GoDaddy

DATABEHANDLINGSTILLÄGG (KUNDER)

Senast reviderad: 2021-09-27

Detta databehandlingstillägg (detta ”tillägg”) verkställs av och mellan GoDaddy.com, LLC, a Delaware limited liability company och dess samarbetspartners (”GoDaddy”) och dig (”kund”) och bifogas och kompletterar våra allmänna användningsvillkor, sekretesspolicy och alla övriga avtal som reglerar de omfattade tjänsterna (kollektivt, ”användarvillkoren”).  Om inte annat anges ska detta tillägg och alla termer med stor begynnelsebokstav definieras enligt användarvillkoren.

1. Definitioner

Med ”samarbetspartner” menas alla enheter som kontrolleras av, kontrollerar eller gemensamt kontrolleras med GoDaddy.

"CCPA” står för California Consumer Privacy Act, Cal. Civ. Code 1798.100 et seq., inklusive eventuella tillägg och tillhörande implementeringsregler som börjar gälla på eller efter detta databehandlingstilläggs ikraftträdandedatum.

Omfattade tjänster” innebär värdtjänster som kan involvera vår behandling av personuppgifter och gäller under villkoren i följande avtal: (1) E-postbaserade marknadsföringstjänster, (2) värdtjänster, (3) onlinebutik/snabbkundvagn, (4) webbplatstjänster, (5) Workspace-tjänsten.

Med ”kunduppgifter” menas alla registrerade personers personuppgifter som Behandlas av GoDaddy inom GoDaddy-nätverket för kundens räkning i enlighet eller i samband med användningsvillkoren.

Med ”personuppgiftsansvarig” menas kunden, den enhet vilken bestämmer ändamålet med och metoderna för personuppgiftsbehandling.

Med ”personuppgiftsbiträde” menas GoDaddy, den enhet som behandlar personuppgifter för den personuppgiftsansvariges räkning, eller tjänsteleverantören så som detta begrepp definieras av CCPA

Med ”dataskyddslagar” menas alla dataskydds- eller sekretesslagar och -förordningar som gäller för behandlingen av personuppgifter enligt avtalet, inklusive (i) Australiens Privacy Principles och Privacy Act (1988), (ii) Brasiliens Lei Geral de Proteção de Dados (LGPD), (iii) USA:s California Consumer Privacy Act (CCPA), (iv) Kanadas Federal Personal Information Protection and Electronic Documents Act (PIPEDA), (v) Europeiska unionens allmänna dataskyddsförordning (GDPR), (vi) eventuella nationella dataskyddslagar som fattas i koppling till eller i enlighet med GDPR, (vii) EU:s direktiv gällande integritet och elektronisk kommunikation (Direktiv 2002/58/EG), (viii) Singapores Personal Data Protection Act 2012 (PDPA), (ix) Schweiz Federal Data Protection Act från den 19 juni 1992 och dess förordning, (x) Storbritanniens GDPR eller Data Protection Act 2018. I varje fall kan dessa ändras eller ersättas.

Med ”den registrerade personen” menas den enskilda person vars personuppgifter avses.

Med ”EES” menas Europeiska ekonomiska samarbetsområdet.

Med ”GDPR” menas Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd av fysiska personer vid behandling av personuppgifter och det fria flödet av sådana data och upphävande av direktiv 95/46/EG (allmänna dataskyddsförordningen).

Med ”GoDaddy-nätverk” menas datacenter, servrar, nätverksutrustning och värddatorsystem (t.ex. virtuella brandväggar) för GoDaddy som bevakas av GoDaddy och används för att tillhandahålla de omfattade tjänsterna.

Med ”personuppgifter” menas all information som avser en identifierad eller identifierbar person eller hushåll, så som definieras enligt dataskyddslagar.

Med ”behandling” menas en eller flera åtgärder som vidtas beträffande personuppgifter, vare sig automatisk eller annan, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom överföring, spridning eller annat tillgängliggörande, justering eller kombination, begränsning, radering eller förstöring. ”Behandla”, ”behandlar” och ”behandlad” kommer att tolkas i enlighet därmed. Uppgifter om behandlingen anges i bilaga 1.

Med ”säkerhetsincident” menas antingen (a) en säkerhetsöverträdelse av GoDaddy-säkerhetsstandarder som leder till en oavsiktlig eller olaglig förstörelse, förlust, ändring, inte auktoriserat avslöjande av eller åtkomst till kunduppgifter, eller (b) en inte auktoriserad åtkomst till GoDaddy-utrustning eller -anläggningar, där i bägge fallen en sådan åtkomst leder till förstörelse, förlust, ett inte auktoriserat avslöjande eller ändring av kunduppgifter.

Med ”säkerhetsstandarder” avses de säkerhetsstandarder bifogade i detta tillägg i form av bilaga 2.

Med ”känsliga uppgifter” menas (a) personnummer, passnummer, körkortsnummer eller liknande identifierare (eller del därav), (b) kredit- eller betalkortsnummer (förutom de fyra sista siffrorna av ett kredit- eller betalkort), finansiella uppgifter, bankkontonummer eller lösenord, (c) information gällande anställning, finansiell situation, genetik, biometri eller hälsa, (d) information gällande ras, etnisk tillhörighet, politisk eller religiös tillhörighet, fackföreningsmedlemskap eller sexliv eller sexuell läggning, (e) kontolösenord, mors flicknamn eller födelsedatum, (f) kriminell bakgrund eller (g) annan information eller kombinerad information som omfattas av definitionen ”särskilda datakategorier” enligt GDPR eller annan tillämplig lagstiftning eller förordning gällande sekretess och dataskydd.

Med ”standardavtalsklausuler” eller ”SCC” menas standardklausuler för dataskydd för överföring av personuppgifter från en ansvarig till ett biträde som är etablerat i tredje länder som inte säkerställer tillräckligt dataskydd, i enlighet med artikel 46 i GDPR och som godkänts av Europeiska kommissionens beslut 2021/914 av den 4 juni 2021. Standardavtalsklausuler för modul två (ansvarig till biträde) finns i bilaga 4.

Med ”underbiträde” menas alla personuppgiftsbiträden som anställts av biträde för databehandling för personuppgiftsansvariges räkning.

Med ”Storbritanniens standardavtalsklausuler” menas standardklausuler för dataskydd för överföring av personuppgifter till biträden som är etablerade i tredje länder som inte säkerställer tillräckligt dataskydd, i enlighet med artikel 46 i Storbritanniens GDPR och som godkänts av Europeiska kommissionens beslut 2010/87/EU. Storbritanniens standardavtalsklausuler finns i bilaga 4.                            

2. Databehandlingstjänster

2.1 Omfattning och roller. Detta tillägg gäller när kunduppgifter behandlas av GoDaddy, där GoDaddy innehar rollen av personuppgiftsbiträde å kundens vägnar som personuppgiftsansvarig i fråga om kunduppgifter.

2.2 Information om databehandling. Föremålet för behandling av kunduppgifter av GoDaddy är resultatet av de omfattade tjänsterna enligt användningsvillkoren. GoDaddy ska endast behandla kunduppgifter på uppdrag av kunden och i enlighet med dennes dokumenterade instruktioner för följande ändamål: (i) Behandling i enlighet med användningsvillkoren. (ii) Behandling inledd av slutanvändare genom användning av de omfattade tjänsterna. (iii) Behandling avsedd att uppfylla andra dokumenterade, rimliga anvisningar från kunder (till exempel via e-post) där sådana instruktioner är förenliga med användningsvillkoren. GoDaddy är inte skyldig att (a) behandla, bevara, använda, sälja eller avslöja kunduppgifter förutom om det är nödvändigt för att tillhandahålla de omfattade tjänsterna i enlighet med användningsvillkoren eller om det krävs enligt lagen, (b) sälja sådana kunduppgifter till en tredje part eller (c) bevara, använda eller avslöja sådana kunduppgifter utanför den direkta affärsrelationen mellan GoDaddy och kunden.

För att undvika missförstånd ska kundens anvisningar för behandling av personuppgifter uppfylla alla tillämpliga datasekretesslagar. Kunden ska själv ansvara för personuppgifternas riktighet, kvalitet och legalitet och att det sätt kunden fick tag på personuppgifterna var lagenligt. GoDaddy ska inte behöva uppfylla eller följa kundens anvisningar om sådana anvisningar bryter mot datasekretesslagar. Behandlingens längd, karaktär och ändamål, samt typen av personuppgifter och personuppgiftskategorier som behandlas enligt detta tillägg, definieras ytterligare i bilaga 1 (Information om behandlingen) i detta tillägg.

3. Kunddatasekretess

GoDaddy lämnar inte ut kunddata till någon regering eller annan tredje part, i den mån de inte är skyldiga till det enligt lag eller enligt en giltig och bindande order av brottsbekämpande myndighet (t.ex. stämning eller domstolsbeslut). För den händelse GoDaddy mottar en giltig civilrättslig stämning, och i den utsträckning som medges, kommer GoDaddy att sträva efter att meddela Kunden med rimligt varsel via e-post eller vanlig post för att ge Kunden möjlighet att söka skyddsorder eller annan lämplig åtgärd.

4. Säkerhet

4.1 GoDaddy har genomfört och kommer att upprätthålla vidtagna tekniska och verksamhetsmässiga åtgärder för GoDaddy-nätverket enligt beskrivningen i detta avsnitt och vidare beskrivning i bilaga 2 i detta tillägg – Säkerhetsstandarder. GoDaddy har särskilt vidtagit och kommer att upprätthålla följande tekniska och verksamhetsmässiga åtgärder som berör (i) GoDaddy-nätverkets säkerhet, (ii) fysiskt skydd av anläggningar, (iii) kontroll av anställdas och underentreprenörers åtkomst till (i) och/eller (ii) samt (iv) metoder för att testa, undersöka och utvärdera effektiviteten för de tekniska och verksamhetsmässiga åtgärder som införts av GoDaddy. Om vi inte kan uppfylla någon av dessa skyldigheter som anges häri kommer vi att tillhandahålla ett skriftligt meddelande (via vår webbplats och e-post) så snart det är praktiskt möjligt.

4.2 GoDaddy tillhandahåller en mängd säkerhetsåtgärder och funktioner som kunden kan tänkas använda sig av inom de omfattade tjänsterna. Kunden ansvarar för (a) korrekta inställningar av de omfattade tjänsterna, (b) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, (c) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att ge kunden möjlighet att i rimlig tid återställa tillgängligheten och tillgången till kunddata vid en fysisk eller teknisk incident (t.ex. säkerhetskopiering och regelbunden arkivering av kunddata), samt (d) vidta enligt kunden lämpliga åtgärder för att upprätthålla tillämplig säkerhet, skydd och borttagning av kunddata, vilket inkluderar användning av krypteringsteknik för att skydda kunddata mot obehörig åtkomst och åtgärder för att kontrollera åtkomsträttigheter till kunddata.

5. Den registrerades rättigheter

Med beaktande av de omfattade tjänsternas karaktär, erbjuder GoDaddy kunden vissa kontroller, beskrivna i avsnittet ”Säkerhet” i detta tillägg, som kunden kan välja att använda för att hämta, korrigera, ta bort eller begränsa användning eller delning av kunddata enligt beskrivning i de omfattade tjänsterna. Kunden kan välja att använda dessa kontroller som tekniska och organisatoriska åtgärder för att bistå denna i samband med sina skyldigheter i enlighet med gällande sekretesslagar, inklusive de skyldigheter denna innehar att svara på förfrågningar från den registrerade. Inom ramen för affärsmässiga rättigheter, och i den utsträckning lagen så kräver eller tillåter, skall GoDaddy utan dröjsmål informera kunden om GoDaddy direkt mottar en begäran från en registrerad om att utöva sådana rättigheter enligt gällande datasekretesslagar (”Begäran av den registrerade”). När kundens användning av de omfattade tjänsterna dessutom begränsar dennes förmåga att ta itu med en registrerads begäran, kan GoDaddy, om så är lagligt och ändamålsenligt på kundens specifika begäran tillhandahålla affärsmässigt rimlig hjälp med att ta itu med begäran, på bekostnad av kunden (om kostnad föreligger).

6. Uppgiftsbehandling via underbiträde

6.1 Auktoriserade underentreprenörer. Kunden godkänner att GoDaddy får använda underentreprenörer för att uppfylla sina avtalsförpliktelser enligt deras tjänstevillkor och detta tillägg, eller tillhandahålla vissa tjänster för kundens räkning, till exempel supporttjänster. Kunden samtycker härmed till att GoDaddy använder sig av underentreprenörer enligt beskrivning i denna sektion. GoDaddy tillåter inte annan uppgiftsbehandling via underentreprenör än den som anges i denna bilaga eller på annat sätt auktoriseras av dig.

6.2 Underbiträdets skyldigheter. När GoDaddy använder sig av ett auktoriserat underbiträde enligt beskrivning i avsnitt 6.1:

(i) GoDaddy kommer att begränsa underentreprenörens tillgång till kunddata till vad som är nödvändigt för att upprätthålla de omfattade tjänsterna eller att tillhandahålla dessa till kunden och eventuella slutanvändare i enlighet med de tjänster som omfattas. GoDaddy kommer inte tillåta att underentreprenören har åtkomst till kunddata för något annat ändamål;

(ii) GoDaddy ingår ett skriftligt avtal med underbiträdet och så länge som underbiträdet utför samma uppgiftsbehandlingstjänster som levereras av GoDaddy enligt detta tillägg, ålägger GoDaddy samma kontraktsskyldigheter på underbiträdet som GoDaddy är ålagda enligt detta tillägg; och

(iii) GoDaddy ansvarar för att de fullgör sina skyldigheter enligt detta tillägg samt för underentreprenörens eventuella underlåtenhet eller handlingar som kan resultera i att GoDaddy bryter någon av GoDaddys skyldigheter enligt detta tillägg.

6.3 Nya underbiträden.  Vi kommer då och då att anlita nya underbiträden i enlighet med och som omfattas av villkoren i detta tillägg.  I sådana fall kommer vi att informera om detta (via vår webbplats och e-post) 30 dagar innan något nytt underbiträde erhåller några kunduppgifter. Om kunden inte godkänner det nya underbiträdet kan kunden avsluta de omfattade tjänsterna utan påföljd genom att tillhandahålla, inom tio dagar efter att ha mottagit vårt meddelande, ett skriftligt uppsägningsbesked som innehåller en förklaring till varför denne inte samtycker. Om de omfattade tjänsterna ingår i ett kombinationserbjudande eller ett paketköp gäller uppsägning i sin helhet.

7. Säkerhetsincident

7.1 Säkerhetsincident. Om GoDaddy blir varse en säkerhetsincident kommer GoDaddy utan dröjsmål att (a) meddela kunden om säkerhetsincidenten och (b) vidta rimliga åtgärder för att mildra effekterna och minimera eventuella skador till följd av säkerhetsincidenten.

7.2 GoDaddy Hjälp.  För att hjälpa kunden vid ett personuppgiftsbrott som kunden är skyldig att underrätta om enligt alla eventuella gällande sekretesslagar, inkluderar GoDaddy sådan information om säkerhetsincidenten som GoDaddy i rimlig mån kan offentliggöra för kunden, med hänsyn till de omfattade tjänsternas karaktär, den information som är tillgänglig för GoDaddy, samt alla restriktioner för offentliggörande av sådan information, bland annat sekretess.  

7.3 Misslyckade säkerhetsincidenter. Kunden samtycker till att:

(i) En säkerhetsincident underkastas inte villkoren i detta tillägg. En säkerhetsincident innebär ett fall av inte auktoriserad åtkomst till personuppgifter eller till något av GoDaddys nätverk, utrustning, eller anläggningar för lagring av kunddata, och kan utan begränsningar inkludera pingar och andra broadcast-attacker på brandväggar eller gränsservrar, skanning av portar, misslyckade inloggningsförsök, överbelastningsattack, packet sniffing (och övrig inte auktoriserad åtkomst till trafikdata som inte resulterar i åtkomst bortom rubriker) eller övriga incidenter; och

(ii) GoDaddys skyldighet att anmäla eller svara på en säkerhetsincident enligt detta avsnitt tolkas inte och kommer inte att tolkas som en bekräftelse av GoDaddy på att GoDaddy innehar någon skuld eller ansvar för säkerhetsincidenten.

7.4 Meddelande. Meddelande om säkerhetsincidenter, i förekommande fall, levereras till en eller flera av kundens administratörer på det sätt GoDaddy väljer, inklusive via e-post. Det åligger kunden själv att försäkra sig om att dennes administratörer har korrekta kontaktuppgifter inlagda på administrationskonsolen för GoDaddy samt att överföringarna är säkra.

8. Kundrättigheter

8.1 Oberoende upphörande. Kunden ansvarar för att gå igenom informationen han erhållit av GoDaddy angående datasäkerhet och dess säkerhetsstandarder och att göra en oberoende utvärdering av huruvida de omfattade tjänsterna uppfyller dennes krav och rättsliga skyldigheter samt kundens skyldigheter enligt detta tillägg. Informationen som tillgängliggjorts är ämnad att hjälpa kunden att uppfylla sina skyldigheter enligt gällande sekretesslagar för dataskydd, inklusive GDPR, och i fråga om konsekvensbedömningar avseende dataskydd och förhandssamråd.

8.2 Kundens granskningsrättigheter. Kunden har rätt att bekräfta att GoDaddy uppfyller villkoren i detta tillägg gällande de omfattade tjänsterna genom specifika skriftliga förfrågningar, med rimlig frekvens, till adressen som anges i användningsvillkoren. Om GoDaddy vägrar att följa instruktionerna som kunden begärt angående en granskning eller inspektion begärd i vederbörlig ordning och i korrekt omfattning har kunden rätt att säga upp detta tillägg samt användningsvillkoren.

9. Överföring av kunduppgifter

9.1 Behandling i USA. Såvida inte annat specifikt anges i användningsvillkoren överförs kunduppgifter utanför Storbritannien eller EES och behandlas i USA.

9.2 Tillämpning av standardavtalsklausuler. Standardavtalsklausulerna gäller för de kunduppgifter som, antingen direkt eller via vidare överföring, överförs utanför EES till något av de länder som inte erkänns av Europeiska kommissionen, och säkerställer en adekvat skyddsnivå för kunduppgifter. Standardavtalsklausulerna gäller inte för kunduppgifter som inte, antingen direkt eller via vidare överföring, överförs utanför EES. Oaktat det som anförts ovan gäller inte standardavtalsklausulerna vid överföringar av information i enlighet med erkända standardöverensstämmelser för laglig överföring av personuppgifter utanför EES, såsom när så krävs för att utföra de omfattade tjänsterna i enlighet med användningsvillkoren eller med ditt samtycke.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Tilläggets upphörande

Detta tillägg kommer att fortsätta att gälla fram till avslutandet av vår behandling och i enlighet med tjänstevillkoren (”Slutdatum”).   

11. Återlämning eller borttagning av kunduppgifter

Enligt beskrivning i de omfattade tjänsterna kan kunden förses med kontroller avsedda för inhämtning eller borttagning av kunduppgifter. Borttagning av kunduppgifter sker trettio (30) dagar efter uppsägningsdatumet, i enlighet med villkoren för de omfattade tjänsterna i fråga.

12. Ansvarsbegränsningar

Varje parts ansvar i enlighet med detta tillägg kommer att omfattas av de undantag och ansvarsbegränsningar som anges i tjänstevillkoren. Kunden samtycker till att alla föreskrivna påföljder som förorsakats GoDaddy beträffande kunddata, som uppstått till följd av, eller i samband med kundens underlåtenhet att uppfylla sina skyldigheter enligt detta tillägg och eventuella gällande sekretesslagar, kommer att räknas in och minska det ansvar GoDaddy innehar enligt tjänstevillkoren som om det vore kundens ansvar enligt gällande tjänstevillkor.

13. Fullständiga tjänstevillkor; Motsättning

Detta tillägg åsidosätter och ersätter alla tidigare eller nuvarande representationer, överenskommelser, avtal eller kommunikation mellan kunden och GoDaddy, vare sig skriftligt eller muntligt, beträffande föremålet för detta tillägg, inklusive alla databehandlingstillägg som ingåtts mellan GoDaddy och kunden beträffande behandlingen av personuppgifter och det fria flödet av sådana uppgifter.  Förutom vad som ändrats genom detta tillägg förblir användningsvillkoren i full kraft och giltiga.  Om konflikt uppstår mellan användningsvillkoren och detta tillägg kommer villkoren i detta tillägg att gälla.

Bilaga 1

 INFORMATION OM BEHANDLINGEN

 1. Behandlingens art och ändamål. GoDaddy Behandlar personuppgifter enligt vad som krävs för att utföra de omfattade tjänsterna i enlighet med användningsvillkoren och såsom kunden vidare anvisar under användningen av de omfattade tjänsterna.

 2. Behandlingens längd. Med hänsyn till avsnitt 10 och 11 av detta tillägg kommer GoDaddy att behandla kunduppgifter under användningsvillkorens giltighetsperiod. Oaktat föregående kan GoDaddy behålla kunduppgifter, eller en del därav, om så krävs enligt tillämplig lagstiftning eller förordning, inklusive tillämpliga dataskyddslagar, förutsatt att sådana kunduppgifter förblir skyddade i enlighet med villkoren i detta tillägg och tillämpliga dataskyddslagar.

3. Kategorier av registrerade. Kunden kan ladda upp personuppgifter under dennes användning av de omfattade tjänsterna; vilken typ av uppgifter och till vilken utsträckning bestämmer och kontrollerar kunden efter eget gottfinnande; uppgifterna kan inkludera, men är inte begränsade till följande kategorier av de registrerades personuppgifter:

  • Kunds potentiella klienter, kunder, affärspartners och leverantörer (som är fysiska personer)
  • Anställda eller kontaktpersoner hos kundens potentiella klienter, kunder, affärspartners och leverantörer
  • Anställda, agenter, rådgivare, kunds frilansare (som är fysiska personer)
  • De av kundens användare som denna gett rätt till att använda de omfattade tjänsterna

4. Kategorier av personuppgifter. Kunden kan ladda upp Personuppgifter under dennes användning av de omfattade tjänsterna – vilken typ av uppgifter och till vilken utsträckning bestämmer och kontrollerar kunden efter eget gottfinnande och uppgifterna kan inkludera, men är inte begränsade till, följande kategorier av personuppgifter för registrerade personer: 

  • Namn
  • Adress
  • Telefonnummer
  • Födelsedatum
  • E-postadress
  • Övriga hämtade uppgifter som direkt eller indirekt kan identifiera registrerade personer.

5. Känsliga data eller särskilda datakategorier. Kunder kan ladda upp känsliga data under användningen av de omfattade tjänsterna – typ av data samt dess omfattning fastställs och kontrolleras helt av kunden. Kunden ansvarar för att tillämpa begränsningar eller skyddsåtgärder som helt tar hänsyn till typ av data och medföljande risker innan överföring eller behandling av känsliga data via de omfattade tjänsterna.

Bilaga 2

Säkerhetsstandarder

I.  Tekniska och organisatoriska åtgärder  

Vi åtar oss att skydda våra kunders information.  Beaktande av de bästa tillvägagångssätten, kostnaderna för genomförandet och verksamhetens art, omfattning, omständigheter och bearbetningens syften, samt den varierande i förekomst och svårighetsgrad sannolikheten för rättighets- och frihetsrisker hos fysiska personer, tar vi följande tekniska och organisatoriska åtgärder.  Systemens sekretess, integritet, tillgänglighet och motståndskraft tas i beaktande vid valet av åtgärder. En snabb återhämtning efter en fysisk eller teknisk incident garanteras.

II.  Dataskyddsprogram  

Vårt dataskyddsprogram är upprättat för att bibehålla en världsomfattande ledningsstruktur och säkerställa informationen under hela dess livscykel. Detta program styrs av kontoret för dataintegritetsskydd, vilket övervakar tillämpningen av sekretesspolicyer och säkerhetsåtgärder. Vi genomför regelmässiga tester, ger rådgivning och utvärderar effektiviteten av dess dataskyddsprogram och säkerhetsstandarder.

1. Sekretess. ”Med sekretess menas att personuppgifterna är skyddade mot inte auktoriserat offentliggörande.”  

Vi förfogar över en mängd olika fysiska och logiska åtgärder för att skydda sekretessen för kundernas personuppgifter. Däribland följande åtgärder:   

  Fysisk säkerhet  

  • Befintliga fysiska åtkomstkontrollsystem (passerkortskontroll, övervakning av säkerhetsincidenter osv.) 
  • Övervakningssystem inklusive larm, och om så krävs TV-övervakning  
  • Befintliga clean desk policyer och kontrollpaneler (Obemannade datorer avstängda, låsta skåp osv.)  
  •  Hantering av besökares åtkomst 
  • Eliminering av data på fysiska media och dokument (fragmentering, avmagnetisering m.m.)

  Åtkomstkontroll och förebyggande av inte auktoriserad åtkomst 

  • Tillämpning av åtkomstrestriktioner och tillhandahållande/granskning av rollbaserade behörigheter utifrån ansvarsfördelningsprincipen  
  • Starka autentiserings- och auktoriseringsmetoder (flerfaktorsautentisering, certifieringsbaserad auktorisering, automatisk avstängning/log-off osv.)  
  • Centraliserad hantering av lösenord och starka/komplexa lösenordsprinciper (minimilängd, teckenkomplexitet, lösenordsutgång osv.)   
  • Säker åtkomst till email och internet 
  • Hantering av virusskydd  
  • Hantering av system för intrångsskydd

Kryptering   

  • Kryptering av extern och intern kommunikation via säkra kryptografiska protokoll  
  • PII/SPII kryptering i vila (databaser, delade kataloger osv.)   
  • Full diskkryptering för stationära och bärbara företagsdatorer   
  • Kryptering av lagringsmedier  
  • Fjärranslutningar till företagsnätverken är krypterade via VPN  
  • Säkra krypteringsnycklarnas livscykel

 Dataminimering    

  • Minimering av PII/SPI vid tillämpning, felsökning och säkerhetsloggar  
  • Användning av pseudonymer i personuppgifter för att förhindra direkt identifiering av privatpersoner 
  • Uppgiftssortering enligt funktion (testning, lagring, live) 
  • Logisk uppdelning av uppgifter enligt rollbaserade åtkomsträttigheter 
  • Definierade perioder för datalagring av personuppgifter

Säkerhetstestning     

  • Penetrationstestning för kritiska företagsnätverk och plattformar för värdtjänster av personuppgifter 
  • Systematiska nätverks- och sårbarhetsanalyser

2. Integritet. ”Med integritet menas garantier för korrekt (intakt) information och korrekt funktion av system. När man använder termen integritet i samband med uttrycket ”uppgifter”, anger man att uppgifterna är fullständiga och oförändrade”  

Bland annat följande lämpliga förändrings- och logghanteringskontroller samt åtkomstkontroller har inrättats för att se till att integriteten hos personuppgifter upprätthålls:    

Ändrings- och versionshantering    

  • Ändrings- och versionshanteringsprocess inklusive (konsekvensanalys, godkännanden, testning, säkerhetsgranskningar, datalagring, övervakning osv.)  
  • Roll- och funktionsbaserad (uppdelning av arbetsuppgifter) åtkomst enligt bestämmelserna om produktionsmiljö

Loggning och övervakning

  • Loggning av åtkomst och dataändringar  
  • Centraliserad revision och säkerhetsloggar   
  • Övervakning av fullständig och korrekt dataöverföring (ändpunktskontroll)

3. Tillgänglighet. ”Tillgängligheten till tjänster och IT-system, IT-applikationer och IT-nätverksfunktioner eller till information är garanterad, så länge användarna har möjlighet att använda dem när så avsetts.”    

Vi genomför lämpliga kontinuitets- och säkerhetsåtgärder för att upprätthålla åtkomsten till dess tjänster och de data som finns lagrade i dessa tjänster:    

  • Regelmässiga redundanstest tillämpas för kritiska tjänster  
  • Omfattande övervakning av prestanda/tillgänglighet och rapportering för kritiska system   
  • Incidentåtgärdsprogram  
  • Replikering och säkerhetskopiering av känsliga uppgifter (molnsäkerhetskopieringar/hårddiskar/replikering av databaser osv.)  
  • Planerat underhåll av programvara, infrastruktur och säkerhet är i bruk (programvaruuppdateringar, säkerhetskorrigeringar osv.)   
  • Redundanta och motståndskraftiga system (serverklusters, speglade databaser, inställningar med hög tillgänglighet osv.) lokaliserade på annan plats och/eller på geografiskt åtskilda platser    
  • Användning av avbrottsfri kraftförsörjning, överflödig hårdvara och nätverkssystem  
  • Larm, säkerhetssystem på plats  
  • Fysiska skyddsåtgärder vidtas för kritiska platser (överspänningsskydd, upphöjda golv, kylsystem, brand- och rökvarnare, brandsläckningssystem osv.) 
  • DDoS-skydd för fortsatt åtkomst   
  • Last- och stresstestning

4Instruktioner för databehandling. ”Instruktioner för databehandling avser att säkerställa att personuppgifter endast kommer att behandlas i enlighet med instruktioner från personuppgiftsansvarige och tillhörande företagsåtgärder”  

Vi har upprättat interna sekretesspolicyer och avtal, samt genomför regelbundna sekretesskurser för anställda för att garantera att personuppgifter behandlas i enlighet med kundernas önskemål och instruktioner.   

  • Anställdas kontrakt omfattar villkor för sekretess och konfidentialitet 
  • Regelbundna dataskydds- och säkerhetsutbildningar för anställda 
  • Lämpliga kontraktsvillkor i underbiträdesavtalen för bibehållande av kontrollrättigheter för anvisningar 
  • Regelbundna sekretesskontroller för externa tjänsteleverantörer 
  • Förse kunderna med full kontroll över deras inställningar för databehandling 
  • Regelbundna säkerhetsgranskningar 

Bilaga 3 – GoDaddys underbiträden

Företagsnamn
Bolagsland
Tjänstebeskrivning
Datakategorier
Acronis International GmbH Schweiz Kundens säkerhetskopior Ögonblicksbilder av säkerhetskopior.
Automattic Inc USA WooCommerce-insticksprogram och -tillägg i Ecommerce WordPress. Kundens WordPress-användarprofiler (inklusive namn och e-postadress) och profiler för medarbetare/entreprenörer.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Storbritannien, Tyskland, USA Tillhandahåller och hanterar nätverkslösningar som en del av vårt nätverk, inklusive analys av metadata. Behandlar metadata för IP-adresser, tidsstämplar och nätverkstrafik
cPanel Inc USA cPanel-hanteringsprogramvara för produkter för värdtjänster och server. Kunduppgifter som lagras i cPanel.
DENIC eG Tyskland Registrering av .de-domäner All kontoinformation som krävs för att tillhandahålla domänen. WHOIS-uppgifter.
Equinix Netherlands BV Nederländerna Datacenter för samlokalisering i Nederländerna. Inga personuppgifter behandlas avsiktligt.
EURid vzw Belgien Registrering av .eu-domäner All kontoinformation som krävs för att tillhandahålla domänen. WHOIS-uppgifter.
Juniper Networks Inc USA Tillhandahåller och hanterar nätverkslösningar som en del av vårt nätverk, inklusive analys av metadata. IP-adresser, tidsstämplar, nätverkstrafik
LivePerson Inc USA Chattverktyget LiveEngage på vår webbplats. Chattranskript, automatiserad information såsom IP-adress, operativsystem och enhetstyp.
LvivIT Ukraina Tillhandahåller operativ plattformssupport. All information om kundkontot.
OVH Grouppe SAS Frankrike Datacenter för samlokalisering i Tyskland, återförsäljning av serverprodukter. Kundlagrade data, inklusive men inte begränsat till webbplatser, program och data från kundens kund(er). Detta kan även inkludera nätverkstrafik.
Plesk International GmbH Tyskland Plesk-kontrollpanel för VPS och dedikerade servrar samt Hemsideprogram Plus. Kunduppgifter som lagras i Plesk-kontrollpanelen samt kunduppgifter som lagras på en värdtjänstwebbplats.
Datadock SARL Frankrike Datacenter för samlokalisering i Frankrike. Maskinvaru- och nätverkstjänster. Inga personuppgifter behandlas avsiktligt.
GoDaddy Media Temple Inc d/b/a Sucuri USA
SAAS-produkt: Skydda kundwebbplatser mot skadlig kod
All kontoinformation som krävs för att tillhandahålla webbplatsen, samt kunduppgifter som lagras på värdtjänstwebbplatsen.
GoDaddy Media Temple Inc d/b/a Sucuri USA Intern: Brandvägg för webbapplikationer på våra varumärkta webbplatser och i kundens kontrollpaneler för att skydda varumärkets IT- och kunduppgifter. Inspektion av webbplatstrafik. Metadata för IP-adresser, tidsstämplar och nätverkstrafik.
Starfield Technologies LLC USA SSL-certifikat. All kundkontoinformation som krävs för ett SSL-certifikat.
DomainsByProxy LLC USA Domänsekretesstjänster. Domänregistrering och kontaktuppgifter.
GoDaddy Sellbrite, Inc. USA Verktyg för onlinebutiker Transaktions- och produktinformation från onlinebutik.
GoDaddy Payments LLC USA Verktyg för behandling av betalningar.  

Bilaga 4

Se Avsnitt 9.2 i tillägget för tillämpning av dessa standardavtalsklausuler

Standardavtalsklausuler (personuppgiftsansvarig till -biträden)

AVSNITT I

Klausul 1

Ändamål och omfattning

  1. Ändamålet med dessa standardavtalsklausuler är att säkerställa efterlevnad med kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 gällande skydd av fysiska personer vid behandling av personuppgifter och fritt flöde av sådana uppgifter (allmänna dataskyddsförordningen) för överföring av data till ett tredje land.
  2. Parter:
    1. Fysiska eller juridiska personer, offentliga myndigheter, ombud eller andra byråer (hädanefter ”enhet/enheter”) som överför personuppgifter, enligt bilaga I.A (hädanefter ”uppgiftsutförare” vardera).
    2. Enheten/enheterna i ett tredje land som tar emot personuppgifterna från uppgiftsutföraren, direkt eller indirekt via en annan enhet som också är en part enligt dessa klausuler, enligt bilaga I.A (hädanefter ”uppgiftsinförare” vardera). Dessa parter har samtyckt till dessa standardavtalsklausuler (hädanefter ”Klausuler”).
  3. Dessa klausuler gäller överföring av personuppgifter i enlighet med bilaga I.B.
  4. Bilagan för dessa klausuler som innehåller bilagorna som hänvisas däri utgör en väsentlig del av dessa klausuler.

Klausul 2

Klausulernas effekt och oföränderlighet

  1. Dessa klausuler anger lämpliga skyddsåtgärder, inklusive verkställbara rättigheter för registrerade personer och effektiva juridiska åtgärder, i enlighet med artikel 46.1 och artikel 46.2c av förordning (EU) 2016/679 och, med hänsyn till dataöverföringar från ansvariga till biträden och/eller ansvariga till ansvariga, standardavtalsklausuler i enlighet med artikel 28.7 i förordning (EU) 2016/679, förutsatt att de inte ändras förutom för att välja lämplig(a) modul(er) eller lägga till eller uppdatera information i bilagan. Detta hindrar inte parterna från att inkludera standardavtalsklausulerna som anges i dessa klausuler i mer allmänna avtal och/eller lägga till klausuler eller ytterligare skyddsåtgärder, förutsatt att de inte motsäger, direkt eller indirekt, dessa klausuler eller påverkar registrerade personers grundläggande rättigheter eller friheter.
  2. Dessa klausuler påverkar inte uppgiftsutförarens skyldigheter i enlighet med förordning (EU) 2016/679.

Klausul 3

Tredje parts förmånstagare

  1. Registrerade personer som kan åkalla och upprätthålla dessa klausuler, som tredje parts förmånstagare, mot uppgiftsutföraren och/eller uppgiftsinföraren, med följande undantag:
    1. Klausul 1, klausul 2, klausul 3, klausul 6, klausul 7
    2. Klausul 8.1(b), 8.9(a), (c), (d) och (e)
    3. Klausul 9(a), (c), (d) och (e)
    4. Klausul 12(a), (d) och (f)
    5. Klausul 13
    6. Klausul 15.1(c), (d) och (e)
    7. Klausul 16(e) (viii) Klausul 18(a) och (b).
  2. Paragraf (a) påverkar inte registrerade personers rättigheter i enlighet med förordning (EU) 2016/679.

Klausul 4

Tolkning

  1. Där dessa klausuler använder termer som definieras i förordning (EU) 2016/679 ska termerna ha samma betydelse som i förordningen.
  2. Dessa klausuler ska läsas och tydas med hänsyn till bestämmelserna i förordning (EU) 2016/679.
  3. Dessa klausuler ska inte tydas på ett sätt som är motstridigt med rättigheter och skyldigheter som fastställs i förordning (EU) 2016/679.

Klausul 5

Hierarki

Vid motsägelser mellan dessa klausuler och bestämmelser i relaterade avtal mellan parterna, som förekommer då dessa klausuler godkänns eller som uppkommer därefter, ska dessa klausuler råda.

Klausul 6

Beskrivning av överföring(ar)

Information om överföringen/överföringarna, och särskilt de kategorier av personuppgifter som överförs samt ändamålet för överföringen, anges i bilaga I.B.

Klausul 7 – UTELÄMNAS AVSIKTLIGT

AVSNITT II – PARTERNAS SKYLDIGHETER

Klausul 8

Säkerhetsåtgärder för dataskydd

Uppgiftsutföraren intygar att denne har använt rimliga åtgärder för att fastställa att uppgiftsinföraren kan uppfylla skyldigheterna som anges i dessa klausuler, genom tillämpning av lämpliga tekniska och verksamhetsmässiga åtgärder.

8.1 Instruktioner

  1. Uppgiftsinföraren ska endast behandla personuppgifterna med dokumenterade instruktioner från uppgiftsutföraren. Uppgiftsutföraren kan ge sådana instruktioner under hela avtalsperioden.
  2. Uppgiftsinföraren ska omedelbart underrätta uppgiftsutföraren om denne inte kan följa instruktionerna.

8.2 Ändamålsbegränsning

Uppgiftsinföraren ska endast behandla personuppgifterna för överföringens specifika ändamål, i enlighet med bilaga I.B, såvida inte andra instruktioner mottas från uppgiftsutföraren.

8.3 Transparens

Vid begäran ska uppgiftsutföraren kostnadsfritt tillhandahålla en kopia av dessa klausuler, inklusive bilagan som slutförts av parterna, till den registrerade personen. I den omfattning det krävs för att skydda affärshemligheter eller annan konfidentiell information, inklusive åtgärder som beskrivs i bilaga II och personuppgifter, kan uppgiftsutföraren dölja delar av texten i bilagan för dessa klausuler innan kopian tillhandahålls, men ska tillhandahålla en meningsfull sammanfattning om den registrerade personen annars inte skulle kunna förstå dess innehåll eller utöva sina rättigheter. Vid begäran ska parterna förklara för den registrerade personen varför text har dolts, i den omfattning det är möjligt utan att avslöja information som har dolts. Denna klausul påverkar inte uppgiftsutförarens skyldigheter i enlighet med artikel 13 och 14 i Förordning (EU) 2016/679.

8.4 Noggrannhet

Om uppgiftsinföraren blir medveten om att mottagna personuppgifter inte stämmer eller är föråldrade ska denne informera uppgiftsutföraren om detta utan dröjsmål. I detta fall ska uppgiftsinföraren samarbeta med uppgiftsutföraren för att radera eller korrigera uppgifterna.

8.5 Behandlingslängd och radering eller returnering av data

Uppgiftsinförarens behandling ska endast ske under den tid som anges i bilaga I.B. När tillhandahållandet av behandlingstjänsterna har avslutats ska uppgiftsinföraren, i enlighet med uppgiftsutförarens önskemål, radera alla personuppgifter som behandlats för uppgiftsutföraren och certifiera till uppgiftsutföraren att detta har gjorts, eller returnera samtliga behandlade personuppgifter till uppgiftsutföraren och radera befintliga kopior. Till dess att uppgifterna har raderats eller returnerats ska uppgiftsinföraren fortsätta säkerställa efterlevnad med dessa klausuler. Om lokal lagstiftning som är tillämplig för uppgiftsinföraren förbjuder att personuppgifter returneras eller raderas intygar uppgiftsinföraren att denne ska fortsätta säkerställa efterlevnad med dessa klausuler och endast kommer att behandla dem i den utsträckning och under den tidsperiod som krävs enligt lokal lagstiftning. Detta påverkar inte klausul 14, i synnerhet kravet i enlighet med klausul 14(e) att uppgiftsinföraren underrättar uppgiftsutföraren under avtalets giltighetsperiod ifall denne har anledning att tro att denne är eller har blivit omfattad av lagstiftning eller praxis som inte är förenlig med kraven enligt klausul 14(a).

8.6 Behandlingssäkerhet

  1. Uppgiftsinföraren och, vid överföringen, uppgiftsutföraren ska tillämpa lämpliga tekniska och verksamhetsmässiga åtgärder för att skydda uppgifterna, inklusive skydd mot bristande säkerhet som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt utlämnande eller åtkomst till uppgifterna (hädanefter ”personuppgiftsintrång”). Vid bedömning av lämpliga säkerhetsåtgärder ska parterna ta vederbörlig hänsyn till behandlingens utveckling, tillämpningskostnader, art, omfattning, sammanhang och ändamål, samt riskerna som behandlingen innebär för de registrerade personerna. Parterna ska särskilt ta hänsyn till tillgång till kryptering eller pseudonymisering, inklusive under överföringen, om behandlingens ändamål kan uppnås på det sättet. Vid pseudonymisering ska ytterligare information för att tillskriva personuppgifter till en viss registrerad person, om möjligt, förbli enbart under uppgiftsutförarens kontroll. Vid efterlevnad av skyldigheterna enligt denna paragraf ska uppgiftsinföraren åtminstone tillämpa de tekniska och verksamhetsmässiga åtgärder som anges i bilaga II. Uppgiftsinföraren ska utföra regelbundna kontroller som säkerställer att dessa åtgärder fortsätter att tillhandahålla lämpligt skydd.
  2. Uppgiftsinföraren ska endast bevilja åtkomst till personuppgifter till anställda som behöver åtkomst för att avtalet ska kunna utföras, hanteras eller övervakas. Införaren ska säkerställa att personer som har tillstånd att behandla personuppgifterna har samtyckt till att hålla dem konfidentiella eller har lämpliga lagstadgade konfidentialitetsskyldigheter.
  3. Vid personuppgiftsintrång gällande personuppgifter som behandlas av uppgiftsinföraren enligt dessa klausuler ska uppgiftsinföraren vidta lämpliga åtgärder för att hantera intrånget, inklusive åtgärder för att mildra dess negativa påföljder. Uppgiftsinföraren ska även underrätta uppgiftsutföraren utan dröjsmål när sådana intrång har upptäckts. Meddelandet ska innehålla information om en kontaktpunkt där mer information kan erhållas, en beskrivning av intrångets art (inklusive, om möjligt, kategorier och ungefärligt antal registrerade personer och personuppgiftsposter som omfattas), dess troliga konsekvenser och åtgärder som vidtas eller föreslås för att hantera intrånget, inklusive, om tillämpligt, åtgärder för att mildra dess möjliga negativa påföljder. Om, och i den mån, det inte är möjligt att tillhandahålla all information samtidigt ska det första meddelandet innehålla den information som finns tillgänglig, och ytterligare information ska tillhandahållas utan dröjsmål när den blir tillgänglig.
  4. Uppgiftsinföraren ska samarbeta med och hjälpa uppgiftsutföraren så att denne kan uppfylla sina skyldigheter enligt förordning (EU) 2016/679, i synnerhet att meddela behörig tillsynsmyndighet och berörda registrerade personer, med hänsyn till behandlingens art och information som är tillgänglig för uppgiftsinföraren.

8.7 Känsliga data

Om överföringen involverar personuppgifter som avslöjar etnicitet eller etnisk bakgrund, politiska åsikter, religiös eller filosofisk övertygelse, fackföreningsmedlemskap, genetiska eller biometriska data som unikt identifierar en fysisk person, data gällande en persons hälsa, sexliv eller sexuell läggning eller data gällande straffregister och kriminella handlingar (hädanefter ”känsliga data”) ska uppgiftsinföraren tillämpa specifika begränsningar och/eller ytterligare skyddsåtgärder som anges i bilaga I.B.

8.8 Vidare överföringar

Uppgiftsinföraren ska endast dela personuppgifter med en tredje part efter dokumenterade instruktioner från uppgiftsutföraren. Dessutom får uppgifterna endast delas med en tredje part som befinner sig utanför Europeiska unionen (i samma land som uppgiftsinföraren eller i ett tredje land, hädanefter ”vidare överföring”) om den tredje parten samtycker till att följa dessa klausuler, enligt lämplig modul, eller i följande fall:

  1. Den vidare överföringen är till ett land som omfattas av ett lämplighetsbeslut i enlighet med artikel 45 i förordning (EU) 2016/679 som omfattar vidare överföring.
  2. Den tredje parten på annat sätt säkerställer lämpliga skyddsåtgärder i enlighet med artikel 46 och 47 i förordning (EU) 2016/679 med hänsyn till behandlingen i fråga.
  3. Den vidare överföringen krävs för att etablera, utöva eller försvara juridiska krav gällande specifika administrativa, regelmässiga eller rättsliga förfaranden. (iv) Den vidare överföringen krävs för att skydda den registrerade personens eller annan fysisk persons avgörande intressen.
  4. Vid eventuell vidare överföring måste uppgiftsinföraren följa alla andra skyddsåtgärder som anges i dessa klausuler, särskilt gällande ändamålsbegränsning.

8.9 Dokumentation och efterlevnad

  1. Uppgiftsinföraren ska utan dröjsmål och på rimligt sätt hantera förfrågningar från uppgiftsutföraren gällande behandlingen i enlighet med dessa klausuler.
  2. Parterna ska kunna uppvisa efterlevnad med dessa klausuler. I synnerhet ska uppgiftsinföraren bibehålla lämplig dokumentation om behandlingen som utförs på uppdrag av uppgiftsutföraren.
  3. Uppgiftsinföraren ska tillhandahålla uppgiftsutföraren med all information som krävs för att uppvisa efterlevnad med de skyldigheter som anges i dessa klausuler, och vid uppgiftsutförarens förfrågan tillåta och bidra till granskningar av behandlingen som omfattas av dessa klausuler, vid rimlig frekvens eller om det finns tecken på bristande efterlevnad. Vid beslut om granskning kan uppgiftsutföraren ta hänsyn till kontorelevanta certifieringar som innehas av uppgiftsinföraren.
  4. Uppgiftsutföraren kan välja att genomföra granskningen själv eller anlita en oberoende granskare. Granskningar kan inkludera inspektioner i uppgiftsinförarens lokaler eller fysiska anläggningar och ska, om tillämpligt, utföras med rimlig förvarning.
  5. Parterna ska göra informationen som omnämns i paragraf (b) och (c), inklusive resultat av eventuella granskningar, tillgänglig för behörig tillsynsmyndighet på begäran.

Klausul 9

Användning av underbiträden

  1. Uppgiftsinföraren har uppgiftsutförarens allmänna tillstånd att anlita underbiträden från en överenskommen lista. Uppgiftsinföraren ska specifikt informera uppgiftsutföraren skriftligen ifall underbiträden läggs till eller ersätts på listan minst femton (15) dagar i förväg, och därmed ge uppgiftsutföraren tillräckligt med tid för att kunna invända mot sådana ändringar innan underbiträdet/-biträdena anlitas. Uppgiftsinföraren ska tillhandahålla uppgiftsutföraren med den information som krävs för att uppgiftsutföraren ska kunna utöva sin rätt att invända.
  2. Om uppgiftsinföraren anlitar ett underbiträde för att utföra specifika processuppgifter (på uppdrag av uppgiftsutföraren) ska detta göras genom ett skriftligt avtal som tillhandahåller, i sak, samma dataskyddsansvar som uppgiftsinförarens ansvar i enlighet med dessa klausuler, inklusive gällande tredje partens förmånstagarrättigheter för registrerade personer. Parterna samtycker till att uppgiftsinföraren uppfyller sina skyldigheter i enlighet med klausul 8.8 genom att följa denna klausul. Uppgiftsinföraren ska säkerställa att underbiträdet uppfyller uppgiftsinförarens skyldigheter i enlighet med dessa klausuler.
  3. Uppgiftsinföraren ska vid förfrågan från uppgiftsutföraren tillhandahålla en kopia av avtal med underbiträden och eventuella efterföljande tillägg till uppgiftsutföraren. I den utsträckning det krävs för att skydda affärshemligheter och annan konfidentiell information, inklusive personuppgifter, får uppgiftsinföraren dölja viss information i avtalet innan en kopia delas.
  4. Uppgiftsinföraren ansvarar helt inför uppgiftsutföraren för att underbiträdet uppfyller sina skyldigheter enligt avtalet med uppgiftsinföraren. Uppgiftsinföraren ska meddela uppgiftsutföraren om underbiträdet inte uppfyller dess skyldigheter enligt avtalet.
  5. Uppgiftsinföraren ska fastställa en klausul om tredje parts förmånstagare med underbiträdet enligt vilken, ifall uppgiftsinföraren har upphört att existera i faktisk eller rättslig mening eller har gått i konkurs, uppgiftsutföraren har rätt att avsluta underbiträdets avtal och beordra underbiträdet att radera eller returnera personuppgifterna.

Klausul 10

Den registrerade personens rättigheter

  1. Uppgiftsinföraren ska utan dröjsmål meddela uppgiftsutföraren om eventuella förfrågningar som mottas från en registrerad person. Införaren ska inte svara på förfrågan själv utan uppgiftsutförarens tillstånd att göra det.
  2. Uppgiftsinföraren ska hjälpa uppgiftsutföraren att uppfylla dennes skyldigheter att svara på registrerade personers förfrågningar att utföra deras rättigheter enligt förordning (EU) 2016/679. För detta ska parterna ange lämpliga tekniska och verksamhetsmässiga åtgärder i bilaga II, med hänsyn till behandlingens art, som hjälpen ska tillhandahållas genom, samt omfattningen av den hjälp som krävs.
  3. Vid utförandet av skyldigheterna i enlighet med paragraf (a) och (b) ska uppgiftsinföraren följa instruktionerna från uppgiftsutföraren.

Klausul 11

Rättsmedel

  1. Uppgiftsinföraren ska informera registrerade personer på ett transparent och lättillgängligt sätt, genom individuellt meddelande eller på dess webbplats, om en kontaktpunkt med behörighet att hantera klagomål. Införaren ska utan dröjsmål hantera klagomål som mottas från registrerade personer.
  2. Vid dispyt mellan den registrerade personen och en av parterna gällande efterlevnad med dessa klausuler ska parten i fråga göra sitt bästa för att lösa problemet i godo utan dröjsmål. Parterna ska hålla varandra underrättade om sådana dispyter och, om tillämpligt, samarbeta för att lösa dem.
  3. Om den registrerade personen åkallar tredje parts förmånstagarrätt i enlighet med klausul 3 ska uppgiftsinföraren acceptera den registrerade personens beslut att
    1. inlämna klagomål till tillsynsmyndigheten i medlemsstaten där han/hon bor eller arbetar, eller behörig tillsynsmyndighet i enlighet med klausul 13, eller
    2. hänvisa dispyten till behöriga domstolar inom betydelsen av klausul 18.
  4. Parterna samtycker till att den registrerade personen kan företrädas av ett organ, en organisation eller sammanslutning utan vinstsyfte enligt villkoren som anges i artikel 80.1 i förordning (EU) 2016/679.
  5. Uppgiftsinföraren ska följa ett beslut som är bindande enligt tillämplig EU-lagstiftning eller lagstiftning i medlemsstaten.
  6. Uppgiftsinföraren samtycker till att den registrerade personens beslut inte påverkar hans/hennes materiella och processrättsliga rättigheter till rättsmedel enligt tillämplig lagstiftning.

Klausul 12

Ansvar

  1. Vardera part har ansvarsskyldighet mot de andra parterna för eventuella skador denne orsakar andra parter genom att bryta mot dessa klausuler.
  2. Uppgiftsinföraren har ansvarsskyldighet mot den registrerade personen, och den registrerade personen har rätt att erhålla ersättning för materiella eller icke-materiella skador som uppgiftsinföraren eller dennes underbiträde orsakar den registrerade personen genom att bryta mot tredje partens förmånstagarrättigheter i enlighet med dessa klausuler.
  3. Oaktat paragraf (b) har uppgiftsutföraren ansvarsskyldighet mot den registrerade personen, och den registrerade personen har rätt att erhålla ersättning för materiella eller icke-materiella skador som uppgiftsutföraren eller uppgiftsinföraren (eller dess underbiträde) orsakar den registrerade personen genom att bryta mot den tredje partens förmånstagarrättigheter i enlighet med dessa klausuler. Detta påverkar inte uppgiftsutförarens ansvar och, om uppgiftsutföraren är ett biträde som agerar på uppdrag av en personuppgiftsansvarig, den personuppgiftsansvariges ansvar i enlighet med förordning (EU) 2016/679 eller förordning (EU) 2018/1725, om tillämpligt.
  4. Parterna samtycker till att om uppgiftsutföraren hålls ansvarig i enlighet med paragraf (c) för skador som orsakats av uppgiftsinföraren (eller dess underbiträde) har utföraren rätt att kräva tillbaka den del av ersättningen som motsvarar uppgiftsinförarens ansvar för skadan från uppgiftsinföraren.
  5. Om mer än en part är ansvarig för eventuell skada som orsakats den registrerade personen på grund av brott mot dessa klausuler är alla parterna ansvariga till fullo och den registrerade personen har rätt att ta parterna i fråga till domstol.
  6. Parterna samtycker till att om en part hålls ansvarig i enlighet med paragraf (e) har denna rätt att kräva tillbaka den del av ersättningen som motsvarar andra parters ansvar för skadan från dessa parter.
  7. Uppgiftsinföraren får inte åkalla ett underbiträdes handlingar för att undvika eget ansvar.

Klausul 13

Tillsyn

  1. Tillsynsmyndigheten med ansvar för att säkerställa uppgiftsinförarens efterlevnad med förordning (EU) 2016/679 gällande dataöverföring, i enlighet med bilaga I.C, ska agera som behörig tillsynsmyndighet.
  2. Uppgiftsinföraren samtycker till att ställa sig under den behöriga tillsynsmyndighetens jurisdiktion och samarbete med denne i eventuella processer ämnade att säkerställa efterlevnad med dessa klausuler. I synnerhet samtycker uppgiftsinföraren till att svara på förfrågningar, underställa sig granskningar och följa åtgärder som anammas av tillsynsmyndigheten, inklusive mildrande och kompenserande åtgärder. Införaren ska tillhandahålla tillsynsmyndigheten med skriftlig bekräftelse på att nödvändiga åtgärder har vidtagits.

AVSNITT III – LOKAL LAGSTIFTNING OCH SKYLDIGHETER VID OFFENTLIGA MYNDIGHETERS ÅTKOMST

Klausul 14

Lokal lagstiftning och praxis som påverkar efterlevnad med klausulerna

  1. Parterna intygar att de inte har någon anledning att tro att lagstiftning och praxis i det tredje destinationslandet för uppgiftsinförarens behandling av personuppgifterna, inklusive eventuella krav att dela personuppgifter eller åtgärder som ger offentliga myndigheter åtkomst, hindrar uppgiftsinföraren från att utföra sina skyldigheter enligt dessa klausuler. Detta baseras på förståelsen att lagstiftning och praxis som respekterar själva essensen av de grundläggande rättigheterna och friheterna och som inte överskrider det som är nödvändigt och rimligt i ett demokratiskt samhälle för att skydda en av de målsättningar som anges i artikel 23.1 i förordning (EU) 2016/679 inte står i motsats till dessa klausuler.
  2. Parterna garanterar att de när de tillhandahåller garantin i paragraf (a) vidtar rimlig hänsyn i synnerhet till följande aspekter:
    1. Överföringens specifika omständigheter (inklusive behandlingskedjans längd, antalet inblandade aktörer och överföringskanalen som används), avsedda vidare överföringar, typ av mottagare, behandlingens ändamål, kategorier och format för överförda personuppgifter, ekonomisk sektor där överföringen sker och lagringsplats för överförda uppgifter.
    2. Lagstiftning och praxis i det tredje destinationslandet – inklusive sådana som kräver att uppgifterna delas med offentliga myndigheter eller beviljar åtkomst till sådana myndigheter – som är relevant med hänsyn till överföringens specifika omständigheter, samt tillämpliga begränsningar och skyddsåtgärder.
    3. Eventuella relevanta avtalsmässiga, tekniska eller verksamhetsmässiga skyddsåtgärder som tillämpas utöver skyddsåtgärderna i dessa klausuler, inklusive åtgärder som tillämpas vid överföringen och behandlingen av personuppgifterna i destinationslandet.
  3. Uppgiftsinföraren intygar att denne vid bedömningen i enlighet med paragraf (b) har gjort sitt bästa för att tillhandahålla uppgiftsutföraren med relevant information och samtycker till att fortsätta samarbeta med uppgiftsutföraren för att säkerställa efterlevnad med dessa klausuler.
  4. Parterna samtycker till att dokumentera bedömningen i enlighet med paragraf (b) och göra den tillgänglig till behörig tillsynsmyndighet vid begäran.
  5. Uppgiftsinföraren samtycker till att meddela uppgiftsutföraren utan dröjsmål om denne, efter att ha samtyckt till dessa klausuler och under hela avtalets giltighetsperiod, har anledning att tro att denne omfattas av eller har börjat omfattas av lagstiftning eller praxis som inte är förenlig med kraven i paragraf (a), inklusive efter att lagstiftning i det tredje landet har ändrats eller en åtgärd (såsom en begäran om uppgifter) som tyder på en tillämpning av sådan lagstiftning som inte är förenlig med kraven i paragraf (a).
  6. Efter ett meddelande i enlighet med paragraf (e), eller om uppgiftsutföraren har annan anledning att tro att uppgiftsinföraren inte längre kan uppfylla sina skyldigheter i enlighet med dessa klausuler, ska uppgiftsutföraren utan dröjsmål identifiera lämpliga åtgärder (t.ex. tekniska eller verksamhetsmässiga åtgärder för att säkerställa säkerhet och konfidentialitet) som ska tillämpas av uppgiftsutföraren och/eller uppgiftsinföraren för att hantera situationen. Uppgiftsutföraren ska avbryta dataöverföringen om denne anser att lämpliga säkerhetsåtgärder för sådan överföring inte kan säkerställas, eller vid instruktioner från behörig tillsynsmyndighet om att avbryta överföringen. I detta fall har uppgiftsutföraren rätt att avsluta avtalet, i den mån det gäller behandlingen av personuppgifter i enlighet med dessa klausuler. Om avtalet involverar fler än två parter kan uppgiftsutföraren utöva denna rätt att avsluta avtalet endast för den relevanta parten, såvida inte parterna har kommit överens om annat. Om avtalet avslutas i enlighet med denna klausul ska klausul 16(d) och (e) gälla.

Klausul 15

Uppgiftsinförarens skyldigheter vid offentliga myndigheters åtkomst

15.1 Meddelande

  1. Uppgiftsinföraren samtycker till att meddela uppgiftsutföraren och, om möjligt, den registrerade personen utan dröjsmål (om nödvändigt med uppgiftsutförarens hjälp) i följande fall:
    1. Om denne mottar en juridiskt bindande förfrågan från en offentlig myndighet, inklusive domstol, enligt destinationslandets lagstiftning om att dela personuppgifter som överförts i enlighet med dessa klausuler. Meddelandet ska innehålla information om begärda personuppgifter, myndigheten som efterfrågar dem, rättslig grund för förfrågan och det tillhandahållna svaret.
    2. Om denne blir medveten om offentliga myndigheters direkta åtkomst till personuppgifter som överförts i enlighet med dessa klausuler, enligt lagarna i destinationslandet. Meddelandet ska innehålla all information som är tillgänglig för införaren.
  2. Om uppgiftsinföraren inte får meddela uppgiftsutföraren och/eller den registrerade personen enligt destinationslandets lagstiftning samtycker uppgiftsinföraren till att göra sitt bästa för att erhålla dispens för detta förbud för att kunna dela så mycket information som möjligt, så snart som möjligt, med utföraren och/eller den registrerade personen. Uppgiftsinföraren samtycker till att dokumentera sin strävan för att kunna uppvisa detta vid efterfrågan från uppgiftsutföraren.
  3. Om det tillåts enligt destinationslandets lagstiftning samtycker uppgiftsinföraren till att, regelbundet under hela avtalets giltighetsperiod, tillhandahålla uppgiftsutföraren med så mycket relevant information som möjligt om mottagna förfrågningar (särskilt antalet förfrågningar, data som efterfrågas, myndigheten som efterfrågar dem, om förfrågan har ifrågasatts och resultatet av sådana ifrågasättanden osv.).
  4. Uppgiftsinföraren samtycker till att bevara informationen i enlighet med paragraf (a) till (c) under hela avtalets giltighetsperiod och göra den tillgänglig för behörig tillsynsmyndighet vid begäran.
  5. Paragraf (a) till (c) påverkar inte uppgiftsinförarens skyldigheter i enlighet med klausul 14(e) och klausul 16 att informera uppgiftsutföraren utan dröjsmål om denna inte kan följa dessa klausuler.

15.2 Granskning av lagenlighet och dataminimering

  1. Uppgiftsinföraren samtycker till att undersöka om förfrågningar om data är lagenliga, särskilt om det förblir inom behörigheter som beviljats den efterfrågande offentliga myndigheten, och att ifrågasätta förfrågan om, efter noga övervägande, denne fastställer att det finns rimliga grunder att anse att förfrågan inte är lagenlig enligt destinationslandets lagstiftning, tillämpliga skyldigheter enligt internationell lagstiftning samt principer för internationell hövlighet. Uppgiftsinföraren ska, enligt samma villkor, fullfölja möjligheter att överklaga. När uppgiftsinföraren ifrågasätter en förfrågan ska denne uppsöka tillfälliga åtgärder med avsikt att uppskjuta effekterna av förfrågan tills behörig domstol har fastställt om den är giltig. Införaren ska inte dela de efterfrågade personuppgifterna förrän detta krävs enligt tillämpliga processbestämmelser. Dessa krav påverkar inte uppgiftsinförarens skyldigheter i enlighet med klausul 14(e).
  2. Uppgiftsinföraren samtycker till att dokumentera dennes rättsliga bedömning och eventuella ifrågasättanden av delningsförfrågningar och, i den omfattning detta tillåts enligt destinationslandets lagstiftning, göra dokumentationen tillgänglig för uppgiftsutföraren. Införaren ska även göra dokumentationen tillgänglig för behörig tillsynsmyndighet vid begäran.
  3. Uppgiftsinföraren samtycker till att tillhandahålla så lite information som möjligt vid delningsförfrågningar, baserat på en rimlig tolkning av förfrågan.

AVSNITT IV – SLUTLIGA BESTÄMMELSER

Klausul 16

Bristande efterlevnad med klausulerna och uppsägning

  1. Uppgiftsinföraren ska utan dröjsmål informera uppgiftsutföraren om denne inte kan uppfylla dessa klausuler, oavsett anledning.
  2. Om uppgiftsinföraren bryter mot dessa klausuler eller inte kan uppfylla klausulerna ska uppgiftsutföraren avbryta överföringen av personuppgifterna till uppgiftsinföraren tills efterlevnad säkerställs igen eller avtalet avslutas. Detta påverkar inte klausul 14(f).
  3. Uppgiftsutföraren har rätt att avsluta avtalet, gällande behandling av personuppgifter enligt dessa klausuler, i följande fall:
    1. Om uppgiftsutföraren har avbrutit överföringen av personuppgifter till uppgiftsinföraren i enlighet med paragraf (b) och efterlevnad med dessa klausuler inte återställs inom en rimlig tidsram och i alla fall inom en månad av avbrytandet.
    2. Om uppgiftsinföraren avsevärt eller upprepat bryter mot dessa klausuler.
    3. Om uppgiftsinföraren inte följer ett bindande beslut från behörig domstol eller tillsynsmyndighet gällande dennes skyldigheter i enlighet med dessa klausuler. I dessa fall ska denne informera den behöriga tillsynsmyndigheten om sådan bristande efterlevnad. Om avtalet involverar fler än två parter kan uppgiftsutföraren utöva denna rätt att avsluta avtalet endast gällande parten i fråga, såvida inte parterna har kommit överens om annat.
  4. Personuppgifter som har överförts innan avtalet avbröts i enlighet med paragraf (c) ska omedelbart returneras till uppgiftsutföraren eller raderas till fullo, beroende på vad uppgiftsutföraren föredrar. Detsamma ska gälla eventuella kopior av uppgifterna. Uppgiftsinföraren ska certifiera raderingen av uppgifterna till uppgiftsutföraren. Till dess att uppgifterna har raderats eller returnerats ska uppgiftsinföraren fortsätta säkerställa efterlevnad med dessa klausuler. Om lokal lagstiftning som gäller uppgiftsinföraren förbjuder returnering eller radering av de överförda personuppgifterna intygar uppgiftsinföraren att denne kommer att fortsätta säkerställa efterlevnad med dessa klausuler och endast kommer att behandla uppgifterna till den omfattning och så länge som krävs enligt den lokala lagstiftningen.
  5. Endera part kan återkalla sitt samtycke till att omfattas av dessa klausuler om (i) Europeiska kommissionen antar ett beslut gällande Artikel 45(3) av Förordning (EU) 2016/679 som omfattar överföring av personuppgifter som dessa klausuler gäller eller (ii) om förordning (EU) 2016/679 blir en del av det juridiska ramverket i det land som personuppgifterna överförs till. Detta påverkar inte andra skyldigheter gällande behandlingen i fråga i enlighet med (EU) 2016/679.

Klausul 17

Styrande lagstiftning

Dessa klausuler ska styras av lagstiftningen i en av EU-medlemsstaterna, förutsatt att sådan lagstiftning tillåter tredje parts förmånstagarrättigheter. Parterna samtycker till att detta ska vara lagstiftningen i Förbundsrepubliken Tyskland.

Klausul 18

Val av forum och jurisdiktion

  1. Eventuella tvister som uppstår till följd av dessa klausuler ska lösas av domstolarna i en EU-medlemsstat.
  2. Parterna samtycker till att detta ska vara domstolarna i Förbundsrepubliken Tyskland.
  3. En registrerad person kan även ställa en uppgiftsutförare och/eller uppgiftsinförare inför rätta i domstolarna i den medlemsstat där denne är bosatt.
  4. Parterna samtycker till att underställa sig sådana domstolars jurisdiktion.

Bilaga I till standardavtalsklausulerna

A. LISTA MED PARTER
Uppgiftsutförare: Uppgiftsutföraren är den enhet identifierad som ”kund” i tillägget
Underskrift och datum: Från och med det datum då uppgiftsutföraren elektroniskt accepterar uppgiftsinförarens användningsvillkor anses uppgiftsutföraren ha undertecknat dessa standardavtalsklausuler.
Roll: Personuppgiftsansvarig

Uppgiftsinförare: GoDaddy.com, LLC
Kontaktuppgifter: Dataskyddsombudet – privacy@godaddy.com
Underskrift och datum: Från och med det datum då uppgiftsutföraren elektroniskt accepterar uppgiftsinförarens användningsvillkor anses uppgiftsinföraren ha undertecknat dessa standardavtalsklausuler.
Roll: Personuppgiftsbiträde

B. BESKRIVNING AV ÖVERFÖRING Kategorier av registrerade personer vars personuppgifter överförs beskrivs i bilaga 1 av tillägget.

Kategorier av personuppgifter som överförs beskrivs i bilaga 1 av tillägget.

Känsliga uppgifter som överförs beskrivs i bilaga 1 av tillägget.

Överföringsfrekvensen är en kontinuerlig grund för användningsvillkorens giltighetsperiod.

Behandlingens art beskrivs i Avsnitt 2.2 och bilaga 1 av tillägget.

Ändamål för uppgiftsöverföringen och vidare behandling beskrivs i Avsnitt 2.2 och bilaga 1 i tillägget.

Den tidsperiod som personuppgifter bevaras beskrivs i bilaga 1 av tillägget.

För överföringar till (under)biträden anges behandlingens ämne, art och varaktighet i bilaga III för standardavtalsklausulerna.

C. BEHÖRIG TILLSYNSMYNDIGHET Delstaten Nordrhein-Westfalens kommissionär för dataskydd och informationsfrihet (”LDI NRW”) är behörig tillsynsmyndighet.

Bilaga II för standardavtalsklausulerna

Tekniska och verksamhetsmässiga säkerhetsåtgärder som implementeras av uppgiftsinföraren beskrivs i bilaga 2 för tillägget.

Bilaga III för standardavtalsklausulerna

En lista med underbiträden finns i bilaga 3 för tillägget.


Översatta versioner av juridiska avtal och policyer tillhandahålls endast som en tjänst för att underlätta läsning och förståelse av de engelska versionerna. Syftet med att tillhandahålla översättningar av juridiska avtal och policyer är inte att skapa rättsligt bindande avtal eller att ersätta den rättsliga giltigheten för de engelska versionerna. Vid eventuella tvister eller konflikter reglerar de engelska versionerna av våra juridiska avtal och policyer vår relation och de har företräde framför villkor på andra språk.