Sverige

GoDaddy

DATABEHANDLINGSTILLÄGG (KUNDER)

Senast reviderad: 2020-10-21

Detta databehandlingstillägg (detta ”tillägg”) verkställs av och mellan GoDaddy.com, LLC, a Delaware limited liability company och dess samarbetspartners (”GoDaddy”) och dig (”kund”) och bifogas och kompletterar våra allmänna användningsvillkor, sekretesspolicy och alla övriga avtal som reglerar de omfattade tjänsterna (kollektivt, ”användarvillkoren”). Om inte annat anges ska detta tillägg och alla termer med stor begynnelsebokstav definieras enligt användarvillkoren.

1. Definitioner

Med ”samarbetspartner” menas alla enheter som kontrolleras av, kontrollerar eller gemensamt kontrolleras med GoDaddy.

"CCPA” står för California Consumer Privacy Act, Cal. Civ. Code 1798.100 et seq., inklusive eventuella tillägg och tillhörande implementeringsregler som börjar gälla på eller efter detta databehandlingstilläggs ikraftträdandedatum.

”Omfattade tjänster” alla tjänster vi erbjuder dig som kan innehålla vår behandling av personuppgifter.

Med ”kunduppgifter”; menas alla registrerades personuppgifter som behandlas av GoDaddy inom GoDaddys nätverk för kunds räkning i enlighet eller i samband med tjänstevillkoren.

Med ”personuppgiftsansvarig” menas kund, den enhet vilken bestämmer avsikten med och metoderna för personuppgiftsbehandling.

Med ”personuppgiftsbiträde” menas GoDaddy, den enhet som behandlar personuppgifter för den personuppgiftsansvariges räkning. eller tjänsteleverantören såsom detta begrepp definieras av CCPA

Med ”Dataskyddslagar” menas alla dataskydds- eller sekretesslagar och -regler som gäller för hantering av personuppgifter under Avtalet, inklusive CCPA, (ii) GDPR, (iii) EU:s e-sekretessdirektiv (Direktiv 2002/58/EC), (iv) annan nationell dataskyddslagstiftning under eller som följer (ii) eller (iii), (v) Schweiziska federala dataskyddslagen av den 19 juni 1992 och dess förordning, samt (vi), när det gäller Storbritannien, Data Protection Act 2018 och all tillämplig nationell lagstiftning som i nationell lag ersätter eller byter ut GDPR eller annan lag som gäller data och sekretess, till följd av Storbritanniens utträde ur EU; och i vart och ett av dessa fall gäller efterföljande ändringar, efterträdande eller ersättande lagar.

Med ”den registrerade” menas den enskilda person vars personuppgifter avses.

Med ”EES” menas Europeiska ekonomiska samarbetsområdet.

Med ”GDPR” menas Europaparlamentets och rådets förordning (EU) 2016/679 per den 27 april 2016 om skydd av fysiska personer vid behandling av personuppgifter och det fria flödet av sådana data och upphävande av direktiv 95/46/EC (General Data Protection Regulation).

Med ”GoDaddys nätverk” menas GoDaddys datacentra, servrar, nätutrustning och värddatorsystem (t.ex. virtuella brandväggar) vilka bevakas av GoDaddy och används för att tillhandahålla de omfattade tjänsterna.

Med ”Personuppgifter” menas all information som avser en identifierad eller identifierbar person eller hushåll, så som definieras under Dataskyddslagar.

”Behandling” innebär varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig på automatisk väg eller annan, till exempel insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, återvinning, läsning, användning, utlämnande genom översändande, spridning eller annat tillgängliggörande, justering eller kombination, begränsning, radering eller förstöring. ”Behandla”, ”behandlingar” och ”behandlad” kommer att tolkas i enlighet därmed. Uppgifter om behandlingen föreskrivs i bilaga 1.

Med ”Säkerhetsincident” menas antingen (a) en säkerhetsöverträdelse av GoDaddy säkerhetsstandarder som leder till en oavsiktlig eller olaglig förstörelse, förlust, ändring eller ett inte auktoriserat avslöjande av eller tillgång till kunddata; eller (b) en inte auktoriserad åtkomst till GoDaddys utrustning eller anläggningar, där i bägge fallen en sådan åtkomst leder till förstörelse, förlust, ett inte auktoriserat avslöjande eller ändring av kunddata.

Med ”säkerhetsstandarder” avses de säkerhetsstandarder bifogade i detta tillägg i form av bilaga 2.

”Standardavtalsklausuler” eller ”SCC” avser bilaga 3, som är bifogad till och ingår i tillägget i enlighet med Europeiska kommissionens beslut av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare som är etablerade i tredjeland enligt direktivet.

Med ”underbiträde” menas alla personuppgiftsbiträden som anställts av registerförare för databehandling för personuppgiftsansvariges räkning.

2. Databehandlingstjänster

2.1 Omfattning och roller. Detta tillägg gäller när kunddata behandlas av GoDaddy. I detta avseende kommer GoDaddy att inneha rollen av personuppgiftsbiträde å kundens vägnar som personuppgiftsansvarig i fråga om kunddata.

2.2 Information om databehandling. Föremålet för behandling av kunduppgifter av GoDaddy är resultatet av de tjänster som omfattas enligt användarvillkoren och produktspecifika avtal. GoDaddy skall endast behandla kunduppgifter på uppdrag av kunden och i enlighet med dennes dokumenterade instruktioner för följande ändamål: (i) behandling i enlighet med användarvillkoren eller tillämpliga produktspecifika avtal, (ii) behandling inledd av slutanvändare genom användning av de omfattade tjänsterna; (iii) behandling avsedd att uppfylla andra dokumenterade, rimliga anvisningar från kunder (till exempel via e-post) där sådana instruktioner är förenliga med avtalsvillkoren. GoDaddy är inte skyldig att: (a) bearbeta, bevara, använda, sälja eller avslöja kundernas data förutom om det är nödvändigt för att tillhandahålla de omfattade tjänsterna i enlighet med användarvillkoren eller om det krävs enligt lagen; (b) sälja sådana kunduppgifter till en tredje part; (c) bevara, använda eller avslöja sådana kunduppgifter utanför den direkta kundrelationen mellan GoDaddy och kunden.

För att undvika missförstånd skall kundens anvisningar för behandling av personuppgifter uppfylla alla tillämpliga datasekretesslagar. Kunden ska själv ansvara för personuppgifternas riktighet, kvalitet och legalitet och att det sätt kunden fick tag på personuppgifterna var lagenligt. GoDaddy ska inte behöva uppfylla eller observera kundens anvisningar om sådana anvisningar skulle bryta mot datasekretesslagar. Behandlingens längd, karaktär och ändamål, samt typen av personuppgifter och personuppgiftskategorier som behandlas enligt detta tillägg, definieras ytterligare i bilaga 1 (Information om behandlingen) i detta tillägg.

3. Kunddatasekretess

GoDaddy lämnar inte ut kunddata till någon regering eller annan tredje part, i den mån de inte är skyldiga till det enligt lag eller enligt en giltig och bindande order av brottsbekämpande myndighet (t.ex. stämning eller domstolsbeslut). För den händelse GoDaddy mottar en giltig civilrättslig stämning, och i den utsträckning som medges, kommer GoDaddy att sträva efter att meddela Kunden med rimligt varsel via e-post eller vanlig post för att ge Kunden möjlighet att söka skyddsorder eller annan lämplig åtgärd.

4. Säkerhet

4.1 GoDaddy har genomfört och kommer att upprätthålla vidtagna tekniska och organisatoriska åtgärder för s nätverk enligt beskrivningen i detta avsnitt och vidare beskrivning iGoDaddy ‘säkerhetsstandarder’ bilaga 2 i detta tillägg. GoDaddy har huvudsakligen vidtagit och kommer att upprätthålla följande tekniska och organisatoriska åtgärder som berör (i) GoDaddys nätverkssäkerhet; (ii) fysiskt skydd av anläggningar; (iii) kontroll av anställdas och underentreprenörers åtkomst till (i) och/eller (ii); och (iv) metoder för att testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som införts av GoDaddy. I den händelse vi inte kan uppfylla någon av dessa skyldigheter som anges häri, kommer vi att tillhandahålla skrivet meddelande (via vår webbplats och e-post) så snart det är praktiskt möjligt.

4.2 GoDaddy tillhandahåller en mängd säkerhetsåtgärder och funktioner som kunden kan tänkas använda sig av inom de omfattade tjänsterna. Kunden ansvarar för (a) korrekta inställningar av de omfattade tjänsterna, (b) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, (c) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att ge kunden möjlighet att i rimlig tid återställa tillgängligheten och tillgången till kunddata vid en fysisk eller teknisk incident (t.ex. säkerhetskopiering och regelbunden arkivering av kunddata), samt (d) vidta enligt kunden lämpliga åtgärder för att upprätthålla tillämplig säkerhet, skydd och borttagning av kunddata, vilket inkluderar användning av krypteringsteknik för att skydda kunddata mot obehörig åtkomst och åtgärder för att kontrollera åtkomsträttigheter till kunddata.

5. Den registrerades rättigheter

Med beaktande av de omfattade tjänsternas karaktär, erbjuder GoDaddy kunden vissa kontroller, beskrivna i avsnittet ”Säkerhet” i detta tillägg, som kunden kan välja att använda för att hämta, korrigera, ta bort eller begränsa användning eller delning av kunddata enligt beskrivning i de omfattade tjänsterna. Kunden kan välja att använda dessa kontroller som tekniska och organisatoriska åtgärder för att bistå denna i samband med sina skyldigheter i enlighet med gällande sekretesslagar, inklusive de skyldigheter denna innehar att svara på förfrågningar från den registrerade. Inom ramen för affärsmässiga rättigheter, och i den utsträckning lagen så kräver eller tillåter, skall GoDaddy utan dröjsmål informera kunden om GoDaddy direkt mottar en begäran från en registrerad om att utöva sådana rättigheter enligt gällande datasekretesslagar (”Begäran av den registrerade”). När kundens användning av de omfattade tjänsterna dessutom begränsar dennes förmåga att ta itu med en registrerads begäran, kan GoDaddy, om så är lagligt och ändamålsenligt på kundens specifika begäran tillhandahålla affärsmässigt rimlig hjälp med att ta itu med begäran, på bekostnad av kunden (om kostnad föreligger).

6. Uppgiftsbehandling via underbiträde

6.1 Auktoriserade underentreprenörer. Kunden godkänner att GoDaddy får använda underentreprenörer för att uppfylla sina avtalsförpliktelser enligt deras tjänstevillkor och detta tillägg, eller tillhandahålla vissa tjänster för kundens räkning, till exempel supporttjänster. Kunden samtycker härmed till att GoDaddy använder sig av underentreprenörer enligt beskrivning i denna sektion. GoDaddy tillåter inte annan uppgiftsbehandling via underentreprenör än den som anges i denna bilaga eller på annat sätt auktoriseras av dig.

6.2 Underbiträdets skyldigheter. När GoDaddy använder sig av ett auktoriserat underbiträde enligt beskrivning i avsnitt 6.1:

(i) GoDaddy kommer att begränsa underentreprenörens tillgång till kunddata till vad som är nödvändigt för att upprätthålla de omfattade tjänsterna eller att tillhandahålla dessa till kunden och eventuella slutanvändare i enlighet med de tjänster som omfattas. GoDaddy kommer inte tillåta att underentreprenören har åtkomst till kunddata för något annat ändamål;

(ii) GoDaddy ingår ett skriftligt avtal med underbiträdet och så länge som underbiträdet utför samma uppgiftsbehandlingstjänster som levereras av GoDaddy enligt detta tillägg, ålägger GoDaddy samma kontraktsskyldigheter på underbiträdet som GoDaddy är ålagda enligt detta tillägg; och

(iii) GoDaddy ansvarar för att de fullgör sina skyldigheter enligt detta tillägg samt för underentreprenörens eventuella underlåtenhet eller handlingar som kan resultera i att GoDaddy bryter någon av GoDaddys skyldigheter enligt detta tillägg.

6.3 Nya underbiträden. Vi kommer att då och då anlita nya underbiträden i enlighet med och som omfattas av villkoren i detta tillägg. I sådana fall kommer vi att informera om detta 60 dagar (via vår webbplats och e-post) innan något nytt underbiträde erhåller några kunduppgifter. Om kunden inte godkänner det nya underbiträdet kan kunden avsluta de tjänster som omfattas (Covered Services) utan påföljd genom att tillhandahålla, inom tio (10) dagar efter att ha mottagit vårt meddelande, ett skriftligt uppsägningsbesked som innehåller en förklaring till att ni inte godkänner. Om tjänsterna som omfattas (Covered Services) ingår i ett kombinationserbjudande eller ett paketköp, då gäller uppsägning i sin helhet.

7. Anmälan av säkerhetsöverträdelser

7.1 Säkerhetsincident. Om GoDaddy blir varse en säkerhetsincident kommer GoDaddy utan vidare att: (a) informera kunden om säkerhetsincidenten; och (b) vidta rimliga åtgärder för att mildra effekterna och minimera eventuella skador till följd av säkerhetstillbudet.

7.2 GoDaddy Hjälp. För att hjälpa kunden vid ett personuppgiftsbrott som kunden är skyldig att underrätta om enligt alla eventuella gällande sekretesslagar, inkluderar GoDaddy sådan information om säkerhetsincidenten som GoDaddy i rimlig mån kan offentliggöra för kunden, med hänsyn till de omfattade tjänsternas karaktär, den information som är tillgänglig för GoDaddy, samt alla restriktioner för offentliggörande av sådan information, bland annat sekretess.

7.3 Misslyckade säkerhetsincidenter. Kunden samtycker till att:

(i) En säkerhetsincident underkastas inte villkoren i detta tillägg. En säkerhetsincident innebär ett fall av inte auktoriserad åtkomst till personuppgifter eller till något av GoDaddys nätverk, utrustning, eller anläggningar för lagring av kunddata, och kan utan begränsningar inkludera pingar och andra broadcast-attacker på brandväggar eller gränsservrar, skanning av portar, misslyckade inloggningsförsök, överbelastningsattack, packet sniffing (och övrig inte auktoriserad åtkomst till trafikdata som inte resulterar i åtkomst bortom rubriker) eller övriga incidenter; och

(ii) GoDaddys skyldighet att anmäla eller svara på en säkerhetsincident enligt detta avsnitt tolkas inte och kommer inte att tolkas som en bekräftelse av GoDaddy på att GoDaddy innehar någon skuld eller ansvar för säkerhetsincidenten.

7.4 Kommunikation. Anmälan av säkerhetsincidenter, i förekommande fall, levereras till en eller flera av kundens administratörer på det sätt GoDaddy väljer, inklusive via e-post. Det åligger kunden själv att försäkra sig om att dennes administratörer har korrekta kontaktuppgifter inlagda på GoDaddys administrationskonsol samt att överföringarna är säkra.

8. Kundrättigheter

8.1 Oberoende upphörande. Kunden ansvarar för att gå igenom informationen han erhållit av GoDaddy angående datasäkerhet och dess säkerhetsstandarder och att göra en oberoende utvärdering av huruvida de omfattade tjänsterna uppfyller dennes krav och rättsliga skyldigheter samt kundens skyldigheter enligt detta tillägg. Informationen som tillgängliggjorts är ämnad att hjälpa kunden att uppfylla sina skyldigheter enligt gällande sekretesslagar för dataskydd, inklusive GDPR, och i fråga om konsekvensbedömningar avseende dataskydd och förhandssamråd.

8.2 Kundens revisionsrättigheter. Kunden har rätt att bekräfta GoDaddys efterlevnad av detta tillägg i enlighet med de omfattade tjänsterna, och särskilt GoDaddys efterlevnad av sina säkerhetsstandarder, genom att utöva sin rimliga rätt att genomföra en revision eller inspektion, bland annat inom ramen för standardavtalsklausulerna såvida de tillämpas, genom en särskild skriftlig begäran från GoDaddy till den adress som anges i dess tjänstevillkor. Om GoDaddy vägrar att följa instruktionerna som kunden begärt angående en revision eller granskning begärd i vederbörlig ordning och i korrekt omfattning, har kunden rätt att säga upp detta tillägg samt tjänstevillkor. Så länge standardavtalsklausulerna gäller, modifierar eller ändrar varken något i denna sektion standardavtalsklausulerna eller påverkar rättigheterna hos någon tillsynsmyndighet eller den registrerade enligt dessa standardavtalsklausuler. Denna sektion gäller även i den mån GoDaddy utför kontrollen av underentreprenörer å kundens vägnar.

9. Överföringar av personuppgifter

9.1 USA- baserad behandling. Såvida inte annat anges i tjänstevillkoren, överförs kunddata utanför EES och behandlas i USA.

9.2 Tillämpning av standardavtalsklausuler. Standardavtalsklausulerna gäller för de kunduppgifter som, antingen direkt eller via transferöverföring, överförs utanför EES till något av de av Europeiska kommissionen inte erkända länder, och säkerställer en adekvat skyddsnivå för personuppgifter. Standardavtalsklausulerna gäller inte för kunduppgifter som inte, antingen direkt eller via transferöverföring, överförs utanför EES. Oaktat det som anförts ovan, gäller inte standardavtalsklausulerna vid överföringar av information i enlighet med erkända standardöverensstämmelser för laglig överföring av personuppgifter utanför EES.

10. Tilläggets upphörande

Detta tillägg kommer att fortsätta att gälla fram till avslutandet av vår behandling och i enlighet med tjänstevillkoren (”Slutdatum”).

11. Återlämning eller borttagning av kunduppgifter

Enligt beskrivning i de omfattade tjänsterna kan kunden förses med kontroller avsedda för inhämtning eller borttagning av personuppgifter. All borttagning av kunduppgifter regleras av villkoren i de särskilda omfattade tjänsterna.

12. Ansvarsbegränsningar

Varje parts ansvar i enlighet med detta tillägg kommer att omfattas av de undantag och ansvarsbegränsningar som anges i tjänstevillkoren. Kunden samtycker till att alla föreskrivna påföljder som förorsakats GoDaddy beträffande kunddata, som uppstått till följd av, eller i samband med kundens underlåtenhet att uppfylla sina skyldigheter enligt detta tillägg och eventuella gällande sekretesslagar, kommer att räknas in och minska det ansvar GoDaddy innehar enligt tjänstevillkoren som om det vore kundens ansvar enligt gällande tjänstevillkor.

13. Fullständiga tjänstevillkor; Motsättning

Detta tillägg åsidosätter och ersätter alla tidigare eller nuvarande representationer, överenskommelser, avtal eller kommunikation mellan kunden och GoDaddy, vare sig skriftlig eller muntlig, beträffande föremålet för detta tillägg, inklusive alla databehandlingstillägg som ingåtts mellan GoDaddy och kund beträffande behandlingen av personuppgifter och det fria flödet av sådana uppgifter. Förutom vad som ändrats genom detta tillägg, förblir tjänstevillkoren i full kraft och giltiga. Om konflikt uppstår mellan någon annan överenskommelse mellan parterna inbegripet tjänstevillkoren och detta tillägg, kommer villkoren i detta tillägg att gälla.

** ************************************************

Bilaga 1

INFORMATION OM BEHANDLINGEN

1. Behandlingens art och ändamål. GoDaddy behandlar personuppgifter som nödvändigt för att uppfylla de omfattade tjänsterna i enlighet med tjänstevillkoren, produktspecifika avtal och såsom kunden vidare anvisar under användningen av de omfattade tjänsterna.

2. Behandlingens längd. Omfattade av avsnitt 10 i detta tillägg, behandlar GoDaddy personuppgifterna det datum tjänstevillkoren börjar gälla, men rättar sig efter villkoren i detta tillägg vad gäller personuppgiftsbehandlingens varaktighetsperiod om det överskrider denna period, och såvida ingen annan skriftlig överenskommelse gjorts.

3. Kategorier av registrerade. Kunden kan ladda upp personuppgifter under dennes användning av de omfattade tjänsterna; vilken typ av uppgifter och till vilken utsträckning bestämmer och kontrollerar kunden efter eget gottfinnande; uppgifterna kan inkludera, men är inte begränsade till följande kategorier av de registrerades personuppgifter:

Kunds potentiella klienter, kunder, affärspartners och leverantörer (som är fysiska personer)
Anställda eller kontaktpersoner hos kundens potentiella klienter, kunder, affärspartners och leverantörer
Anställda, agenter, rådgivare, kunds frilansare (som är fysiska personer)
De av kundens användare som denna gett rätt till att använda de omfattade tjänsterna

4. Typer av personuppgifter. Kunden kan ladda upp personuppgifter under dennes användning av de omfattade tjänsterna; vilken typ av uppgifter och till vilken utsträckning bestämmer och kontrollerar kunden efter eget gottfinnande; uppgifterna kan inkludera, men är inte begränsade till, följande kategorier av personuppgifter av registrerade:

Namn
Adress
Telefonnummer
Födelsedatum
E-postadress
Övriga hämtade uppgifter som direkt eller indirekt kan identifiera dig.

** ************************************************

Bilaga 2

Säkerhetsstandarder

I. Tekniska och organisatoriska åtgärder

Vi åtar oss att skydda våra kunders information. Beaktande av de bästa tillvägagångssätten, kostnaderna för genomförandet och verksamhetens art, omfattning, omständigheter och bearbetningens syften, samt den varierande i förekomst och svårighetsgrad sannolikheten för rättighets- och frihetsrisker hos fysiska personer, tar vi följande tekniska och organisatoriska åtgärder. Systemens sekretess, integritet, tillgänglighet och motståndskraft tas i beaktande vid valet av åtgärder. En snabb återhämtning efter en fysisk eller teknisk incident garanteras.

II. Dataskyddsprogram

Vårt dataskyddsprogram är upprättat för att bibehålla en världsomfattande ledningsstruktur och säkerställa informationen under hela dess livscykel. Detta program styrs av kontoret för dataintegritetsskydd, vilket övervakar tillämpningen av sekretesspolicyer och säkerhetsåtgärder. Vi genomför regelmässiga tester, ger rådgivning och utvärderar effektiviteten av dess dataskyddsprogram och säkerhetsstandarder.

1. Sekretess. ”Med sekretess menas att personuppgifterna är skyddade mot inte auktoriserat offentliggörande.”

Vi förfogar över en mängd olika fysiska och logiska åtgärder för att skydda sekretessen för kundernas personuppgifter. Däribland följande åtgärder:

Fysisk säkerhet

Befintliga fysiska åtkomstkontrollsystem (passerkortskontroll, övervakning av säkerhetsincidenter osv.)
Övervakningssystem inklusive larm, och om så krävs TV-övervakning
Befintliga clean desk policyer och kontrollpaneler (Obemannade datorer avstängda, låsta skåp osv.)
Hantering av besökares åtkomst
Eliminering av data på fysiska media och dokument (fragmentering, avmagnetisering m.m.)

Åtkomstkontroll och förebyggande av inte auktoriserad åtkomst

Tillämpning av åtkomstrestriktioner och tillhandahållande/granskning av rollbaserade behörigheter utifrån ansvarsfördelningsprincipen
Starka autentiserings- och auktoriseringsmetoder (flerfaktorsautentisering, certifieringsbaserad auktorisering, automatisk avstängning/log-off osv.)
Centraliserad hantering av lösenord och starka/komplexa lösenordsprinciper (minimilängd, teckenkomplexitet, lösenordsutgång osv.)
Säker åtkomst till email och internet
Hantering av virusskydd
Hantering av system för intrångsskydd

Kryptering

Kryptering av extern och intern kommunikation via säkra kryptografiska protokoll
PII/SPII kryptering i vila (databaser, delade kataloger osv.)
Full diskkryptering för stationära och bärbara företagsdatorer
Kryptering av lagringsmedier
Fjärranslutningar till företagsnätverken är krypterade via VPN
Säkra krypteringsnycklarnas livscykel

Dataminimering

Minimering av PII/SPI vid tillämpning, felsökning och säkerhetsloggar
Användning av pseudonymer i personuppgifter för att förhindra direkt identifiering av privatpersoner
Uppgiftssortering enligt funktion (testning, lagring, live)
Logisk uppdelning av uppgifter enligt rollbaserade åtkomsträttigheter
Definierade perioder för datalagring av personuppgifter

Säkerhetstestning

Penetrationstestning för kritiska företagsnätverk och plattformar för värdtjänster av personuppgifter
Systematiska nätverks- och sårbarhetsanalyser

2. Integritet. ”Med integritet menas garantier för korrekt (intakt) information och korrekt funktion av system. När man använder termen integritet i samband med uttrycket ”uppgifter”, anger man att uppgifterna är fullständiga och oförändrade”

Bland annat följande lämpliga förändrings- och logghanteringskontroller samt åtkomstkontroller har inrättats för att se till att integriteten hos personuppgifter upprätthålls:

Ändrings- och versionshantering

Ändrings- och versionshanteringsprocess inklusive (konsekvensanalys, godkännanden, testning, säkerhetsgranskningar, datalagring, övervakning osv.)
Roll- och funktionsbaserad (uppdelning av arbetsuppgifter) åtkomst enligt bestämmelserna om produktionsmiljö

Loggning och övervakning

Loggning av åtkomst och dataändringar
Centraliserad revision och säkerhetsloggar
Övervakning av fullständig och korrekt dataöverföring (ändpunktskontroll)

3. Tillgänglighet. ”Tillgängligheten till tjänster och IT-system, IT-applikationer och IT-nätverksfunktioner eller till information är garanterad, så länge användarna har möjlighet att använda dem när så avsetts.”

Vi genomför lämpliga kontinuitets- och säkerhetsåtgärder för att upprätthålla åtkomsten till dess tjänster och de data som finns lagrade i dessa tjänster:

Regelmässiga redundanstest tillämpas för kritiska tjänster
Omfattande övervakning av prestanda/tillgänglighet och rapportering för kritiska system
Incidentåtgärdsprogram
Replikering och säkerhetskopiering av känsliga uppgifter (molnsäkerhetskopieringar/hårddiskar/replikering av databaser osv.)
Planerat underhåll av programvara, infrastruktur och säkerhet är i bruk (programvaruuppdateringar, säkerhetskorrigeringar osv.)
Redundanta och motståndskraftiga system (serverklusters, speglade databaser, inställningar med hög tillgänglighet osv.) lokaliserade på annan plats och/eller på geografiskt åtskilda platser
Användning av avbrottsfri kraftförsörjning, överflödig hårdvara och nätverkssystem
Larm, säkerhetssystem på plats
Fysiska skyddsåtgärder vidtas för kritiska platser (överspänningsskydd, upphöjda golv, kylsystem, brand- och rökvarnare, brandsläckningssystem osv.)
DDoS-skydd för fortsatt åtkomst
Last- och stresstestning

4. Instruktioner för databehandling. ”Instruktioner för databehandling avser att säkerställa att personuppgifter endast kommer att behandlas i enlighet med instruktioner från personuppgiftsansvarige och tillhörande företagsåtgärder”

Vi har upprättat interna sekretesspolicyer och avtal, samt genomför regelbundna sekretessträningar för anställda för att garantera att personuppgifter behandlas i enlighet med kundernas önskemål och instruktioner.

Anställdas kontrakt omfattas av termer för sekretess och konfidentialitet
Regelmässiga dataskydds- och säkerhetsutbildningar för anställda
Lämpliga kontraktsvillkor till underbiträdesavtalen för bibehållande av kontrollrättigheter för anvisningar
Regelbundna sekretesskontroller för externa tjänsteleverantör
Förse kunderna med full kontroll över deras inställningar för uppgiftsbehandling
Regelbundna säkerhetsrevisioner

**********************************************

Bilaga 3

Se sektion 9.2 i tillägget för tillämpning av dessa standardavtalsklausuler

Standardavtalsklausuler (personuppgiftsbiträden)

Med avseende på artikel 26.2 i direktiv 95/46/EG för överföring av personuppgifter till registerförare i tredjeländer med otillräckligt uppgiftsskydd

Enheten identifierad som ”kund” i tillägget
(”uppgiftsutförare”)

och

GoDaddy.com, LLC

(”uppgiftsinförare”)

enskilt en ’part’; tillsammans ’parterna’,

HAR ENATS om följande avtalsklausuler (”klausulerna”) för att säkerställa ett adekvat skydd för privatliv och grundläggande rättigheter och friheter för enskilda i samband med överföring från uppgiftsutföraren till uppgiftsinföraren av sådana personuppgifter som anges i bilaga 1.

Klausul 1

Definitioner

I klausulerna skall följande gälla:

(a) 'personuppgifter', 'särskilda uppgiftskategorier', 'behandling', 'personuppgiftsansvarig', 'personuppgiftsbiträde', 'den registrerade' och 'tillsynsmyndighet' skall ha samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter;

(b) med ’uppgiftsutförare’ menas den registeransvarige som överför personuppgifter;

(c) med ’uppgiftsinförare’: menas den registerförare som går med på att från uppgiftsutföraren ta emot personuppgifter å hans vägnar för vidare behandling i enlighet med uppgiftsutförarens instruktioner och villkoren i klausulerna, och som inte omfattas av ett system i tredjeland och garanterar ett adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG;

(d) med ‘underentreprenör’ menas varje registerförare som anlitats av uppgiftsinföraren eller av en annan av uppgiftsinförarens underbiträden och som åtar sig att från uppgiftsinföraren eller en annan av uppgiftsinförarens underbiträden ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifter för uppgiftsutförarens räkning och i enlighet med uppgiftsutförandens instruktioner, de standardavtalsklausuler som anges i bilagan samt villkoren i det skriftliga underbiträdesavtalet;

(e) ’tillämplig uppgiftsskyddslagstiftning’ menas sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad;

(f) Med ’tekniska och organisatoriska säkerhetsåtgärder’ menas åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling.

Klausul 2

Information om överföringen

Information om överföringen, och framför allt, i förekommande fall information om särskilda kategorier av personuppgifter, anges i tillägg 1, vilket utgör en integrerad del av klausulerna.

Klausul 3

Tredje parts förmånstagarförordnande

1. Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4.b–i, 5.a–e, 5.g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.

2. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5.a–e och 5 g, klausul 6, klausul 7, klausul 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.

3. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausul 5a–e och 5g, klausul 6, klausul 7, klausul 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, varvid den registrerade kan åberopa de ovannämnda klausulerna gentemot denna. Underbiträdets ansvar i egenskap av tredje part skall begränsas till hans egna databehandling i enlighet med klausulerna.

4. Parterna har inget att invända mot att en registrerad företräds av sammanslutningar eller andra organ om denne uttryckligen så önskar och i den mån det är tillåtet enligt nationell rätt.

Klausul 4

Uppgiftsutförarens skyldigheter

Uppgiftsutföraren samtycker och garanterar följande:

(a) att behandlingen av personuppgifterna, inbegripet själva överföringen, har skett och även i fortsättningen kommer att ske i enlighet med tillämplig uppgiftsskyddslagstiftning (och i förekommande fall anmäls till behöriga myndigheter i den medlemsstat där uppgiftsutföraren är etablerad) och inte strider mot gällande lagar eller andra författningar i den medlemsstaten;

(b) att denna instruerat och under hela behandlingen av personuppgifter kommer att instruera uppgiftsinföraren att behandla de överförda personuppgifterna endast för uppgiftsutförarens räkning och i enlighet med tillämplig uppgiftsskyddslagstiftning och klausuler;

(c) att uppgiftsinföraren kommer att ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 till detta avtal;

(d) att denna, mot bakgrund av tillämplig uppgiftsskyddslagstiftning, har funnit säkerhetsåtgärderna lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling, med hänsyn tagen till teknikens ståndpunkt, kostnaden för vidtagande av åtgärderna och de risker behandlingen innebär och karaktären hos de uppgifter som ska behandlas;

(e) att det kommer att ses till att säkerhetsåtgärderna följs;

(f) att, om överföringen avser särskilda kategorier av uppgifter, de registrerade har informerats eller informeras senast när överföringen sker eller så snart som möjligt därefter om att deras uppgifter kan komma att överföras till ett tredjeland som inte tillhandahåller adekvat skydd i den mening som avses i direktiv 95/46/EG;

(g) att vidarebefordra anmälningar från uppgiftsinföraren eller eventuella underbiträden i enlighet med klausul 5b och klausul 8.3 till tillsynsmyndigheten om uppgiftsutföraren beslutar att fortsätta överföringen eller häva avbrottet;

(h) att på begäran tillhandahålla de registrerade en kopia av klausulerna, med undantag för tillägg 2, och en sammanfattande beskrivning av säkerhetsåtgärderna, samt en kopia av eventuella avtal för underbiträdestjänster som måste ingås enligt klausulerna, såvida inte klausulerna eller avtalet innehåller affärsinformation, varvid sådan information kan avlägsnas;

(i) att uppgiftsbehandlingen vid eventuella underentreprenader utförs i enlighet med klausul 11 av ett underbiträde som garanterar samma eller högre skyddsnivå för personuppgifter och den registrerades rättigheter som uppgiftsinföraren ska göra enligt klausulerna, och

(j) att denna kommer att se till att klausulerna 4.a–i efterlevs;

Klausul 5¹.

Uppgiftsinförarens skyldigheter

Uppgiftsinföraren samtycker till och garanterar följande:

(a) att behandla personuppgifter uteslutande för uppgiftsutförarens räkning och i enlighet med dennes instruktioner samt klausulerna; om han av något skäl inte kan fullgöra detta krav går han med på att omedelbart informera uppgiftsutföraren om detta, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet;

(b) att han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt detta avtal; om lagstiftningen ändras på ett sätt som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, ska han omgående anmäla ändringen till uppgiftsutföraren, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet;

(c) att denna har vidtagit de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 innan de överförda personuppgifterna behandlas;

(d) att han omgående ska meddela uppgiftsutföraren om följande:

(i) varje rättsligt bindande begäran från rättsliga myndigheter om utlämnande av personuppgifterna, om inte detta är förbjudet på grund av exempelvis ett straffrättsligt förbud som syftar till att bevara sekretessen vid brottsutredningar,

(ii) all oavsiktlig eller inte auktoriserad åtkomst, och

(iii) varje förfrågan direkt från de registrerade, utan att svara på denna förfrågan, om det inte givits tillstånd till det;

(e) att utan dröjsmål och korrekt handlägga alla frågor från uppgiftsutföraren angående hans behandling av sådana personuppgifter som omfattas av överföringen och att rätta sig efter tillsynsmyndighetens rekommendationer med avseende på behandlingen av överförda uppgifter;

(f) att på uppgiftsutförarens begäran ställa sin databehandlingsutrustning till förfogande för granskning av den uppgiftsbehandling som dessa klausuler avser; granskningen ska genomföras av uppgiftsutföraren eller av ett inspektionsorgan med oberoende och sakkunniga ledamöter; de av tystnadsplikt bundna ledamöterna utses av uppgiftsutföraren, i tillämpliga fall enligt överenskommelse med tillsynsmyndigheten;

(g) att på begäran förse den registrerade med en kopia av klausulerna eller av eventuella befintliga underbiträdesavtal, såvida inte klausulerna eller kontraktet innehåller känslig affärsinformation, varvid han kan ta bort dessa uppgifter; denna skyldighet omfattar dock inte bilaga 2, som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan erhålla en kopia från uppgiftsutföraren;

(h) att han, om uppgiftsbehandlingen läggs ut på entreprenad, i förväg har underrättat uppgiftsutföraren och utverkat skriftligt förhandstillstånd från denne;

(i) att uppgiftsbehandlingstjänsterna av underentreprenör utförs enligt klausul 11;

(j) att utan onödigt dröjsmål skicka en kopia av alla underbiträdesavtal som ingåtts under klausulerna till uppgiftsutföraren.

Klausul 6

Ansvar

1. Parterna är överens om att alla registrerade, som har lidit skada till följd av att en part eller underbiträde har underlåtit att fullgöra de skyldigheter som avses i klausul 3 eller klausul 11, har rätt att få ersättning för skadan från uppgiftsutföraren.

2. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underbiträde bryter mot någon av sina skyldigheter enligt klausulerna 11 eller 3, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att denne har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsutföraren som om denne var uppgiftsutförare, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet. Dataimportören kan inte åberopa en underentreprenörs överträdelse av sina skyldigheter för att på så sätt undvika eget ansvar.

3. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underbiträde bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 2, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att denne har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsutföraren som om denne var uppgiftsutförare, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet. Underbiträdets ansvar skall begränsas till hans egna databehandling i enlighet med klausulerna.

Klausul 7

Medling och behörighet

1. Om den registrerade åberopar tredje parts rättigheter och/eller kräver ersättning för skador i enlighet med klausulerna, godtar uppgiftsimportören den registrerades beslut:

(a) att inleda medling av tredje part eller, i tillämpliga fall, av tillsynsmyndigheten;

(b) att hänskjuta tvisten till domstol i den medlemsstat där uppgiftsutföraren är etablerad.

2. Parterna är överens om att den registrerades val inte påverkar dennes materiella eller processuella rätt att söka gottgörelse i enlighet med andra bestämmelser i nationell eller internationell lagstiftning.

Klausul 8

Samarbete med tillsynsmyndighet

1. Uppgiftsutföraren åtar sig att inlämna en kopia på kontraktet hos tillsynsmyndigheten om de så kräver och om inlämnandet är nödvändigt i enlighet med tillämplig uppgiftsskyddslagstiftning.

2. Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och eventuella personuppgiftsbiträden i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.

3. Uppgiftsinföraren skall utan dröjsmål underrätta uppgiftsutföraren om förekomsten av lagstiftning gällande denna eller något underbiträde som förhindrar genomförandet av en revision av uppgiftsinföraren eller något underbiträde, i enlighet med punkt 2. I sådana fall har uppgiftsutföraren rätt att vidta de åtgärder som angetts i klausul 5b.

Klausul 9

Styrande lagstiftning

Klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad, och i tveksamma fall eller vid multipla uppgiftsutförare, omfattas de av lagarna i England och Wales.

Klausul 10

Avtalsändringar

Parterna åläggs att inte ändra eller modifiera klausulerna. Detta hindrar inte parterna från att om nödvändigt lägga till klausuler om affärsrelaterade frågor, så länge dessa inte står i strid med någon klausul.

Klausul 11

Uppgiftsbehandling via underentreprenör

1. Uppgiftsinföraren får inte lägga ut någon del på entreprenad av den behandling som han i enlighet med klausulerna utför för uppgiftsutförarens räkning, utan uppgiftsutförarens föregående skriftliga samtycke. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, enligt klausulerna lägger över sina skyldigheter på ett underbiträde, får detta endast ske genom ingående av ett skriftligt avtal med underbiträdet, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren. Om underbiträdet inte uppfyller sina skyldigheter i fråga om uppgiftsskyddsbehandling enligt ett sådant skriftligt avtal ska uppgiftsinföraren förbli fullt ansvarig gentemot uppgiftsutföraren för underbiträdets uppfyllande av sina skyldigheter enligt avtalet.

2. Det på förhand ingångna skriftliga avtalet mellan uppgiftsinföraren och underbiträdet ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 1 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med punkt 6 i klausul 6 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har övertagit uppgiftsutförarens eller uppgiftsinförarens fulla rättsliga skyldigheter enligt avtal eller lag. Underbiträdets ansvar i egenskap av tredje part skall begränsas till hans egna databehandling i enlighet med klausulerna.

3. Bestämmelserna inom uppgiftsskyddsområdet rörande utläggning av uppgiftsbehandlingen på entreprenad av det kontrakt som avses i punkt 1 ska regleras enligt lagen i den medlemsstat där uppgiftsutföraren är etablerad.

4. Uppgiftsutföraren skall föra en förteckning över underbiträdesavtal som ingåtts enligt klausulerna och anmälts av uppgiftsinföraren enligt klausul 5j, vilken bör uppdateras minst en gång om året. Denna lista bör finnas tillgänglig för uppgiftsutföraren tillsynsmyndighet för dataskydd.

Klausul 12

Skyldigheter efter det att behandlingen av personuppgifter har upphört

1. Parterna är överens om att när tillhandahållandet av databehandlingstjänsterna upphör, ska uppgiftsinföraren och underbiträdet, efter uppgiftsutförarens val, återlämna alla personuppgifter samt kopior därav till uppgiftsutföraren eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att de har gjort det, såvida inte lagstiftning ålagd uppgiftsinföraren hindrar dem från att returnera eller förstöra hela eller delar av de överförda personuppgifterna. I så fall ska uppgiftsinföraren garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte aktivt behandla de överförda personuppgifterna ytterligare.

2. Uppgiftsinföraren och underbiträdet garanterar att de på uppgiftsimportörens och/eller tillsynsmyndighetens begäran kommer att ställa sin databehandlingsutrustning till förfogande för en granskning av de åtgärder som anges i punkt 1.

**********************************************

Bilaga 1 till standardavtalsklausulerna

Uppgiftsutförare

Uppgiftsutföraren är den enhet identifierad som ”kund” i tillägget

Uppgiftsinförare

Uppgiftsinföraren är GoDaddy.com, LLC , leverantör av värdtjänster.

De registrerade

Behandlingarna beskrivs i sektion 1.3 och bilaga 1 i tillägget.

Uppgiftskategorier

Behandlingarna beskrivs i sektion 1.3 och bilaga 1 i tillägget.

Bearbetningsförfaranden

Behandlingarna beskrivs i sektion 1.3 och bilaga 1 i tillägget.

Bilaga 2 till standardavtalsklausulerna

Denna bilaga är en del av klausulerna. Genom att förvärva de omfattade tjänsterna av GoDaddy, anses tillägget och denna bilaga 2 accepterade och tillämpas av och mellan parterna.

Redogörelse för de tekniska och organisatoriska säkerhetsåtgärder som uppgiftsinföraren vidtagit i enlighet med klausulerna 4d och 5c (eller bifogade handlingar/bestämmelser):

De tekniska och organisatoriska säkerhetsåtgärder som uppgiftsinföraren vidtagit är de som anges i tillägget, detaljerat i Annex 2, som bifogats det.

1 Standardavtalsklausulerna är inte oförenliga med obligatoriska krav i den nationella lagstiftning som är tillämplig på uppgiftsinföraren, förutsatt att kraven inte går utöver vad som är nödvändigt i ett demokratiskt samhälle på någon av de grunder som anges i artikel 13.1 i direktiv 95/46/EG, dvs. om det är en nödvändig åtgärd med hänsyn till statens säkerhet, försvaret, den allmänna säkerheten, förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken, ett för staten viktigt ekonomiskt eller finansiellt intresse eller skydd av den registrerades eller andras fri- och rättigheter. Exempel på sådana obligatoriska krav som inte går utöver vad som krävs i ett demokratiskt samhälle är bland andra internationellt erkända sanktioner, krav på skatterapportering eller upplysningsplikt när det gäller bekämpning av penningtvätt.