Översatta versioner av juridiska avtal och policyer tillhandahålls endast som en tjänst för att underlätta läsning och förståelse av de engelska versionerna. Syftet med att tillhandahålla översättningar av juridiska avtal och policyer är inte att skapa rättsligt bindande avtal eller att ersätta den rättsliga giltigheten för de engelska versionerna. Vid eventuella tvister eller konflikter reglerar de engelska versionerna av våra juridiska avtal och policyer vår relation och de har företräde framför villkor på andra språk.
GoDaddy – DATABEHANDLINGSTILLÄGG
Senast reviderad: 2024-09-13
Detta databehandlingssupplement (”supplementet”) ingås mellan dig (”kunden”) och GoDaddy-enheten som är part i de allmänna användningsvillkoren och alla andra avtal mellan dig och GoDaddy (tillsammans kollektivt kallade ”avtalet"). GoDaddy och kunden kallas häri, var och en för sig, en ”part” och tillsammans ”parterna”. Detta databehandlingssupplement träder i kraft från och med avtalets ikraftträdandedatum (”ikraftträdandedatum”) och det styr all behandling av kundens personuppgifter enligt avtalet.
1. Definitioner. Om inget annat anges i tillämpliga dataskyddslagar (enligt definitionen nedan), har de huvudsakliga termerna i detta avsnitt följande betydelser:
1.1 “Samarbetspartner” syftar på alla enheter som kontrollerar eller är under gemensam kontroll tillsammans med en part. Med ”kontroll” avses direkt eller indirekt ägande eller kontroll över femtio procent (50 %) eller mer av rösterna i ett företag.
2. Omfattning av uppgiftsbehandling och relation mellan parter
1.2. ”Personuppgiftsansvarig” syftar på den fysiska eller juridiska person, offentlig myndighet, byrå eller annat organ som – ensamt eller tillsammans med andra – fastställer ändamålen och medlen för att behandla kundens personuppgifter enligt avtalet.
1.3 ”Kundens personuppgifter” syftar på alla personuppgifter (enligt definitionen nedan) som behandlas av GoDaddy å kundens vägnar i samband med kundens användning av tjänsterna. Kundens personuppgifter innefattar inte GoDaddy-data.
1.4 Med ”dataskyddslag” avses alla lagar eller förordningar som är tillämpliga för behandlingen av kundens personuppgifter inom ramen för avtalet.
1.5 ”Registrerad" syftar på en identifierad eller identifierbar fysisk person som är kopplad till specifika personuppgifter.
1.6 ”Avidentifierade data” syftar på data som inte rimligen kan identifiera, relatera till, beskriva, associeras med eller kopplas – direkt eller indirekt – till en specifik registrerad.
1.7 ”GoDaddy-data” syftar på (a) all information som rör GoDaddys verksamhet och leverans av tjänsterna, inklusive men inte begränsat till personuppgifter som är kopplade till kunden och dess anställda eller representanter, (b) andra data om eller som är kopplade till kundens konto, transaktionshistorik, användning av tjänsterna och identitetsverifiering samt (c) avidentifierade data, med förbehåll för eventuella begränsningar enligt tillämpliga dataskyddslagar.
1.8 ”Personuppgifter” avser information som hänvisar sig till en identifierad eller identifierbar fysisk person, inklusive all information som definieras som personuppgifter, personlig information eller identitetsuppgifter (”PII”) enligt tillämpliga dataskyddslagar. Personuppgifter innefattar inte avidentifierade uppgifter.
1.10 ”Personuppgiftsbiträde” syftar på en fysisk eller juridisk person, offentlig myndighet, byrå eller organ som behandlar kunduppgifter på uppdrag av en personuppgiftsansvarig enligt bestämmelserna i avtalet.
1.9 Med ”behandling” avses alla åtgärder som utförs med kundens personuppgifter, till exempel insamling, användning, lagring, utlämnande, analys, radering eller ändring. Detta kan utföras antingen manuellt eller automatiskt.
1.11 Med ”känsliga uppgifter” avses (a) personnummer, passnummer, körkortsnummer eller liknande identifierare, (b) kredit- eller betalkortsnummer, finansiella uppgifter, bankkontonummer eller lösenord, (c) information gällande anställning, finansiell situation, genetik, biometri eller hälsa, (d) information gällande etniskt ursprung, etnisk tillhörighet, politisk eller religiös tillhörighet, fackföreningsmedlemskap eller sexliv eller sexuell läggning, (e) kontolösenord, mors flicknamn eller födelsedatum eller annan liknande information som kan användas för att verifiera en användares identitet (f) kriminell bakgrund, (g) biometriska data (t.ex. fingeravtryck) eller (h) annan information eller kombinerad information som omfattas av definitionen ”särskilda datakategorier” enligt tillämpliga lagar om dataskydd.
1.12 Med ”tjänster” avses de produkter eller tjänster som GoDaddy har samtyckt till att tillhandahålla i enlighet med avtalet och som involverar behandling av kundens personuppgifter.
1.13 Med ”underbiträde” avses varje fysisk eller juridisk person, offentlig myndighet, byrå eller organ med vilken GoDaddy ingår ett avtal för behandling av kundens personuppgifter.
1.14 “Överföring” syftar på (a) överföring av kundens personuppgifter från personuppgiftsansvarig till personuppgiftsbiträde, antingen genom fysisk överföring eller genom att ge tillgång till kundens personuppgifter som innehas eller på annat sätt kontrolleras av den personuppgiftsansvarige eller (b) vidareöverföring av kundens personuppgifter från ett personuppgiftsbiträde till ett underbiträde (och varje efterföljande vidareöverföring av ett underbiträde till ett annat underbiträde).
2.1 Kunden som personuppgiftsansvarig eller personuppgiftsbiträde
2.1.1 I de fall där kunden är personuppgiftsansvarig, är kunden (a) ensamt ansvarig för att bestämma syftena med behandlingen av kundens personuppgifter samt med vilka metoder detta görs, (b) har kunden alla nödvändiga befogenheter, grunder, rättigheter och tillstånd att tillhandahålla kundens personuppgifter till GoDaddy, och (c) uppfyller kunden sina skyldigheter som personuppgiftsansvarig enligt tillämpliga dataskyddslagar.
2.1.2 I de fall där kunden är personuppgiftsbiträde, är kunden (a) ensamt ansvarig för att följa sitt eller sina avtal med den eller de personuppgiftsansvariga å vars vägnar kunden behandlar kundens personuppgifter, (b) har kunden alla nödvändiga tillstånd från den personuppgiftsansvarige för att tillhandahålla kundens personuppgifter till GoDaddy, och (c) uppfyller kunden sina skyldigheter som personuppgiftsbiträde enligt tillämpliga dataskyddslagar.
2.1.2 I de fall där kunden är personuppgiftsbiträde, är kunden (a) ensamt ansvarig för att följa sitt eller sina avtal med den eller de personuppgiftsansvariga å vars vägnar kunden behandlar kundens personuppgifter, (b) har kunden alla nödvändiga tillstånd från den personuppgiftsansvarige för att tillhandahålla kundens personuppgifter till GoDaddy, och (c) uppfyller kunden sina skyldigheter som personuppgiftsbiträde enligt tillämpliga dataskyddslagar.
2.2 GoDaddy som personuppgiftsbiträde eller underbiträde.
2.2.1 GoDaddy kommer att vidta alla åtgärder som rimligen är nödvändiga för att göra det möjligt för kunden att uppfylla kundens skyldigheter som personuppgiftsansvarig och/eller personuppgiftsbiträde enligt dataskyddslagarna. Detta ska göras på ett sätt som överensstämmer med egenskapen, arten, omfattningen och syftet med de tjänster som tillhandahålls av GoDaddy. För att undvika alla eventuella tvivel krävs det inte att GoDaddy vidtar några åtgärder för att ändra eller göra GoDaddys tjänster kompatibla för specifik användning från kundens sida. Kundens enda åtgärd i det fall att tjänsterna inte är kompatibla med kundens specifika användning är uppsägning av den del av avtalet som är kopplad till behandlingen av kundens personuppgifter.
2.2.2 GoDaddy kommer enbart att behandla kundens personuppgifter efter dokumenterade anvisningar för de begränsade och specifika syften som beskrivs i avtalet, detta databehandlingssupplement eller som krävs enligt lag.
2.2.3 GoDaddy kommer inte att sälja, lagra, använda eller lämna ut kundens personuppgifter för andra kommersiella ändamål än att tillhandahålla tjänsterna.
2.2.4 GoDaddy kommer inte att behandla kundens personuppgifter utanför ramen för parternas direkta affärsrelation som beskrivs i avtalet och i detta DPA.
2.2.5 GoDaddy kommer inte att kombinera kundens personuppgifter med några andra data som GoDaddy samlar in (direkt eller via tredje part) annat än vad som uttryckligen tillåts enligt avtalet.
2.2.6 GoDaddy kommer att stoppa all behandling och meddela kunden inom tre (3) arbetsdagar om GoDaddy: (a) anser att en kundinstruktion bryter mot några tillämpliga databehandlingslagar eller (b) fastställer att GoDaddy inte kan följa vissa tillämpliga databehandlingslagar eller uppfylla sina skyldigheter enligt detta DPA.
2.2.2 GoDaddy kommer enbart att behandla kundens personuppgifter efter dokumenterade anvisningar för de begränsade och specifika syften som beskrivs i avtalet, detta databehandlingssupplement eller som krävs enligt lag.
2.2.3 GoDaddy kommer inte att sälja, lagra, använda eller lämna ut kundens personuppgifter för andra kommersiella ändamål än att tillhandahålla tjänsterna.
2.2.4 GoDaddy kommer inte att behandla kundens personuppgifter utanför ramen för parternas direkta affärsrelation som beskrivs i avtalet och i detta DPA.
2.2.5 GoDaddy kommer inte att kombinera kundens personuppgifter med några andra data som GoDaddy samlar in (direkt eller via tredje part) annat än vad som uttryckligen tillåts enligt avtalet.
2.2.6 GoDaddy kommer att stoppa all behandling och meddela kunden inom tre (3) arbetsdagar om GoDaddy: (a) anser att en kundinstruktion bryter mot några tillämpliga databehandlingslagar eller (b) fastställer att GoDaddy inte kan följa vissa tillämpliga databehandlingslagar eller uppfylla sina skyldigheter enligt detta DPA.
2.3 Samarbetspartner.
3. Uppgiftsbehandling via underbiträde
2.3.1 Kundens samarbetspartner. För verkställandet av detta databehandlingssupplement ska alla personuppgifter – som tillhandahålls till GoDaddy eller GoDaddys samarbetspartner av en kunds samarbetspartner för behandling å kundens och/eller kundens samarbetspartners vägnar – anses vara kundens personuppgifter och att ha tillhandahållits av kunden. Kunden intygar att hen kommer att vidta alla åtgärder som rimligen är nödvändiga för att säkerställa att dess samarbetspartner uppfyller samma skyldigheter som kunden har enligt detta databehandlingssupplement. Kunden ansvarar för samarbetspartners efterlevnad av alla villkor i detta databehandlingssupplement.
2.3.2 Samarbetspartner till GoDaddy. För verkställandet av detta databehandlingssupplement ska alla kunduppgifter som tas emot av GoDaddys samarbetspartner anses ha mottagits av GoDaddy. GoDaddy intygar att det kommer att vidta alla nödvändiga åtgärder som är rimliga för att säkerställa att dess samarbetspartner uppfyller GoDaddys skyldigheter vad gäller behandlingen av kundens personuppgifter enligt detta databehandlingssupplement. GoDaddy ansvarar för att GoDaddys samarbetspartner följer alla villkor i detta databehandlingssupplement.
2.3.2 Samarbetspartner till GoDaddy. För verkställandet av detta databehandlingssupplement ska alla kunduppgifter som tas emot av GoDaddys samarbetspartner anses ha mottagits av GoDaddy. GoDaddy intygar att det kommer att vidta alla nödvändiga åtgärder som är rimliga för att säkerställa att dess samarbetspartner uppfyller GoDaddys skyldigheter vad gäller behandlingen av kundens personuppgifter enligt detta databehandlingssupplement. GoDaddy ansvarar för att GoDaddys samarbetspartner följer alla villkor i detta databehandlingssupplement.
3.1 Kunden ger en allmän auktorisering till GoDaddy för att anlita underbiträden.
3.2 Du är välkommen att granska listan med Underbiträden.
3.3 Före överföring av kundens personuppgifter till ett underbiträde kommer GoDaddy att: (a) ingå ett skriftligt avtal med underbiträdet som ger minst lika högt skydd för kunduppgifterna som detta DPA, (b) utföra en due diligence-granskning för att bekräfta att underbiträdet kan följa de väsentliga villkoren i detta DPA och dataskyddslagarna i fråga om hur GoDaddy behandlar kunddata. Detta inkluderar kraven gällande informationssäkerhet i avsnitt 5, 6 och 8 samt i tillägg 2 i detta DPA.
3.4 GoDaddy är ansvarig för sina underbiträdens handlingar och försummelser, inklusive eventuella handlingar eller försummelser från underbiträdenas underbiträden. 3.5 Nytt underbiträde, rätt att motsätta sig.
4. Rättslig process och andra förfrågningar från tredje part gällande kundens personuppgifter
3.2 Du är välkommen att granska listan med Underbiträden.
3.3 Före överföring av kundens personuppgifter till ett underbiträde kommer GoDaddy att: (a) ingå ett skriftligt avtal med underbiträdet som ger minst lika högt skydd för kunduppgifterna som detta DPA, (b) utföra en due diligence-granskning för att bekräfta att underbiträdet kan följa de väsentliga villkoren i detta DPA och dataskyddslagarna i fråga om hur GoDaddy behandlar kunddata. Detta inkluderar kraven gällande informationssäkerhet i avsnitt 5, 6 och 8 samt i tillägg 2 i detta DPA.
3.4 GoDaddy är ansvarig för sina underbiträdens handlingar och försummelser, inklusive eventuella handlingar eller försummelser från underbiträdenas underbiträden. 3.5 Nytt underbiträde, rätt att motsätta sig.
3.5.1 GoDaddy kommer att vidta rimliga ansträngningar för att meddela kunden skriftligen – minst sextio (60) dagar i förväg – om GoDaddy avser att utse ett nytt underbiträde. Detta krav på avisering minst sextio (60) dagar i förväg gäller dock inte om en omedelbart utnämning krävs för att upprätthålla säkerheten för kundens personuppgifter eller för att följa tillämplig lag. I detta senare fall ska GoDaddy meddela kunden utan onödigt dröjsmål efter utnämningen av ett nytt underbiträde.
3.5.2 Om kunden har rimliga skäl att invända mot utnämningen av det nya underbiträdet, måste kunden meddela GoDaddy skriftligen inom trettio (30) dagar efter denna utnämning. Efter GoDaddys eget gottfinnande kan GoDaddy använda kommersiellt rimliga ansträngningar för att försöka bemöta kundens invändningar. Om parterna inte kan lösa meningsskiljaktigheterna inom trettio (30) dagar, har kunden rätt att säga upp detta databehandlingssupplement och alla delar av avtalet som rör behandlingen av kundens personuppgifter.
3.5.3 Om kunden inte invänder mot ett nytt underbiträde inom trettio (30) dagar efter meddelandet om utnämningen av biträdet, anses det som att kunden har accepterat det nya underbiträdet.
3.5.4 Meddelande om ett nytt underbiträde kan tillhandahållas genom att uppdatera listan med underbiträden som beskrivs i avsnitt 3.2.
4.1 GoDaddy kommer inte att svara på någon informell begäran om kundens personuppgifter från ett statligt organ, brottsbekämpande myndighet eller annan person utom som svar på en stämning, husrannsakan, domstolsbeslut eller annan liknande rättslig process (kollektivt kallat ”rättslig process”), såvida inte ett sådant utlämnande av GoDaddy bedöms (a) ske enligt lag, (b) vara nödvändigt för att skydda GoDaddys system eller data från skada eller missbruk eller (c) vara nödvändigt för att skydda GoDaddy eller någon annan person från materiell skada eller personskada.
5. Datasäkerhet
4.2 Såvida det inte är förbjudet enligt lag kommer GoDaddy att meddela kunden omedelbart om det tar emot information om ett rättsligt förfarande som kräver att GoDaddy måste ge åtkomst till eller lämna ut kundens personuppgifter.
4.3 Om inte annat krävs enligt lag kommer GoDaddy att samarbeta med kunden (på kundens bekostnad men till ett rimligt pris) i alla åtgärder som vidtas från kundens sida för att förhindra utlämnande av kundens personuppgifter som svar på ett rättsligt förfarande.
5.1 GoDaddy har skapat och upprätthåller ett informationssäkerhetsprogram som inkluderar lämpliga och dokumenterade tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är anpassad efter risken med att behandla kundens personuppgifter enligt avtalet, inklusive alla specifika åtgärder som krävs enligt tillämplig dataskyddslagstiftning.
6. Datasäkerhetsincidenter
5.2 Kunden bekräftar uttryckligen att GoDaddy tillhandahåller säkerhetsfunktioner som kunden kan använda för att skydda kundens personuppgifter. Kunden är ensam ansvarig för att vidta lämpliga riskbaserade åtgärder för att skydda kundens konto och de kunduppgifter som är under kundens kontroll. Detta innefattar användning av säkerhetsfunktioner som tillhandahålls av GoDaddy. Kunden är också ensam ansvarig för att säkerställa att allt innehåll som kunden placerar eller låter placeras i tjänsterna är fritt från sårbarheter som kan leda till att kundens personuppgifter och systemen som tillhör GoDaddy äventyras, bland annat skadlig programvara. GoDaddy har inget ansvar för säkerhetskopiering av kundens personuppgifter.
5.3 Kunden måste följa alla standardkrav gällande säkerhet för betalkortsbranschen (”PCI-DSS”) och får endast tillhandahålla GoDaddy med kunduppgifter som innehåller kredit- eller betalkortsinformation eller andra uppgifter om betalkortsinnehavaren (”data kopplad till PCI-DSS”) i anslutning till GoDaddy-tjänster som är särskilt utformade för att behandla sådana data som är kopplade till PCI-DSS. Kunden är ensamt ansvarig för eventuella brott mot kraven i PCI-DSS om kunden använder GoDaddy-tjänster för att behandla eller lagra data kopplade till PCI-DSS utanför ramen av GoDaddys utbud av tjänster som är kompatibla med PCI-DSS.
5.4 Utöver alla åtgärder som krävs för att GoDaddy ska kunna uppfylla sina skyldigheter enligt tillämpliga dataskyddslagar och PCI-DSS-krav för GoDaddys tjänster gällande PCI-DSS-reklamationer, kommer GoDaddy att implementera de specifika tekniska och organisatoriska åtgärder som anges i tillägg 2 i detta databehandlingssupplement.
6.1 GoDaddy erbjuder kunden omfattande möjligheter att få tillgång till och kontrollera de kunduppgifter som behandlas för kundens räkning. GoDaddy ansvarar inte för någon oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller obehörig åtkomst till kundens personuppgifter som inte är ett resultat av en läcka eller ett problem i GoDaddys system. Exempel på säkerhetsincidenter som GoDaddy inte ansvarar för inkluderar kundens underlåtenhet att hålla lösenord hemliga, nedladdning av skadligt innehåll eller någon annan säkerhetsrisk som orsakas av eller introduceras i tjänsterna och kundens värdmiljö av kunden.
7. Den registrerades rättigheter
6.2 GoDaddy ska vidta rimliga, kommersiella ansträngningar för att meddela kunden om säkerhetsbrott i GoDaddys system som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller åtkomst till kundens personuppgifter (”säkerhetsincident”) inom den tidsperiod som krävs enligt tillämplig lag.
6.3 GoDaddy kommer att vidta lämpliga, riskbaserade åtgärder som rimligen är nödvändiga för att begränsa, mildra och åtgärda en säkerhetsincident utan orimligt dröjsmål.
6.4 GoDaddy kommer att tillhandahålla information som kunden har rimliga skäl att efterfråga för att bedöma effekterna av en säkerhetsincident gällande kundens personuppgifter och för att kunden ska kunna informera statliga myndigheter, berörda registrerade eller någon annan person om säkerhetsincidenten.
6.5 GoDaddys erkännande av en säkerhetsincident eller beslut att meddela kunden om en säkerhetsincident är inte ett erkännande av fel eller ansvarsskyldighet.
7.1 Kunden är ensamt ansvarig för att besvara alla förfrågningar om att utöva en registrerads rättigheter enligt dataskyddslagarna, kundens sekretesspolicy eller kundens användningsvillkor, inklusive men inte begränsat till, förfrågningar om att få information om, få tillgång till, korrigera eller radera kundens personuppgifter (”förfrågningar från den registrerade”).
8. Konsekvensbedömningar gällande dataskydd, föregående samråd och förfrågningar vad gäller efterlevnad
7.2 GoDaddy kommer inte att besvara förfrågningar från den registrerade om det inte finns dokumenterade anvisningar från kunden gällande detta eller om det på annat sätt krävs enligt gällande lag.
7.3 GoDaddy ska underrätta kunden om eventuella förfrågningar från registrerade. Kunden är ensamt ansvarig för att svara på eventuella förfrågningar från den registrerade. Om kunden har uttömt alla tillgängliga medel för att svara på en förfrågan från en registrerad – med förbehåll för kundens samtycke till att betala GoDaddys rimliga utgifter i förskott – kommer GoDaddy att ge kunden den hjälp som rimligen är nödvändig för att göra det möjligt för kunden att svara på en registrerads begäran.
8.1 Konsekvensbedömningar gällande dataskydd, föregående samråd. På kundens bekostnad kommer GoDaddy att tillhandahålla rimlig hjälp till kunden för att genomföra eventuella konsekvensbedömningar gällande dataskydd och bedriva samråd med statliga myndigheter eller tillsynsmyndigheter angående behandling av kundens personuppgifter.
9. Jurisdiktionsspecifika krav och internationella dataöverföringar som involverar personuppgifter
8.2 Förfrågningar gällande efterlevnad. Kunderna kan med jämna mellanrum begära den information som rimligen är nödvändig för att kunna bekräfta GoDaddys efterlevnad av sina skyldigheter enligt tillämpliga dataskyddslagar. Om GoDaddy inte svarar på kundens begäran inom fyrtiofem (45) dagar har kunden rätt att säga upp avtalet. För att undvika alla eventuella tvivel så ger detta databehandlingssupplement inte kunden rätt att utföra en granskning/revision av GoDaddys affärsverksamhet, system eller tjänster. GoDaddys skyldigheter enligt detta avsnitt är begränsade till att tillhandahålla kunden den information som rimligen är nödvändig för att bekräfta att GoDaddy uppfyller sina skyldigheter enligt tillämpliga dataskyddslagar.
9.1 Behandling av kundens personuppgifter enligt detta databehandlingssupplement kan innebära behandling som regleras av en eller flera dataskyddslagar och/eller kan involvera internationell överföring av kundens personuppgifter.
10. Allmänt
9.2 Om kundens personuppgifter härrör från USA, gäller villkoren för de amerikanska dataskyddslagarna som anges i tillägg 3 (avsnitt 1) till detta databehandlingssupplement.
9.3 Om kundens personuppgifter härrör från Europeiska unionen/Europeiska ekonomiska samarbetsområdet (“EU/EES”), Storbritannien (”UK”) eller Schweiz – eller om kunden är etablerad i en eller flera av dessa jurisdiktioner – gäller villkoren i tillämpliga dataskyddslagar i EU/EES, Storbritannien och/eller Schweiz. Dessa specificeras i tillägg 3 (avsnitt 2) till detta databehandlingssupplement.
9.4 Om en giltig internationell dataöverföringsmekanism (”obligatorisk överföringsmekanism”) krävs för att lagligen överföra kundens personuppgifter, gäller villkoren som anges i tillägg 4 för detta databehandlingssupplement.
10.1 Fullständigt avtal, tolkning. Detta databehandlingssupplement utgör det fullständiga avtalet mellan parterna angående föremålet för detta databehandlingssupplement och ersätter alla tidigare eller samtida representationer, överenskommelser, avtal och kommunikationer mellan parterna – vare sig om det är skriftliga eller muntliga sådana – angående föremålet för detta databehandlingssupplement. I händelse av konflikter mellan detta databehandlingssupplement och avtalet (eller något annat avtal mellan parterna), kommer detta databehandlingssupplement att styra och kontrollera föremålet för databehandlingssupplementet. Om det föreligger en konflikt mellan några villkor i detta databehandlingssupplement och de obligatoriska överföringsbestämmelserna som beskrivs i tillägg 4, ska de obligatoriska överföringsbestämmelserna ha företräde.
Tillägg 1: Detaljerad information om behandlingen av kundens personuppgifter
10.2 Ändringar eller tillägg. GoDaddy kan göra ändringar eller tillägg i detta databehandlingssupplement efter eget gottfinnande i enlighet med de förfaranden som anges i avtalet. Om kunden inte samtycker till en sådan ändring, är den enda åtgärd som kunden kan vidta att säga upp den del av avtalet som är kopplad till behandlingen av kundens personuppgifter. Detta ska göras minst trettio (30) dagar i förväg. Såvida inte parterna uttryckligen har kommit överens om något annat i skrift, gäller alla eventuella ändringar av detta avtal endast för behandling som sker efter datumet för en sådan ändring.
10.3 Avsägande av skyldighet. Avsägande av skyldighet från ett brott mot detta databehandlingssupplement är endast giltigt om det görs skriftligen av en auktoriserad representant för den part som avsäger sig skyldighet från ett sådant brott och inget sådant avsägande kommer att tolkas som ett avsägande från något eventuellt efterföljande brott.
10.4 Partiell ogiltighet. Om någon bestämmelse i detta databehandlingssupplement visar sig vara omöjlig att verkställa, ska den bestämmelsen modifieras i den utsträckning som är nödvändig för att göra den verkställbar och resten av detta databehandlingssupplement ska fortsätta att gälla som det är skrivet. Men om en ändring av någon icke-verkställbar bestämmelse skulle leda till att det väsentliga syftet med detta databehandlingssupplement inte uppnås, ska hela databehandlingssupplementet anses vara ogiltigt, om det inte ändras enligt avsnitt 10.2.
10.5 Meddelanden. Förutom vad som uttryckligen anges häri, kommer meddelanden som krävs enligt detta databehandlingssupplement att tillhandahållas i enlighet med meddelandekraven som anges i avtalet.
10.6 Ansvarsskyldighet. Detta databehandlingssupplement utgör ingen grund för någon part eller någon annan person att återkräva skador av något annat slag än de som anges i avtalet och med förbehåll för alla begränsningar som anges däri.
10.7 Verkställande. Villkoren i detta databehandlingssupplement får endast verkställas av parterna å deras egna eller deras respektive samarbetspartners vägnar: Detta ska ske i enlighet med bestämmelserna om tvistlösning som anges i avtalet. Denna begränsning vad gäller verkställande har dock ingen effekt på en enskild registrerads förmåga att hävda sina rättigheter enligt dataskyddslagarna.
10.8 Uppsägning. Detta databehandlingssupplement, såvida det inte sägs upp tidigare i enlighet med avtalet eller någon annan tillämplig bestämmelse i detta avtal eller några andra tillämpliga dataskyddslagar, ska upphöra efter avslutad behandling eller uppsägning av avtalet, beroende på vilket som inträffar senare. Efter uppsägning av detta databehandlingssupplement kommer GoDaddy att returnera, ta bort eller avidentifiera kundens personuppgifter i enlighet med villkoren i avtalet och detta databehandlingssupplement, såvida inte GoDaddy är skyldig att behålla kundens personuppgifter i enlighet med tillämplig lag. Om GoDaddy är skyldig att behålla kundens personuppgifter efter uppsägning av avtalet, kommer GoDaddy att fortsätta att uppfylla sina skyldigheter vad gäller behandlingen av kundens personuppgifter enligt detta databehandlingssupplement och kommer omedelbart att returnera eller radera sådana kunduppgifter när lagring inte längre är ett krav enligt lag.
10.9 Gällande lag och tillämplig jurisdiktion. Detta databehandlingssupplement styrs av de lagar som anges i avtalet, utom i den utsträckning annat krävs enligt dataskyddslagarna, och då gäller lagarna i den jurisdiktion som föreskrivs av dataskyddslagarna. Ingen bestämmelse i detta databehandlingssupplement ska anses begränsa någon persons rättigheter eller skyldigheter enligt tillämpliga dataskyddslagar.
Detta tillägg 1 innehåller detaljerad information om behandlingen av kundens personuppgifter enligt kraven i dataskyddslagarna.
Föremålet för och varaktigheten för behandlingen av kundens personuppgifter:
Föremålet för och varaktigheten för behandlingen av kundens personuppgifter beskrivs i avtalet.
Syftet med behandlingen av kundens personuppgifter och databehandlingens beskaffenhet:
GoDaddys behandling av kundens personuppgifter är ett rimligt krav för att kunna tillhandahålla tjänsterna enligt beskrivningen i avtalet.
Typ av personuppgifter och kategorier av registrerade:
Typerna av kunduppgifter och kategorier av registrerade kontrolleras av kunden och/eller den personuppgiftsansvarige som tillhandahållit kundens personuppgifter till kunden efter eget gottfinnande.
Känsliga uppgifter eller särskilda uppgiftskategorier:
Känsliga uppgifter kan från tid till annan behandlas i enlighet med avtalet. De typer av känsliga uppgifter som behandlas enligt avtalet bestäms av kunden och/eller den personuppgiftsansvarige som tillhandahållit känsliga uppgifter till kunden efter eget gottfinnande.
Den personuppgiftsansvariges skyldigheter och rättigheter:
Kundens skyldigheter och rättigheter beskrivs i avtalet och i detta databehandlingssupplement.
Tillägg 2: Tekniska och organisatoriska säkerhetsåtgärder1. Tillämplighet
1.1 Kraven i detta tillägg 2 gäller för GoDaddy och alla underbiträden (inklusive men inte begränsat till alla molntjänstleverantörer) som används av GoDaddy för att tillhandahålla tjänsterna och/eller behandla kundens personuppgifter.
1.2 Om GoDaddy använder ett underbiträde för att tillhandahålla tjänsterna och/eller behandla kundens personuppgifter, ska GoDaddy se till att sådant underbiträde följer samtliga krav i detta tillägg.
2. Informationssekretess och hantering av datasäkerhet
2.1 Riskhanteringsprocessen. GoDaddy ska skapa och upprätthålla en lämplig riskhanteringsprocess för att skapa sig en bild av, bedöma, reagera på och övervaka risken vad gäller kundens personuppgifter, i enlighet med GoDaddys skyldigheter enligt avtalet, databehandlingssupplementet och gällande lag.
2.2 Informationssäkerhetsprogrammets omfattning. GoDaddys informationssäkerhetsprogram, inklusive alla tillämpliga riktlinjer gällande sekretess och dataskydd, måste åtminstone vara utformade för att:
2.2.1 Skydda kundens personuppgifter för att bevara konfidentialitet, integritet och tillgänglighet. Detta gäller de personuppgifter som är i/under GoDaddys ägo eller kontroll eller som GoDaddy har tillgång till och
2.2.2 Skydda kundens personuppgifter mot rimliga, förutsägbara hot eller faror för att bevara konfidentialitet, integritet och tillgänglighet.
2.3 Uppdateringar i informationssäkerhetsprogrammet. GoDaddy kommer regelbundet att granska och uppdatera sitt informationssäkerhetsprogram i enlighet med normal praxis för branschen, ramverk som är lämpliga för den typ och volym av kunduppgifter som behandlas av GoDaddy samt deras känslighetsnivå.
2.4 Riskbedömning och säkerhetstestning. GoDaddy kommer regelbundet att genomföra riskbedömningar av alla system som används för att behandla kundens personuppgifter och kommer regelbundet att utföra tredjeparts penetrationstestning av de program och infrastrukturer som används för att tillhandahålla tjänsterna på ett sätt som anses rimligen nödvändigt av GoDaddy.
2.5 Kontinuitet och resiliens. GoDaddy kommer att implementera lämpliga åtgärder för att skydda integritet och tillgänglighet för de system som används för att behandla kundens personuppgifter. Detta inkluderar åtgärder som prestanda- och tillgänglighetsövervakning, design av redundanta och motståndskraftiga system, användning av avbrottsfri strömförsörjning (UPS), DDoS-skydd, belastnings- och stresstester samt andra liknande åtgärder.3. Organisatorisk säkerhet
3.1 Ansvarsskyldighet. GoDaddy kommer att ta fram och implementera skriftliga riktlinjer och procedurer gällande informationssäkerhet. Dessa ska tydligt definiera ansvaret för skyddet av kundens personuppgifter inom GoDaddy, inklusive utnämning av en eller flera specifika individer som ansvarar för förvaltningen av GoDaddys informationssäkerhetsprogram och skydd av kundens personuppgifter.
3.2 Förvaltning och kontroll av tillgångar. GoDaddy kommer att skapa och upprätthålla en policy för tillgångsförvaltning samt tillgångskontroller, inklusive tillgångsklassificering och en förteckning över enheter och system som används för att tillhandahålla tjänsterna och/eller behandla kundens personuppgifter.
3.3 Fysisk säkerhet. GoDaddy ska också implementera riskbaserade kontroller för att upprätthålla den fysiska säkerheten på anläggningarna, inklusive implementering av rimliga åtgärder för att säkerställa att endast auktoriserade användare har tillgång till GoDaddy:s elektroniska enheter, nätverk, kritiska system, program, serverrum, kommunikationsrum samt arbetsmiljöer. Åtgärder som GoDaddy kan vidta, i de fall där detta är lämpligt, inkluderar men är inte begränsade till, larm, intern kameraövervakning (CCTV), hantering av besökartillträde och förstörelse av personliga data på fysiska enheter före kassering/återvinning.
4. Säkerhetsfunktioner
4.1 Säker systemkonfiguration. GoDaddy kommer att upprätta kontroller för att säkerställa att system som används för att tillhandahålla tjänsterna och/eller behandla kundens personuppgifter är konfigurerade på ett säkert sätt.
4.2 Sårbarhets- och patchhantering. GoDaddy kommer att upprätta och underhålla ett system för sårbarhets- och patchhantering som ser till att alla system som används för att tillhandahålla tjänsterna och/eller behandla kundens personuppgifter korrigeras för att skydda mot kända säkerhetsbrister. Detta ska göras inom en rimlig tidsperiod, baserat på hur kritisk en patch är och hur känsliga kundens personuppgifter är.
4.3 Förebygga problem från skadlig kod. GoDaddy kommer att implementera kontroller för detektering, förebyggande och korrigering av skadlig programvara (inklusive lämpliga program för ökad användarmedvetenhet).
4.4 Loggning och revisioner. GoDaddy kommer att använda ett logghanteringsprogram som definierar omfattning, skapande, lagring, analys och bortskaffandet av loggar med hjälp av riskbaserade standarder för branschen.
4.5 Detektering av säkerhetsincidenter och åtgärder när sådana inträffar. GoDaddy kommer att upprätta och underhålla riskbaserade system för att upptäcka säkerhetsincidenter som krävs enligt avsnitt 6 i avtalet, inklusive användning av intrångsdetektering och intrångsförebyggande system.
5. Utbildning
GoDaddy ska se till att dess personal genomgår regelbundna utbildningar om företagets sekretess- och dataskyddsförpliktelser vad gäller kundens personuppgifter.
6. Åtkomstkontroller
6.1 Unik identifiering. GoDaddy kommer att tilldela unika användaruppgifter till varje enskild anställd som har åtkomst till kundens personuppgifter, inklusive men inte begränsat till, personal med administrativ åtkomst.
6.2 Lösenordshantering. GoDaddy kommer att implementera riktlinjer och procedurer för lösenordshantering, inklusive centraliserad lösenordshantering och centraliserade riktlinjer gällande lösenord.
6.3 Multifaktorautentisering. GoDaddy kommer att implementera multifaktorautentisering för fjärråtkomst till nätverk, system eller program som används för att behandla och/eller lagra kundens personuppgifter.
6.4 Minsta möjliga antal personer med privilegier. GoDaddy kommer att begränsa åtkomsten till kundens personuppgifter till de anställda som är bundna av lämpliga sekretesskyldigheter och har ett ”behov av att veta” eller ”behov av åtkomst” för att kunna tillhandahålla tjänsterna.
7. Datasäkerhetskontroller
7.1 Dataseparering. GoDaddy kommer att lagra kundens personuppgifter i säkra miljöer som är separerade på ett logiskt sätt.
7.2 Kryptering och andra åtgärder. GoDaddy kommer att använda lämpliga riskbaserade åtgärder för att skydda kundens personuppgifter, inklusive kryptering, pseudonymisering och andra lämpliga åtgärder som att använda algoritmer för att hasha hemliga uppgifter, inklusive lösenord och API-tokens som används för att få åtkomst till system som innehåller kundens personuppgifter.
Tillägg 3: Villkor som är specifika för en viss jurisdiktion
1. USA
1.1 Kalifornien.
1.1.1 Definitioner.
1.1.1.1 Följande termer är specifikt avgränsade efter definitionerna i Kaliforniens dataskyddslagar: ”företag”, ”kommersiellt syfte”, ”tjänsteleverantör”, ”sälja”, ”dela” och ”tredje part”.
1.1.1.2 Termen ”kundens personuppgifter” innefattar personlig information om en identifierad eller identifierbar fysisk person eller ett identifierat eller identifierbart hushåll.
1.1.2 Parternas roller.
1.1.2.1 Om kunden anses vara ett företag enligt de gällande dataskyddslagarna i Kalifornien, ska alla hänvisningar till kundens rättigheter och skyldigheter som personuppgiftsansvarig inom ramen för detta databehandlingssupplement också anses hänvisa till kundens rättigheter och skyldigheter som ett företag. Om kunden anses vara en tjänsteleverantör enligt de gällande dataskyddslagarna i Kalifornien, ska alla hänvisningar till kundens rättigheter och skyldigheter som personuppgiftsbiträde inom ramen för detta databehandlingssupplement också anses hänvisa till kundens rättigheter och skyldigheter som en tjänsteleverantör.
1.1.2.2 Om GoDaddy anses vara en tjänsteleverantör eller tredje part enligt de gällande dataskyddslagarna i Kalifornien, ska alla hänvisningar till GoDaddys rättigheter och skyldigheter som personuppgiftsbiträde eller underbiträde inom ramen för detta databehandlingssupplement också anses hänvisa till GoDaddys rättigheter och skyldigheter som en tjänsteleverantör eller tredje part, enligt vad som är tillämpligt.
1.2 Alla stater i USA (inklusive Kalifornien).
1.2.1 GoDaddy får inte (a) sälja eller dela kundens personuppgifter, (b) behålla, använda eller avslöja kundens personuppgifter för något annat ändamål än de affärsändamål som anges i avtalet, eller (c) behålla, använda eller avslöja några kunduppgifter utanför den direkta affärsrelationen mellan GoDaddy och företaget.
1.2.2 GoDaddys åtkomst till kundens personuppgifter är inte en del av den ersättning som utbyts av parterna enligt avtalet.
1.2.3 Kunden ska ha rätt att vidta rimliga åtgärder för att: (a) försäkra sig om att GoDaddy behandlar kundens personuppgifter på ett sätt som överensstämmer med detta databehandlingssupplement, inklusive hävdandet av de rättigheter som anges i avsnitt 8 i databehandlingssupplementet, (b) att kräva att GoDaddys behandlingsaktiviteter som genomförs i strid med villkoren i databehandlingssupplementet stoppas och åtgärdas samt (c) vidta andra rimliga åtgärder (enligt kundens eget gottfinnande) för att säkerställa att GoDaddy följer bestämmelserna i detta databehandlingssupplement. Om GoDaddy är oförmögen eller vägrar att besvara kundens rimliga förfrågningar i enlighet med detta avsnitt 1.2.3, är kundens enda åtgärd att säga upp detta databehandlingssupplement och den del av avtalet som är kopplad till behandlingen av kundens personuppgifter.
1.2.4 GoDaddy intygar att den förstår och kommer att uppfylla skyldigheterna enligt dataskyddslagarna och detta databehandlingssupplement, inklusive alla restriktioner för behandling av kunders personuppgifter.
2. Europeiska unionen/Europeiska ekonomiska samarbetsområdet
2.1 Underbiträden
2.1.1 När GoDaddy anlitar ett underbiträde kommer företaget att:
2.2 Ansvar gällande tillsynsmässiga påföljder. Oavsett vad som nämns i andra villkor i detta databehandlingssupplement eller i avtalet (inklusive parternas ersättningsskyldighet enligt avtalet), kommer ingen av parterna att vara ansvarig för några böter som utfärdas av eller tas ut av någon tillsynsmyndighet eller något statligt organ och som åläggs den andra parten. Detta inkluderar även böter enligt Artikel 83 i GDPR för EU.2.1.1.1 Kräva att underbiträdet följer de tekniska och organisatoriska åtgärder som anges i avsnitt 5, 6 och 8 samt tillägg 2 i detta databehandlingssupplement (DPA) som är lämpliga för den behandling som utförs av underbiträdet, inklusive men inte begränsat till, alla tekniska och organisatoriska åtgärder som krävs enligt artikel 28 i EU:s allmänna dataskyddsförordning (GDPR) och
2.1.1.2 Kräva att underbiträdet skriftligen samtycker till att endast behandla kundens personuppgifter (a) i EU/EES, (b) i ett annat land som Europeiska kommissionen har förklarat ha en ”lämplig” nivå av dataskydd eller (c) enligt de villkor som anges i tillägg 4 angående internationella överföringar av kundens personuppgifter.
3. Schweiz
3.1 2.1.1 När GoDaddy anlitar ett underbiträde kommer företaget att:
3.1.1 Kräva att underbiträdet följer de tekniska och organisatoriska åtgärder som anges i avsnitt 5, 6 och 8 och tillägg 2 i detta databehandlingssupplement (DPA) som är lämpliga för den behandling som utförs av underbiträdet, inklusive men inte begränsat till, alla tekniska och organisatoriska åtgärder som krävs enligt artikel 28 i GDPR; och
3.1.2 Kräva att underbiträdet skriftligen samtycker till att endast behandla kundens personuppgifter i (a) Schweiz, (b) EU/EES, (c) ett annat land som Europeiska kommissionen har förklarat ha en ”lämplig” nivå av dataskydd eller (d) enligt de villkor som anges i tillägg 4 angående internationella överföringar av kundens personuppgifter.
3.2 I den mån överföringar av kundens personuppgifter från Schweiz omfattas av EU:s standardavtalsklausuler (enligt definitionen i tillägg 4), gäller följande ändringar/tillägg:
3.2.1 Alla referenser till ”medlemsstat” ska tolkas som om de även innefattar Schweiz; och
3.2.2 I den mån överföringar omfattas av den schweiziska federala lagen om dataskydd (Das Schweizer Bundesgesetz über den Datenschutz, ”FADP”) anses alla referenser till ”förordning (EU) 2016/679” att vara hänvisningar till FADP.
3.3 I den utsträckning som krävs av bestämmelserna i FADP, anses uppgifter om juridiska personer också vara kunduppgifter enligt EU:s standardavtalsklausuler.4. Storbritannien
4.1 Alla referenser till ”GDPR” anses vara hänvisningar till motsvarande lagar och förordningar i Storbritannien. Detta innefattar, men är inte begränsat till, GDPR för Storbritannien och UK Data Protection Act från 2018.
4.2 När företaget anlitar ett underbiträde kommer det att:
Tillägg 4: Internationella obligatoriska mekanismer för gränsöverskridande överföring
4.2.1 Kräva att underbiträdet följer de tekniska och organisatoriska åtgärder som anges i avsnitt 5, 6 och 8 och tillägg 2 i detta databehandlingssupplement (DPA) som är lämpliga för den behandling som utförs av underbiträdet, inklusive men inte begränsat till alla tekniska och organisatoriska åtgärder som krävs enligt artikel 28 i GDPR för Storbritannien; och
4.2.2 Kräva att underbiträdet skriftligen samtycker till att endast behandla kundens personuppgifter i (a) Storbritannien, (b) EU/EES, (c) ett annat land som Storbritannien anser har en ”lämplig” nivå av dataskydd eller (d) enligt de villkor som anges i tillägg 4 angående internationella överföringar av kundernas personuppgifter.
1. Definitioner
1.1 ”Ramen för dataskydd (DPF)” syftar på DPF-certifieringsprogrammen för EU-USA, Schweiz-USA eller UK-USA som kontrolleras av USA:s Handelsdepartement [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Med “UK-US Data Bridge” avses tillägget för Storbritannien inom ramen för DPF för EU-USA.
1.3 ”EU:s standardavtalsklausuler” syftar på de standardavtalsklausuler som godkänts av Europeiska kommissionen och som bifogas i bilagan till beslut 2021/914 från juni 2021.
1.4 UK International Data Transfer Agreement (”UK IDTA”) – som utfärdats av UK Information Commissioner, version B1.0 – anses vara verkställt av parterna från och med avtalets ikraftträdandedatum, och EU:s standardavtalsklausuler anses vara ändrade enligt specifikationerna i UK IDTA i samband med dataöverföringar från Storbritannien.
2. Prioritetsordning
2.1 Ingen obligatorisk överföringsmekanism används om en överföring görs till ett land som har ansetts erbjuda en lämplig nivå av dataskydd enligt dataskyddslagarna i det land från vilket sådana kunduppgifter överförs.
2.2 Om en överföring måste göras och denna överföring omfattas av mer än en obligatorisk överföringsmekanism, kommer överföringen att omfattas av en enda obligatorisk överföringsmekanism i enlighet med följande prioritetsordning: (a) tillämpliga DPF för EU eller Schweiz; (b) UK-US Data Bridge; (c) EU:s standardavtalsklausuler; (d) UK IDTA för Storbritannien eller (e) någon annan tillämplig obligatorisk överföringsmekanism som är tillåten enligt tillämpliga dataskyddslagar.
2.3 Om en obligatorisk överföringsmekanism anses ogiltig efter verkställandet av detta avtal, ska alla framtida överföringar göras med hjälp av nästa tillämpliga obligatoriska överföringsmekanism som är giltig.
3. Ramen för dataskydd (DPF)
3.1 Självcertifiering.
3.1.1 GoDaddys certifiering. GoDaddy uppger att det är självcertifierat enligt DPF. GoDaddy samtycker till (a) att tillhandahålla minst samma skyddsnivå för alla kunduppgifter som krävs enligt DPF:s principer för datasekretess, (b) att meddela kunden skriftligen utan onödigt dröjsmål om GoDaddys certifiering för DPF dras tillbaka, avslutas, återkallas eller på annat sätt ogiltigförklaras och (c) efter skriftligt meddelande från kunden vidta rimliga och lämpliga åtgärder för att stoppa och åtgärda all obehörig behandling av kundens personuppgifter.
3.1.2 Företagets certifiering. I den mån företaget är certifierat enligt DPF samtycker företaget till (a) att tillhandahålla minst samma skyddsnivå för alla personuppgifter som krävs enligt DPF:s principer för datasekretess, (b) att meddela GoDaddy skriftligen utan onödigt dröjsmål om företagets certifiering för DPF dras tillbaka, avslutas, återkallas eller på annat sätt ogiltigförklaras och (c) efter skriftligt meddelande till GoDaddy vidta rimliga och lämpliga åtgärder för att stoppa och åtgärda all obehörig behandling av kundens personuppgifter.
3.2 Status
3.2.1 DPF för EU-USA. Europeiska kommissionen anser att DPF för EU-USA tillhandahåller en lämplig nivå av dataskydd i enlighet med ett beslut om adekvat skyddsnivå från den 10 juli 2023 och som trädde i kraft den 10 oktober 2023.
3.2.2 UK-US Data Bridge. Myndigheten UK Secretary of State for Science, Innovation, and Technology anser att ramverket UK-US Data Bridge tillhandahåller en lämplig nivå av dataskydd. Föreskrifter om lämplighet har lagts fram i parlamentet den 21 september 2023. Bestämmelserna inom ramen för UK-US Data Bridge träder i kraft den 12 oktober 2023 och tillämpliga överföringar kommer att göras i enlighet med UK-US Data Bridge från och med det datumet.
3.2.3 DPF för Schweiz-USA. DPF för Schweiz-USA har ännu inte trätt i kraft.
3.3 Företaget och företagets underbiträden kommer att vidta alla nödvändiga åtgärder för att göra det möjligt för GoDaddy att uppfylla sina skyldigheter som personuppgiftsansvarig och/eller personuppgiftsbiträde inom ramen för DPF, inklusive men inte begränsat till, att hjälpa GoDaddy och/eller personuppgiftsansvarig att besvara förfrågningar från individer om att utöva sina rättigheter som registrerad.3.2.3.1 Parterna är överens om att i den mån villkoren i detta databehandlingssupplement är förenliga med DPF för Schweiz – eller liknande bestämmelser när de träder i kraft – ska tillämpliga överföringar av kundens personuppgifter från Schweiz behandlas som om de gjordes enligt DPF för Schweiz.
3.2.3.2 I den mån ytterligare villkor måste läggas till i detta databehandlingssupplement på grund av DPF för Schweiz, är parterna överens om att sådana villkor ska införlivas automatiskt utan ytterligare åtgärder från parterna. Detta förutsatt att sådana ytterligare villkor inte ålägger någon av parterna några extra materiella skyldigheter eller i väsentlig grad försvagar de ursprungliga villkoren i avtalet.
3.2.3.3 I den mån ytterligare villkor inte kan läggas till automatiskt till detta DPF, ska detta databehandlingssupplement ändras för att tillåta överföringar enligt DPF för Schweiz.
3.2.3.4 Utan hinder av andra villkor i detta databehandlingssupplement, finns de ingenting i databehandlingssupplementet som begränsar eller påverkar parternas möjlighet att överföra personuppgifter i enlighet med en annan laglig mekanism för dataöverföring.
4. EU:s standardavtalsklausuler
4.1 För överföringar av personuppgifter från EU/EES och Schweiz som omfattas av EU:s standardavtalsklausuler (SCC), gäller Modul två (personuppgiftsansvarig till personuppgiftsbiträde) eller Modul tre (personuppgiftsbiträde till personuppgiftsbiträde). Vilken modul som gäller beror på om GoDaddy är personuppgiftsansvarig eller personuppgiftsbiträde för de kunduppgifter som ska överföras.
4.2 Vad gäller Modul två och Modul tre i EU SCC:
4.2.1 Den valfria bestämmelsen gällande dockning i paragraf 7 gäller inte.
4.2.2 I paragraf 9 gäller alternativ 2 och processen för avisering och tidsperioden för invändningar mot ändringar som görs av underbiträdet ska vara de som anges i avsnitt 3 i databehandlingssupplementet.
4.2.3 Delen om valfritt språk i paragraf 11 gäller inte.
4.2.4 I paragraf 17 (alternativ 1) kommer EU:s standardavtalsklausuler att styras av den nationella lagstiftningen i Tyskland.
4.2.5 I paragraf 18(b) ska tvister relaterade till databehandlingssupplementet lösas i Förbundsrepubliken Tyskland.
4.3 För tillämpning av bilaga I, del A:
4.3.1 Uppgiftsutförare
4.3.1.1 Uppgiftsutföraren är företaget.
4.3.1.2 Företaget kan kontaktas på de adresser som anges i avtalets meddelandeavsnitt.
4.3.1.3 Genom att ingå detta databehandlingssupplement (DPA) anses företaget ha undertecknat dessa EU-standardavtalsklausuler, inklusive relaterade bilagor, från och med avtalets ikraftträdandedatum.
4.3.2 Uppgiftsinförare
4.3.2.1 Uppgiftsinföraren kommer att vara GoDaddy och/eller auktoriserade samarbetspartner till GoDaddy.
4.3.2.2 GoDaddy kan kontaktas på de adresser som anges i avtalets meddelandeavsnitt eller på privacy@GoDaddy.com.
4.3.2.3 Genom att ingå detta databehandlingssupplement anses GoDaddy ha undertecknat dessa EU-standardavtalsklausuler, inklusive relaterade bilagor, från och med avtalets ikraftträdandedatum.
4.4 För tillämpning av bilaga I, del B:
4.4.1 Kategorierna av registrerade beskrivs i tillägg 1.
4.4.2 De känsliga data som överförs (i tillämpliga fall) beskrivs i tillägg 1.
4.4.3 Överföringsfrekvensen är samma som avtalets och databehandlingssupplements varaktighet.
4.4.4 Behandlingens natur beskrivs i tillägg 1.
4.4.5 Syftet med behandlingen beskrivs i tillägg 1.
4.4.6 Tidsperioden under vilken behandlingen genomförs beskrivs i tillägg 1.
4.5 För tillämpningen av bilaga I, del C, i enlighet med klausul 13, definieras den behöriga tillsynsmyndigheten enligt följande:
4.5.1 För överföringar av personuppgifter från EU/EES är tillsynsmyndigheten Nordrhein-Westfalens delstatskommissionär för dataskydd och informationsfrihet.
4.5.2 Den schweiziska federala dataskydds- och informationskommissionären ska agera som behörig tillsynsmyndighet i den mån den relevanta överföringen eller vidareöverföringen regleras av schweiziska lagar och förordningar om dataskydd.
4.6 I bilaga II till EU:s standardavtalsklausuler innehåller tillägg 2 de tekniska och organisatoriska åtgärder som implementerats av företaget i sin egenskap av dataimportör enligt databehandlingssupplementet (DPA).
4.7 I bilaga III till EU:s standardavtalsklausuler kan du se en lista över företagets underbiträden.5. United Kingdom International Data Transfer Agreement (UK IDTA)
5.1 Avtalet UK IDTA gäller för överföringar av kunduppgifter från Storbritannien till något land utanför Storbritannien som den behöriga brittiska tillsynsmyndigheten eller ett brittiskt statligt organ inte anser tillhandahåller en lämplig nivå för skydd av personuppgifter.
5.2 För överföringar som omfattas av UK IDTA, anses UK IDTA ingås av parterna och slutföras enligt följande:
5.2.1 I tabell 1 i IDTA finns parternas uppgifter och huvudsakliga kontaktinformation i avsnitt 4.3 i detta tillägg 4.
5.2.2 I tabell 2 i IDTA finns information om den version av EU:s standardavtalsklausuler, moduler och utvalda klausuler som UK IDTA är bifogad till. Denna finns i avsnitt 4 i detta tillägg.
5.2.3 I tabell 3 i UK IDTA:
5.2.3.1 Listan över parter finns i avsnitt 4.3 i detta tillägg 4.
5.2.3.2 Beskrivningen av överföringarna anges i tillägg 1.
5.2.3.3 Bilaga II återfinns i tillägg 2.
5.2.3.4 Företagets lista över underbiträden återfinns i tillägg 5.
5.2.3.5 I tabell 4 i UK IDTA, kan både GoDaddy och företaget avsluta UK IDTA i enlighet med avtalets villkor.
5.3 UK Information Commissioner ska agera som behörig tillsynsmyndighet i den mån den relevanta överföringen regleras av brittiska dataskyddslagar och förordningar.
5.4 Konflikter. I den utsträckning det uppstår en konflikt eller motsägelser mellan EU:s standardavtalsklausuler eller UK IDTA och några andra villkor i detta databehandlingssupplement, ska bestämmelserna i EU:s standardavtalsklausuler eller UK IDTA gälla, enligt vad som är tillämpligt.
Översatta versioner av juridiska avtal och policyer tillhandahålls endast som en tjänst för att underlätta läsning och förståelse av de engelska versionerna. Syftet med att tillhandahålla översättningar av juridiska avtal och policyer är inte att skapa rättsligt bindande avtal eller att ersätta den rättsliga giltigheten för de engelska versionerna. Vid eventuella tvister eller konflikter reglerar de engelska versionerna av våra juridiska avtal och policyer vår relation och de har företräde framför villkor på andra språk.