Detta databehandlingstillägg för återförsäljare (”DPA”;) utgör en del av det avtal som upprättats mellanGoDaddy.com, LLC (inklusive dess samarbetspartner som avses enligt avtalet) (”GoDaddy”) och er (”Återförsäljare”) för försäljning av GoDaddys produkter och tjänster (”Tjänster”) genom GoDaddys Återförsäljarprogram, och ska gälla avseende Återförsäljarens behandling av personuppgifter på uppdrag av GoDaddy. Återförsäljare ingår i detta DPA för egen räkning och, i den utsträckning som det krävs för tillämpliga dataskyddslagar och förordningar, i sina behöriga samarbetspartners namn och för deras räkning. Alla ord som inleds med versaler som inte definieras här ska ha den betydelse som anges i avtalet. Termerna ”vi”, ”oss” och ”vår”/”vårt”/”våra” avser GoDaddy. Termerna ”du”, ”din”/”ditt”/”dina” eller ”återförsäljare” ska avse en person eller enhet som godkänner detta avtal. Inget i detta avtal ska anses tilldela några rättigheter eller förmåner till tredje part. Detta DPA ska träda i kraft och vara bindande från datumet för ditt elektroniska godkännande.

DPA:n består av två (2) separata delar, vilka är tillämpliga enligt förklaringen nedan:

• Standarder och krav för datasekretess och säkerhet: Application of Data Privacy and Security Standards and Requirements. Tillämplig på alla återförsäljare som åtkomst till och behandlar personligt identifierbar information (som ”definieras här”) inom formen för och omfattningen av deras deltagande i återförsäljarprogrammet.
• Standardavtalsklausuler (och dess bilagor 1 och 2): Tillämpning av standardavtalsklausuler. Standardavtalsklausulerna gäller för de kunduppgifter som, antingen direkt eller via transferöverföring, överförs utanför EES till något av de av Europeiska kommissionen inte erkända länder, och säkerställer en adekvat skyddsnivå för personuppgifter (enligt beskrivning i GDPR). Standardavtalsklausulerna gäller inte för kunduppgifter som inte, antingen direkt eller via transferöverföring, överförs utanför EES. Oaktat det som anförts ovan, gäller inte standardavtalsklausulerna vid överföringar av information i enlighet med erkända standardöverensstämmelser för laglig överföring av personuppgifter utanför EES, till exempel skölden för skydd av privatlivet i EU och Förenta staterna.

1. Ämne och omfattning

Detta datasekretess- och säkerhets-SLA (”Säkerhets-SLA”) är bifogat och införlivat i avtalet i syfte att säkerställa att all personligt identifierbar information (enligt nedan) som samlas in eller används av dig hanteras på ett säkert sätt och i övrigt enligt villkoren avtalet, detta säkerhets-SLA och tillämpliga lagar och förordningar.

2. Rangordning.

Denna säkerhets-SLA ingår i och utgör en del av avtalet. För frågor som inte behandlas under denna säkerhets-SLA tillämpas villkoren i avtalet. Vad beträffar parternas rättigheter och skyldigheter gentemot varandra kommer villkoren i detta säkerhets-SLA att råda i händelse av en konflikt mellan avtalet och detta säkerhets-SLA. I händelse av en konflikt mellan villkoren i detta säkerhets-SLA och standardavtalsklausulerna gäller standardavtalsklausulerna.

3. Personuppgifter.

1. ”PII”, ”personligt identifierbar information” eller ”personuppgifter” ska betyda all slags information i alla medium och form som tillhör en identifierad eller identifierbar fysisk person eller hushåll. En identifierbar fysisk person är någon som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifierare som ett namn, en adress, ett personnummer eller annat identifikationsnummer, e-postadress, telefonnummer, ekonomisk profil, kreditkortsinformation, körkortsnummer, eller annan information som skäligen kan kopplas till en viss person, dator eller enhet (t.ex information som samlats in via spårningstekniker som IP-adresser), eller till en eller flera faktorer som är specifika för den personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet.

2. Databehandling för syftena i detta DPA ska omfatta insamling, registrering, organisering, strukturering, lagring, anpassning eller ändring, hämtning, konsulting, användning, utlämning, spridning eller på annat sätt tillhandahålla, kombinera, radera eller förstöra personligt identifierbar information.
3. GoDaddy avslöjar endast personligt identifierbar information för dig för ditt utförande av tjänster å GoDaddys vägnar, och du får endast använda dem i de begränsade och specifika syften som beskrivs i avtalet och i våra skriftliga instruktioner, och inte i något annat syfte, inbegripet angående överföringar av EU-medborgares personligt identifierbara information utanför EU, såvida inte lagstiftning i Europeiska unionen eller i ett av Europeiska unionens medlemsländer kräver det (i vilket fall du omedelbart måste meddela oss innan du gör det, såvida du enligt lag inte är förbjuden att informera oss).
4. Du är förbjuden att: (i) sälja personligt identifierbar information; (ii) behålla,använda eller avslöja personligt identifierbar information i kommersiellt annat än att tillhandahålla tjänster; och (iii) behålla, använda eller avslöja personligt identifierbar information utom avtalet mellan dig och GoDaddy.

5. Du godkänner och bekräftar att personligt identifierbar information inte avslöjas för några tjänster som tillhandahålls GoDaddy enligt avtalet. Du får inte sälja någon personligt identifierbar information, så som termen ”sälja” definieras i enlighet med California Consumer Privacy Act of 2018, så som den ändrats (”CCPA”), och du intygar härmed att du förstår regler, krav och definitioner i CCPA, och alla begränsningar i detta DPA. Du samtycker till att inte vidta åtgärder som kan orsaka överföring av personligt identifierbar information till eller från dig, som kan kvalificeras som att ”sälja personlig information” under CCPA och andra tillämpliga lagar.
6. Du får endast överföra personuppgifter gällande enskilda individer i EU utanför EU (eller om sådana personuppgifter redan finns utanför EU, till tredje part som också finns utanför EU) i enlighet med villkoren i detta DPA och kraven i artiklarna 44–49 i GDPR (enligt nedan).
7. Du måste omedelbart meddela oss om vår anvisning, i din mening, inkräktar på några tillämpliga dataskyddslagar och bestämmelser, inklusive EU:s dataskyddslagstiftning och bestämmelser (enligt nedan) på privacy@godaddy.com.

8. Du måste behandla all personligt identifierbar information som strikt konfidentiell och samtliga anställda och godkända ombud som anlitas för att behandla den personligt identifierbara informationen måste informeras om att den är konfidentiell. Du måste säkerställa att sådana personer eller parter skriver under ett lämpligt konfidentialitetsavtal för att bibehålla den personligt identifierbara informationens tillförlitlighet.
9. Du bekräftar och godtar att du ansvarar för att upprätthålla lämpliga organisations- och säkerhetsåtgärder för att skydda personligt identifierbar information i den mån du mottar, upprätthåller, bearbetar eller på annat sätt har åtkomst till sådan personligt identifierbar information i samband med återförsäljarprogrammet under avtalet. Du måste skydda och säkra sådan personligt identifierbar information i enlighet med all tillämplig sekretess- och dataskyddslagstiftning, inklusive, men inte begränsat till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (”allmän dataskyddsförordning” eller ”GDPR”) och tillhörande EU-medlemsstaters lagstiftning och förordningar (tillsammans ”EU:s dataskyddslagstiftning”) och CCPA.

10. TDe lämpliga organisatoriska åtgärder och säkerhetsåtgärder som det hänvisas till i avsnitt 3.7 ska, i förekommande fall innehålla (men är inte begränsade till):
    1. De åtgärderna listas nedan under avsnitten 3 och 4;
    2. Åtgärder för att säkerställa att endast personer med behörighet, av de skäl som beskrivs i avtalet, har åtkomst till den personligt identifierbara informationen;
    3. Pseudonymisering och kryptering av personligt identifierbar information;
    4. Förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och -tjänsterna;
    5. Förmågan att återställa tillgängligheten och åtkomsten till personligt identifierbar information i tid;
    6. En process för regelbunden testning, utvärdering och bedömning av hur effektiva de tekniska och organisatoriska åtgärderna är för att säkerställa säkerheten vid behandling av personligt identifierbar information, och
    7. Åtgärder för att identifiera sårbarheter avseende bearbetning av personligt identifierbar information i dina system.
11. I den utsträckning du har avtal med någon underleverantör, leverantör eller annan tredje part för att underlätta deras resultat enligt avtalet måste du (i) få föregående skriftligt medgivande av oss, och (ii) ingå ett skriftligt avtal med sådan tredje part för att säkerställa att sådan part också efterlever villkoren i detta DPA och detta avtal.

12. Oaktat eventuell behörighet som vi tilldelat i enlighet med avsnitt 1.11, förblir du fullt ansvarig för alla slags underleverantörer, leverantörer eller tredje parts handlingar i de fall sådan part brister i sina skyldigheter enligt detta DPA (eller liknande avtalsarrangemang som genomförts för att ålägga tredje part motsvarande skyldigheter som de som vilar på dig i detta DPA) eller enligt tillämpliga sekretesslagar.
13. Du kommer, på din bekostnad, att försvara, ersätta och hålla oss skadefria från och mot skulder, kostnader och förluster i samband med tillfällig eller permanent, oavsiktlig eller olaglig, otillgänglighet, förlust, förstörelse, otillåtet avslöjande av eller åtkomst till, stöld eller äventyrande av PII (personlig identifierbar information), och alla andra brott mot tillämplig dataskyddslagstiftning och brott mot detta DPA.
14. I den händelse du blir medveten om att du har fått vår konfidentiella information eller personuppgifter som inte var avsedda att mottas av dig eller utan behörighet att mottas av dig under det här avtal måste du snarast meddela oss på privacy@godaddy.comoch (ii) om inte annat anges skriftligen, behålla uppgifterna tills du kontaktas avprivacy@godaddy.commed instruktioner om hur sådana uppgifter ska behandlas.

4. Konsekvensbedömningar och säkerhetsrevisioner

1. Konsekvensbedömningar avseende dataskydd. Du måste bistå oss med att utföra konsekvensbedömningar avseende dataskydd för att identifiera och minimera eventuella sekretess- och säkerhetsrisker kopplade till återförsäljarprogrammet i avtalet.
2. Regelbundna revisioner. Vi reserverar oss rätten att regelbundet revidera (eller låta tredje part, under vår ledning, revidera) din efterlevnad av detta DPA.
3. Revision efter en incident. I händelse av säkerhetsöverträdelse av en återförsäljare kan vi komma att utföra en säkerhetsrevision för att säkerställa att ingen personligt identifierbar information tagit skada. Ni får 90 dagar på er att besvara eventuella frågor som framkommit under revisionen. När frågorna har blivit lösta kan vi komma att utföra en säkerhetsrevision för att säkerställa att lösningen har slutförts.
4. 2.4 Meddelande om bristande efterlevnad. Om du av någon anledning inte ka uppfylla åtagandena i denna DPA måste du meddela oss omedelbart. I sådana fall måste du informera om det är möjligt att lösa eventuella problem snabbt och utan att riskera säkerheten för personligt identifierbar information. Om så inte sker kan vi välja att avsluta avtalet utan dröjsmål, böter eller vidare ansvar gentemot dig.

5. Svar på säkerhetsincident

1. Tidpunkt för anmälan. Du ska kommunicera alla säkerhetsincidenter som rör dina tjänster och/eller personligt identifierbar information till oss omedelbart i samband med att de upptäcks samt tillhandahålla oss omedelbar feedback om eventuella konsekvenser som incidenten kommer/kan ha för oss eller personligt identifierbar information. Du ska göra ditt yttersta för att meddela oss om säkerhetsincidenten direkt när sådan incident upptäcks, dock under inga omständigheter senare än en (1) timme efter upptäckten av incidenten. En incident för detta DPA ska även innehålla:
   1. Ett klagomål eller en begäran med respekt för den enskildes rättigheter under tillämpliga lagar inklusive EU:s dataskyddslag;
   2. En undersökning av eller beslagtagande av personligt identifierbar information av myndigheter och polis eller indikationer om att sådan undersökning eller sådant beslagtagande övervägs;
   3. All tillfällig eller permanent, oavsiktlig eller olaglig, otillgänglighet, förlust, förstörelse, obehörigt avslöjande av eller tillgång till, stöld av eller intrång i personligt identifierbar information, och
   4. Brott mot säkerhets- och/eller konfidentialitetsskyldigheterna som anges i detta DPA.
2. Utformning av och innehåll i anmälan. Anmälan av brott mot säkerheten ska göras i form av ett telefonsamtal till vårt Network Operations Center (NOC) på +1 480 505-8809, åtföljt av en skriftlig anmälan till securitybreach@godaddy.com. Du måste tillhandahålla följande information så utförligt som möjligt under anmälningssamtalet samt i den skriftliga anmälan. Uppdateringar ska göras när ytterligare information tillkommer:
   1. En beskrivning av incidentens art och möjliga konsekvenser av incidenten;
   2. Förväntad lösningstid (om känd);
   3. En beskrivning av vidtagna eller föreslagna åtgärder för att bemöta incidenten, inklusive åtgärder för att mildra dess möjliga negativa effekter för oss, personligt identifierbar information eller associerade individer;
   4. Om lösningen inte är känd vid tidpunkten för samtalet måste du klargöra att det fortfarande inte har beslutats;
   5. De kategorier och den ungefärliga volymen av personligt identifierbar information och personer som potentiellt kan påverkas av incidenten, och de troliga konsekvenser incidenten kan ha på den personligt identifierbara informationen och de personer som är kopplade till den; och
   6. Namn och telefonnummer till en återförsäljarrepresentant som vi kan kontakta för att få incidentuppdateringar.
3. Säkerhetsresurser. Vi kan, efter muntlig överenskommelse med er, tillhandahålla resurser från vår säkerhetsgrupp för att bistå med en identifierad säkerhetsöverträdelse. Du samtycker till att uppnå dess skyldigheter som rör anmälan av säkerhetsbrott under EU:s dataskyddslagstiftning eller andra lagstadgade, reglerande, administrativa eller avtalsenliga skyldigheter att anmäla säkerhetsöverträdelser.

6. Kryptografi

1. Proprietär kryptering. Säkra transaktioner mellan dig och underleverantören, leverantören eller annan tredje part, och lagring av vår konfidentiella information eller personligt identifierbara information får inte använda några krypterade algoritmer som utvecklats internt av er. Alla symmetriska och asymmetriska algoritmer, eller hashnings-algoritmer som används av tillämpningsinfrastrukturen ska använda algoritmer som har publicerats och utvärderats av den allmänna krypterings-communityn.
2. 4.2 Krypteringsgrad. Krypteringsalgoritmer måste vara av aktuell, teknisk branschstandard och vara tillräckligt starka, som AES. SHA-256 eller RSA kryptering med offentlig nyckel.
3. Hashningsfunktioner. Hashningsfunktioner innebär en kombination av SHA-256 och minst en av MD-5, SHA-2, SHA-3 eller liknande, inklusive SHA-1. Om alternativa hashningsfunktioner ska användas måste de uttryckligen godkännas av vårt Team för Informationssäkerhet och åtföljas av minst en godkänd algoritm.

7. Bearbeta PII

1. Efterlevnad av lag. Du skall, i den mån det är tillämpligt, bistå oss i våra skyldigheter att svara på begäran från en individ vars personligt identifierbara information bearbetas under avtalet och som önskar utöva sina rättigheter under EU:s dataskyddslag, inklusive (men inte begränsat till): (i) rätt till tillgång; (ii) rätt till dataportabilitet; (iii) rätt till radering (iv) rätt till korrigering; (v) rätt att motsätta sig automatiserat beslutsfattande; och (vi) rätt att motsätta sig bearbetning.
2. Ta bort/Förstöra. Du måste på ett säkert sätt ta bort/förstöra eller återlämna all personligt identifierbar information och skriva över fysiska diskar med Cryptographic Erase (NIST SP-800-88r1) eller en liknande metod närhelst vi begär det eller, om vi inte begär det, när avtalet avslutats och förstöra eller återlämna alla befintliga kopior av desamma till oss.

Med avseende på artikel 26.2 i direktiv 95/46/EG för överföring av personuppgifter till registerförare i tredjeländer med otillräckligt uppgiftsskydd

uppgiftsutförare: GoDaddy.com, LLC och dess närstående enheter

och

uppiftsinförare: Den namngivna återförsäljare som deltog i det återförsäljarprogram som omfattas av villkoren i avtalet.

enskilt en ’part’; tillsammans ’parterna’,

HAR ENATS om följande avtalsklausuler (”klausulerna”) för att säkerställa ett adekvat skydd för privatliv och grundläggande rättigheter och friheter för enskilda i samband med överföring från uppgiftsutföraren till uppgiftsinföraren av sådana personuppgifter som anges i bilaga 1.

I klausulerna skall följande gälla:

(a) 'personuppgifter', 'särskilda uppgiftskategorier', 'behandling', 'personuppgiftsansvarig', 'personuppgiftsbiträde', 'den registrerade' och 'tillsynsmyndighet' skall ha samma innebörd som i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter;

(b) med ’uppgiftsutförare’ menas den registeransvarige som överför personuppgifter;

(c) med ’uppgiftsinförare’: menas den registerförare som går med på att från uppgiftsutföraren ta emot personuppgifter å hans vägnar för vidare behandling i enlighet med uppgiftsutförarens instruktioner och villkoren i klausulerna, och som inte omfattas av ett system i tredjeland och garanterar ett adekvat skydd i den mening som avses i artikel 25.1 i direktiv 95/46/EG;

(d) med ”underentreprenör” menas varje registerförare som anlitats av uppgiftsinföraren eller av en annan av uppgiftsinförarens underbiträden och som åtar sig att från uppgiftsinföraren eller en annan av uppgiftsinförarens underbiträden ta emot personuppgifter i den enda avsikten att efter överföringen behandla personuppgifter för uppgiftsutförarens räkning och i enlighet med uppgiftsutförandens instruktioner, de standardavtalsklausuler som anges i bilagan samt villkoren i det skriftliga underbiträdesavtalet;

(e) ’tillämplig uppgiftsskyddslagstiftning’ menas sådan lagstiftning som avser att skydda personers grundläggande fri- och rättigheter, särskilt deras personliga integritet i samband med behandling av personuppgifter, och som är tillämplig på registeransvariga i den medlemsstat där uppgiftsutföraren är etablerad;

(f) Med 'tekniska och organisatoriska säkerhetsåtgärder' menas åtgärder avsedda att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling.

Information om överföringen, och framför allt, i förekommande fall information om särskilda kategorier av personuppgifter, anges i tillägg 1, vilket utgör en integrerad del av klausulerna.

1. Den registrerade kan i egenskap av berättigad tredjepart åberopa denna klausul och klausulerna 4.b–i, 5.a–e, 5.g–j, 6.1–2, 7, 8.2 samt klausulerna 9–12 gentemot uppgiftsutföraren.

2. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5.a–e och 5 g, klausul 6, klausul 7, klausul 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, i vilket fall den registrerade kan åberopa de ovannämnda klausulerna gentemot denna.

3. Den registrerade kan gentemot uppgiftsinföraren åberopa denna klausul, klausulerna 5.a–e och 5.g, klausul 6, klausul 7, klausul 8.2 samt klausulerna 9–12 i sådana fall där uppgiftsutföraren har upphört att existera i faktisk eller rättslig mening, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, och som en följd av detta påtar sig uppgiftsutförarens rättigheter och skyldigheter, varvid den registrerade kan åberopa de ovannämnda klausulerna gentemot denna. Underbiträdets ansvar i egenskap av tredje part skall begränsas till hans egna databehandling i enlighet med klausulerna.

4. Parterna har inget att invända mot att en registrerad företräds av sammanslutningar eller andra organ om denne uttryckligen så önskar och i den mån det är tillåtet enligt nationell rätt.

Uppgiftsutföraren samtycker och garanterar följande:

(a) att behandlingen av personuppgifterna, inbegripet själva överföringen, har skett och även i fortsättningen kommer att ske i enlighet med tillämplig uppgiftsskyddslagstiftning (och i förekommande fall anmäls till behöriga myndigheter i den medlemsstat där uppgiftsutföraren är etablerad) och inte strider mot gällande lagar eller andra författningar i den medlemsstaten;

(b) att denna instruerat och under hela behandlingen av personuppgifter kommer att instruera uppgiftsinföraren att behandla de överförda personuppgifterna endast för uppgiftsutförarens räkning och i enlighet med tillämplig uppgiftsskyddslagstiftning och klausuler;

(c) att uppgiftsinföraren kommer att ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägg 2 till detta avtal;

(d) att denna, mot bakgrund av tillämplig uppgiftsskyddslagstiftning, har funnit säkerhetsåtgärderna lämpliga för att skydda personuppgifter mot oavsiktlig eller olaglig utplåning, oavsiktlig förlust, ändring, otillåtet utlämnande eller otillåten åtkomst, i synnerhet när behandlingen inbegriper överföring av uppgifter över ett nät, och mot varje annan form av olaglig behandling, med hänsyn tagen till teknikens ståndpunkt, kostnaden för vidtagande av åtgärderna och de risker behandlingen innebär och karaktären hos de uppgifter som ska behandlas;

(e) att det kommer att se till att säkerhetsåtgärderna följs;

(f) att, om överföringen avser särskilda kategorier av uppgifter, de registrerade har informerats eller informeras senast när överföringen sker eller så snart som möjligt därefter om att deras uppgifter kan komma att överföras till ett tredjeland som inte tillhandahåller adekvat skydd i den mening som avses i direktiv 95/46/EG;

(g) att vidarebefordra anmälningar från uppgiftsinföraren eller eventuella underbiträden i enlighet med klausul 5 b och klausul 8.3 till tillsynsmyndigheten om uppgiftsutföraren beslutar att fortsätta överföringen eller häva avbrottet;

(h) att på begäran tillhandahålla de registrerade en kopia av klausulerna, med undantag för tillägg 2, och en sammanfattande beskrivning av säkerhetsåtgärderna, samt en kopia av eventuella avtal för underbiträdestjänster som måste ingås enligt klausulerna, såvida inte klausulerna eller avtalet innehåller affärsinformation, varvid sådan information kan avlägsnas;

(i) att uppgiftsbehandlingen vid eventuella underentreprenader utförs i enlighet med klausul 11 av ett underbiträde som garanterar samma eller högre skyddsnivå för personuppgifter och den registrerades rättigheter som uppgiftsinföraren ska göra enligt klausulerna, och

(j) att denna kommer att se till att klausulerna 4.a–i efterlevs;

Uppgiftsinföraren samtycker till och garanterar följande:

(a) att behandla personuppgifter uteslutande för uppgiftsutförarens räkning och i enlighet med dennes instruktioner samt klausulerna; om han av något skäl inte kan fullgöra detta krav går han med på att omedelbart informera uppgiftsutföraren om detta, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet;

(b) att han inte har anledning att förmoda att den lagstiftning som är tillämplig på honom hindrar honom från att fullfölja uppdragsutförarens instruktioner och sina skyldigheter enligt detta avtal; om lagstiftningen ändras på ett sätt som sannolikt har en avsevärt skadlig inverkan på de garantier som klausulerna innebär, ska han omgående anmäla ändringen till uppgiftsutföraren, varvid uppgiftsutföraren har rätt att avbryta överföringen av uppgifter och/eller häva avtalet;

(c) att denna har vidtagit de tekniska och organisatoriska säkerhetsåtgärder som anges i tillägget innan de överförda personuppgifterna behandlas;

(d) att han omgående ska meddela uppgiftsutföraren om följande:

(i) varje rättsligt bindande begäran från rättsliga myndigheter om utlämnande av personuppgifterna, om inte detta är förbjudet på grund av exempelvis ett straffrättsligt förbud som syftar till att bevara sekretessen vid brottsutredningar,

(ii) all oavsiktlig eller inte auktoriserad åtkomst, och

(iii) varje förfrågan direkt från de registrerade, utan att svara på denna förfrågan, om det inte givits tillstånd till det;

(e) att utan dröjsmål och korrekt handlägga alla frågor från uppgiftsutföraren angående hans behandling av sådana personuppgifter som omfattas av överföringen och att rätta sig efter tillsynsmyndighetens rekommendationer med avseende på behandlingen av överförda uppgifter;

(f) att på uppgiftsutförarens begäran ställa sin databehandlingsutrustning till förfogande för granskning av den uppgiftsbehandling som dessa klausuler avser; granskningen ska genomföras av uppgiftsutföraren eller av ett inspektionsorgan med oberoende och sakkunniga ledamöter; de av tystnadsplikt bundna ledamöterna utses av uppgiftsutföraren, i tillämpliga fall enligt överenskommelse med tillsynsmyndigheten;

(g) att på begäran förse den registrerade med en kopia av klausulerna eller av eventuella befintliga underbiträdesavtal, såvida inte klausulerna eller kontraktet innehåller känslig affärsinformation, varvid han kan ta bort dessa uppgifter; denna skyldighet omfattar dock inte bilaga 2, som ska ersättas av en sammanfattande beskrivning av säkerhetsåtgärderna i de fall där den registrerade inte kan erhålla en kopia från uppgiftsutföraren;

(h) att han, om uppgiftsbehandlingen läggs ut på entreprenad, i förväg har underrättat uppgiftsutföraren och utverkat skriftligt förhandstillstånd från denne;

(i) att uppgiftsbehandlingstjänsterna av underentreprenör utförs enligt klausul 11;

(j) att utan onödigt dröjsmål skicka en kopia av alla underbiträdesavtal som ingåtts under klausulerna till uppgiftsutföraren.

(k) att han kommer att, på sin bekostnad, försvara, ersätta och hålla uppgiftsutföraren skadefri med avseende på allt ansvar och alla förluster i samband med förlust, otillåtet utlämnande, stöld av eller intrång i personuppgifter, och alla andra brott mot tillämplig dataskyddslagstiftning av eller från uppgiftsinföraren.

1. Parterna är överens om att alla registrerade, som har lidit skada till följd av att en part eller underbiträde har underlåtit att fullgöra de skyldigheter som avses i klausul 3 eller klausul 11, har rätt att få ersättning för skadan från uppgiftsutföraren.

2. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underbiträde bryter mot någon av sina skyldigheter enligt klausulerna 11 eller 3, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 på grund av att denne har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsutföraren som om denne var uppgiftsutförare, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet.
   
   Uppgiftsinföraren kan inte åberopa en underentreprenörs överträdelse av sina skyldigheter för att på så sätt undvika eget ansvar.

3. Om den registrerade, i situationer där uppgiftsinföraren eller dennes underbiträde bryter mot någon av sina skyldigheter enligt klausulerna 3 eller 11, inte kan rikta skadeståndsanspråk mot uppgiftsutföraren i enlighet med punkt 1 och 2 på grund av att denne har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, ska uppgiftsinföraren godta att den registrerade kan rikta ett skadeståndsanspråk mot uppgiftsutföraren som om denne var uppgiftsutförare, såvida inte en annan enhet enligt avtal eller lag till fullo har övertagit uppgiftsutförarens rättsliga skyldigheter, i vilket fall den registrerade kan göra sina rättigheter gällande gentemot denna enhet. Underbiträdets ansvar skall begränsas till hans egna databehandling i enlighet med klausulerna.

1. Om den registrerade åberopar tredje parts rättigheter och/eller kräver ersättning för skador i enlighet med klausulerna, godtar uppgiftsimportören den registrerades beslut:
   
   (a) att inleda medling av tredje part eller, i tillämpliga fall, av tillsynsmyndigheten;
   
   (b) att hänskjuta tvisten till domstol i den medlemsstat där uppgiftsutföraren är etablerad.

2. Parterna är överens om att den registrerades val inte påverkar dennes materiella eller processuella rätt att söka gottgörelse i enlighet med andra bestämmelser i nationell eller internationell lagstiftning.

1. Uppgiftsutföraren åtar sig att inlämna en kopia på kontraktet hos tillsynsmyndigheten om de så kräver och om inlämnandet är nödvändigt i enlighet med tillämplig uppgiftsskyddslagstiftning.

2. Parterna är överens om att tillsynsmyndigheten har rätt att genomföra inspektioner hos uppgiftsinföraren och eventuella personuppgiftsbiträden i samma omfattning och på samma villkor som skulle gälla för en revision hos uppgiftsutföraren enligt tillämplig uppgiftsskyddslagstiftning.

3. Uppgiftsinföraren skall utan dröjsmål underrätta uppgiftsutföraren om förekomsten av lagstiftning gällande denna eller något underbiträde som förhindrar genomförandet av en revision av uppgiftsinföraren eller något underbiträde, i enlighet med punkt 2. I sådana fall har uppgiftsutföraren rätt att vidta de åtgärder som angetts i klausul 5b.

Klausulerna omfattas av lagen i den medlemsstat där uppgiftsutföraren är etablerad, eller när uppgiftsutföraren är etablerad i flera jurisdiktioner, omfattas de av lagarna i England och Wales.

Parterna åläggs att inte ändra eller modifiera klausulerna. Detta hindrar inte parterna från att om nödvändigt lägga till klausuler om affärsrelaterade frågor, så länge dessa inte står i strid med någon klausul.

1. Uppgiftsinföraren får inte lägga ut någon del på entreprenad av den behandling som han i enlighet med klausulerna utför för uppgiftsutförarens räkning, utan uppgiftsutförarens föregående skriftliga samtycke. Om uppgiftsinföraren, med uppgiftsutförarens samtycke, enligt klausulerna lägger över sina skyldigheter på ett underbiträde, får detta endast ske genom ingående av ett skriftligt avtal med underbiträdet, varigenom denne åläggs samma skyldigheter som enligt klausulerna åligger uppgiftsinföraren. Om underbiträdet inte uppfyller sina skyldigheter i fråga om uppgiftsskyddsbehandling enligt ett sådant skriftligt avtal ska uppgiftsinföraren förbli fullt ansvarig gentemot uppgiftsutföraren för underbiträdets uppfyllande av sina skyldigheter enligt avtalet.

2. Det på förhand ingångna skriftliga avtalet mellan uppgiftsinföraren och underbiträdet ska även inbegripa en bestämmelse om berättigad tredje part i enlighet med klausul 3 i sådana fall där den registrerade inte kan rikta skadeståndsanspråk i enlighet med punkt 1 i klausul 6 mot uppgiftsutföraren eller uppgiftsinföraren, eftersom dessa har upphört att existera i faktisk eller rättslig mening eller har hamnat på obestånd, och ingen annan enhet har övertagit uppgiftsutförarens eller uppgiftsinförarens fulla rättsliga skyldigheter enligt avtal eller lag. Underbiträdets ansvar i egenskap av tredje part skall begränsas till hans egna databehandling i enlighet med klausulerna.

3. Bestämmelserna inom uppgiftsskyddsområdet rörande utläggning av uppgiftsbehandlingen på entreprenad av det kontrakt som avses i punkt 1 ska regleras enligt lagen i den medlemsstat där uppgiftsutföraren är etablerad.

4. Uppgiftsutföraren skall föra en förteckning över underbiträdesavtal som ingåtts enligt klausulerna och anmälts av uppgiftsinföraren enligt punkt 5 (j), vilken bör uppdateras minst en gång om året. Denna lista bör finnas tillgänglig för uppgiftsutföraren tillsynsmyndighet för dataskydd.

1. Parterna är överens om att när tillhandahållandet av databehandlingstjänsterna upphör, ska uppgiftsinföraren och underbiträdet, efter uppgiftsutförarens val, återlämna alla personuppgifter samt kopior därav till uppgiftsutföraren eller förstöra alla personuppgifter och intyga för uppgiftsutföraren att de har gjort det, såvida inte lagstiftning ålagd uppgiftsinföraren hindrar dem från att returnera eller förstöra hela eller delar av de överförda personuppgifterna. I så fall ska uppgiftsinföraren garantera att denne kommer att bevara sekretessen hos de överförda personuppgifterna och inte aktivt behandla de överförda personuppgifterna ytterligare.

2. Uppgiftsinföraren och underbiträdet garanterar att de på uppgiftsimportörens och/eller tillsynsmyndighetens begäran kommer att ställa sin databehandlingsutrustning till förfogande för en granskning av de åtgärder som anges i punkt 1.

Ytterligare nödvändig information ska, om den inte ingår i ett medföljande SOW, inkluderas i detta tillägg:

Uppgiftsutförare:
Uppgiftsutföraren är den enhet som identifieras som GoDaddy, en leverantör av återförsäljarprogram som uppgiftsinföraren kan sälja vidare vissa produkter och tjänster från GoDaddy till kunder.

Uppgiftsinförare:

Uppgiftsinföraren är en återförsäljare av GoDaddys produkter och tjänster.

Dataämnen

De registrerade är kunder.

Uppgiftskategorier

De överförda personuppgifterna gäller följande kategorier av uppgifter:

Kunden kan skicka in personuppgifter till tjänsterna som kan innehålla, men inte begränsas till följande kategorier av personuppgifter:

• Förnamn och efternamn
• E-post
• Telefonnummer
• Fysisk adress
• Bearbetningsförfaranden

Överförda personuppgifter kommer att genomgå följande grundläggande databehandling:

Återförsäljaren behandlar personuppgifter om det behövs för att utföra tjänsterna enligt återförsäljaravtalet, och som vidare anvisas av kunden så länge tjänsterna används.

Tekniska och organisatoriska säkerhetsåtgärder

Uppgiftsinföraren ska bibehålla tekniska och administrativa skyddsåtgärder för skydda säkerheten, konfidentialiteten och integriteten för användardata, inklusive personuppgifter, så som anges i detta Databehandlingstillägg. Uppgiftsinföraren ska regelbundet övervaka att dessa skyddsåtgärder efterlevs. Uppgiftsinföraren ska inte materiellt minska tjänste- eller återförsäljarprogrammets övergripande säkerhet.