Dette vedlegget om behandling av forhandlerdata (“DPA”) utgjør en del av avtalen som er inngått mellom GoDaddy.com, LLC (inkludert tilknyttede partnere hvis dette vurderes under avtalen) (“GoDaddy”;) og deg (“forhandler”) med hensikten å selge GoDaddys produkt og tjenester (“tjenester”) gjennom GoDaddys Forhandlerprogram, og skal styre med hensyn til behandlingen av personlig informasjon av forhandler på vegne av GoDaddy. Forhandler inngår denne DPA på vegne av seg selv og i den utstrekningen det kreves under gjeldende lover og forskrifter for databeskyttelse, på vegne av dets autoriserte tilknytningspartnere. Alle uttrykk som begynner med stor bokstav som ikke er definert her, skal ha den betydningen som er angitt i avtalen. Uttrykkene “vi”, “oss” eller “vår” skal vise til GoDaddy. Uttrykkene “du”, “din” eller “forhandler” skal vise til alle enkeltpersoner eller enheter som godtar denne avtalen. Ingenting i denne avtalen skal anses for å tildele tredjepartsrettigheter eller -fordeler. Denne DPA-en skal tre i kraft og være bindende samme dato som din elektroniske godkjenning.

Denne DPA-en består av to (2) forskjellige deler, som er gjeldende som forklart under:

• Datasikkerhet samt sikkerhetsstandarder og sikkerhetskrav. Anvendelse av datasikkerhet samt sikkerhetsstandarder og sikkerhetskrav. Gjelder alle forhandlere som har tilgang til og behandler PII (som “definert heri”) innenfor karakteren til og omfanget til deres deltakelse i forhandlerprogrammet.
• Standard kontraktsklausuler (og vedleggene 1 og 2). Anvendelse av standard kontraktklausuler. De standard kontraktsklausulene gjelder for kundedata som overføres utenfor EØS, enten direkte eller via videreoverføring, til et land som ikke er anerkjent av EU-kommisjonen, og som gir et tilstrekkelig beskyttelsesnivå for personopplysninger (som beskrevet i GDPR). De standard kontraktsklausulene gjelder ikke kundedata som ikke er overført, enten direkte eller via videreoverføring, utenfor EØS. Til tross for det foregående gjelder ikke de standard kontraktsklausulene hvor dataene overføres i samsvar med en anerkjent samsvarsstandard for lovlig overføring av personopplysninger (som definert i GDPR) utenfor EØS, for eksempel Privacy Shield-rammeverkene for EU-USA og Sveits-USA.

1. Innhold og omfang

Denne personvern- og sikkerhet-SLA-en (“sikkerhet-SLA”) blir tillagt og innlemmet i avtalen med hensikt om å sikre at enhver PII (som definert nedenfor) som samles inn eller brukes av deg, blir behandlet på et vis som er sikkert og ellers i samsvar med vilkårene til avtalen, denne sikkerhet-SLA-en og gjeldende lover og regler.

2. Forrangsrekkefølge.

Denne sikkerhet-SLA-en er innlemmet i og utgjør en del av avtalen. For det som ikke omtales i denne sikkerhet-SLA-en, skal vilkårene i avtalen gjelde. Med hensyn til partenes rettigheter og plikter overfor hverandre, i tilfelle konflikt mellom vilkårene i avtalen og denne sikkerhet-SLA-en, vil vilkårene i denne sikkerhet-SLA-en styre. I tilfelle det oppstår en konflikt mellom vilkårene i sikkerhet-SLA-en og de standard kontraktsklausulene, vil de vanlige kontraktvilkårene ha forrang.

3. Personlig informasjon.

1. “PII” eller “Personlig informasjon” skal bety informasjon i hvilket som helst medium eller form av hvilken som helst type som gjelder en identifisert eller identifiserbar fysisk person; en identifiserbar fysisk person er noen som kan identifiseres direkte eller indirekte, spesielt med hensyn til en identifikasjon som navn, adresse, personnummer eller annet id-nummer, e-postadresse, telefonnummer, finansprofil, kredittkortinformasjon, førerkortnummer eller annen informasjon som rimeligvis kan tilknyttes en bestemt person, datamaskin, eller enhet (f.eks informasjon som samles via sporingsteknologi, som en IP-adresse), eller til en eller flere faktorer som er spesifikke for den fysiske, fysiologiske, genetiske, mentale, økonomisk, kulturelle eller sosiale identiteten til den personen.

2. Behandling for denne DPA-en skal inkludere innsamling, registrering, organisering, strukturering, lagring, tilpassing eller endring, henting, konsultering, bruk, videreformidling, distribuering eller annen metode for å gjøre tilgjengelig, kombinering, begrensing, sletting eller ødelegging av PII.
3. GoDaddyvidereformidler PII utelukkende til deg for din ytelse av tjenestene på vegne av GoDaddy, og du kan bare behandle PII for de begrensede og spesifikke formålene som er beskrevet i avtalen og i henhold til våre skriftlige instrukser og for intet annet formål, inkludert med hensyn til overføringer av EU-enkeltpersoners PII utenfor Europaunionen, med mindre dette kreves i henhold til lov og rett i Europaunionen eller en medlemsnasjon av Europaunionen (og i så fall må du varsle oss umiddelbart i forkant av dette, med mindre du hindres i å informere oss i henhold til lov og rett).
4. Du forbys å: (i) selge PII, (ii) beholde, bruke eller videreformidle PII for kommersielle formål annet enn å levere tjenestene, og (iii) beholde, bruke eller videreformidle PII utenfor avtalen mellom deg ogGoDaddy.

5. Du anerkjenner og bekrefter at PII ikke offentliggjøres av hensyn til noen tjeneste som leveres til GoDaddy under avtalen. Du må ikke selge noen PII, i henhold til hvordan termen “selge” er definert under California Consumer Privacy Act fra 2018, som endret (“CCPA”), og du bekrefter herved at du forstår reglene, kravene og definisjonene i CCPA og alle restriksjonene i denne DPA-en. Du godtar å avstå fra å iverksette tiltak som kan føre til at eventuelle overføringer av PII til eller fra deg kvalifiserer som “salg av personlig informasjon” i henhold til CCPA-en og eventuelle andre gjeldende lover.
6. Du kan bare overføre PII relatert til EU-enkeltpersoner til utenfor EU (eller hvis slik PII allerede er utenfor EU, til enhver tredjepart som også er utenfor EU), i samsvar med vilkårene i denne DPA-en og kravene i artikkel 44 til 49 i GDPR (som definert nedenfor).
7. Du må umiddelbart varsle oss hvis, etter din mening, vår instruks er i strid med gjeldende lover og forskrifter om databeskyttelse, inkludert EUs lov om databeskyttelse (som definert nedenfor) på privacy@godaddy.com.

8. Du må behandle alle PII som strengt konfidensielle og den må informere alle sine ansatte eller godkjente agenter som er engasjert i å behandle PII, om den konfidensielle karakteren til PII, og sørge for at slike personer eller parter har signert en passende taushetsavtale for å opprettholde konfidensialiteten av PII.
9. I den grad du mottar, opprettholder, behandler eller på annen måte har tilgang til PII i forbindelse med forhandlerprogrammet under avtalen, anerkjenner og godtar du at du er ansvarlig for å opprettholde passende organisatoriske og sikkerhetsmessige tiltak for å beskytte slik PII. Du må beskytte og sikre slik PII i henhold til alle gjeldende lover om personvern og databeskyttelse, inkludert men ikke begrenset til regulering (EU) 2016/679 fra Europaparlamentet og Rådet av 27. april 2016 om beskyttelsen av fysiske personer med hensyn til behandlingen av personlige data og den frie bevegelsen av slik data (“Generell datavernregulering” eller “GDPR”) og tilknyttet lover eller regler i medlemland i Den europeiske union (tilsammen “EUs lov om databeskyttelse”).

10. De passende organisatoriske og sikkerhetsmessige tiltakene referert til i avsnitt 3.7 skal inkludere som passende (men er ikke begrenset til):
    1. de tiltakene oppført nedenfor i avsnitt 3 og 4,
    2. tiltak for å sikre at bare autoriserte enkeltpersoner, for tiltakene beskrevet i avtalen, har tilgang til PII,
    3. pseudonymisering og kryptering av PII,
    4. evnen til å sikre fortsatt konfidensialitet, integritet, tilgjengelighet og motstandsdyktighet for behandlingssystemene og -tjenestene dine,
    5. Muligheten til å gjenopprette tilgjengeligheten og tilgangen til PII på en betimelig måte,
    6. En prosess for regelmessig testing, vurdering og evaluering av de tekniske og organisatoriske tiltakene for å sørge for sikkerheten til behandlingen av PII, og
    7. tiltak for å identifisere sårbarheter med hensyn til behandlingen av PII i systemene dine.
11. I den grad du inngår kontrakt med underleverandører, leverandører eller andre tredjeparter for å lette gjennomføringen i henhold til avtalen, må du (i) innhente skriftlig forhåndssamtykke og (ii) inngå en skriftlig avtale med slik tredjepart for å sikre at denne parten også overholder vilkårene i denne DPA-en og avtalen.

12. Til tross for enhver autorisasjon gitt av oss i samsvar med avsnitt 1.11, forblir du fullt ansvarlig for handlingene til enhver slik underleverandør, leverandør eller annen tredjepart der slik part ikke oppfyller sine forpliktelser i henhold til denne DPA-en (eller lignende kontraktsopplegg som er satt sammen for å pålegge forpliktelser på tredjeparten som er tilsvarende de som gjelder for deg i henhold til denne DPA-en) eller under gjeldende personvernlover.
13. Du vil, på egen bekostning, forsvare og holde oss skadesløse fra og mot alt ansvar, alle kostnader og tap i forbindelse med noen midlertidig eller permanent, utilsiktet eller ulovlig, utilgjengelighet, tap, ødeleggelse, uautorisert videreformidling av eller tilgang til, tyveri eller kompromittering av PII samt alle andre brudd på gjeldende lovgivning for databeskyttelse og alle brudd på denne DPA-en.
14. I tilfelle du blir oppmerksom på at du har mottatt vår konfidensielle informasjon eller PII som ikke var ment å bli mottatt av deg eller autorisert til å mottas av deg i henhold til denne avtalen, må du (i) umiddelbart varsle oss på privacy@godaddy.com, og (ii) med mindre du har fått skriftlige instrukser om noe annet, beholde informasjonen til du blir kontaktet av privacy@godaddy.com med instruksjoner om hva du kan gjøre med slik informasjon.

4. Innvirkningsvurderinger og sikkerhetsrevisjoner

1. Innvirkningsvurderinger for databeskyttelse. Du må hjelpe oss til å gjennomføre vurderinger av innvirkning på databeskyttelse, for å identifisere og minimalisere enhver personvern- eller sikkerhetsrisiko som er forbundet med forhandlerprogrammet, under avtalen.
2. Periodiske revisjoner. Vi forbeholder oss retten til periodisk å revidere (eller bruke en tredjepart, etter vårt valg, til revisjon av) din overholdelse av denne DPA-en.
3. Revisjon etter en hendelse. Dersom et forhandlerrelatert sikkerhetsbrudd oppstår, kan vi utføre en sikkerhetsrevisjon for å sikre at ingen PII ble påvirket. Du blir gitt 90 dager til å svare på eventuelle problemer som identifiseres gjennom revisjonen. Når identifiserte problemer er blitt løst, kan vi utføre en sikkerhetsrevisjon for å sikre at tiltakene er gjennomført.
4. Merknad om manglende overholdelse. Skulle du ikke være i stand til å oppfylle én eller flere av forpliktelsene i denne DPA-en av en hvilken som helst grunn, må du umiddelbart varsle oss. I så fall må du gi beskjed om det er mulig å rette opp et problem raskt og uten fare for sikkerheten til noen PIl. Hvis ikke kan vi velge å si opp avtalen straks, uten straff eller videre erstatningsansvar overfor deg.

5. Tidspunkt for varsling for

1. sikkerhetshendelser. Du skal formidle eventuelle sikkerhetshendelser knyttet til dine tjenester og/eller PII til oss umiddelbart etter oppdagelsen derav, og skal gi umiddelbar tilbakemelding om hvilken innvirkning denne hendelsen kan ha på oss eller PII. Du skal gjøre ditt beste for å varsle oss om sikkerhetshendelsen umiddelbart etter å ha oppdaget en slik hendelse og senest én time etter at du har oppdaget hendelsen. En hendelse i forbindelse med denne DPA-ens formål skal også omfatte:
   1. en klage eller forespørsel om utøvelse av en enkeltpersons rettigheter i henhold til gjeldende lov og rett inkludert EUs lov om databeskyttelse,
   2. en etterforskning av eller beslag av PII utført av myndighetspersoner, reguleringsmyndigheter eller rettshåndhevelsesbyråer, eller indikasjoner på at slik etterforskning eller beslag overveies,
   3. enhver midlertidig eller permanent, utilsiktet eller ulovlig, utilgjengelighet, tap, ødeleggelse, uautorisert videreformidling av eller tilgang til, tyveri eller kompromittering av PII, og
   4. alle brudd på sikkerheten og/eller konfidensialitetsforpliktelser som er beskrevet i denne DPA-en.
2. Varslingsformat og -innhold. Varsling om et sikkerhetsbrudd skal gjøres ved å ringe vårt Network Operations Center (NOC) på (480) 505-8809, etterfulgt av en skriftlig melding til securitybreach@godaddy.com. Du må oppgi følgende informasjon under varslingstelefonsamtalen og i den skriftlige meldingen, i den grad mulig, med videre oppdateringer etter hvert som informasjon dukker opp:
   1. en beskrivelse av karakteren til hendelsen og sannsynlige konsekvenser av hendelsen,
   2. forventet løsningstid (om kjent),
   3. en beskrivelse av tiltak som er truffet eller foreslått for å håndtere hendelsen, tiltak for å minske dens mulige negative effekter på oss, PII eller tilknyttede enkeltpersoner,
   4. Hvis løsningsprosessen er ukjent på tidspunktet for telefonsamtalen, må du informere om dette,
   5. kategoriene og omtrentlig volum av PII og enkeltpersoner som potensielt berøres av hendelsen, og de sannsynlige konsekvensene av hendelsen på den PII og tilknyttede enkeltpersoner, og
   6. navnet og telefonnummeret til en forhandlerrepresentant vi kan kontakte for å innhente oppdateringer om hendelsen.
3. Sikkerhetsressurser. Vi kan, etter gjensidig avtale med deg, tilby ressurser fra vår sikkerhetsgruppe for å bistå med et identifisert sikkerhetsbrudd. Du samtykker i å hjelpe oss til å oppfylle dens forpliktelser i forhold til varslingen om sikkerhetsbrudd under EUs lov om databeskyttelse, eller enhver annen forpliktet melding om lovmessig, forskriftsmessig, administrativt eller kontraktmessig brudd.

6. Kryptografi

1. Proprietær kryptering. Sikrede transaksjoner mellom deg og underkontraktør, selger eller annen tredjepart, samt oppbevaring av vår konfidensielle informasjon eller PII kan ikke bruke noen kryptografiske algoritmer som du har utviklet internt. Enhver symmetrisk, usymmetrisk eller hashing-algoritme som brukes av applikasjonsinfrastrukturen, vil bruke algoritmer som er blitt publisert og vurdert av det generelle kryptografiske felleskapet.
2. Krypteringsstyrke. Krypteringsalgoritmer må oppfylle dagens industristandardteknologi og ha tilstrekkelig styrke, for eksempel AES. SHA-256- eller RSA-kryptering med offentlig nøkkel.
3. Hashing-funksjoner. Hashing-funksjoner vil være en kombinasjon av SHA-256 og minst en av MD-5, SHA-2, SHA-3 eller lignende, ikke inkludert SHA-1. Hvis alternative hashing-funksjoner skal benyttes, må de ha eksplisitt godkjenning fra vårt informasjonssikkerhetsteam og må ledsages av minst én godkjent algoritme.

7. Behandling av PII

1. Overholdelse av lov og rett. I den utstrekning det gjelder, vil du hjelpe oss med våre forpliktelser til å svare på forespørsler fra en person hvis PII blir behandlet under avtalen og som vil utøve enhver av sine rettigheter under EUs lov om databeskyttelse, inkludert (men ikke begrenset til): (i) rett til tilgang, (ii) rett til dataportabilitet, (iii) rett til sletting, (iv) rett til rettelse, (v) rett til å klage på automatisk beslutningstakelse, eller (vi) rett til å klage på behandling.
2. Slette/ødelegge. Du må slette/ødelegge eller tilbakesende all PII på en sikker måte og overskrive fysiske disker som brukes til lagring med kryptografisk sletting (NIST SP-800-88r1) eller likeverdig måte til enhver tid etter vår forespørsel eller, uten vår forespørsel, etter avslutning av avtalen, og ødelegge eller tilbakelevere eksisterende kopier av dette til oss.

I henhold til artikkel 26 (2) i direktiv 95/46/EF for overføring av personopplysninger til behandlere etablert i tredjeland som ikke sikrer en tilstrekkelig grad av databeskyttelse

dataeksportør:GoDaddy og dennes tilknyttede enheter

og

dataimportør: Forhandleren som nevnes som deltok i forhandlerprogrammet i henhold til avtalens vilkår.

hver en “part”; tilsammen “partene”,

ER ENIGE OM følgende avtaleklausuler (klausulene) for å oppnå tilstrekkelige garantier med hensyn til beskyttelse av personvern og grunnleggende rettigheter og friheter til enkeltpersoner for overføring av dataeksportøren til dataimportøren av personopplysningene angitt i vedlegg 1.

Med hensyn til klausulene:

(a) "personlige data", "spesielle datakategorier", "prosess/behandling", "kontroller", "behandler", "dataregistrert" og "tilsynsmyndighet” skal ha samme betydning som i direktiv 95/46/EF fra Europaparlamentet og Rådet av 24. oktober 1995 om beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger;

(b) “dataeksportøren” betyr kontrolleren som overfører de personlige dataene;;

(c) "dataimportøren" betyr behandleren som samtykker i å motta data fra personopplysningene som er beregnet til behandling på deres vegne etter overføringen i samsvar med deres instrukser og vilkårene i klausulene og som ikke er underlagt et tredjelands system som sikrer tilstrekkelig beskyttelse i henhold til artikkel 25 (nr. 1) i direktiv 95/46/EF;

(d) “tredjepartsbehandler” betyr enhver behandler som benyttes av dataimportøren eller av en annen tredjepartsbehandler av dataimportøren som samtykker i å motta fra dataimportøren, eller fra en annen tredjepartsbehandler av dataimportøren, personlige data utelukkende beregnet for behandling av aktiviteter som skal utføres på dataeksportørens vegne etter overføringen i samsvar med dennes instrukser, vilkårene i klausulene og vilkårene i den skriftlige kontrakten med tredjepart;

(e) “den gjeldende databeskyttelsesloven” betyr lovgivningen som beskytter enkeltpersoners grunnleggende rettigheter og frihet, og særlig deres rett til personvern i forbindelse med behandling av personopplysninger som gjelder for en datakontrollør i det medlemslandet hvor dataeksportøren er etablert;

(f) “tekniske og organisatoriske sikkerhetsforanstaltninger” betyr de tiltak som tar sikte på å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert avsløring eller tilgang, særlig når behandlingen omfatter overføring av data over et nettverk og mot alle andre ulovlige former av behandling.

Nærmere informasjon om overføringen og spesielt de spesielle kategoriene av personopplysninger hvor det er aktuelt, er angitt i vedlegg 1 som utgjør en integrert del av klausulene.

1. Den registrerte personen kan benytte denne klausulen, klausul 4(b) til (i), klausul 5(a) til (e) og (g) til (j), klausul 6(1) og (2), klausul 7, klausul 8(2) og klausulene 9-12 som tredjepartsmottaker.

2. Den registrerte personen kan stille krav overfor dataimportøren med utgangspunkt i denne klausulen, klausul 5(a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausulene 9 til 12 i tilfeller hvor dataeksportøren og juridisk har opphørt å eksistere, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet.

3. Den registrerte kan stille krav overfor tredjepartsbehandlere med utgangspunkt i denne klausulen, klausul 5(a) til (e) og (g), klausul 6, klausul 7, klausul 8(2) og klausulene 9 til 12 i tilfeller hvor både dataeksportøren og dataimportøren juridisk har opphørt å eksistere eller har blitt insolvent, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet. Slike tredjepartsansvar for underbehandleren skal være begrenset til sin egen behandling i henhold til klausulen.

4. Partene motsier ikke at en registrert person representeres av en organisasjon eller et annet organ dersom den registrerte uttrykkelig ønsker det, og hvis det er tillatt etter nasjonal lov.

Dataeksportøren godtar og garanterer

(a) at behandlingen, inkludert selve overføringen, av personopplysningene har blitt og vil fortsette å bli gjennomført i samsvar med de relevante bestemmelsene i gjeldende databeskyttelseslov (og, hvis det er aktuelt, har blitt varslet til medlemslandets relevante myndigheter hvor dataeksportøren er etablert) og ikke bryter med de relevante bestemmelsene i dette landet

(b) at de har informert, og gjennom hele varigheten av behandlingstjenestene for personopplysninger kommer til å informere, dataimportøren om å behandle de overførte personopplysningene kun på dataeksportørens vegne og i samsvar med gjeldende databeskyttelseslov og klausulene

(c) at dataimportøren vil gi tilstrekkelige garantier for de tekniske og organisatoriske sikkerhetsforanstaltningene som er angitt i vedlegg 2 til denne kontrakten

(d) at, etter å ha vurdert kravene i gjeldende databeskyttelseslov, sikkerhetsforanstaltningene er hensiktsmessige for å beskytte personopplysninger mot utilsiktet eller ulovlig ødeleggelse eller utilsiktet tap, endring, uautorisert offentliggjøring eller tilgang, spesielt hvor behandlingen omfatter overføring av data over et nettverk, og mot alle andre ulovlige former for behandling, og at disse tiltakene sikrer et sikkerhetsnivå som er passende for de risikoene som fremkommer av behandlingen og arten av dataene som skal beskyttes, med hensyn til gjeldende krav og kostnaden for implementeringen av disse

(e) at de vil sikre at sikkerhetstiltakene overholdes

(f) at, hvis overføringen innebærer spesielle datakategorier, den registrerte er blitt informert eller blir informert før eller så snart som mulig etter overføringen om at dataene kan overføres til et tredje land som ikke tilbyr tilstrekkelig beskyttelse i henhold til innholdet i direktiv 95/46/EF

(g) at alle varsler som mottas fra dataimportøren eller en tredjepartsbehandler i henhold til klausul 5(b) og klausul 8(3), skal videresendes til databeskyttelsesmyndighetene dersom dataeksportøren bestemmer seg for å fortsette overføringen eller oppheve suspensjonen

(h) at de registrerte ved forespørsel gis tilgang til en kopi av klausulene, med unntak av vedlegg 2, og en oppsummering av sikkerhetsforanstaltningene, samt en kopi av alle kontrakter for tredjeparts behandlingstjenester som er gjort i samsvar med klausulene, med mindre klausulene eller kontrakten inneholder kommersiell informasjon – slik kommersiell informasjon kan i så fall fjernes

(i) at behandlingsaktiviteten ved tredjepartsbehandling utføres i samsvar med klausul 11 av en tredjepartsbehandler som gir minst samme beskyttelsesnivå for personopplysningene og rettighetene til den registrerte som dataimportøren gir i henhold til klausulene

(j) at de skal sikre samsvar med klausul 4(a) til (i)

Dataimportøren godtar og garanterer følgende:

(a) å behandle personopplysningene kun på vegne av dataeksportøren og i samsvar med instruksene og klausulene – hvis dataimportøren av en eller annen grunn ikke kan oppfylle disse kravene, samtykker de i å informere dataeksportøren omgående om at de ikke er i stand til å overholde kravene, og dataeksportøren har da rett til å suspendere overføringen av data og/eller avslutte kontrakten

(b) at dataimportøren ikke har grunn til å tro at lovgivningen som gjelder for dem, forhindrer dem i å oppfylle instruksjonene mottatt fra dataeksportøren og deres forpliktelser i henhold til kontrakten, og at i tilfelle en endring i denne lovgivningen som sannsynligvis vil ha en betydelig negativ effekt på de garantier og forpliktelser som følger av klausulene, vil de straks varsle om endringen til dataeksportøren så snart denne er kjent – i så tilfelle har dataeksportøren rett til å suspendere overføringen av data og / eller avslutte kontrakten

(c) at de har implementert de tekniske og organisatoriske sikkerhetsforanstaltningene som er angitt i vedlegget, før behandling av overførte personopplysninger

(d) at de umiddelbart vil varsle dataeksportøren om følgende:

(i) enhver juridisk bindende forespørsel om offentliggjøring av personopplysninger av juridiske myndigheter, hvis ikke annet er forbudt, for eksempel et forbud i straffeloven for å bevare fortroligheten til en juridisk etterforsking

(ii) tilfeldig eller uautorisert tilgang

(iii) enhver forespørsel mottatt direkte fra de registrerte uten å svare på den forespørselen, med mindre det er ellers gitt tillatelse til å gjøre dette

(e) at de raskt og korrekt skal håndtere alle henvendelser fra dataeksportøren i forbindelse med behandlingen av personopplysninger knyttet til overføringen, og overholde tilsynsorganets råd med hensyn til behandling av overførte data

(f) at de på anmodning fra dataeksportøren stiller sine databehandlingsanlegg tilgjengelig for revisjon av de behandlingsaktivitetene som omfattes av klausulene – revisjonen skal utføres av dataeksportøren, eller et kontrollorgan som består av uavhengige medlemmer, og som har nødvendige faglige kvalifikasjoner og er underlagt taushetsplikt, valgt av dataeksportøren, hvor det er aktuelt, i samråd med tilsynsmyndighetene

(g) å gjøre tilgjengelig på forespørsel fra den registrerte en kopi av klausulene, eller en eksisterende kontrakt for tredjepartsbehandling, med mindre klausulene eller kontrakten inneholder kommersiell informasjon – i så tilfelle kan den kommersielle informasjonen fjernes, med unntak av vedlegg 2, som skal være erstattet med et sammendrag av sikkerhetstiltakene i de tilfellene hvor den registrerte ikke er i stand til å skaffe en kopi fra dataeksportøren

(h) at de ved tredjepartsbehandling på forhånd har informert dataeksportøren og innhentet skriftlig samtykke

(i) at behandlingstjenester fra tredjepartsbehandleren skal utføres i samsvar med klausul 11

(j) å umiddelbart sende en kopi av eventuelle avtaler med tredjepartsbehandlere som den konkluderer med under klausulene, til dataeksportøren

(k) at de skal, for egen kostnad, forsvare, holde skadesløs og ansvarsfri dataeksportøren mot alt ansvar og tap i forbindelse med eventuelle tap, uautoriserte avsløringer, tyverier eller kompromittering av personlige opplysninger samt ethvert annet brudd på gjeldende lover om personvern av eller fra dataimportøren

1. Partene er enige om at enhver registrert person, som har lidd skade som følge av brudd på forpliktelsene nevnt i klausul 3 eller i klausul 11 av en part eller en tredjepartsbehandler, har krav på å motta kompensasjon fra dataeksportøren for den påførte skaden.

2. Dersom en registrert ikke er i stand til å fremlegge krav om erstatning i samsvar med paragraf. 1 mot dataeksportøren som skyldes at dataimportøren eller hans tredjepartsbehandler har overtrådt sine forpliktelser som nevnt i klausul 3 eller i klausul 11, fordi dataeksportøren har forsvunnet, eller opphørt å eksistere eller er blitt insolvent, samtykker dataimportøren i at den registrerte kan utstede krav mot dataimportøren som om denne var dataeksportøren, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet.
   
   Dataimportøren kan ikke stole på brudd fra en tredjepartsbehandler på sine forpliktelser for å unngå egne forpliktelser.

3. Dersom en registrert person ikke er i stand til å fremlegge krav mot dataeksportøren eller dataimportøren nevnt i paragraf 1 og 2, som skyldes at tredjepartsbehandleren har overtrådt sine forpliktelser som nevnt i klausul 3 eller i klausul 11 fordi både dataeksportøren og dataimportøren juridisk har opphørt å eksistere eller har blitt insolvent, sier tredjepartsbehandleren seg enig i at den registrerte kan utstede krav mot tredjepartsbehandleren av data med hensyn til sin egen behandling i henhold til klausulene som om den var dataeksportør eller dataimportør, med mindre en etterfølgende enhet har antatt alle juridiske forpliktelser fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven, i så fall kan den registrerte håndheve sine rettigheter mot en slik enhet. Tredjepartsbehandlerens ansvar skal begrenses til egen prosessering i henhold til klausulen.

1. Dataimportøren godtar at hvis den registrerte påberoper seg tredjeparts begunstigede rettigheter og/eller krever erstatning for skade i henhold til klausulene, vil dataimportøren godta den registrertes beslutning:
   
   (a) å henvise tvisten til mekling, av en uavhengig person eller eventuelt av tilsynsmyndighetene;
   
   (b) å henvise tvisten til domstolene i medlemslandet der dataeksportøren er etablert.

2. Partene er enige om at valget tatt av den opplysningen gjelder ikke vil skade dens materielle eller prosessuelle rettigheter til å søke rettsmidler i samsvar med andre bestemmelser i nasjonal eller internasjonal lov.

1. Dataeksportøren samtykker i å sende en kopi av denne kontrakten til tilsynsmyndighetene dersom de ønsker dette, eller hvis innsending kreves i henhold til gjeldende lov om databeskyttelse.

2. Partene er enige om at tilsynsmyndigheten har rett til å foreta en revisjon av dataimportøren og enhver tredjepartsbehandler som har samme omfang og er underlagt de samme vilkårene som ville gjelde for en revisjon av dataeksportøren under den gjeldende databeskyttelsesloven.

3. Dataimportøren skal straks informere dataeksportøren om eksistensen av lovgivning som gjelder for dem eller en tredjepartsbehandler, og som hindrer gjennomføringen av en revisjon av dataimportøren eller en tredjepartsbehandler i samsvar med paragraf. 2. I så tilfelle har dataeksportøren rett til å igangsette de tiltakene som er beskrevet i klausul 5(b).

Klausulene skal være underlagt lovgivningen i medlemslandet der dataeksportøren er etablert, eller der dataeksportøren er etablert i flere jurisdiksjoner, vil disse være underlagt lovene i England og Wales.

Partene forplikter seg til ikke å bytte eller endre klausulene. Dette utelukker ikke partene fra å legge til klausuler om forretningsspørsmål når det er nødvendig så lenge de ikke strider mot klausulen.

1. Dataimportøren skal ikke benytte underleverandører på noen av sine prosessoppgaver utført på vegne av dataeksportøren i henhold til klausulene uten skriftlig samtykke fra dataeksportøren. Når dataimportøren benytter underleverandører på sine forpliktelser i henhold til klausulene, med samtykke fra dataeksportøren, skal dette kun gjøres etter skriftlig avtale med tredjeparts databehandler som pålegger tredjeparts databehandler samme forpliktelser som pålagt dataimportøren under klausulene. Dersom tredjeparts databehandler ikke oppfyller sine databeskyttelsesforpliktelser i henhold til en slik skriftlig avtale, forblir dataimportøren fullt ut ansvarlig ovenfor dataeksportøren for utførelsen av tredjeparts databehandlers forpliktelser i henhold til en slik avtale.

2. Den tidligere skriftlige kontrakten mellom dataimportøren og tredjepartsbehandlere skal også fastsette en tredjeparts begunstigelsesklausul som fastsatt i klausul 3 i tilfeller hvor den registrerte ikke er i stand til legge frem erstatningskravet nevnt i paragraf 1 i klausul 6 mot dataeksportøren eller dataimportøren fordi de juridisk har opphørt å eksistere eller har blitt insolvent og ingen etterfølger har tatt på seg alle de juridiske forpliktelsene fra dataeksportøren eller dataimportøren ved kontrakt eller i kraft av loven.

4. Bestemmelsene om databeskyttelsesaspekter for tredjepartsbehandling av kontrakten nevnt i paragraf 1 skal reguleres av loven i det medlemslandet hvor dataeksportøren er etablert.

5. Dataeksportøren skal oppbevare en liste over avtaler med tredjepartsbehandlere inngått i henhold til klausulene og informert av dataimportøren i henhold til klausul 5 (j), som skal oppdateres minst en gang i året. Listen skal være tilgjengelig for dataeksportørens tilsynsmyndighet for databeskyttelse.

1. Partene er enige om at ved oppsigelse av levering av databehandlingstjenester, skal dataimportøren og tredjepartsbehandleren, etter dataeksportørens valg, returnere alle overførte personopplysninger og kopiene til dataeksportøren eller ødelegge alle personlige data og attestere til dataeksportøren at den har gjort dette, med mindre lovgivningen pålagt dataimportøren hindrer den i å returnere eller ødelegge hele eller deler av de overførte personopplysningene. I så fall garanterer dataimportøren at de vil garantere konfidensialiteten til de overførte personopplysningene og ikke aktivt behandle overførte personopplysninger lenger.

2. Dataimportøren og tredjepartsbehandleren garanterer at etter anmodning fra dataeksportøren og/eller tilsynsmyndighetene, skal de tilgjengeliggjøre databehandlingsanlegget for revisjon av tiltakene nevnt i paragraf 1.

Ytterligere nødvendig informasjon som ikke inkluderes i medfølgende SOW skal inkluderes i dette vedlegget:

Dataeksportør:
Dataeksportøren er enheten som identifiseres som GoDaddy, en leverandør av forhandlerprogram for at dataimportøren kan forhandle visse produkter og tjenester for GoDaddy til kunder.

Dataimportør:

Dataimportøren er forhandler av GoDaddys produkt og tjenester.

Registrerte personer

Registrerte personer er kunder.

Datakategorier

Personlige data som overføres gjelder følgende datakategorier:

Kunder kan levere personlige opplysninger til tjenestene som kan inkludere, men begrenses ikke til følgende kategorier av personlige opplysninger:

• Fornavn og etternavn
• E-postadresse
• Telefonnummer
• Fysisk adresse
• Behandlingsoperasjoner

De personlige dataene som overføres vil bli underlagt følgende grunnleggende behandlingsaktiviteter:

Forhandler vil behandle personlige data som nødvendig for å utføre tjenestene i henhold til forhandleravtalen, og etter instruksjonene fra kunden gjennom dennes bruk av tjenestene.

Tekniske og organisasjonsmessige sikkerhetstiltak

Dataimportør skal opprettholde tekniske og administrative sikkerhetsgarderinger for å beskytte sikkerheten, konfidensialiteten og integriteten til kundedata, inkludert personlige opplysninger, som omtalt i dette databehandlingstillegget. Dataimportør skal regelmessig kontrollere samsvar med disse sikkerhetsgarderingene. Dataimportør vil ikke materielt redusere den generelle sikkerheten til tjenestene eller forhandlerprogrammet.