mas não limitadas a):
    1. As medidas listadas abaixo nas Seções 3 e 4;
    2. Medidas para garantir que somente indivíduos autorizados para os fins descritos no Contrato possam acessar as IIP;
    3. A pseudonímia e criptografia das IIP;
    4. A capacidade de garantir confidencialidade, integridade, disponibilidade e resiliência contínuas de seus sistemas e serviços de processamento;
    5. A capacidade de restaurar a disponibilidade e acesso às IIP em tempo hábil;
    6. Um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento das IIP; e
    7. Medidas para identificar vulnerabilidades com relação ao processamento das IIP em seus sistemas.
11. Na medida em que Você celebrar contrato com qualquer subcontratado, fornecedor ou outro terceiro para facilitar seu desempenho nos termos do Contrato, Você deverá (i) obter nosso consentimento prévio por escrito; e (ii) firmar um contrato por escrito com tal terceiro para garantir que essa parte também cumpra os termos deste DPA e do Contrato.

12. A despeito de qualquer autorização dada por nós de acordo com o Parágrafo 1.11, você permanecerá totalmente responsável por qualquer subcontratado, fornecedor ou outros atos de terceiros quando tal parte não cumprir suas obrigações sob este DPA (ou acordo contratual similar estabelecido para impor obrigações equivalentes ao terceiro àquelas que lhe incumbem sob este DPA) ou sob a(s) lei(s) de privacidade aplicável(s).
13. Você, às suas custas, defenderá, indenizará e nos isentará de toda responsabilidade, custos e perdas relacionadas a qualquer responsabilidade temporária ou permanente, acidental ou ilegal, indisponibilidade, perda, destruição, divulgação ou acesso não autorizado, roubo ou comprometimento de IIP, e qualquer outra violação da legislação aplicável de proteção de dados, e qualquer violação deste DPA.
14. Caso você tenha conhecimento de que recebeu nossas Informações Confidenciais ou IIP que não se destinavam ao seu recebimento ou que não foram autorizadas a serem recebidas por você nos termos deste Contrato, você deve (i) notificar-nos prontamente em privacy@godaddy.com, e (ii) a menos que receba instruções em contrário por escrito, reter as informações até que seja contatado por privacy@godaddy.com com instruções sobre o que fazer com tais informações.

4. Avaliações de Impacto e Auditorias de Segurança

1. Avaliações do Impacto da Proteção de Dados. Você deve nos auxiliar na realização de avaliações sobre o impacto da proteção de dados para identificar e minimizar quaisquer riscos de privacidade ou segurança relacionados ao Programa de Revenda nos termos do Contrato.
2. Auditorias Periódicas. Reservamo-nos o direito de auditar periodicamente (ou ter um terceiro, sob nossa direção, para auditar) sua conformidade com este DPA.
3. Auditoria após um Incidente. No caso de uma violação de segurança do Revendedor, poderemos realizar uma auditoria de segurança para garantir que nenhuma Informação Pessoal Identificável foi afetada. Você terá 90 dias para responder a quaisquer problemas identificados por meio da auditoria. Depois que os problemas identificados forem resolvidos, poderemos realizar uma auditoria de segurança para garantir a conclusão da resolução.
4. Aviso de Não Conformidade. Caso você não consiga cumprir qualquer um dos compromissos deste DPA por qualquer motivo, deve nos notificar imediatamente. Em tal cenário, você deve avisar se é capaz de resolver qualquer problema rapidamente e sem risco para a segurança de IIP. Caso contrário, podemos optar por rescindir o Contrato sem demora, penalidade ou responsabilidade adicional para você.

5. Resposta a Incidentes de Segurança

1. Momento da Notificação. Você comunicará qualquer incidente de segurança relacionado aos seus serviços e/ou as Informações pessoais identificáveis para nós imediatamente após a sua descoberta e fornecerá comentários imediatos sobre qualquer impacto que este incidente possa ter sobre nós ou as Informações pessoais identificáveis. Você fará o possível para nos notificar sobre o incidente de segurança imediatamente após a detecção de tal incidente, mas, em qualquer caso, no máximo 1 hora após ter detectado o incidente. Um incidente, para os propósitos deste DPA, também deverá incluir:
   1. Uma reclamação ou solicitação com respeito ao exercício dos direitos de um indivíduo sob as leis aplicáveis, incluindo a Lei de Proteção de Dados da UE;
   2. Uma investigação ou apreensão de IIP por funcionários do governo, agência reguladora ou agência impositora, ou indicações de que tal investigação ou apreensão está prevista;
   3. Qualquer violação temporária ou permanente, acidental ou ilegal, indisponibilidade, perda, destruição, divulgação ou acesso não autorizado de IIP, roubo ou comprometimento de IIP; e
   4. Qualquer violação das obrigações de segurança e/ou confidencialidade estabelecidas neste DPA.
2. Formato e Conteúdo da Notificação. A notificação de uma violação de segurança deverá ocorrer por meio de uma chamada telefônica para o nosso Centro de Operações de Rede (NOC) no número (480) 505-8809, seguida de uma notificação por escrito para securitybreach@godaddy.com. Você deve fornecer as seguintes informações durante a chamada telefônica de notificação, e no aviso por escrito, na medida do possível com mais detalhes, à medida que informações adicionais forem surgindo:
   1. Uma descrição da natureza do incidente e prováveis consequências do mesmo;
   2. Tempo previsto para a resolução (se conhecido);
   3. Uma descrição das medidas tomadas ou propostas para tratar do incidente, incluindo, medidas para mitigar seus possíveis impactos sobre nós, as IIP ou os indivíduos associados;
   4. Se a via de resolução for desconhecida no momento da chamada telefônica, você deve esclarecer que esta ainda não foi determinada;
   5. As categorias e o volume aproximado de IIP e indivíduos potencialmente afetados pelo incidente, e as prováveis consequências do incidente sobre esse IIP e indivíduos associados; e
   6. O nome e número de telefone de um representante de revendedor que possamos contatar para obter informações atualizadas sobre o incidente.
3. Recursos de Segurança. Podemos, mediante acordo mútuo com você, fornecer recursos de nosso grupo de segurança para ajudar com uma violação de segurança identificada. Você concorda em nos ajudar a cumprir suas obrigações com relação à notificação de uma violação de segurança de acordo com a Lei de Proteção de Dados da UE ou qualquer outra obrigação de notificação de violação estatutária, regulamentar, administrativa ou contratual.

6. Criptografia

1. Criptografia Patenteada. Transações seguras entre você e o subcontratado, fornecedor ou outro terceiro, bem como o armazenamento de nossas Informações Confidenciais ou IIP, não podem utilizar nenhum algoritmo de criptografia desenvolvido internamente por você. Qualquer algoritmo simétrico, assimétrico ou hash utilizado pela infraestrutura de aplicativos utilizará algoritmos que foram publicados e avaliados pela comunidade criptográfica geral.
2. Nível de criptografia. Algoritmos de criptografia devem ser a tecnologia atual padrão do setor e de força suficiente, como o AES. Criptografia de chave pública SHA-256 ou RSA.
3. Funções de hash. Criptografia de chave pública SHA-256 ou RSA. Funções de hash. Se funções de hashing alternativas forem utilizadas, elas terão aprovação explícita de nossa Equipe de Segurança da Informação e deverão estar acompanhadas por pelo menos um algoritmo aprovado.

7. Processamento de IIP

1. Conformidade com a Lei. Na medida do possível, você nos ajudará em nossas obrigações de responder a solicitações de uma pessoa, de quem as Informações pessoais identificáveis estão sendo processadas nos termos deste Contrato e que deseja exercer qualquer um de seus direitos sob a Lei de Proteção de Dados da UE, incluindo (mas não limitado a): (i) direito de acesso; (ii) direito à portabilidade de dados; (iii) direito de exclusão; (iv) direito de retificação; (v) direito de se opor à tomada de decisão automatizada; ou (vi) direito de se opor ao processamento.
2. Exclusão/Destruição. Você deve excluir/destruir ou devolver com segurança todas as Informações pessoais identificáveis e apagar as unidades físicas usadas para seu armazenamento usando o método de Apagamento Criptográfico (NIST SP-800-88r1) ou método equivalente, a qualquer momento, mediante solicitação ou sem nossa solicitação, após o término do Contrato, e destruir ou devolver quaisquer cópias existentes dele para nós.

Para efeitos do Artigo 26(2) da Diretiva 95/46/EC, relativo à transferência de dados pessoais para processadores estabelecidos em países terceiros que não dão garantia de um nível adequado de proteção de dados

exportador de dados: GoDaddy.com, LLC e suas entidades afiliadas

e

Importador de dados: O Revendedor nomeado que participou do Programa de Revendedor está sujeito aos termos do Contrato.

cada um "parte"; juntos "as partes",

CONCORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar medidas de segurança adequadas em relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

Para os propósitos das Cláusulas:

(a) “dados pessoais”, “categorias especiais de dados”, “processo/processamento”, “controlador”, “processador”, “titular dos dados” e “autoridade supervisora” devem ter o mesmo significado que na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995, com relação à proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados;

(b) “o exportador de dados” significa o controlador que transfere os dados pessoais;

(c) “o importador de dados” significa o processador que concorda em receber do exportador de dados os dados pessoais destinados a processamento em seu nome após a transferência de acordo com suas instruções e com os termos das Cláusulas e que não está sujeito ao sistema de um país terceiro garantindo proteção adequada de acordo com o Artigo 25(1) da Diretiva 95/46/EC;

(d) o “subprocessador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber, do importador de dados ou de qualquer outro subprocessador do importador de dados, dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com as instruções dele, com os termos das Cláusulas e com os termos do subcontrato por escrito;

(e) “a legislação de proteção de dados relevante” significa as leis que protegem os direitos e as liberdades fundamentais dos indivíduos e, em particular, seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a uma controladora de dados em um estado-membro no qual o exportador de dados está estabelecido;

(f) “medidas técnicas e organizacionais de segurança” são medidas destinadas a proteger dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento.

Os detalhes da transferência e, em particular, das categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1, que é parte integrante das Cláusulas.

1. O titular dos dados pode impor ao exportador de dados esta Cláusula, a Cláusula 4(b) até (i), a Cláusula 5(a) até (e) e (g) até (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12 como beneficiário de terceiros.

2. O titular dos dados pode impor ao importador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12, nos casos em que o exportador de dados efetivamente desaparece ou deixa de existir nos termos da lei, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesses casos, o titular dos dados pode fazer valer essas cláusulas contra essa entidade.

3. O titular dos dados pode impor ao subprocessador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 a 12, nos casos em que tanto o exportador quanto o importador de dados efetivamente desapareceram, deixaram de existir perante a lei ou falirem, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesse caso, o titular dos dados pode fazer valer essas cláusulas contra essa entidade. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

4. As partes não se opõem que um titular dos dados seja representado por uma associação ou outro órgão, se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.

O exportador de dados concorda e garante:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizada em conformidade com as disposições pertinentes da legislação de proteção de dados relevante (e, quando aplicável, será notificado às autoridades competentes do estado-membro em que o exportador de dados está estabelecido) e não viola as disposições pertinentes desse estado;

(b) que instruiu e, durante a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a legislação de proteção de dados relevante e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste contrato;

(d) que após a avaliação dos requisitos da legislação de proteção de dados relevante, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o nível tecnológico e os custo de sua implementação;

(e) que garantirá o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado, antes ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não fornece proteção adequada nos termos da Diretiva 95/46/EC;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador nos termos da Cláusula 5(b) e Cláusula 8(3) para a autoridade supervisora de proteção de dados, se o exportador de dados decidir continuar a transferência ou revogar a suspensão;

(h) disponibilizar aos titulares dos dados mediante solicitação, uma cópia das Cláusulas, com exceção do Apêndice 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato dos serviços de subprocessamento que tenham de ser realizados em conformidade com as Cláusulas, a menos que as Cláusulas ou o contrato contenha informações comerciais, caso em que pode ocorrer a remoção dessas informações comerciais;

(i) que, no caso de subprocessamento, a atividade de processamento é realizada de acordo com a Cláusula 11 por um subprocessador que fornece pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que o importador de dados nos termos das Cláusulas; e

(j) que garantirá o cumprimento da Cláusula 4(a) até (i).

O importador de dados concorda e garante:

(a) processar os dados pessoais somente em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; se não puder fornecer essa conformidade por qualquer motivo, ele concorda em informar prontamente ao exportador de dados sua incapacidade de cumprimento. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato.

(b) que ele não tem motivos para crer que a legislação aplicável lhe impeça o cumprimento das instruções recebidas do exportador de dados e suas obrigações decorrentes do contrato e que, em caso de alteração dessa legislação, que pode ter um efeito adverso substancial nas garantias e obrigações fornecidas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento dela. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, salvo disposição em contrário, tal como uma proibição do direito penal de preservar a confidencialidade de uma investigação judicial;

(ii) qualquer acesso acidental ou não autorizado, e

(iii) qualquer pedido recebido diretamente pelos titulares de dados sem resposta a esse pedido, a menos que tenha sido autorizado de outra forma a responder;

(e) responder rápida e adequadamente a todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e a cumprir o parecer da autoridade de supervisão com relação ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para submeter as instalações de processamento de dados a auditoria das atividades de processamento abrangidas pelas Cláusulas, a qual deve ser realizada pelo exportador de dados ou por um órgão de fiscalização composto por membros independentes e de posse das qualificações profissionais exigidas, vinculados por um dever de confidencialidade, selecionados pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;

(g) disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou qualquer contrato existente para o subprocessamento, a menos que as Cláusulas ou contrato contenham informações comerciais. Nesse caso, as informações comerciais podem ser removidas, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não possa obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, ele informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Cláusula 11;

(j) enviar prontamente uma cópia de qualquer contrato de subprocessador cumprido com base nas Cláusulas ao exportador de dados.

(k) que ele vai, às suas custas, defender, indenizar e isentar o exportador de dados de qualquer responsabilidade e perda em relação a qualquer perda, divulgação não autorizada, roubo ou comprometimento de dados pessoais e qualquer outra violação da legislação de proteção de dados aplicável por ou oriunda do importador de dados.

1. As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou pelo subprocessador, tem direito a receber uma compensação do exportador de dados pelo dano sofrido.

2. Se o titular dos dados não puder apresentar um pedido de indenização nos termos do parágrafo 1 contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu subprocessador de qualquer uma das obrigações referidas na Cláusula 3 ou na Cláusula 11 porque o exportador de dados desapareceu de fato, deixou de existir nos termos lei ou faliu, o importador de dados concorda que o titular dos dados pode ingressar com uma reclamação contra o importador de dados como se este fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade.
   
   O importador de dados não pode invocar uma violação de suas obrigações por um subprocessador, a fim de evitar suas próprias responsabilidades.

3. Se o titular dos dados não puder apresentar uma reclamação contra o exportador ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação de qualquer das suas obrigações pelo subprocessador, referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram efetivamente, deixaram de existir nos termos lei ou faliram, o subprocessador concorda que o titular dos dados pode ingressar com uma ação contra o subprocessador de dados com relação às suas próprias operações de processamento sob as Cláusulas como se fosse o exportador ou o importador de dados, a menos que alguma entidade sucessora tenha assumido todas as obrigações jurídicas do exportador ou do importador de dados por contrato ou por força de lei. Nesse caso, o titular dos dados pode fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

1. O importador de dados concorda que, se o titular dos dados fazer valer os direitos de beneficiário de terceiros e/ou indenização de danos por danos nos termos da Cláusulas, o importador de dados aceitará a decisão do titular dos dados:
   
   (a) recorrer da disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;
   
   (b) recorrer da disputa em tribunais do estado-membro em que o exportador de dados está estabelecido.

2. As partes concordam que a escolha feita pelo titular dos dados não prejudicará seu direito material ou processual de buscar soluções em conformidade com outras disposições da lei nacional ou internacional.

1. O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de supervisão, se for solicitado ou se assim for exigido nos termos da legislação de proteção de dados relevante.

2. As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria no importador de dados e em qualquer subprocessador que tenha o mesmo escopo e esteja sujeito às mesmas condições aplicáveis a uma auditoria do exportador de dados sob a legislação de proteção de dados relevante.

3. O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de adotar as medidas previstas na Cláusula 5 (b).

As Cláusulas serão regidas pela legislação do estado-membro no qual o exportador de dados está estabelecido ou onde o exportador de dados estiver estabelecido em várias jurisdições, regidas pelas leis da Inglaterra e do País de Gales.

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões relacionadas a negócios quando necessário, desde que não haja entendimento diverso da Cláusula.

1. O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um contrato por escrito com o subprocessador que impõe as mesmas obrigações ao subprocessador que são impostas ao importador de dados nos termos das Cláusulas. Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados, conforme o contrato por escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos deste contrato.

2. O contrato por escrito anterior entre o importador de dados e o subprocessador deverá também prever uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados, porque eles desapareceram de fato, deixaram de existir nos termos da lei ou faliram, e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou importador de dados por contrato ou por força de lei. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

3. As disposições relacionadas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela lei do estado-membro em que o exportador de dados está estabelecido.

4. O exportador de dados deve manter uma lista de contratos concluídos de subprocessamento, nos termos das Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5(j), que deve ser atualizada pelo menos uma vez por ano. A lista deve estar disponível para a autoridade supervisora ​​de proteção de dados do exportador de dados.

1. As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e comprovar ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garantirá a confidencialidade dos dados pessoais transferidos e não processará de forma ativa os dados pessoais transferidos.

2. O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade supervisora, apresentarão suas instalações de processamento de dados para uma auditoria das medidas mencionadas no parágrafo 1.

Informações adicionais necessárias, se não estiverem contidas em um SOW, devem ser incluídas neste Apêndice:

Exportador de dados:
O exportador de dados é a entidade identificada como GoDaddy, um fornecedor do programa de revendedor para o importador de dados revender certos produtos da GoDaddy para os clientes.

Importador de dados:

O importador de dados é um revendedor de produtos e serviços da GoDaddy.

Titulares de dados

Os titulares dos dados são clientes.

Categorias de dados

Os dados pessoais transferidos dizem respeito às seguintes categorias de dados:

O Cliente pode enviar dados pessoais aos Serviços, que podem incluir, mas não se limitam às seguintes categorias de dados pessoais:

• Nome e sobrenome
• Email
• Número de telefone
• Endereço físico
• Operações de processamento

Os dados pessoais transferidos estarão sujeitos às seguintes atividades básicas de processamento:

O Revendedor processará os dados pessoais conforme necessário para executar os Serviços nos termos do Contrato de Revendedor e conforme instruído pelo cliente durante o uso dos Serviços.

Medidas de Segurança Técnica e Organizacional

O Importador de Dados deve manter as medidas de segurança técnicas e administrativas para proteção da segurança, da confidencialidade e da integridade dos dados do cliente, incluindo Dados Pessoais, conforme estabelecido neste Adendo de Processamento de Dados. O Importador de Dados deve monitorar regularmente o cumprimento dessas medidas de segurança. O Importador de Dados não diminuirá significativamente a segurança geral dos Serviços ou do Programa de Revenda.