GoDaddy

DATABEHANDLINGSTILLEGG (KUNDER)

Dette databehandlingstillegget («tillegget») utstedet av og mellom GoDaddy.com, LLC, a Delaware limited liability company og dets tilknytningspartnere («GoDaddy») og deg («kunden») og er knyttet til og kompletterer våre allmenne tjenestebetingelser, personvernpolicy og alle andre avtaler som styrer dekkede tjenester (kollektivt, «tjenestebetingelser»).  Med mindre annet er definert i dette tillegget, skal alle begreper som ikke er definert i dette tillegget ha betydningen som er gitt dem i tjenestebetingelsene.

1. Definisjoner

«Tilknytningspartnere» betyr enhver enhet som styres av, kontrollerer eller har felles kontroll med GoDaddy.

«Dekkede tjenester» er alle vertsbaserte tjenester vi tilbyr deg som kan innebære vår behandling av personopplysninger.

«Kundedata» betyr personopplysninger for ethvert dataemne som behandles av GoDaddy innen GoDaddy-nettverket på vegne av kunden i henhold til eller i forbindelse med tjenestebetingelsene.

«Datakontroller» betyr kunden, som den enheten som bestemmer formålene og midlene til behandling av personopplysninger.

«Databehandler» betyr GoDaddy, som den enheten som behandler personopplysninger på vegne av datakontrolleren.

«Databeskyttelseslover» betyr alle lover og forskrifter, herunder lover og forskrifter i EU, som gjelder behandling av personopplysninger i henhold til avtalen.

«Dataemne» betyr den personen som personopplysningene vedrører.

«EØS» betyr Det europeiske økonomiske samarbeidsområdet.

«GoDaddy-nettverk» betyr GoDaddy sine datasenterfasiliteter, servere, nettverksutstyr og vertsprogramvaresystemer (for eksempel virtuelle brannmurer) som er innenfor GoDaddy sin kontroll og brukes til å levere de dekkede tjenestene.

«Personlige data» betyr all informasjon knyttet til en identifisert eller identifiserbar person.

«Behandling» betyr enhver operasjon eller sett av operasjoner som utføres for personlige data, enten ved hjelp av automatiserte metoder, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultasjon, bruk, formidling ved overføring, formidling eller tilgjengeliggjøring på annen måte, justering eller kombinering, begrensning, sletting eller ødeleggelse. «Behandle», «behandler» og «behandlet» tolkes deretter. Detaljer for behandling er angitt i vedlegg 1.

«Sikkerhetshendelse», enten (a) brudd på sikkerheten til GoDaddy sine sikkerhetsstandardene som fører til utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert avsløring av eller tilgang til eventuelle kundedata eller (b) uautorisert tilgang til GoDaddy sitt utstyr eller anlegg, hvor i begge tilfeller slik adgang resulterer i ødeleggelse, tap, uautorisert avsløring eller endring av kundedata.

«Sikkerhetsstandarder» betyr sikkerhetsstandarder knyttet til dette tillegget som vedlegg 2.

«Standard kontraktsmessige klausuler» eller «SCC-er» betyr vedlegg 3, som er vedlagt og inngår i dette tillegget i henhold til EU-kommisjonens beslutning fra 5. februar 2010 om standard kontraktsklausuler for overføring av personopplysninger til behandlere etablert i tredjestater i henhold til direktivet. 

«Underbehandler» betyr en databehandler som er engasjert i behandler-til-behandling-data på vegne av datakontrolleren.                                                               

2. Databehandling

2.1 Omfang og roller. Dette tillegget er gjeldende når kundedata behandles av GoDaddy.  I denne sammenheng vil GoDaddy fungere som dataprosessor på vegne av kunden som datakontroller hva angår kundedata.

2.2 Detaljer om databehandling. Emnet for behandling av kundedata av GoDaddy er ytelsen til de dekkede tjenestene i henhold til tjenestebetingelsene og produktspesifikke avtaler. GoDaddy skal kun behandle kundedata på vegne av og i samsvar med kundens dokumenterte instruksjoner for følgende formål: (i) behandling i samsvar med tjenestebetingelsene eller gjeldende produktspesifikke avtale, (ii) behandling initiert av sluttbrukerne i deres bruk av de dekkede tjenestene, (iii) behandling for å overholde andre dokumenterte, tilfredsstillende instruksjoner gitt av kunder (for eksempel via e-post) hvor slike instruksjoner er i samsvar med avtalens vilkår. GoDaddy skal ikke være pålagt å overholde eller følge kundens instruksjoner hvis slike instruksjoner vil bryte med GDPR eller andre gjeldende personvernlover. Varigheten av behandlingen, omfanget og formålet med behandlingen, typer personopplysninger og kategorier av dataemner behandlet under dette tillegget er beskrevet nærmere i vedlegg 1 («detaljer om behandling») i dette tillegget.

3. Taushetsplikt vedrørende kundedata

GoDaddy vil ikke avsløre kundedata til instanser eller andre tredjeparter, unntatt i de tilfeller der det er nødvendig for å etterkomme loven eller en gyldig og bindende kjennelse fra en ordensmakt (f.eks. en stevning eller rettskjennelse).  Hvis en ordensmakt sender GoDaddy et krav om kundedata, vil GoDaddy prøve å omdirigere ordensmakten til kunden for å forespørre disse data direkte fra kunden. Som en del av dette arbeidet, kan GoDaddy oppgi kundens grunnleggende kontaktinformasjon til den utøvende myndigheten. Hvis selskapet er tvunget til å utlevere kundedata til en myndighet, vil GoDaddy varsle kunden og tillate kunden å søke beskyttelsesordre eller annen passende løsning med mindre GoDaddy forbys å gjøre dette.

4. Sikkerhet

4.1 GoDaddy har implementert og vil opprettholde de tekniske og organisatoriske tiltakene for GoDaddy-nettverket som beskrevet her i denne seksjonen og som nærmere beskrevet i vedlegg 2 til dette tillegget, sikkerhetsstandarder. Især har GoDaddy implementert og vil opprettholde følgende tekniske og organisatoriske tiltak som omhandler (i) sikkerheten til GoDaddy-nettverket, (ii) fysisk sikkerhet av fasilitetene, (iii) kontroll av tilgang for arbeidstakere og kontraktører til (i) og/eller (ii), og (iv) prosesser for testing, vurdering og evaluering av effektiviteten av tekniske og organisatoriske tiltak gjennomført av GoDaddy. Dersom vi ikke er i stand til å imøtekomme noen av dets forpliktelser som nevnt heri, vil vi informere om dette skriftlig (på nettsiden vår eller via e-post) så snart det er praktisk gjennomførbart.

4.2 GoDaddy gjør tilgjengelig en rekke sikkerhetsfunksjoner og funksjoner som kunden kan velge å bruke i forhold til de dekkede tjenestene. Kunden er ansvarlig for (a) korrekt konfigurering av de overførte tjenestene, (b) bruk av kontrollene som er tilgjengelige i forbindelse med de dekkede tjenestene (inkludert sikkerhetsregulatorene) for å sikre fortløpende konfidensialitet, integritet, tilgjengelighet og fleksibilitet for behandlingssystemer og tjenester, (c) bruk av kontrollene som er tilgjengelige i tilknytning til de dekkede tjenestene (inkludert sikkerhetskontrollene) for å tillate kunden å gjenopprette tilgjengeligheten og tilgang til kundedata i tide i tilfelle et fysisk eller teknisk problem (f.eks. sikkerhetskopiering og rutinemessig arkivering av kundedata) og (d) ta slike skritt som kunden anser tilstrekkelig til å opprettholde passende sikkerhet, beskyttelse og sletting av kundedata, som inkluderer bruk av krypteringsteknologi for å beskytte kundedata mot uautorisert tilgang og tiltak for å kontrollere tilgangsrettigheter til kundedata.

5. Dataemnerettigheter

Med tanke på arten av de dekkede tjenestene, tilbyr GoDaddy kunden visse kontroller som beskrevet i seksjonen «Sikkerhet» i dette tillegget som kunden kan velge å bruke for å innhente, rette, slette eller begrense bruk og deling av kundedata som beskrevet i de dekkede tjenestene. Kunden kan bruke disse kontrollene som tekniske og organisatoriske tiltak for å bistå i forbindelse med sine forpliktelser i henhold til gjeldende personvernlover, herunder forpliktelser knyttet til å svare på forespørsler fra registrerte personer. Som kommersielt fornuftig og i den utstrekning lovlig påkrevd eller tillat, skal GoDaddy straks varsle kunden dersom GoDaddy direkte mottar en forespørsel fra en registrert for å utøve slike rettigheter i henhold til gjeldende personvernlovgivning («dataemneforespørsel»). I tillegg, der kundens bruk av de dekkede tjenestene begrenser sin evne til å adressere en forespørsel fra en registrert person, kan GoDaddy, der dette er lovlig og hensiktsmessig og etter kundens spesifikke forespørsel, tilby kommersielt tilfredsstillende hjelp til å adressere forespørselen, på kundens regning (dersom dette er gjeldende).

6. Underbehandling

6.1 Autoriserte underbehandlere. Kunden godtar at GoDaddy kan benytte underbehandlere til å oppfylle sine kontraktsmessige forpliktelser i henhold til tjenestebetingelsene og dette tillegget, eller for å yte visse tjenester på vegne av denne, som å yte støttetjenester. Kunden sier herved seg enig i GoDaddy sin bruk av underbehandlere som beskrevet i denne seksjonen. Unntatt som angitt i denne seksjonen eller som ellers uttrykkelig godkjent av deg, vil ikke GoDaddy tillate andre behandlingsaktiviteter av underbehandlere.

6.2 Forpliktelser for underbehandlere. Dersom GoDaddy benytter en underbehandler, som beskrevet i del 6.1:

(i) GoDaddy vil begrense underbehandlernes tilgang til kundedata kun til det som er nødvendig for å opprettholde de dekkede tjenestene eller til å levere de dekkede tjenestene til kunden og eventuelle sluttbrukere i samsvar med de dekkede tjenestene. GoDaddy vil nekte å gi underbehandlere tilgang til kundedata for noe annet formål,

(ii) GoDaddy vil inngå en skriftlig avtale med underbehandlerens og, i den utstrekning at underbehandleren utfører de samme databehandlingstjenestene som blir gitt av GoDaddy under dette tillegget, vil GoDaddy pålegge underbehandleren de samme kontraktsforpliktelsene som GoDaddy har under dette tillegget, og

(iii) GoDaddy vil forbli ansvarlig for å overholde forpliktelsene i dette tillegget og for handlinger eller utelatelser fra underbehandleren som forårsaker at GoDaddy bryter noen av GoDaddy sine forpliktelser under dette tillegget.

6.3 Nye underbehandlere.  Fra tid til annen kan vi tilsette nye underbehandlere bundet av og underlagt betingelsene i dette tillegget.  I slike tilfeller sørger vi for å gi en forhåndsvarsel (på nettstedet vårt eller via e-post) 60 dager før en ny underbehandler får tilgang til kundedata. Hvis kunden ikke godkjenner en ny underbehandler, kan kunden si opp eventuelle overførte tjenester uten straff ved å innen 10 dager eller mottak av varsel fra oss gi skriftlig varsel om oppsigelse som inneholder en forklaring på årsakene til at du ikke har en feil, godkjenning. Hvis de dekkede tjenestene er en del av en pakke eller et pakkekjøp, vil enhver oppsigelse gjelde i sin helhet.

7. Melding om sikkerhetsbrudd

7.1 Sikkerhetshendelse. Dersom GoDaddy blir oppmerksom på en sikkerhetshendelse, vil GoDaddy uten unødig forsinkelse: (a) varsle kunden om sikkerhetshendelsen, og (b) utføre rimelige tiltak for å redusere effektene og minimere skadene som følge av sikkerhetshendelsen. 

7.2 GoDaddy Hjelp.  For å bistå kunden i forbindelse med brudd på sikkerhet for personopplysninger som kunden er forpliktet til å gjøre i henhold til gjeldende lover om personvern, vil GoDaddy i varslingen under avsnitt 8.1 inkludere slike opplysninger om sikkerhetshendelsen som det er overkommelig for GoDaddy å tilgjengeliggjøre for kunden, når man tar med i betraktingen årsaken til de dekkede tjenestene, informasjonen som er tilgjengelig for GoDaddy, og eventuelle restriksjoner for å utlevere informasjonen, for eksempel konfidensialitet.  

7.3 Mislykkede sikkerhetshendelser. Kunden sier seg enig i at:

(i) En mislykket sikkerhetshendelse ikke vil bli underlagt vilkårene i dette tillegget. En feilet sikkerhetshendelse er en som ikke resulterer i uautorisert tilgang til kundedata eller til noe av GoDaddy sitt nettverk, utstyr eller fasiliteter som lagrer kundedata, og kan inneholde, uten begrensning, pinger og andre kringkastingsangrep på brannmurer eller kantservere, portskanninger, mislykkede påloggingsforsøk, avslag på tjenesteangrep, pakkesniffing (eller annen uautorisert tilgang til trafikkdata som ikke resulterer i tilgang utover overskrifter) eller lignende hendelser, og

(ii) GoDaddy sin plikt til å rapportere eller svare på en sikkerhetshendelse i henhold til denne seksjonen, er ikke og skal ikke tolkes som en bekreftelse av GoDaddy for enhver feil eller ansvar av GoDaddy i forhold til sikkerhetshendelsen.  

7.4 Kommunikasjon. Melding(er) om sikkerhetshendelser, hvis noen, vil bli levert til en eller flere av kundens administratorer, på den måten GoDaddy velger, inkludert via e-post. Det er kundens eget ansvar å sikre at kundens administratorer opprettholder nøyaktig kontaktinformasjon på GoDaddy sin administrasjonskonsoll og sikker overføring til enhver tid.

8. Kunderettigheter

8.1 Uavhengig bestemmelse. Kunden er ansvarlig for å gjennomgå informasjonen som er gjort tilgjengelig av GoDaddy knyttet til datasikkerhet og sikkerhetsstandarder og ta en uavhengig avgjørelse om hvorvidt de dekkede tjenestene oppfyller kundens krav og juridiske forpliktelser, samt kundens forpliktelser i henhold til dette tillegget. Informasjonen som gjøres tilgjengelig er ment å bistå kunden i å overholde kundens forpliktelser i henhold til gjeldende personvernlover, herunder GDPR, med hensyn til konsekvensanalyser for databeskyttelse og forhåndshøring.

8.2 Kunderevisjonsrettigheter. Kunden har rett til å bekrefte GoDaddy sin overholdelse av dette tillegget som gjeldende for de dekkede tjenestene, herunder spesifikt GoDaddy sin overholdelse av sikkerhetsstandardene, ved å utøve en rimelig rett til å utføre revisjon eller inspeksjon, inkludert i henhold til de standard kontraktsmessige klausuler hvis de gjelder, ved å henvende seg skriftlig til GoDaddy på adressen som er angitt i tjenestebetingelsene. Dersom GoDaddy nekter å følge en instruksjon forespurt av kunden angående en forespurt og definert revisjon eller inspeksjon, har kunden rett til å si opp dette tillegget og tjenestebetingelsene. Hvis de standard kontraktmessige klausulene gjelder, vil ingenting i denne seksjonen variere eller modifisere de standard kontraktmessige klausulene eller påvirke tilsynsmyndighetens eller dem registrertes rettigheter i henhold til standard kontraktsmessige klausuler. Denne seksjonen gjelder også for GoDaddy dersom de utfører kontrollen av underbehandlere på vegne av kunden.

9. Overføringer av personlige data

9.1 USA Basert behandling. Med unntak av der det er spesifikt angitt i tjenestebetingelsene, overføres kundedata utenfor EØS og behandles i USA.  

9.2 Anvendelse av standard kontraktklausuler. De standard kontraktsmessige klausulene gjelder for kundedata som overføres utenfor EØS, enten direkte eller via videreoverføring, til et land som ikke er anerkjent av EU-kommisjonen, og som gir et tilstrekkelig beskyttelsesnivå for personopplysninger (som beskrevet i GDPR). De standard kontraktsmessige klausulene gjelder ikke kundedata som ikke overføres, enten direkte eller via videreoverføring, utenfor EØS.  Til tross for det foregående gjelder ikke de standard kontraktsmessige klausulene hvor dataene overføres i samsvar med en anerkjent samsvarsstandard for lovlig overføring av personopplysninger (som definert i GDPR) utenfor EØS, som EU-USA og Sveits-USA.  

10. Oppsigelse av tillegget

Dette tillegget vil forbli gjeldende frem til oppsigelsen av behandlingen vår i overensstemmelse med tjenestebetingelsene («avslutningsdatoen»).   

11. Retur eller sletting av kundedata

Som beskrevet i de dekkede tjenestene, kan kunden gis kontroller som kan brukes til å hente eller slette kundedata. Eventuell sletting av kundedata vil bli styrt av vilkårene for de aktuelle dekkede tjenestene.

12. Ansvarsbegrensning

Ansvaret for hver part i henhold til dette tillegget er underlagt de unntak og begrensninger av ansvaret som er beskrevet i tjenestebetingelsene. Kunden samtykker i at eventuelle lovbestemte pålegg pådratt av GoDaddy i forbindelse med kundedata som oppstår som følge av eller i forbindelse med kundens manglende overholdelse av sine forpliktelser i henhold til dette tillegget og eventuelle gjeldende personvernlover, vil tas med i betraktning og redusere GoDaddy sitt ansvar under tjenestebetingelsene som om det var ansvar for kunden i henhold til tjenestebetingelsene.

13. Komplette tjenestebetingelser – konflikt

Dette tillegget avløser og erstatter alle tidligere eller samtidige fremstillinger, forståelser, avtaler eller kommunikasjon mellom kunden og GoDaddy, både skriftlig og verbalt, vedrørende innholdet i dette tillegget, inkludert databehandlingstillegg inngått mellom GoDaddy og kunden med hensyn til behandlingen av personlige data og den frie flyten av slike data.  Tjenestebetingelsene, med etterfølgende endringer i dette tillegget, vil forbli gjeldende og ha effekt.  Hvis det er en konflikt mellom andre avtaler mellom partene, inkludert tjenestebetingelsene og dette tillegget, vil betingelsene i dette tillegget være gjeldende.

** ************************************************

Vedlegg 1

 DETALJER FOR BEHANDLINGEN

 1. Årsak til og formål med behandling. GoDaddy vil behandle personopplysninger som nødvendig for å utføre de overførte tjenestene i henhold til vilkårene for bruk, produktspesifikke avtaler og som videre instruert av kunden gjennom hele bruken av de dekkede tjenestene.

 2. Behandlingens varighet. Under forutsetning av avsnitt 10 i dette tillegget, vil GoDaddy behandle personopplysninger fra den aktuelle datoen for vilkårene for bruk, men vil overholde betingelsene i dette tillegget for behandlingens varighet hvis den overstiger dette, og med mindre annet er skriftlig avtalt.

3. Kategorier for dataemner. Kunden kan laste opp personopplysninger i løpet av bruken av de dekkede tjenestene, typen og omfanget som bestemmes og kontrolleres av kunden etter eget skjønn, og som kan omfatte, men ikke er begrenset til, følgende kategorier av personopplysninger for registrerte personer:

  • Prospekter, kunder, samarbeidspartnere og leverandører av kunden (som er fysiske personer)
  • Ansatte eller kontaktpersoner hos kundens prospekter, kunder, bedriftspartnere og leverandører
  • Ansatte, agender, rådgivere, kontraktansatte hos kunden (som er reelle personer)
  • Kunder og brukere autorisert av kunden til å bruke de dekkede tjenestene

 4. Type personlige data. Kunden kan laste opp personopplysninger i løpet av bruken av de dekkede tjenestene, typen og omfanget som bestemmes og kontrolleres av kunden etter eget skjønn, og som kan omfatte, men ikke er begrenset til, følgende kategorier av personopplysninger for registrerte personer: 

  • Navn
  • Adresse
  • Telefonnummer
  • Fødselsdato
  • E-postadresse
  • Andre innsamlede data som direkte eller indirekte kan identifisere deg.

** ************************************************

Vedlegg 2

Sikkerhetsstandarder

Tekniske og organisatoriske tiltak  

Vi er forpliktet til å beskytte våre kunders informasjon.  Med hensyn til de beste praksisene, kostnadene av gjennomføring og årsaken, omfanget, omstendighetene og formålene med behandlingen, så vel som de ulike sannsynlighetene for forekomster og alvorlighetsgraden ved risikoen for rettighetene og friheten til fysiske personer, tar vi følgende tekniske og organisatoriske forholdsregler.  Når vi velger forholdsreglene, tas taushetsplikt, integritet, tilgjengelighet og systemenes tilpasningsdyktighet med i betraktning. En rask gjenoppretting etter en fysisk eller teknisk hendelse er garantert. 

II.  Datapersonvernsprogram  

Vårt datapersonvernsprogram er etablert for å opprettholde en global datastyringsstruktur og sikre informasjon gjennom hele livssyklusen. Programmet drives av kontoret til sjefen for databeskyttelse som overvåker implementeringen av personvernpraksiser og sikkerhetstiltak. Vi tester, vurderer og evaluerer regelmessig effektiviteten av deres datapersonvernsprogram og sikkerhetsstandarder.   

1. Konfidensialitet. «Konfidensialitet betyr at personopplysninger er beskyttet mot uautorisert avsløring.»  

Vi bruker en rekke fysiske og logiske tiltak for å beskytte konfidensialiteten til kundens personopplysninger. Disse tiltakene inkluderer:   

  Fysisk sikkerhet  

  • Fysisk tilgangskontrollsystemer på plass (merketilgangskontroll, sikkerhetsovervåking av arrangementer osv.) 
  • Overvåkningssystemer inkludert alarmer og, etter behov, CCTV-overvåking  
  • Retningslinjer om tomme skrivepulter og kontroller på plass (låsing av uautoriserte datamaskiner, låste skap osv.)  
  • Administrasjon av besøkstilgang 
  • Destruksjon av data på fysiske medier og dokumenter (makulering, avmagnetisering osv.) 

  Tilgangskontroll og forebygging av uautorisert tilgang 

  • Begrensninger for brukertilgang og rollebaserte tilgangstillatelser gitt/vurdert basert på segregering av arbeidsprinsipp  
  • Sterke autentiserings- og autorisasjonsmetoder (multifaktor-autentisering, sertifikatbasert autorisasjon, automatisk deaktivering/avlogging osv.) 
  • Sentralisert passordbehandling og sterk/kompleks passordpolicy (minimumslengde, kompleksitet av tegn, utløp av passord osv.)   
  • Kontrollert tilgang til e-post og Internett 
  • Antivirusadministrasjon  
  • Administrasjon av inntrengingsbeskyttelse  

Kryptering   

  • Kryptering av ekstern og intern kommunikasjon via sterke kryptografiske protokoller  
  • Kryptering av PII/SPII-data som ikke er i bruk (databaser, delte kataloger osv.)   
  • Fullstendig diskkryptering for firma-PC-er og bærbare datamaskiner   
  • Kryptering av lagringsmedia  
  • Eksterne tilkoblinger til bedriftsnettverkene er kryptert via VPN  
  • Sikre livssyklusen til krypteringsnøkler  

 Dataredusering    

  • PII/SPI-redusering i applikasjon, feilsøking og sikkerhetslogger  
  • Pseudonymisering av personlige data for å forhindre direkte identifisering av en person 
  • Oppdeling av data lagret etter funksjon (test, oppsamling, live) 
  • Logisk oppdeling av data etter rolle, basert på tilgangsrettigheter 
  • Definert databevaringsperioder for personlige data   

Sikkerhetstesting     

  • Penetrasjonstesting for kritiske bedriftsnettverk og bedriftsplattformer som inneholder personlige data 
  • Regelmessige nettverks- og sårbarhetsskanninger   

2. Integritet. «Integritet refererer til å sikre korrektheten (uberørthet) av data og systemets korrekte funksjon. Når begrepet integritet brukes i forbindelse med begrepet «data», uttrykker det at dataene er komplette og uendrede.»  

Passende endrings- og loggstyringskontroller er på plass, i tillegg til tilgangskontroller for å kunne opprettholde integriteten til personopplysninger som:    

Endrings- og frigjøringsadministrasjon    

  • Endrings- og frigjøringsprosessen inkludert (konsekvensanalyse, godkjenninger, testing, sikkerhetsvurderinger, oppstart, overvåking osv.)  
  • Rolle- og funksjonsbasert (oppdeling av oppgaver) tilgangsbestemmelser på produksjonsmiljøer    

Registrering og overvåking

  • Registrering av tilgang til og endringer av data  
  • Sentralisert revisjon og sikkerhetslogger   
  • Overvåking av fullstendigheten og korrektheten av overføringen av data (ende-til-ende-kontroll)    

3. Tilgjengelighet. «Tilgjengeligheten av tjenester og IT-systemer, IT-applikasjoner og IT-nettverksfunksjoner eller informasjon er garantert hvis brukerne kan bruke dem til enhver tid som planlagt.»    

Vi implementerer passende kontinuitets- og sikkerhetsforanstaltninger for å opprettholde tilgjengeligheten av tjenester og dataene som ligger innenfor disse tjenestene:    

  • Regelmessige fail-over-tester brukes for kritiske tjenester  
  • Omfattende overvåking av ytelse/tilgjengelighet og rapportering for kritiske systemer  
  • Respons på sikkerhetshendelse-program  
  • Kritiske data enten reprodusert eller lagret (skylagring/harddisker/databasereplikering osv.) 
  • Planlagt programvare, infrastruktur og sikkerhetsvedlikehold på plass (programvareoppdateringer, sikkerhetsoppdateringer osv.)   
  • Overflødige og robuste systemer (serverklynger, speilvendte databaser, høy tilgjengelighetsoppsett osv.) plassert på eksterne steder og/eller separate geografiske steder    
  • Bruk av uavbrutt strømforsyning, feilsikret maskinvare og nettverkssystemer  
  • Alarm og sikkerhetssystemer på plass  
  • Fysisk beskyttelsestiltak på plass for kritiske steder (vannbeskyttelse, hevede gulv, kjølesystemer, brannvarslingsapparat og/eller røykvarsler, brannslokningssystemer osv.) 
  • DDOS-beskyttelse for å opprettholde tilgjengelighet   
  • Belastnings- og stresstesting  

4Databehandlingsinstruksjoner. «Databehandlingsintruksjoner refererer til å sikre at personlige data kun behandles i overensstemmelse med datakontrollørens instruksjoner og de tilknyttede bedriftstiltakene»  

Vi har etablert interne retningslinjer for personvern, avtaler og gjennomfører regelmessige personopplæring for ansatte for å sikre at personopplysninger behandles i samsvar med kundens preferanser og instruksjoner.   

  • Personvern- og konfidensialitetsvilkår i ansattes kontrakter 
  • Regelmessig datasikkerhet og sikkerhetstrening for ansatte 
  • Passende kontraktsregler til avtalene med underleverandører til å opprettholde kontrollrettigheter 
  • Regelmessige personvernsjekker for eksterne tjenesteleverandører 
  • Gi kunder full kontroll over deres preferanser for databehandling 
  • Regelmessige sikkerhetsovervåking 

**********************************************

Vedlegg 3

Se avsnitt 9.2 i tillegget for bruk av disse SCC-ene

Standard kontraktsmessige klausuler (behandlere)

I henhold til artikkel 26 (2) i direktiv 95/46/EF for overføring av personopplysninger til behandlere etablert i tredjeland som ikke sikrer en tilstrekkelig grad av databeskyttelse

Enheten identifisert som «kunde» i tillegget
dataeksportøren»)

og

GoDaddy.com, LLC

 («data-importøren»)

hver og en som «part»; felles «partene»,

ER ENIGE OM følgende avtaleklausuler (klausulene) for å oppnå tilstrekkelige garantier med hensyn til beskyttelse av personvern og grunnleggende rettigheter og friheter til enkeltpersoner for overføring av dataeksportøren til dataimportøren av personopplysningene angitt i vedlegg 1.

Klausul 1

Definisjoner

Med hensyn til klausulene:

(a) «personlige data», «spesielle datakategorier"», «prosess/behandling», «kontroller», «behandler», «dataregistrert» og «tilsynsmyndighet» skal ha samme betydning som i direktiv 95/46/EF fra Europaparlamentet og Rådet av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger,

(b) _«dataeksportøren»/md> betyr kontrolleren som overfører de personlige dataene,

(c) «dataimportøren» betyr behandleren som samtykker i å motta data fra personopplysningene som er beregnet til behandling på deres vegne etter overføringen i samsvar med deres instrukser og vilkårene i klausulene og som ikke er underlagt et tredjelands system som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 (nr. 1) i direktiv 95/46/EF,

(d) «underbehandleren» betyr enhver behandler som benyttes av dataimportøren eller av en annen underbehandler av dataimportøren som samtykker i å motta fra dataimportøren, eller fra en annen underbehandler av dataimportøren, personlige data utelukkende beregnet for behandling av aktiviteter som skal utføres på dataeksportørens vegne etter overføringen i samsvar med dennes instrukser, vilkårene i klausulene og vilkårene i den skriftlige delkontrakten,

(e) «den gjeldende databeskyttelsesloven» betyr lovgivningen som beskytter enkeltpersoners grunnleggende rettigheter og frihet, og særlig deres rett til personvern i forbindelse med behandling av personopplysninger som gjelder for en datakontrollør i det medlemslandet hvor dataeksportøren er etablert,

(f) «tekniske og organisatoriske sikkerhetsforanstaltninger» betyr de tiltak som tar sikte på å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, særlig når behandlingen omfatter overføring av data over et nettverk og mot alle andre ulovlige former av behandling.

Klausul 2

Detaljer om overføringen

Nærmere informasjon om overføringen og spesielt de spesielle kategoriene av personopplysninger hvor det er aktuelt, er angitt i vedlegg 1 som utgjør en integrert del av klausulene.

Klausul 3

Klausul om begunstiget tredjepart

1.  Den registrerte personen kan benytte denne klausulen, klausul 4(b) til (i), klausul 5(a) til (e) og (g) til (j), klausul 6(1) og (2), klausul 7, klausul 8(2) og klausulene 9-12 som tredjeparts mottaker.

2.  Den registrerte personen kan stille krav overfor dataimportøren med utgangspunkt i denne klausulen, klausul 5(a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausulene 9 til 12 i tilfeller hvor dataeksportøren og juridisk har opphørt å eksistere, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet.

3.  Den registrerte kan stille krav overfor underbehandlere med utgangspunkt i denne klausulen, klausul 5 (a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausulene 9 til 12 i tilfeller hvor både dataeksportøren og dataimportøren juridisk har opphørt å eksistere eller har blitt insolvent, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet. Slikt tredjepartsansvar for underbehandleren skal være begrenset til sin egen behandling i henhold til klausulen.

4.  Partene motsier ikke at en registrert person representeres av en organisasjon eller et annet organ dersom den registrerte uttrykkelig ønsker det, og hvis det er tillatt etter nasjonal lov.

Klausul 4

Forpliktelser for dataeksportøren

Dataeksportøren godtar og garanterer:

(a) at behandlingen, inkludert selve overføringen av personopplysningene, har blitt og vil fortsette å bli gjennomført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslov (og, hvis det er aktuelt, har blitt varslet til medlemslandets relevante myndigheter hvor dataeksportøren er etablert) og ikke bryter med de relevante bestemmelsene i dette landet,

(b) som instruert og gjennom hele varigheten av behandlingstjenestene for personopplysninger, vil informere dataimportøren om å behandle de overførte personopplysningene kun på dataeksportørens vegne og i samsvar med gjeldende databeskyttelseslov og klausulene,

(c) at dataimportøren vil gi tilstrekkelige garantier for de tekniske og organisatoriske sikkerhetsforanstaltninger som er angitt i vedlegg 2 til denne kontrakten,

(d) at etter å ha vurdert kravene i gjeldende databeskyttelseslov, er sikkerhetsforanstaltningene hensiktsmessige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, spesielt hvor behandlingen omfatter overføring av data over et nettverk og mot alle andre ulovlige former for behandling, og at disse tiltakene sikrer et sikkerhetsnivå som er passende for de risikoene som fremkommer av behandlingen og arten av dataene som skal beskyttes med hensyn til gjeldende krav og kostnaden for denne gjennomføringen,

(e) at de vil sikre at sikkerhetstiltakene overholdes,

(f) at, hvis overføringen innebærer spesielle datakategorier, har den registrerte blitt informert eller vil bli informert før eller så snart som mulig etter overføringen at dataene kan overføres til et tredje land som ikke tilbyr tilstrekkelig beskyttelse i henhold til innholdet i direktiv 95/46/EF,

(g) å videresende ethvert varsel mottatt fra dataimportøren eller en underbehandler i henhold til klausul 5 (b) og klausul 8(3) til databeskyttelsesmyndighetene dersom dataeksportøren bestemmer seg for å fortsette overføringen eller å løfte suspensjonen,

(h) for å gjøre tilgjengelig etter anmodning en kopi av klausulene, med et unntak av vedlegg 2, og en oppsummering av sikkerhetsforanstaltningene, samt en kopi av enhver kontrakt for tredjeparts behandlingstjenester som har blitt gjort i samsvar med klausulene, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, og i så fall kan man fjerne slike kommersielle opplysninger,

(i) at ved underbehandling utføres behandlingsaktiviteten i samsvar med klausul 11 av en underbehandler som gir minst samme beskyttelsesnivå for personopplysningene og rettighetene til den registrerte som dataimportør i henhold til klausulene, og

(j) at de skal sikre samsvar med klausul 4(a) til (i).

Klausul 51.

Forpliktelser for dataimportøren

Dataimportøren godtar og garanterer:

(a) å behandle personopplysningene kun på vegne av dataeksportøren og i samsvar med instruksene og klausulene; hvis den ikke kan oppfylle disse kranene av en eller annen grunn, samtykker de i å informere dataeksportøren omgående om at de ikke er i stand til å overholde disse, og hvor da dataeksportøren har rett til å suspendere overføringen av data og/eller avslutte kontrakten,

(b) at det ikke har grunn til å tro at lovgivningen som gjelder for den, forhindrer de i å oppfylle instruksjonene mottatt fra dataeksportøren og dens forpliktelser i henhold til kontrakten og at i tilfelle en endring i denne lovgivningen som sannsynligvis vil ha en betydelig negativ effekt på de garantier og forpliktelser som følger av klausulene, vil de straks varsle endringen til dataeksportøren så snart denne er kjent, i så fall er dataeksportøren berettiget til å suspendere overføringen av data og / eller avslutte kontrakten,

(c) at den har implementert de tekniske og organisatoriske sikkerhetsforanstaltninger som er angitt i vedlegg 2 før behandling av overførte personopplysninger,

(d) at de straks vil varsle dataeksportøren om:

(i) enhver juridisk bindende forespørsel om offentliggjøring av personopplysninger av juridiske myndigheter, hvis ikke annet er forbudt, for eksempel et forbud i straffeloven for å bevare fortroligheten til en juridisk etterforsking,

(ii) tilfeldig eller uautorisert tilgang, og

(iii) enhver forespørsel mottatt direkte fra de registrerte uten å svare på den forespørselen, med mindre det er ellers gitt tillatelse til å gjøre dette,

(e) at de raskt og korrekt skal håndtere alle henvendelser fra dataeksportøren i forbindelse med behandlingen av personopplysninger knyttet til overføringen, og overholde tilsynsorganets råd med hensyn til behandling av overførte data,

(f) at de på anmodning fra dataeksportøren stiller sine databehandlingsanlegg tilgjengelig for revisjon av de behandlingsaktivitetene som omfattes av klausulene – revisjonen skal utføres av dataeksportøren, eller et kontrollorgan som består av uavhengige medlemmer, og som har nødvendige faglige kvalifikasjoner og er underlagt taushetsplikt, valgt av dataeksportøren, hvor det er aktuelt, i samråd med tilsynsmyndighetene,

(g) å gjøre tilgjengelig en kopi av klausulene, eller en eksisterende kontrakt for underbehandling, til disposisjon for den registrerte, med mindre klausulene eller kontrakten inneholder kommersiell informasjon, i så fall kan de fjerne den kommersielle informasjonen, med unntak av vedlegg 2 som skal være erstattet med en oppsummering av sikkerhetsforanstaltninger i de tilfellene hvor den registrerte ikke er i stand til å skaffe en kopi fra dataeksporten,

(h) at, ved underbehandling, har de tidligere informert dataeksportøren og innhentet skriftlig samtykke,

(i) at behandlingstjenester fra underbehandleren skal utføres i samsvar med klausul 11,

(j) å umiddelbart sende en kopi av en avtale med en underbehandler som den konkluderer med under klausulene til dataeksportøren.

Klausul 6

Ansvar

1.  Partene er enige om at enhver registrert person, som har lidd skade som følge av brudd på forpliktelsene nevnt i klausul 3 eller i klausul 11 av en part eller en underbehandler, har krav på å motta kompensasjon fra dataeksportøren for den påførte skaden.

2.  Dersom en registrert person ikke er i stand til å fremlegge krav om erstatning i samsvar med paragraf 1 mot dataeksportøren som skyldes at dataimportøren eller hans underbehandler har overtrådt sine forpliktelser som nevnt i klausul 3 eller i klausul 11, fordi dataeksportøren har forsvunnet, eller opphørt å eksistere eller er blitt insolvent, samtykker dataimportøren i at den registrerte kan utstede krav mot dataimportøren som om denne var dataeksportøren, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet. Dataimportøren kan ikke stole på brudd fra en underbehandler på sine forpliktelser for å unngå egne forpliktelser.

3.  Dersom en registrert person ikke er i stand til å fremlegge krav mot dataeksportøren eller dataimportøren nevnt i paragraf 1 og 2, som skyldes at underbehandleren har overtrådt sine forpliktelser som nevnt i klausul 3 eller i klausul 11 fordi både dataeksportøren og dataimportøren juridisk har opphørt å eksistere eller har blitt insolvent, sier underbehandleren seg enig i at den registrerte kan utstede krav mot underbehandleren av data med hensyn til sin egen behandling i henhold til klausulene som om den var dataeksportør eller dataimportør, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet. Underbehandlerens ansvar skal begrenses til egen prosessering i henhold til klausulen.

Klausul 7

Mekling og jurisdiksjon

1.  Dataimportøren godtar at hvis den registrerte påberoper seg tredjeparts begunstigede rettigheter og/eller krever erstatning for skade i henhold til klausulene, vil dataimportøren godta den registrertes beslutning:

(a) å henvise tvisten til mekling, av en uavhengig person eller eventuelt av tilsynsmyndighetene,

(b) å henvise tvisten til domstolene i medlemslandet der dataeksportøren er etablert.

2.  Partene er enige om at valget tatt av den opplysningen gjelder ikke vil skade dens materielle eller prosessuelle rettigheter til å søke rettsmidler i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.

Klausul 8

Samarbeid med tilsynsmyndigheter

1.  Dataeksportøren samtykker i å sende en kopi av denne kontrakten til tilsynsmyndighetene dersom de ønsker dette, eller hvis innsending kreves i henhold til gjeldende lov om databeskyttelse.

2.  Partene er enige om at tilsynsmyndigheten har rett til å foreta en revisjon av dataimportøren og enhver underbehandler som har samme omfang og er underlagt de samme vilkårene som ville gjelde for en revisjon av dataeksportøren under den gjeldende databeskyttelsesloven.

3.  Dataimportøren skal straks informere dataeksportøren om eksistensen av lovgivning som gjelder for den eller en underbehandler som hindrer gjennomføringen av en revisjon av dataimportøren, eller en underbehandler, i samsvar med paragraf. 2. I så fall har dataeksportøren rett til å igangsette de tiltakene som er beskrevet i klausul 5 (b).

Klausul 9

Styrende lov

Klausulene skal være underlagt lovgivningen i medlemslandet der dataeksportøren er etablert, og dersom det er tvil eller hvor det er flere dataeksportører, vil disse være underlagt lovene i England og Wales. 

Klausul 10

Variasjon av kontrakten

Partene forplikter seg til ikke å bytte eller endre klausulene. Dette utelukker ikke partene fra å legge til klausuler om businessrelaterte spørsmål når det er nødvendig så lenge de ikke strider mot klausulen.

Klausul 11

Underbehandling

1.  Dataimportøren skal ikke benytte underleverandører på noen av sine prosessoppgaver utført på vegne av dataeksportøren i henhold til klausulene uten skriftlig samtykke fra dataeksportøren. Når dataimportøren benytter underleverandører på sine forpliktelser i henhold til klausulene, med samtykke fra dataeksportøren, skal dette kun gjøres etter skriftlig avtale med dataunderbehandleren som pålegger dataunderbehandleren de samme forpliktelsene som er pålagt dataimportøren under klausulene. Dersom dataunderbehandleren ikke oppfyller sine databeskyttelsesforpliktelser i henhold til en slik skriftlig avtale, forblir dataimportøren fullt ut ansvarlig ovenfor dataeksportøren for utførelsen av dataunderbehandlerens forpliktelser i henhold til en slik avtale

2.  Den tidligere skriftlige kontrakten mellom dataimportøren og underbehandlere skal også fastsette en tredjeparts berettigelsesklausul som fastsatt i klausul 3 i tilfeller der den registrerte ikke er i stand til legge frem erstatningskravet nevnt i paragraf 1 i klausul 6 mot dataeksportøren eller dataimportøren fordi de juridisk har opphørt å eksistere eller har blitt insolvent, og ingen etterfølger har tatt på seg alle de juridiske forpliktelsene fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven. Slikt tredjepartsansvar for underbehandleren skal være begrenset til sin egen behandling i henhold til klausulen.

3.  Bestemmelsene om databeskyttelsesaspekter for underbehandling av kontrakten nevnt i paragraf 1 skal reguleres av loven i det medlemslandet der dataeksportøren er etablert.

4.  Dataeksportøren skal oppbevare en liste over avtaler med underbehandlere inngått i henhold til klausulene og informert av dataimportøren i henhold til klausul 5 (j), som skal oppdateres minst én gang i året. Listen skal være tilgjengelig for dataeksportørens tilsynsmyndighet for databeskyttelse.

Klausul 12

Forpliktelse etter opphør av tjenester knyttet til behandling av personopplysninger

1.  Partene er enige om at ved oppsigelse av levering av databehandlingstjenester, skal dataimportøren og underbehandleren, etter dataeksportørens valg, returnere alle overførte personopplysninger og kopiene til dataeksportøren eller ødelegge alle personlige data og attestere til dataeksportøren at den har gjort dette, med mindre lovgivningen pålagt dataimportøren hindrer den i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer dataimportøren at de vil garantere konfidensialiteten til de overførte personopplysningene og ikke aktivt behandle overførte personopplysninger lenger.

2.  Dataimportøren og underbehandleren garanterer at de etter anmodning fra dataeksportøren og/eller tilsynsmyndighetene, skal tilgjengeliggjøre databehandlingsanlegget for revisjon av tiltakene nevnt i paragraf 1.

**********************************************

Vedlegg 1 til standard kontraktsmessige klausuler

Dataeksportør

Dataeksportøren er enheten identifisert som «kunde» i tillegget

Dataimportør

Dataimportøren er GoDaddy.com, LLC , en leverandør av vertsbaserte tjenester.

Registrerte personer

Behandlingsoperasjonene er definert i avsnitt 1.3 og vedlegg 1 i tillegget.

Datakategorier

Behandlingsoperasjonene er definert i avsnitt 1.3 og vedlegg 1 i tillegget.

Behandlingsoperasjoner

Behandlingsoperasjonene er definert i avsnitt 1.3 og vedlegg 1 i tillegget.

Vedlegg 2 til standard kontraktsmessige klausuler

Dette tillegget er en del av klausulene.  Ved å kjøpe dekkede tjenester fra GoDaddy er tillegget og tillegg 2 ansett som akseptert og utført av og mellom partene.

Beskrivelse av tekniske og organisatoriske sikkerhetsforanstaltninger som er implementert av dataimportøren i samsvar med klausul 4 (d) og 5 (c) (eller vedlagte dokument/vedlegg):

De tekniske og organisatoriske sikkerhetsforanstaltninger som implementeres av dataimportøren er som beskrevet i tillegget, spesielt i vedlegg 2, som er innlemmet og knyttet til det.


1              Obligatoriske krav i den nasjonale lovgivningen som gjelder for dataimportøren som ikke går utover det som er nødvendig i et demokratisk samfunn på grunnlag av en av interessene nevnt i artikkel 13(1) i Direktiv 95/46/EF, det vil si hvis de utgjør et nødvendig tiltak for å beskytte nasjonal sikkerhet, forsvar, offentlig sikkerhet, forebygging, etterforskning, oppdagelse og påtale om kriminelle handlinger eller etiske brudd på lovregulerte yrker, en viktig økonomisk eller finansiell interesse for landet eller beskyttelse av registrerte eller andre personers rettigheter og friheter, er ikke i strid med standard kontraktsklausuler. Noen eksempler på slike obligatoriske krav som ikke går utover det som er nødvendig i et demokratisk samfunn, er blant annet internasjonalt anerkjente sanksjoner, krav til rapportering av skatteplikt eller rapporteringskrav for hvitvasking av penger._

Revidert: 29.01.2019
Copyright © 2019 GoDaddy.com, LLC Med enerett.