Вхід
ПОСИЛАННЯ НА ВХІДНІ
Ця Додаткова угода про обробку даних реселерів (далі — «Додаткова угода про обробку даних») є частиною Угоди, яка укладається між компанією GoDaddy (включно з її афілійованими особами, якщо це передбачено Угодою) (далі — «GoDaddy») і вами («Реселер») з метою продажу продуктів і надання послуг GoDaddy («Послуги») у рамках Програми GoDaddy для реселерів, регулює обробку будь-якої Особистої інформації Реселера від імені компанії GoDaddy. Реселер укладає цю Додаткову угоду про обробку даних від свого імені та від імені своїх уповноважених компаньйонів у межах, передбачених відповідними законами та положеннями щодо захисту даних. Усі терміни, написані з великої літери, які не визначено в цьому документі, матимуть значення, наведені в Угоді. Терміни «ми», «нас» або «наш» позначають GoDaddy. Терміни «ви», «ваш» або «Реселер» позначають фізичну чи юридичну особу, яка приймає цю Угоду. Жодне з положень цієї Угоди не можна трактувати як таке, що надає третім сторонам будь-які права чи вигоди. Ця Додаткова угода про обробку даних набуває чинності з дня її прийняття в електронному вигляді.
Ця Додаткова угода про обробку даних складається з двох (2) окремих частин, які застосовуються, як пояснено нижче.
1. Предмет і область застосування
Цю Угоду про захист і конфіденційність даних («Угода про безпеку») додано та включено до Угоди з метою безпечної обробки зібраної або використовуваної вами особистої інформації (як визначено нижче) відповідно до умов Угоди, цієї Угоди про безпеку й відповідних законів і правил.
2. Порядок пріоритетності.
Ця Угода про безпеку входить до складу Угоди та є її частиною. До питань, які не розглядаються в рамках Угоди про безпеку, застосовуються умови цієї Угоди. З урахуванням прав та обов’язків сторін одна щодо одної, у разі виникнення конфлікту між умовами цієї Угоди та Угоди про безпеку переважну силу матимуть умови Угоди про безпеку. У разі виникнення конфлікту між умовами Угоди про безпеку та Стандартними договірними положеннями переважну силу матимуть Стандартні договірні положення.
3. Особиста інформація.
4. Оцінки впливу й аудит засобів безпеки
5. Улагодження порушень безпеки
6. Криптографія
7. Обробка Особистої інформації
Для потреб статті 26(2) Директиви 95/46/EC щодо передавання особистих даних обробникам, зареєстрованим у сторонніх країнах, що не забезпечують належного рівня захисту даних
експортер даних: GoDaddy.com, LLC і його афілійовані особи
та
імпортер даних: Зазначений Реселер, який бере участь у Програмі для реселерів відповідно до умов цієї Угоди.
окремо «сторона», разом — «сторони»,
ДОМОВИЛИСЯ про наведені нижче Договірні положення (далі — «Положення») з метою забезпечення адекватних гарантій захисту конфіденційності та дотримання основних прав і свобод фізичних осіб під час передавання експортером даних імпортеру даних особистих даних, зазначених у Додатку 1.
Для цілей цих Положень:
(a) поняття "особисті дані", "спеціальні категорії даних", "обробляти", "обробка", "контролер", "обробник", "суб’єкт даних" і "наглядовий орган" мають таке ж значення, як у Директиві 95/46/EC Європейського Парламенту та Ради від 24 жовтня 1995 р., що стосується захисту фізичних осіб у зв’язку з обробкою особистих даних і їх вільним переміщенням;
(б) експортер даних – це контролер, який передає особисті дані;
(в) імпортер даних – це обробник, який погоджується одержувати від експортера даних особисті дані, призначені для обробки переданих даних від його імені відповідно до інструкцій і умов Положень, який не підпадає під дію систем третьої країни, забезпечуючи належний захист згідно з вимогами статті 25(1) Директиви 95/46/EC;
(г) субпідрядник з обробки даних – це будь-який обробник, залучений імпортером даних або будь-яким іншим субпідрядником з обробки даних імпортера даних, який погоджується отримувати від імпортера даних або від будь-якого іншого субпідрядника з обробки даних імпортера даних особисті дані, призначені винятково для обробки від імені експортера переданих даних відповідно до його інструкцій, умов цих Положень і умов договору підряду, укладеного в письмовій формі;
(ґ) застосовний закон про захист даних – це законодавство, яке захищає основні права та свободи осіб і, зокрема, їхнє право на недоторканість приватного життя у зв’язку з обробкою особистих даних, що застосовується до контролера даних у державі-члені, де заснований експортер даних;
(д) технічні й організаційні заходи безпеки – це заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення чи випадкової втрати, змінення, несанкціонованого розкриття інформації або доступу до неї, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки.
Докладні відомості про передачу та, зокрема, спеціальні категорії особистих даних, якщо застосовуються, наведено в Додатку 1, який є невід’ємною частиною цих Положень.
Положення 3Суб’єкт даних може вимагати виконання експортером даних цього Положення, Положення 4(б)–(ж), Положення 5(а)–(ґ) і (е)–(з) Положення 6(1) і (2), Положення 7, Положення 8(2), Положень 9–12 як стороннім бенефіціаром.
Суб’єкт даних може забезпечити виконання імпортером даних цього Положення, Положень 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положень 9–12 у випадках, коли експортер даних фактично зник або юридично припинив існувати, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта.
Суб’єкт даних може забезпечити виконання субпідрядником з обробки даних цього Положення, Положень 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положення 9–12 у випадках, коли як експортер даних, так й імпортер даних фактично зник або припинив своє законне існування чи став неплатоспроможним, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується власними процесами обробки згідно з Положеннями.
Сторони не заперечують проти суб’єкта даних, який представлений асоціацією чи іншим органом, якщо суб’єкт даних явно виражає свій намір про це та якщо це дозволено національним законодавством.
Експортер даних погоджується та гарантує:
(а) що обробка, зокрема власне передавання, особистих даних виконувалася й виконуватиметься відповідно до наявних положень чинного законодавства про захист даних (і, якщо це доречно, про це буде повідомлено відповідні органи Держави-члена, у якій засновано експортера даних) і не порушує відповідних положень такої Держави;
(б) що він віддав (і віддаватиме протягом усього терміну використання служб обробки особистих даних) імпортерам даних розпорядження обробляти особисті дані, передані тільки від імені експортера даних і відповідно до чинного законодавства про захист даних і Положень;
(в) що імпортер даних забезпечить достатні гарантії стосовно технічних і організаційних заходів безпеки, зазначених у Додатку 2 до цього договору;
(г) що після оцінки вимог чинного законодавства про захист даних заходи безпеки є доцільними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, змінення несанкціонованого розголошення або доступу, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки, і що ці заходи гарантують рівень безпеки, відповідний ризикам, що виникають під час обробки, і характеру даних, що підлягають захисту, з урахуванням їхньої актуальності та вартості;
(ґ) що він забезпечить відповідність вимогам до заходів безпеки;
(д) що, якщо передавання передбачає спеціальні категорії даних, суб’єкт даних був поінформований або буде поінформований перед передаванням або найближчим часом після нього про те, що його дані може бути передано до третьої країни, яка не надає адекватного захисту, передбаченого Директивою 95/46/EC;
(е) переслати будь-яке повідомлення, отримане від імпортера даних або будь-якого субпідрядника з обробки даних відповідно до Положення 5(б) і Положення 8(3), до наглядового органу щодо захисту даних, якщо експортер даних вирішить продовжити передавання або скасувати призупинення;
(є) надавати за запитом суб’єктам даних копію цих Положень, крім Додатка 2, короткий опис заходів безпеки, а також копію будь-якого договору про надання послуг з обробки даних субпідрядником, яка має бути проведена відповідно до Положень, якщо в Положеннях або в контракті не міститься комерційна інформація, яку в такому разі можна вилучити;
(ж) що у випадку виконання обробки субпідрядниками з обробки даних вона здійснюватиметься відповідно до Положення 11 із забезпеченням щонайменше такого самого рівня захисту особистих даних і прав суб’єкта даних, як і в імпортера даних відповідно до Положень;
(з) що це забезпечить дотримання Положення 4(a)–(з).
Імпортер даних погоджується та гарантує:
(а) обробляти особисті дані лише від імені експортера даних і відповідно до його інструкцій і Положень; якщо він не може забезпечити таке дотримання з будь-яких причин, він погоджується негайно повідомити експортера даних про неможливість такого дотримання, і в такому разі експортер даних має право призупинити передавання даних і (або) припинити дію контракту;
(б) що вона не має підстав вважати, що законодавство, яке застосовується до неї, перешкоджає їй виконувати інструкції, отримані від експортера даних, і його зобов’язання за договором, і що в разі змінення цього законодавства, що, імовірно, матиме суттєвий негативний вплив на гарантії та зобов’язання, передбачені цими Положеннями, вона негайно повідомить про ці зміни експортера даних, щойно їй стане про це відомо; у такому разі експортер даних має право призупинити передавання даних і (або) розірвати договір;
(в) що він ужив технічних і організаційних заходів безпеки, зазначених у Додатку, перед обробкою переданих особистих даних;
(г) вона негайно повідомить експортера даних про:
(і) будь-який юридично зобов’язальний запит про розголошення особистих даних правоохоронним органам, якщо інше не заборонено, наприклад заборона, передбачена кримінальним законодавством, щодо збереження конфіденційності правоохоронного розслідування;
(іі) будь-який випадковий чи неавторизований доступ;
(ііі) будь-який запит, отриманий безпосередньо від суб’єктів даних, на який не потрібно відповідати, крім випадків, коли на це є відповідний дозвіл;
(ґ) негайно та правильно вирішувати всі запити, надіслані експортером даних, щодо обробки особистих даних, що підлягають передаванню, і дотримуватися рекомендацій наглядового органу щодо обробки переданих даних;
(д) на вимогу експортера даних надавати свої засоби обробки даних для аудиту заходів обробки, передбачених цими Положеннями, які має здійснювати експортер даних або інспекційний орган, що складається з незалежних членів і має належну професійну кваліфікацію, пов’язану з дотриманням конфіденційності, обраний експортером даних, якщо це можливо, за згодою з наглядовим органом;
(е) надавати суб’єктам даних за запитом копію цих Положень або будь-якого наявного договору про обробку даних субпідрядниками, якщо в Положеннях чи договорі не міститься комерційна інформація, яку в такому разі можна видалити, за винятком Додатка 2, який слід замінити коротким описом заходів безпеки на випадок, коли суб’єкт даних не зможе отримати копію від експортера даних;
(є) що, у разі обробки даних субпідрядником, вона раніше повідомила експортера даних і отримала його попередню письмову згоду;
(ж) що послуги обробки субпідрядником з обробки даних виконуватимуться відповідно до Положення 11;
(з) негайно надсилати експортеру даних копію будь-якої угоди із субпідрядником з обробки даних, яку він укладає згідно з Положеннями.
(и) за свій рахунок забезпечити компенсацію, захист і недоторканість експортера даних від будь-якої відповідальності та збитків через утрату, несанкціоноване розголошення, крадіжку або компрометацію особистих даних, а також будь-яке інше порушення чинного законодавства щодо захисту даних від імпортера даних.
Сторони погоджуються, що будь-який суб’єкт даних, який зазнав шкоди внаслідок будь-якого порушення будь-якою стороною або субпідрядником з обробки даних зобов’язань, зазначених у Положенні 3 або в Положенні 11, має право отримати компенсацію від експортера даних за заподіяний збиток.
Якщо суб’єкт даних, згідно з пунктом 1, не може подати експортеру даних запит на компенсацію, зумовлений порушенням імпортером даних або його субпідрядником з обробки даних будь-якого зі своїх зобов’язань, зазначених у Положенні 3 або в Положенні 11, тому що експортер даних фактично зник або юридично припинив своє існування чи став неплатоспроможним, імпортер даних погоджується, що суб’єкт даних може подати позов проти імпортера даних так, ніби він виступає експортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта.
Імпортер даних не може покладатися на порушення субпідрядником з обробки даних своїх зобов’язань, щоб уникнути виконання власних зобов’язань.
Якщо суб’єкт даних не може висунути претензії до експортера даних або імпортера даних, зазначених у пунктах 1 і 2, що виникають у зв’язку з порушенням субпідрядником з обробки даних будь-якого зі своїх зобов’язань, зазначених у Положенні 3 або в Положенні 11, якщо експортер даних та імпортер даних фактично зникли або припинили юридично існувати чи стали неплатоспроможними, субпідрядник з обробки даних погоджується, що суб’єкт даних може подати позов проти субпідрядника з обробки даних щодо власних операцій обробки відповідно до Положень так, наче він є експортером даних або імпортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Відповідальність субпідрядника з обробки даних обмежується його власними процесами обробки відповідно до Положень.
Імпортер даних погоджується, що, якщо суб’єкт даних вимагатиме від нього реалізації прав сторонніх бенефіціарів і/або вимагатиме компенсацію за збитки відповідно до Положень, імпортер даних погодиться з рішенням суб’єкта даних:
(а) передати спір на вирішення незалежній стороні або, у разі потреби, наглядовому органу;
(б) передати спір до судів держави-члена, у якій заснований експортер даних.
Сторони погоджуються, що вибір, зроблений суб’єктом даних, не зашкодить його матеріальним або процесуальним правам шукати засоби захисту відповідно до інших положень національного або міжнародного права.
Експортер даних зобов’язується надати копію цього контракту наглядовій установі, якщо вона цього вимагає, або якщо таке внесення вимагається відповідно до чинного законодавства про захист даних.
Сторони погоджуються з тим, що наглядовий орган має право перевіряти імпортера даних і будь-якого субпідрядника з обробки даних у тих самих обсягах і на тих самих умовах, як у випадку перевірки експортера даних відповідно до застосовного закону про захист даних.
Імпортер даних має негайно інформувати експортера даних про існування законодавства, що застосовується до нього або будь-якого субпідрядника з обробки даних, яке перешкоджає проведенню перевірки імпортера даних або будь-якого субпідрядника з обробки даних відповідно до пункту 2. У такому разі експортер даних має право вжити заходів, передбачених у Положенні 5(б).
Ці Положення регулюються законодавством Держави-члена, у якій зареєстровано експортера даних, а в разі реєстрації експортера в кількох юрисдикціях – законодавством Англії та Уельсу.
Положення 10Сторони зобов’язуються не змінювати й не коригувати Положення. Це не перешкоджає сторонам додавати в разі потреби статті, пов’язані з комерційною діяльністю, якщо вони не суперечать цьому Положенню.
Положення 11Імпортер даних не може делегувати субпідряднику будь-які операції обробки, що виконуються від імені експортера даних згідно з Положеннями, без попередньої письмової згоди експортера даних. У випадках, коли імпортер даних передає свої зобов’язання за цими Положеннями субпідряднику за згодою експортера даних, він робить це тільки за умови укладання письмової угоди із субпідрядником з обробки даних, яка накладає на субпідрядника з обробки даних ті самі зобов’язання, які застосовуються до імпортера даних відповідно до цих Положень. Якщо субпідрядник з обробки даних не виконує свої зобов’язання із захисту даних за такою письмовою угодою, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов’язань субпідрядника з обробки даних за такою угодою.
Попередній письмовий договір між імпортером даних і субпідрядником з обробки даних також має передбачати положення на користь третьої сторони, як викладено в Положенні 3, на випадок, коли суб’єкт даних не зможе подати вимогу про відшкодування, зазначену в пункті 1 Положення 6, до експортера даних чи імпортера даних, оскільки вони фактично зникли або припинили юридично існувати чи стали неплатоспроможними, а жодна сторона-правонаступник не перебрала всі юридичні зобов’язання експортера даних чи імпортера даних за контрактом або чинним законом. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується власними процесами обробки згідно з Положеннями.
Положення, що стосуються аспектів захисту даних для обробки даних субпідрядником за договором відповідно до пункту 1, регулюються законодавством Держави-члена, у якій засновано експортера даних.
Експортер даних має зберігати список угод про обробку даних субпідрядниками, укладених згідно з Положеннями й наданих імпортером даних відповідно до Положення 5(з). Цей список має оновлюватися щонайменше один раз на рік. Цей список повинен бути доступним для органу нагляду за захистом даних експортера даних.
Сторони погоджуються, що в разі припинення надання Послуг з обробки даних імпортер даних і субпідрядник з обробки даних зобов’язані (за вибором експортера даних) повернути всі передані особисті дані та їхні копії експортеру даних або знищити всі особисті дані та підтвердити експортеру даних, що це було зроблено, крім випадків, коли законодавство, установлене для імпортера даних, забороняє повернення або знищення всіх або деяких переданих особистих даних. У такому разі імпортер даних гарантує конфіденційність переданих особистих даних і не буде їх активно обробляти.
Імпортер даних і субпідрядник з обробки даних гарантують, що на вимогу експортера даних і (або) наглядового органу він подасть свої засоби обробки даних для проведення перевірки заходів, згаданих у пункті 1.
Додаткова необхідна інформація, відсутня в супровідному Регламенті надання послуг, повинна бути внесена в цей Додаток:
Експортер даних.
Експортером даних є суб’єкт, ідентифікований як "Компанія GoDaddy", постачальник програми для реселерів, згідно з якою імпортер даних може перепродавати клієнтам продукти або послуги GoDaddy.
Імпортер даних.
Імпортером даних вважається Реселер продуктів і послуг GoDaddy.
Суб’єкти даних.
Суб’єктами даних є клієнти.
Категорії даних.
Передаватися можуть нижченаведені категорії особистих даних.
Клієнт може надсилати до Служб нижченаведені категорії особистих даних (але не обмежуючись ними).
Передані особисті дані підлягають нижченаведеній базовій обробці.
Реселер оброблятиме особисті дані, необхідні для надання Послуг, відповідно до умов Угоди для реселерів, а також додаткових інструкцій, наданих клієнтом під час використання Послуг.
Технічні та організаційні заходи безпеки
Імпортер даних повинен надати технічні й адміністративні гарантії захисту безпеки, конфіденційності та цілісності даних клієнта, включно з особистими даними, як зазначено в цій Додатковій угоді про обробку даних. Імпортер даних повинен регулярно стежити за дотриманням цих гарантій. Імпортер даних повинен надавати гарантію безпеки не нижче рівня, установленого Програмою для реселерів і надання Послуг.