GoDaddy – DATABEHANDLINGSTILLÄGG

Detta Uppgiftsbehandlingstillägg (detta ”Tillägg”) verkställs av och mellan GoDaddy.com, LLC, a Delaware limited liability company och dess Samarbetspartners (”GoDaddy”) och dig (”Kund”) och bifogas och kompletterar våra Allmänna användningsvillkor, Sekretesspolicy och alla övriga avtal som reglerar de Omfattade tjänsterna (kollektivt, ”Användningsvillkoren”).

1.1 Om inte annat anges ska detta Tillägg och alla termer med stor begynnelsebokstav i Tillägget definieras enligt Användarvillkoren.

Med ”Samarbetspartner” menas alla enheter som kontrolleras av, kontrollerar eller gemensamt kontrolleras med GoDaddy.

”Omfattade tjänster” innebär värdtjänster som kan involvera vår Behandling av Personuppgifter och gäller under villkoren i följande Avtal: (1) E-postbaserade marknadsföringstjänster, (2) värdtjänster, (3) onlinebutik/snabbkundvagn, (4) webbplatstjänster, (5) Workspace-tjänsten.

Med ”Kunduppgifter” menas alla Registrerade personers Personuppgifter som Behandlas av GoDaddy inom GoDaddy-nätverket för Kundens räkning i enlighet eller i samband med Användningsvillkoren.

Med ”Dataskyddslagstiftning” menas alla dataskydds- eller sekretesslagar och -förordningar som gäller för Behandlingen av Personuppgifter enligt Avtalet, inklusive men inte begränsat till (i) Australiens Privacy Principles och Privacy Act (1988), (ii) Brasiliens Lei Geral de Proteção de Dados (LGPD), (iii) USA:s California Consumer Privacy Act (CCPA), (iv) Kanadas Federal Personal Information Protection and Electronic Documents Act (PIPEDA), (v) Europeiska unionens allmänna dataskyddsförordning (GDPR), (vi) eventuella nationella dataskyddslagar som fattas i koppling till eller i enlighet med GDPR, (vii) EU:s direktiv gällande integritet och elektronisk kommunikation (Direktiv 2002/58/EG), (viii) Singapores Personal Data Protection Act 2012 (PDPA), (ix) Schweiz Federal Data Protection Act från den 19 juni 1992 och dess förordning, (x) Storbritanniens GDPR eller Data Protection Act 2018. I varje fall kan dessa ändras eller ersättas.

Med ”EES” menas Europeiska ekonomiska samarbetsområdet.

Med ”GDPR” menas Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd av fysiska personer vid behandling av personuppgifter och det fria flödet av sådana data och upphävande av direktiv 95/46/EG.

Med ”EU:s Standardavtalsklausuler” menas standardklausulerna för dataskydd som godkänts av Europeiska kommissionens beslut 2021/914 av den 4 juni 2021, inkluderat häri som referens. EU:s Standardavtalsklausuler modul två (Ansvarig till Biträde) och EU:s Standardavtalsklausuler modul tre (Biträde till Biträde) kan laddas ner på EUR-Lex-webbplatsen.

Med ”GoDaddy-nätverk” menas datacenter, servrar, nätverksutrustning och värddatorsystem (t.ex. virtuella brandväggar) för GoDaddy som bevakas av GoDaddy och används för att tillhandahålla de Omfattade tjänsterna.

Med ”Säkerhetsincident” menas ett säkerhetsintrång mot GoDaddy-säkerhetsstandarderna som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, oauktoriserad delning eller åtkomst till Kunduppgifter på system som hanteras eller kontrolleras av GoDaddy.

Med ”Säkerhetsstandarder” avses de säkerhetsstandarder bifogade i detta Tillägg i form av Bilaga 2.

Med ”Känsliga uppgifter” menas (a) personnummer, passnummer, körkortsnummer eller liknande identifierare (eller del därav), (b) kredit- eller betalkortsnummer (förutom de fyra sista siffrorna av ett kredit- eller betalkort), finansiella uppgifter, bankkontonummer eller lösenord, (c) information gällande anställning, finansiell situation, genetik, biometri eller hälsa, (d) information gällande ras, etnisk tillhörighet, politisk eller religiös tillhörighet, fackföreningsmedlemskap eller sexliv eller sexuell läggning, (e) kontolösenord, mors flicknamn eller födelsedatum, (f) kriminell bakgrund eller (g) annan information eller kombinerad information som omfattas av definitionen ”särskilda datakategorier” enligt GDPR eller annan tillämplig lagstiftning eller förordning gällande sekretess och dataskydd.

Med ”Underbiträde” menas alla biträden som anställts av Biträde för Uppgiftsbehandling för personuppgiftsansvariges räkning.

Med ”Storbritanniens GDPR” avses EU:s GDPR som har ändrats och inkluderats i brittisk lagstiftning enligt Storbritanniens European Union (Withdrawal) Act 2018, och tillämplig sekundär lagstiftning fattad enligt denna lag.

Med ”Storbritanniens Tillägg för internationell uppgiftsöverföring” avses Tillägget för internationell dataöverföring för EU:s Standardavtalsklausuler som utfärdats av Storbritanniens Information Commissioner, Version B1.0, som trädde i kraft den 21 mars 2022 och inkluderas häri som referens. Storbritanniens Tillägg för internationell dataöverföring kan laddas ner på webbplatsen för Storbritanniens Information Commissioner.

1.2 Termerna ”personuppgifter”, ”registrerad person”, ”behandling”, ”ansvarig” och ”biträde” som används i detta Tillägg har den betydelse som tilldelats dem enligt EU:s GDPR, oavsett vilken Dataskyddslagstiftning som gäller.

2.1 GoDaddy som Personuppgiftsbiträde. Parterna bekräftar och samtycker till följande: (i) GoDaddy är Personuppgiftsbiträde enligt Dataskyddslagstiftning. (ii) Kunden är ansvarig eller biträde, enligt vad som är tillämpligt, för Kunduppgifter enligt Dataskyddslagstiftning. (iii) Parterna kommer att uppfylla sina skyldigheter enligt tillämplig Dataskyddslagstiftning gällande behandling av Kunduppgifter.

2.2 Information om Uppgiftsbehandling. Föremålet för behandling av Kunduppgifter av GoDaddy är resultatet av de Omfattade tjänsterna enligt Användningsvillkoren. GoDaddy ska endast behandla Kunduppgifter på uppdrag av Kunden och i enlighet med dennes dokumenterade instruktioner för följande ändamål: (i) Behandling i enlighet med Användningsvillkoren. (ii) Behandling inledd av slutanvändare genom användning av de Omfattade tjänsterna. (iii) Behandling avsedd att uppfylla andra dokumenterade, rimliga anvisningar från Kunder (till exempel via e-post) där sådana instruktioner är förenliga med Användningsvillkoren. GoDaddy ska inte (a) behandla, bevara, använda, sälja eller avslöja Kunduppgifter förutom om det är nödvändigt för att tillhandahålla de Omfattade tjänsterna i enlighet med Användningsvillkoren eller om det krävs enligt lag, (b) sälja sådana Kunduppgifter till en tredje part eller (c) bevara, använda eller avslöja sådana Kunduppgifter utanför den direkta affärsrelationen mellan GoDaddy och Kunden.

För att undvika missförstånd ska Kundens anvisningar för behandling av Kunduppgifter uppfylla tillämplig Dataskyddslagstiftning. Kunden är ensamt ansvarig för att Kunduppgifter är korrekta, av hög kvalitet och lagliga, samt de metoder som Kunden använder för att erhålla Kunduppgifter. Om Kunden är ansvarig för Kunduppgifterna bekräftar och samtycker Kunden till följande: (i) Du måste använda kommersiellt rimliga metoder för att tydligt avslöja, och erhålla samtycke till, eventuell uppgiftsinsamling, -delning och -användning som sker på Omfattade tjänster. (ii) Du måste tydligt informera om att Slutanvändares uppgifter kan behandlas utanför ursprungslandet, som en konsekvens av din användning av Omfattade tjänster. Om Kunden är ett biträde för Kunduppgifterna intygar Kunden att Kundens anvisningar och handlingar gällande Kunduppgifter, inklusive tilldelning av GoDaddy som ett annat biträde, har godkänts av relevant ansvarig. GoDaddy måste inte uppfylla eller följa Kundens anvisningar om de skulle strida mot Dataskyddslagstiftning. Behandlingens längd, karaktär och ändamål, samt typen av Personuppgifter och Personuppgiftskategorier som behandlas enligt detta Tillägg, definieras ytterligare i Bilaga 1 (Information om behandlingen) i detta Tillägg.

GoDaddy lämnar inte ut kunddata till någon regering eller annan tredje part, i den mån de inte är skyldiga till det enligt lag eller enligt en giltig och bindande order av brottsbekämpande myndighet (t.ex. stämning eller domstolsbeslut). För den händelse GoDaddy mottar en giltig civilrättslig stämning, och i den utsträckning som medges, kommer GoDaddy att sträva efter att meddela Kunden med rimligt varsel via e-post eller vanlig post för att ge Kunden möjlighet att söka skyddsorder eller annan lämplig åtgärd.

4.1 GoDaddy har genomfört och kommer att upprätthålla vidtagna tekniska och organisatoriska åtgärder för nätverket som tillhör GoDaddy enligt beskrivningen i detta avsnitt och vidare beskrivning i bilaga 2 i detta Tillägg, Säkerhetsstandarder. GoDaddy har huvudsakligen vidtagit och kommer att upprätthålla följande tekniska och organisatoriska åtgärder som berör (i) nätverkssäkerheten för GoDaddy, (ii) fysiskt skydd av anläggningar, (iii) kontroll av anställdas och underentreprenörers åtkomst till (i) och/eller (ii) och (iv) metoder för att testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som införts av GoDaddy. Om vi inte kan uppfylla någon av dessa skyldigheter som anges häri kommer vi att tillhandahålla ett skriftligt meddelande (via vår webbplats eller e-post) så snart det är praktiskt möjligt.

4.2 GoDaddy tillhandahåller en mängd säkerhetsåtgärder och funktioner som kunden kan tänkas använda sig av inom de omfattade tjänsterna. Kunden ansvarar för (a) korrekta inställningar av de omfattade tjänsterna, (b) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna, (c) användning av tillgängliga kontroller i samband med de omfattade tjänsterna (inklusive säkerhetskontroller) för att ge kunden möjlighet att i rimlig tid återställa tillgängligheten och tillgången till kunddata vid en fysisk eller teknisk incident (t.ex. säkerhetskopiering och regelbunden arkivering av kunddata), samt (d) vidta enligt kunden lämpliga åtgärder för att upprätthålla tillämplig säkerhet, skydd och borttagning av kunddata, vilket inkluderar användning av krypteringsteknik för att skydda kunddata mot obehörig åtkomst och åtgärder för att kontrollera åtkomsträttigheter till kunddata.

Med beaktande av de Omfattade tjänsternas karaktär erbjuder GoDaddy Kunden vissa kontroller som Kunden kan välja att använda för att hämta, korrigera, ta bort eller begränsa användning eller delning av Kunduppgifter enligt beskrivning i de Omfattade tjänsterna. Kunden kan välja att använda dessa kontroller som tekniska och organisatoriska åtgärder för att bistå denna i samband med sina skyldigheter i enlighet med Dataskyddslagstiftning, inklusive de skyldigheter denna innehar att svara på förfrågningar från den registrerade. Enligt vad som är kommersiellt rimligt, och i den utsträckning lagen så kräver eller tillåter, ska GoDaddy utan dröjsmål informera Kunden om GoDaddy direkt mottar en begäran från en registrerad om att utöva sådana rättigheter enligt gällande Dataskyddslagstiftning (”Begäran från den registrerade”). När Kundens användning av de Omfattade tjänsterna dessutom begränsar dennes förmåga att ta itu med en registrerads begäran kan GoDaddy, om så är lagligt och ändamålsenligt, på Kundens specifika begäran tillhandahålla affärsmässigt rimlig hjälp med att ta itu med begäran, på bekostnad av Kunden (om kostnad föreligger).

6.1 Auktoriserade underbiträden. Kunden godkänner att GoDaddy får använda underbiträden för att uppfylla sina avtalsförpliktelser enligt deras Användningsvillkor och detta Tillägg, eller tillhandahålla vissa tjänster för Kundens räkning, till exempel supporttjänster. Kunden samtycker härmed till att GoDaddy använder sig av underbiträden enligt beskrivning i detta avsnitt.

6.2 Underbiträdets skyldigheter. När GoDaddy använder sig av ett auktoriserat underbiträde enligt beskrivning i avsnitt 6.1:

(i) GoDaddy kommer att begränsa underbiträdets åtkomst till Kunders Personuppgifter till vad som är nödvändigt för att upprätthålla de Omfattade tjänsterna eller tillhandahålla dessa till Kunden och eventuella slutanvändare i enlighet med Användningsvillkoren. GoDaddy kommer inte att tillåta att underbiträdet har åtkomst till Kunders Personuppgifter för något annat ändamål.

(ii) GoDaddy ingår ett skriftligt avtal med underbiträdet, och så länge som underbiträdet utför samma uppgiftsbehandlingstjänster som tillhandahålls av GoDaddy enligt detta Tillägg ålägger GoDaddy samma kontraktsskyldigheter på underbiträdet som är ålagda GoDaddy enligt detta Tillägg.

(iii) GoDaddy ansvarar för att fullgöra sina skyldigheter enligt detta Tillägg samt för underbiträdets eventuella underlåtenhet eller handlingar som kan resultera i att GoDaddy bryter någon av de skyldigheter som åläggs GoDaddy enligt detta Tillägg.

6.3 Nya underbiträden.  Vi kommer då och då att anlita nya underbiträden i enlighet med och som omfattas av villkoren i detta Tillägg.  I sådana fall kommer vi att informera om detta (via vår webbplats eller e-post) 30 dagar innan något nytt underbiträde erhåller några Kunduppgifter. Om Kunden inte godkänner det nya underbiträdet kan Kunden avsluta de Omfattade tjänsterna utan påföljd genom att tillhandahålla, inom tio dagar efter att ha mottagit vårt meddelande, ett skriftligt uppsägningsbesked som innehåller en förklaring till varför denne inte samtycker. Om de Omfattade tjänsterna ingår i ett kombinationserbjudande eller ett paketköp gäller uppsägning i sin helhet.

7.1 Säkerhetsincident. Om GoDaddy blir varse en säkerhetsincident kommer GoDaddy utan dröjsmål att (a) meddela kunden om säkerhetsincidenten och (b) vidta rimliga åtgärder för att mildra effekterna och minimera eventuella skador till följd av säkerhetsincidenten.

7.2 GoDaddy Hjälp. För att hjälpa Kunden vid personuppgiftsbrott som Kunden är skyldig att underrätta om enligt Dataskyddslagstiftning inkluderar GoDaddy sådan information om Säkerhetsincidenten som GoDaddy i rimlig mån kan offentliggöra för Kunden, med hänsyn till de Omfattade tjänsternas karaktär, den information som är tillgänglig för GoDaddy, samt begränsningar för offentliggörande av sådan information, bland annat sekretess.

7.3 Misslyckade säkerhetsincidenter. Kunden samtycker till att en misslyckad Säkerhetsincident inte omfattas av villkoren i detta Tillägg. En misslyckad Säkerhetsincident innebär ett fall av inte auktoriserad åtkomst till Kunduppgifter eller till nätverk, utrustning, eller anläggningar som tillhör GoDaddy för lagring av Kunduppgifter, och kan utan begränsningar inkludera pingar och andra broadcast-attacker på brandväggar eller kantservrar, skanning av portar, misslyckade inloggningsförsök, överbelastningsattack, packet sniffing (och övrig inte auktoriserad åtkomst till trafikdata som inte resulterar i åtkomst bortom rubriker) eller övriga incidenter.

7.4 Meddelande. Meddelande om säkerhetsincidenter, i förekommande fall, levereras till en eller flera av kundens administratörer på det sätt GoDaddy väljer, inklusive via e-post. Det åligger kunden själv att försäkra sig om att dennes administratörer har korrekta kontaktuppgifter inlagda på administrationskonsolen för GoDaddy samt att överföringarna är säkra.

7.5 Inget felmedgivande från GoDaddy: GoDaddys skyldighet att anmäla eller svara på en säkerhetsincident enligt detta avsnitt tolkas inte och kommer inte att tolkas som en bekräftelse av GoDaddy på att GoDaddy innehar någon skuld eller ansvar för säkerhetsincidenten.

8.1 Oberoende upphörande. Kunden ansvarar för att gå igenom informationen som erhållits från GoDaddy angående datasäkerhet och dess Säkerhetsstandarder och att göra en oberoende utvärdering av huruvida de Omfattade tjänsterna uppfyller dennes krav och rättsliga skyldigheter samt Kundens skyldigheter enligt detta Tillägg. Den information som tillhandahålls är avsedd att hjälpa Kunden uppfylla dennes ansvar enligt tillämplig Dataskyddslagstiftning. Kunden samtycker till att de Omfattade tjänsterna och Säkerhetsstandarderna som implementeras och bibehålls av GoDaddy tillhandahåller en lämplig säkerhetsnivå avseende risken för personuppgifter (med tanke på skick, implementeringskostnad och art, omfattning, sammanhang och syfte för bearbetningen av personuppgifter, samt risker för individer).

8.2 Kundens granskningsrättigheter. Kunden har rätt att bekräfta att GoDaddy uppfyller villkoren i detta tillägg gällande de omfattade tjänsterna genom specifika skriftliga förfrågningar, med rimlig frekvens, till adressen som anges i användningsvillkoren. Om GoDaddy vägrar att följa instruktionerna som kunden begärt angående en granskning eller inspektion begärd i vederbörlig ordning och i korrekt omfattning har kunden rätt att säga upp detta tillägg samt användningsvillkoren.

9.1 Behandling i USA. Såvida inte annat specifikt anges i användningsvillkoren överförs kunduppgifter utanför Storbritannien eller EES och behandlas i USA.

9.2 Tillämpning av EU:s Standardavtalsklausuler. EU:s Standardavtalsklausuler modul två (Ansvarig till Biträde) eller EU:s Standardavtalsklausuler modul tre (Biträde till Biträde) gäller för de Kunduppgifter som, antingen direkt eller via vidare överföring, överförs utanför EES till något av de länder som enligt Europeiska kommissionen inte säkerställer en tillräcklig skyddsnivå för Kunduppgifter. EU:s Standardavtalsklausuler gäller inte för Kunduppgifter som inte, antingen direkt eller via vidare överföring, överförs utanför EES. Oaktat det som anförts ovan gäller inte EU:s Standardavtalsklausuler vid överföring av information i enlighet med erkända standardöverensstämmelser för laglig överföring av Personuppgifter utanför EES, såsom när så krävs för att utföra de Omfattade tjänsterna i enlighet med Användningsvillkoren eller med ditt samtycke.

1. Följande gäller för varje Modul, om tillämpligt:
   1. I Klausul 7 av EU:s Standardavtalsklausuler gäller inte klausulen gällande valfri ändring.
   2. I Klausul 9 av EU:s Standardavtalsklausuler gäller Alternativ 2, och tidsperioden för föregående skriftligt meddelande om ändring av underbiträde anges i avsnitt 6.3 (Nya underbiträden) i detta Tillägg.
   3. I Klausul 11 av EU:s Standardavtalsklausuler gäller inte det valfria språkbruket.
   4. I Klausul 17 (Alternativ 1) styrs EU:s Standardavtalsklausuler av tysk lagstiftning.
   5. I Klausul 18(b) av EU:s Standardavtalsklausuler kommer tvister att lösas i Tysklands domstolar.
   6. I Bilaga 1, Del A av EU:s Standardavtalsklausuler:
      • Lista med parter
        
        Uppgiftsutförare: Uppgiftsutföraren är den enhet identifierad som ”Kund” i Tillägget
        Underskrift och datum: Från och med det datum då Uppgiftsutföraren elektroniskt accepterar Uppgiftsinförarens Användningsvillkor anses Uppgiftsutföraren ha undertecknat EU:s Standardavtalsklausuler.
        Roll: Ansvarig (enligt Modul två) eller Biträde (enligt Modul tre)
        
        Uppgiftsinförare: GoDaddy.com, LLC
        Kontaktuppgifter: Dataskyddsombudet – privacy@godaddy.com
        Underskrift och datum: Från och med det datum då Uppgiftsutföraren elektroniskt accepterar Uppgiftsinförarens Användningsvillkor anses Uppgiftsinföraren ha undertecknat EU:s Standardavtalsklausuler.
        Roll: Biträde
   7. i Bilaga 1, Del B av EU:s Standardavtalsklausuler:
      • Beskrivning av överföring
        
        Kategorier av registrerade personer vars personuppgifter överförs beskrivs i Bilaga 1 av Tillägget.
        Kategorier av personuppgifter som överförs beskrivs i Bilaga 1 av Tillägget. Känsliga uppgifter som överförs beskrivs i Bilaga 1 av detta Tillägg.
        Överföringen sker på pågående basis under hela Användningsvillkorens giltighetsperiod.
        Behandlingens art beskrivs i Avsnitt 2.2 och Bilaga 1 av Tillägget.
        Syfte med uppgiftsöverföring och vidare behandling beskrivs i Avsnitt 2.2 och Bilaga 1 av detta Tillägg.
        Den tidsperiod som personuppgifter lagras beskrivs i Bilaga 1 av detta Tillägg.
        För överföring till (under)biträden anges behandlingens ämne, art och längd i Bilaga III av Standardavtalsklausulerna.
   8. I Bilaga I, Del C av EU:s Standardavtalsklausuler:
      • Behörig tillsynsmyndighet
        Delstaten Nordrhein-Westfalens kommissionär för dataskydd och informationsfrihet (”LDI NRW”) är behörig tillsynsmyndighet.
   9. I Bilaga II av EU:s Standardavtalsklausuler:
      
      Tekniska och organisatoriska säkerhetsåtgärder som implementeras av Uppgiftsinföraren anges i Bilaga 2 av Tillägget.
   10. I Bilaga III av EU:s Standardavtalsklausuler:
       
       Lista med underbiträden inkluderas i Bilaga 3 av detta Tillägg.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. För uppgiftsöverföring från Storbritannien som omfattas av Storbritanniens Tillägg för internationell uppgiftsöverföring kommer Storbritanniens Tillägg för internationell uppgiftsöverföring att ha ansetts ingåtts (och inkluderat i detta Tillägg genom referens därtill) och slutfört enligt följande:
   1. I Tabell 1 av Storbritanniens Tillägg för internationell uppgiftsöverföring anges information om parterna och deras kontaktuppgifter i Avsnitt 9.2 (i)(f) av detta Tillägg.
   2. I Tabell 2 av Storbritanniens Tillägg för internationell uppgiftsöverföring anges information om version av EU:s Standardavtalsklausuler, moduler och valda klausuler som Storbritanniens Tillägg för internationell uppgiftsöverföring bifogas till i Avsnitt 9.2 (EU:s Standardavtalsklausuler) i detta Tillägg.
   3. I Tabell 3 av Storbritanniens Tillägg för internationell uppgiftsöverföring:
      1. Listan med Parter inkluderas i Avsnitt 9.2 (i)(f) av detta Tillägg.
      2. Överföringen beskrivs i Avsnitt 1 (Behandlingens Art och Syfte) i Bilaga 1 (Information om behandlingen) av detta Tillägg.
      3. Bilaga II finns i Bilaga 2 (Säkerhetsstandarder) av detta Tillägg.
      4. Listan med underbiträden inkluderas i Bilaga 3 av detta Tillägg.
   4. I Tabell 4 av Storbritanniens Tillägg för internationell uppgiftsöverföring kan både Införaren och Utföraren avsluta Storbritanniens Tillägg för internationell uppgiftsöverföring i enlighet med villkoren i Storbritanniens Tillägg för internationell uppgiftsöverföring.

Detta tillägg kommer att fortsätta att gälla fram till avslutandet av vår behandling och i enlighet med tjänstevillkoren (”Slutdatum”).   

Enligt beskrivning i de Omfattade tjänsterna kan Kunden förses med kontroller avsedda för inhämtning eller borttagning av Kunduppgifter. Borttagning av Kunduppgifter sker trettio (30) dagar efter Uppsägningsdatumet, i enlighet med villkoren för de Omfattade tjänsterna i fråga. Kunden samtycker till att det är Kundens ansvar att exportera, före Uppsägningsdatumet, eventuella Kunduppgifter som du vill behålla efter Uppsägningsdatumet.

Varje parts ansvar i enlighet med detta Tillägg kommer att omfattas av de undantag och ansvarsbegränsningar som anges i Användningsvillkoren. Kunden samtycker till att alla föreskrivna påföljder som förorsakats GoDaddy beträffande Kunduppgifter, som uppstått till följd av eller i samband med Kundens underlåtenhet att uppfylla sina skyldigheter enligt detta Tillägg och eventuell gällande Dataskyddslagstiftning, kommer att räknas in och minska det ansvar GoDaddy innehar enligt Användningsvillkoren som om det vore Kundens ansvar enligt gällande Användningsvillkor.

Detta Tillägg åsidosätter och ersätter alla tidigare eller nuvarande representationer, överenskommelser, avtal eller kommunikation mellan Kunden och GoDaddy, vare sig skriftligt eller muntligt, beträffande föremålet för detta Tillägg, inklusive alla uppgiftsbehandlingstillägg som ingåtts mellan GoDaddy och Kunden beträffande behandlingen av personuppgifter och det fria flödet av sådana uppgifter.  I den utsträckning det uppstår en konflikt eller motsägelser mellan EU:s Standardavtalsklausuler eller Storbritanniens Tillägg för internationell uppgiftsöverföring och några andra villkor i detta Tillägg eller Användningsvillkoren kommer bestämmelserna i EU:s Standardavtalsklausuler eller Storbritanniens Tillägg för internationell uppgiftsöverföring att gälla, enligt vad som är tillämpligt. Förutom vad som ändrats genom detta Tillägg förblir Användningsvillkoren i full kraft och giltiga.  Om konflikt uppstår mellan Användningsvillkoren och detta Tillägg kommer villkoren i detta Tillägg att gälla.

 INFORMATION OM BEHANDLINGEN

 1. Behandlingens art och ändamål. GoDaddy Behandlar personuppgifter enligt vad som krävs för att utföra de omfattade tjänsterna i enlighet med användningsvillkoren och såsom kunden vidare anvisar under användningen av de omfattade tjänsterna.

 2. Behandlingens längd. Med hänsyn till avsnitt 10 och 11 av detta tillägg kommer GoDaddy att behandla kunduppgifter under användningsvillkorens giltighetsperiod. Oaktat föregående kan GoDaddy behålla kunduppgifter, eller en del därav, om så krävs enligt tillämplig lagstiftning eller förordning, inklusive tillämpliga dataskyddslagar, förutsatt att sådana kunduppgifter förblir skyddade i enlighet med villkoren i detta tillägg och tillämpliga dataskyddslagar.

3. Kategorier av Registrerade. Kunden kan ladda upp Personuppgifter under dennes användning av de Omfattade tjänsterna. Kunden bestämmer efter eget gottfinnande i vilken utsträckning, och uppgifterna kan inkludera, men är inte begränsade till, Personuppgifter för följande kategorier av Registrerade personer:

• Kundens potentiella klienter, kunder, affärspartners och leverantörer (som är fysiska personer)
• Anställda eller kontaktpersoner hos Kundens potentiella klienter, kunder, affärspartners och leverantörer
• Kundens anställda, agenter, rådgivare eller frilansare (som är fysiska personer)
• Kundens användare som denne har gett rätt till att använda de Omfattade tjänsterna

4. Kategorier av personuppgifter. Kunden kan ladda upp Personuppgifter under dennes användning av de omfattade tjänsterna – vilken typ av uppgifter och till vilken utsträckning bestämmer och kontrollerar kunden efter eget gottfinnande och uppgifterna kan inkludera, men är inte begränsade till, följande kategorier av personuppgifter för registrerade personer: 

• Namn
• Adress
• Telefonnummer
• Födelsedatum
• E-postadress
• Övriga hämtade uppgifter som direkt eller indirekt kan identifiera registrerade personer.

5. Känsliga data eller särskilda datakategorier. Kunder kan ladda upp känsliga data under användningen av de omfattade tjänsterna – typ av data samt dess omfattning fastställs och kontrolleras helt av kunden. Kunden ansvarar för att tillämpa begränsningar eller skyddsåtgärder som helt tar hänsyn till typ av data och medföljande risker innan överföring eller behandling av känsliga data via de omfattade tjänsterna.

Säkerhetsstandarder

I.  Tekniska och organisatoriska åtgärder  

Vi åtar oss att skydda våra kunders information.  Beaktande av de bästa tillvägagångssätten, kostnaderna för genomförandet och verksamhetens art, omfattning, omständigheter och bearbetningens syften, samt den varierande i förekomst och svårighetsgrad sannolikheten för rättighets- och frihetsrisker hos fysiska personer, vidtar vi följande tekniska och organisatoriska åtgärder.  Systemens sekretess, integritet, tillgänglighet och motståndskraft tas i beaktande vid valet av åtgärder.

II.  Dataskyddsprogram  

Vårt dataskyddsprogram är upprättat för att bibehålla en världsomfattande ledningsstruktur och säkerställa informationen under hela dess livscykel. Detta program styrs av kontoret för dataintegritetsskydd, vilket övervakar tillämpningen av sekretesspolicyer och säkerhetsåtgärder. Vi genomför regelmässiga tester, ger rådgivning och utvärderar effektiviteten av dess dataskyddsprogram och säkerhetsstandarder.

1. Sekretess. ”Med sekretess menas att personuppgifterna är skyddade mot inte auktoriserat offentliggörande.”  

Vi förfogar över en mängd olika fysiska och logiska åtgärder för att skydda sekretessen för kundernas personuppgifter. Däribland följande åtgärder:   

  Fysisk säkerhet  

• Befintliga fysiska åtkomstkontrollsystem (passerkortskontroll, övervakning av säkerhetsincidenter osv.) 
• Övervakningssystem inklusive larm, och om så krävs TV-övervakning  
• Befintliga clean desk policyer och kontrollpaneler (Obemannade datorer avstängda, låsta skåp osv.)  
•  Hantering av besökares åtkomst 
• Eliminering av data på fysiska media och dokument (fragmentering, avmagnetisering m.m.)

  Åtkomstkontroll och förebyggande av inte auktoriserad åtkomst 

• Tillämpning av åtkomstrestriktioner och tillhandahållande/granskning av rollbaserade behörigheter utifrån ansvarsfördelningsprincipen  
• Starka autentiserings- och auktoriseringsmetoder (flerfaktorsautentisering, certifieringsbaserad auktorisering, automatisk avstängning/log-off osv.)  
• Centraliserad hantering av lösenord och starka/komplexa lösenordsprinciper (minimilängd, teckenkomplexitet, lösenordsutgång osv.)   
• Säker åtkomst till email och internet 
• Hantering av virusskydd  
• Hantering av system för intrångsskydd

Kryptering   

• Kryptering av extern och intern kommunikation via säkra kryptografiska protokoll  
• Kryptering av personuppgifter och känsliga uppgifter i viloläge (databaser, delade kataloger osv.)   
• Full diskkryptering för stationära och bärbara företagsdatorer   
• Kryptering av lagringsmedier  
• Fjärranslutningar till företagsnätverken är krypterade via VPN  
• Säkra krypteringsnycklarnas livscykel

 Dataminimering    

• Minimering av PII/SPI vid tillämpning, felsökning och säkerhetsloggar  
• Användning av pseudonymer i personuppgifter för att förhindra direkt identifiering av privatpersoner 
• Uppgiftssortering enligt funktion (testning, lagring, live) 
• Logisk uppdelning av uppgifter enligt rollbaserade åtkomsträttigheter 
• Definierade perioder för datalagring av personuppgifter

Säkerhetstestning     

• Penetrationstestning för kritiska företagsnätverk och plattformar för värdtjänster av personuppgifter 
• Systematiska nätverks- och sårbarhetsanalyser

2. Integritet. ”Med integritet menas garantier för korrekt (intakt) information och korrekt funktion av system. När man använder termen integritet i samband med uttrycket ”uppgifter”, anger man att uppgifterna är fullständiga och oförändrade”  

Bland annat följande lämpliga förändrings- och logghanteringskontroller samt åtkomstkontroller har inrättats för att se till att integriteten hos personuppgifter upprätthålls:    

Ändrings- och versionshantering    

• Ändrings- och versionshanteringsprocess inklusive (konsekvensanalys, godkännanden, testning, säkerhetsgranskningar, datalagring, övervakning osv.)  
• Roll- och funktionsbaserad (uppdelning av arbetsuppgifter) åtkomst enligt bestämmelserna om produktionsmiljö

Loggning och övervakning

• Loggning av åtkomst och dataändringar  
• Centraliserad revision och säkerhetsloggar   
• Övervakning av fullständig och korrekt dataöverföring (ändpunktskontroll)

3. Tillgänglighet. ”Tillgängligheten till tjänster och IT-system, IT-applikationer och IT-nätverksfunktioner eller till information är garanterad, så länge användarna har möjlighet att använda dem när så avsetts.”    

Vi genomför lämpliga kontinuitets- och säkerhetsåtgärder för att upprätthålla åtkomsten till dess tjänster och de data som finns lagrade i dessa tjänster:    

• Regelmässiga redundanstest tillämpas för kritiska tjänster  
• Omfattande övervakning av prestanda/tillgänglighet och rapportering för kritiska system   
• Incidentåtgärdsprogram  
• Replikering och säkerhetskopiering av känsliga uppgifter (molnsäkerhetskopieringar/hårddiskar/replikering av databaser osv.)  
• Planerat underhåll av programvara, infrastruktur och säkerhet är i bruk (programvaruuppdateringar, säkerhetskorrigeringar osv.)   
• Redundanta och motståndskraftiga system (serverklusters, speglade databaser, inställningar med hög tillgänglighet osv.) lokaliserade på annan plats och/eller på geografiskt åtskilda platser    
• Användning av avbrottsfri kraftförsörjning, överflödig hårdvara och nätverkssystem  
• Larm, säkerhetssystem på plats  
• Fysiska skyddsåtgärder vidtas för kritiska platser (överspänningsskydd, upphöjda golv, kylsystem, brand- och rökvarnare, brandsläckningssystem osv.) 
• DDoS-skydd för fortsatt åtkomst   
• Last- och stresstestning

4. Instruktioner för databehandling. ”Instruktioner för databehandling avser att säkerställa att personuppgifter endast kommer att behandlas i enlighet med instruktioner från personuppgiftsansvarige och tillhörande företagsåtgärder”  

Vi har upprättat interna sekretesspolicyer och avtal, samt genomför regelbundna sekretesskurser för anställda för att garantera att personuppgifter behandlas i enlighet med kundernas önskemål och instruktioner.   

• Anställdas kontrakt omfattar villkor för sekretess och konfidentialitet 
• Regelbundna dataskydds- och säkerhetsutbildningar för anställda 
• Lämpliga kontraktsvillkor i underbiträdesavtalen för bibehållande av kontrollrättigheter för anvisningar 
• Regelbundna sekretesskontroller för externa tjänsteleverantörer 
• Förse kunderna med full kontroll över deras inställningar för databehandling 
• Regelbundna säkerhetsgranskningar