Sopimusten ja käytäntöjen käännetyt versiot tarjotaan vain ja ainoastaan käyttäjien tiedoksi ja englanninkielisten versioiden ymmärtämiseksi. Juridisten sopimusten ja käytäntöjen käännösten tarjoamisen tarkoitus ei ole luoda lainvoimaista sopimusta tai korvata englanninkielisten sopimusten juridista sitovuutta. Mahdollisissa erimielisyyksissä tai ristiriitatilanteissa juridisten sopimusten ja käytäntöjen englanninkieliset versiot määrittävät palveluntarjoajan ja tilaajan suhteen ja ne ovat etusijalla muille kielille käännettyihin ehtoihin nähden.
GoDaddy – TIETOJENKÄSITTELYN LISÄSOPIMUS
Tämän tietojenkäsittelyn lisäsopimuksen (myöhemmin pelkkä lisäsopimus) solmivat GoDaddy.com, LLC, a Delaware limited liability company ja sen kumppanit (yhdessä GoDaddy) ja sinä (sinuun viitataan myös sanalla asiakas). Se lisätään liitteenä yleisiin käyttöehtoihimme ja tietosuojakäytäntöömme sekä kaikkiin muihin sopimuksiin, jotka koskevat katettuja palveluita (näistä kaikista käytetään yhteisnimitystä palveluehdot), ja se täydentää niitä.
1. Määritelmät1.1 Ellei tässä lisäsopimuksessa ole toisin määritetty, termeillä, joita ei ole selitetty tässä lisäsopimuksessa, on merkitykset, jotka on kuvattu palveluehdoissa.
”Kumppanit” tarkoittaa mitä tahansa tahoa, jota GoDaddy hallitsee, joka hallitsee sitä tai jota hallitaan yhdessä sen kanssa.
”Sopimuksen kattamat palvelut” tarkoittavat isännöityjä palveluita, joihin voi liittyä suorittamaamme henkilötietojen käsittelyä ja joita koskevat seuraavien sopimusten ehdot: (1) sähköpostimarkkinointipalvelu, (2) verkkohotelli, (3) verkkomyymälä/pikaostoskori, (4) verkkosivustopalvelut, (5) työtilapalvelu.
”Asiakkaan tiedot” tarkoittavat mitä tahansa kenen tahansa rekisteröidyn henkilötietoja, joita GoDaddy käsittelee GoDaddy -verkossa asiakkaan puolesta palveluehtojen nojalla tai niihin liittyen.
”Tietosuojalait” tarkoittavat kaikkia tietosuojaa tai yksityisyyden suojaa koskevia lakeja ja asetuksia, joita sovelletaan sopimuksen mukaiseen henkilötietojen käsittelyyn, mukaan lukien mutta ei rajoittuen seuraaviin: (i) Australian yksityisyyden suojaa koskevat periaatteet ja Australian yksityisyyden suojaa koskeva laki (1988), (ii) Brasilian Lei Geral de Proteção de Dados (LGPD), (iii) Kalifornian kuluttajan yksityisyydensuojaa koskeva laki (CCPA), (iv) Kanadan liittovaltion henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki (PIPEDA), (v) EU:n yleinen tietosuoja-asetus, (vi) yleisen tietosuojalain alaiset tai sen perusteella laaditut kansalliset tietosuojalait, (vii) EU:n sähköisen viestinnän tietosuojadirektiivi (direktiivi 2002/58/EY), (viii) Singaporen vuoden 2012 henkilötietosuojalaki (PDPA), (ix) Sveitsin liittovaltion 19. kesäkuuta 1992 antama tietosuojalaki ja sen asetus ja (x) Yhdistyneen kuningaskunnan GDPR tai vuoden 2018 tietosuojalaki; kussakin tapauksessa mahdollisine muutoksineen tai korvauksineen.
”ETA” tarkoittaa Euroopan talousaluetta.
”EU:n yleinen tietosuoja-asetus” tarkoittaa Euroopan parlamentin ja neuvoston asetusta 2016/679, annettu 27. päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta.
”EU:n vakiosopimuslausekkeet” tarkoittavat vakiosopimuslausekkeita, jotka hyväksyttiin Euroopan komission päätöksellä 2021/914 4. päivänä kesäkuuta 2021 ja jotka liitetään tähän viitteenä. Moduulin kaksi (rekisterinpitäjältä käsittelijälle) EU:n vakiosopimuslausekkeet ja moduulin kolme (käsittelijältä käsittelijälle) EU:n vakiosopimuslausekkeet voidaan ladata EUR-Lex-verkkosivustolta.
”GoDaddy -verkko” tarkoittaa yrityksen GoDaddy palvelinkeskuksen tiloja, palvelimia ja verkkolaitteita (esimerkiksi virtuaalisia palomuureja), jotka ovat yrityksen GoDaddy hallinnassa ja joita käytetään sopimuksen kattamien palveluiden tarjoamiseen.
”Tietomurto” tarkoittaa tahon GoDaddy turvallisuusstandardien tietosuojarikkomusta, joka johtaa tahattomaan tai laittomaan asiakastietojen hävittämiseen, katoamiseen, muuttamiseen, luvattomaan paljastamiseen tai käyttämiseen järjestelmissä, joita GoDaddy hallitsee tai valvoo.
”Turvallisuusstandardit” tarkoittavat tämän lisäsopimuksen liitteen 2 mukaisia turvallisuusstandardeja.
”Arkaluontoiset tiedot” tarkoittavat (a) henkilötunnusta, passin numeroa, ajokortin numeroa tai vastaavaa tunnistetta (tai sen osaa); (b) luotto- tai pankkikortin numeroa (muuta kuin lyhennettyä (neljä viimeistä numeroa) pankki- tai luottokortin numeroa), taloustietoja, pankkitilin numeroita tai salasanoja; (c) työsuhdetietoja, taloustietoja, geneettisiä, biometrisiä tai terveystietoja; (d) rotua, syntyperää, poliittista tai uskonnollista suuntautumista, ammattiliiton jäsenyyttä tai sukupuolielämää tai seksuaalista suuntautumista koskevia tietoja; (e) tilien salasanoja, äidin tyttönimeä tai syntymäaikaa; (f) rikostaustaa; tai (g) mitä tahansa muuta tietoa tai tietojen yhdistelmää, joka kuuluu luokkaan “tietojen erityisluokat” yleisen tietosuoja-asetuksen tai minkä tahansa muun sovellettavan yksityisyyteen ja tietosuojaan liittyvän lain tai asetuksen mukaan.
”Alikäsittelijä” tarkoittaa mitä tahansa tietojen käsittelijän palkkaamaa toista tietojen käsittelijää, joka käsittelee tietoja rekisterinpitäjän puolesta.
”Yhdistyneen kuningaskunnan GDPR” tarkoittaa EU:n yleistä tietosuoja-asetusta muutettuna ja Yhdistyneen kuningaskunnan lakiin sisällytettynä EU-eroa koskevan Yhdistyneen kuningaskunnan European Union (Withdrawal) Act 2018 -säädöksen mukaisesti, sekä kyseisestä laista johdettua sovellettavaa lainsäädäntöä.
”Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimus” tarkoittaa Yhdistyneen kuningaskunnan tietosuojavaltuutetun tekemää EU:n vakiosopimuslausekkeiden kansainvälistä tiedonsiirron lisäsopimusta, versio B1.0, joka tuli voimaan 21. maaliskuuta 2022 ja joka liitetään tähän viitteenä. Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimus voidaan ladata Yhdistyneen kuningaskunnan tietosuojavaltuutetun verkkosivustolta.
1.2 Termeillä ”henkilötiedot”, ”rekisteröity”, ”käsittely”, ”rekisterinpitäjä” ja ”käsittelijä” sellaisina, kuin niitä on käytetty tässä lisäsopimuksessa, on merkitykset, jotka on annettu EU:n yleisessä tietosuoja-asetuksessa riippumatta siitä, mitä tietosuojalakeja sovelletaan.
2. Tietojenkäsittelyn laajuus ja osapuolten suhteet2.1 GoDaddy käsittelijänä Osapuolet hyväksyvät seuraavat: (i) että GoDaddy on asiakastietojen käsittelijä tietosuojalakien mukaisesti; (ii) että asiakas on tarpeen mukaan asiakastietojen rekisterinpitäjä tai käsittelijä tietosuojalakien mukaisesti; ja (iii) että kukin osapuoli noudattaa sovellettavien tietosuojalakien mukaisia, asiakastietojen käsittelemistä koskevia velvoitteitaan.
2.2 Tietojen käsittelyn tarkemmat tiedot Yrityksen GoDaddy suorittama asiakkaan tietojen käsittely liittyy sopimuksen kattamien palveluiden suorittamiseen palveluehtojen mukaisesti. GoDaddy käsittelee asiakkaan tietoja vain asiakkaan dokumentoitujen ohjeiden mukaisesti seuraaviin tarkoituksiin: (i) käsittely palveluehtojen mukaan; (ii) loppukäyttäjien käynnistämä käsittely katettuja palveluita käyttäessään; (iii) käsittely muiden dokumentoitujen kohtuullisten asiakkaiden (esimerkiksi sähköpostitse) antamien ohjeiden noudattamiseksi, jos tällaiset ohjeet ovat palveluehtojen mukaisia. GoDaddy ei (a) käsittele, säilytä, käytä, myy tai paljasta asiakkaan tietoja muuten kuin on tarpeen palveluehtojen kattamien palvelujen toimittamiseksi tai lain edellyttämillä tavoilla; (b) myy tällaisia asiakkaan tietoja kolmansille osapuolille; (c) säilytä, käytä tai paljasta tällaisia asiakkaan tietoja yrityksen GoDaddy ja asiakkaan välittömän yrityssuhteen ulkopuolella.
Epäselvyyksien välttämiseksi asiakkaan antamien, asiakastietojen käsittelyä koskevien ohjeiden on noudatettava kaikkia tietosuojalakeja. Asiakkaalla on yksinomainen vastuu asiakastietojen tarkkuudesta, laadusta ja laillisuudesta sekä tavasta, jolla asiakas hankki asiakastiedot. Jos asiakas on asiakastietojen rekisterinpitäjä, asiakas hyväksyy seuraavat: (i) tietojen keräämisestä, jakamisesta ja käytöstä sopimuksen kattamien palveluiden puitteissa on ilmoitettava kaupallisesti kohtuullisin keinoin ja siihen on saatava suostumus; ja (ii) asiakkaan on tehtävä selväksi, että sopimuksen kattamien palveluiden käytön seurauksena loppukäyttäjien tietoja saatetaan käsitellä niiden alkuperämaan ulkopuolella. Jos asiakas on asiakastietojen käsittelijä, asiakas takaa, että asiakkaan asiakastietoihin liittyvät ohjeet ja toiminta, mukaan lukien tahon GoDaddy nimittäminen toiseksi käsittelijäksi, ovat asianmukaisen rekisterinpitäjän valtuuttamia. GoDaddy ei ole velvollinen noudattamaan asiakkaan ohjeita, jos kyseiset ohjeet rikkoisivat tietosuojalakeja. Käsittelyn kestoa, käsittelyn luonnetta ja tarkoitusta ja käsiteltyjen henkilötietojen tyyppejä ja rekisteröityjen luokkia, joita käsitellään tämän lisäsopimuksen mukaisesti, kuvaillaan tarkemmin tämän lisäsopimuksen liitteessä 1 (”Käsittelyn tiedot”).
3. Asiakastietojen luottamuksellisuusGoDaddy ei luovuta asiakkaan tietoja millekään viranomaiselle tai muulle ulkopuoliselle taholle, ellei tämä ole tarpeellista lain noudattamiseksi tai kelvollisen ja sitovan viranomaismääräyksen (kuten haasteen tai oikeuden määräyksen) noudattamiseksi. Mikäli GoDaddy vastaanottaa kelvollisen siviilihaasteen, GoDaddy pyrkii sallituissa rajoissa toimittamaan asiakkaalle kohtuullisen ilmoituksen vaatimuksesta sähköpostitse tai postitse, jotta asiakas voi hakea turvaamistoimea tai muuta asianmukaista oikeuskeinoa.
4. Jaetun vastuun suojausmalli4.1 GoDaddy on ottanut käyttöön ja ylläpitää GoDaddy -verkon teknisiä ja organisatorisia toimenpiteitä, kuten tässä osiossa ja myöhemmin tämän lisäsopimuksen liitteessä 2 (Turvallisuusstandardit) kuvataan. GoDaddy on ottanut käyttöön ja ylläpitää erityisesti seuraavia teknisiä ja organisatorisia toimenpiteitä, jotka vaikuttavat (i) GoDaddy -verkon turvallisuuteen, (ii) toimitilojen fyysiseen turvallisuuteen, (iii) hallintokeinoihin koskien työntekijöiden ja alihankkijoiden kohdan (i) ja/tai kohdan (ii) mukaista pääsyä; ja (iv) tahon GoDaddy käyttöön ottamien teknisten ja organisatoristen toimenpiteiden tehokkuuden testaus-, arviointi- ja evaluointiprosesseihin. Jos emme kykene täyttämään tässä määritettyjä velvollisuuksiamme, annamme asiasta kirjallisen ilmoituksen (verkkosivustossamme tai sähköpostitse) niin pian kuin se on käytännöllisesti mahdollista.
4.2 GoDaddy tarjoaa käyttöön erilaisia suojaustoimintoja, joita asiakas voi halutessaan käyttää katettuihin palveluihin liittyen. Asiakas on vastuussa (a) katettujen palveluiden oikeasta määrittämisestä, (b) katettuihin palveluihin liittyvien hallintakeinojen käytöstä (mukaan lukien suojauskeinot), käsittelyjärjestelmien ja palveluiden eheydestä, saatavuudesta ja kestävyydestä, (c) katettuihin palveluihin liittyvien hallintakeinojen käytöstä (mukaan lukien suojauskeinot), jotta asiakas pystyy palauttamaan käytettävyyden ja käyttää asiakastietoja viipeettä fyysisen tai teknisen tietomurron tapauksessa (esimerkiksi varmuuskopiot ja asiakastietojen rutiininomainen arkistointi), ja (d) asiakkaan mielestä riittävien toimien suorittamisesta asiakastietojen asianmukaisen suojauksen ja poistamisen mahdollistamiseksi. Tämä käsittää asiakastietojen suojaamisen luvattomalta käytöltä salaustekniikalla ja keinot hallita asiakastietojen käyttöoikeuksia.
5. Rekisteröidyn oikeudetGoDaddy tarjoaa asiakkaalle katettujen palveluiden luonteen huomioon ottaen tiettyjä hallintatoimintoja, joilla asiakas voi hakea, korjata ja poistaa asiakastietoja sekä rajoittaa asiakastietojen käyttöä ja jakamista, kuten katetuissa palveluissa kuvataan. Asiakas voi käyttää näitä toimintoja apuna teknisiin ja organisatorisiin tarkoituksiin tietosuojalakien velvoitteiden täyttämisessä rekisteröityjen tietopyyntöihin vastaamiseen liittyvät velvoitteet mukaan lukien. Mikäli kaupallisesti kohtuullista, GoDaddy ilmoittaa lain vaatimien tai sallimien rajoitusten mukaisesti viiveettä asiakkaalle, jos GoDaddy vastaanottaa pyynnön suoraan rekisteröidyltä tällaisten oikeuksien harjoittamiseen soveltuvien tietosuojalakien puitteissa (tätä kutsutaan rekisteröidyn tietopyynnöksi). Jos asiakkaan sopimuksen kattamien palveluiden käyttö rajoittaa sen kykyä vastata rekisteröidyn tietopyyntöön, GoDaddy saattaa, kun se on lain mukaista ja asianmukaista asiakkaan pyyntöön nähden, tarjota kaupallisesti kohtuullista tukea pyyntöön vastaamisessa. Tämä tehdään asiakkaan kustannuksella (mikäli siitä koituu kuluja).
6. Alikäsittely6.1 Valtuutetut alikäsittelijät Asiakas hyväksyy, että GoDaddy voi käyttää alikäsittelijöitä täyttääkseen sopimusoikeudelliset velvoitteensa palveluehtojen ja tämän lisäsopimuksen nojalla tai tarjotakseen tiettyjä palveluita, kuten tukipalveluita, sen puolesta. Asiakas antaa täten yritykselle GoDaddy luvan käyttää alikäsittelijöitä tässä osiossa kuvatulla tavalla.
6.2 Alikäsittelijän velvoitteet Kun GoDaddy käyttää valtuutettua alikäsittelijää osiossa 6.1 kuvatulla tavalla, tätä koskevat seuraavat ehdot:
(i) GoDaddy rajoittaa alikäsittelijän pääsyn asiakkaan tietoihin vain siihen, mikä on tarpeellista, jotta voidaan ylläpitää sopimuksen kattamia palveluita tai tarjota katettuja palveluita asiakkaalle ja loppukäyttäjille palveluehtojen mukaisesti. GoDaddy estää alikäsittelijän pääsyn asiakkaan tietoihin mitä tahansa muita tarkoituksia varten;
(ii) GoDaddy solmii kirjallisen sopimuksen alikäsittelijän kanssa ja, siltä osin kuin alikäsittelijä suorittaa samoja tiedonkäsittelypalveluita kuin GoDaddy tarjoaa tämän lisäsopimuksen mukaisesti, GoDaddy vaatii alikäsittelijältä pääosin samoja sopimusoikeudellisia velvoitteita, jotka taholla GoDaddy on tämän lisäsopimuksen mukaisesti; ja
(iii) GoDaddy on vastuussa siitä, että se täyttää tämän lisäsopimuksen velvollisuudet, ja mistä tahansa alikäsittelijän toimista tai laiminlyönneistä, jotka aiheuttavat sen, että GoDaddy rikkoo mitä tahansa tahon GoDaddy tämän lisäsopimuksen mukaisia velvoitteita.
6.3 Uudet alikäsittelijät Saatamme aika ajoin tehdä sopimuksen uusien alikäsittelijöiden kanssa tämän lisäsopimuksen ehtojen mukaisesti. Tässä tapauksessa ilmoitamme asiasta (verkkosivustossamme tai sähköpostitse) 30 päivää ennen sitä päivää, jona uusi alikäsittelijä saa asiakkaan tietoja haltuunsa. Jos asiakas ei hyväksy uutta alikäsittelijää, asiakas voi irtisanoa sopimuksen kattamat palvelut ilman seuraamuksia 10 päivän kuluessa saatuaan meiltä asiasta ilmoituksen. Asiakkaan täytyy ilmoittaa irtisanomisesta kirjallisesti sekä ilmoittaa syyt siihen, miksi hän ei hyväksy uutta alikäsittelijää. Jos sopimuksen kattamat palvelut kuuluvat pakettiin tai on ostettu osana pakettia, irtisanominen koskee koko pakettia.
7. Tietomurto7.1 Tietomurto. Jos GoDaddy saa tiedon tietomurrosta, GoDaddy ryhtyy viipymättä seuraaviin: (a) se ilmoittaa asiakkaalle tietomurrosta ja (b) ryhtyy kohtuullisiin toimenpiteisiin lieventääkseen sen vaikutuksia sekä minimoidakseen tietomurron aiheuttamat vahingot.
7.2 GoDaddy -tuki Asiakkaan tukemiseksi missä tahansa henkilötietojen vuotoilmoituksissa, joita asiakkaan tulee tehdä tietosuojalakien mukaisesti, GoDaddy sisällyttää ilmoitukseen sellaiset tietomurtoihin liittyvät tiedot kuin GoDaddy pystyy kohtuudella paljastamaan asiakkaalle ottaen huomioon katettujen palveluiden luonteen, tahon GoDaddy saatavilla olevat tiedot ja kaikki tietojen paljastamiseen liittyvät rajoitukset, kuten salassapitovelvollisuuden.
7.3 Epäonnistuneet tietomurrot Asiakas hyväksyy, että epäonnistuneeseen tietomurtoon ei sovelleta tämän lisäsopimuksen ehtoja. Epäonnistunut tietomurto on tapahtuma, joka ei johda luvattomaan asiakkaan tietojen tai tahon GoDaddy verkon, laitteiston tai toimitilojen, joissa asiakkaan tietoja säilytetään, käyttöön. Tällaiset tapahtumat voivat sisältää, rajoittumatta näihin, yhteyskokeiluja ja muita lähetyshyökkäyksiä palomuureihin tai reunapalvelimiin, porttiskannauksia, epäonnistuneita sisäänkirjautumisyrityksiä, palveluhyökkäysten estoja, pakettien urkintaa (tai muita luvattomia tietoliikenteen käyttötapoja, jotka eivät johda pääsyyn otsikoita pidemmälle) tai muita samankaltaisia tapahtumia.
7.4 Ilmoitus. Ilmoitus mahdollisista tietomurroista toimitetaan yhdelle tai useammalle asiakkaan järjestelmänvalvojille tavalla, jonka GoDaddy on valinnut, mukaan lukien sähköposti. On täysin asiakkaan vastuulla varmistaa, että asiakkaan järjestelmänvalvojilla on oikeat yhteystiedot GoDaddy-hallintakonsolissa ja että siirrot ovat aina suojattuja.
7.5 GoDaddy ei vahvista virhettä: GoDaddyn velvollisuutta ilmoittaa tietomurrosta tai vastata siihen tämän osion nojalla ei pidetä eikä tulla pitämään GoDaddyn vahvistuksena GoDaddyn virheestä tai vastuusta tietomurron osalta.
8. Asiakkaan oikeudet8.1 Itsenäinen määrittäminen Asiakas on vastuussa yrityksen GoDaddy saataville asettamien tietojen tarkastamisesta, jotka liittyvät tietojen suojaukseen ja sen turvallisuusstandardeihin. Lisäksi asiakkaan täytyy itse määrittää, täyttävätkö katetut palvelut asiakkaan vaatimukset ja lailliset velvoitteet sekä asiakkaan velvoitteet tämän lisäsopimuksen nojalla. Saataville asetettujen tietojen tarkoituksena on auttaa asiakasta täyttämään asiakkaan velvollisuudet sovellettavien tietosuojalakien mukaisesti. Asiakas hyväksyy, että tahon GoDaddy käyttöön ottamat ja ylläpitämät katetut palvelut ja turvallisuusstandardit tarjoavat suojaustason, joka on asianmukainen henkilötietoihin kohdistuvalle riskille (ottaen huomioon tekniikan tason, toteuttamiskulut sekä henkilötietojen käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä yksittäisiin käyttäjiin kohdistuvat riskit).
8.2 Asiakkaan tarkastusoikeudet Asiakkaalla on oikeus varmistaa, että GoDaddy noudattaa tätä lisäsopimusta, siltä osin kuin sitä sovelletaan sopimuksen kattamiin palveluihin, toimittamalla kohtuullisin väliajoin kirjallisen pyynnön palveluehdoissa mainittuun osoitteeseen. Jos GoDaddy kieltäytyy noudattamasta asiakkaan pyytämiä ohjeistuksia asianmukaisesti pyydetyn ja laajuudeltaan asianmukaisen tarkastuksen suhteen, asiakkaalla on oikeus irtisanoa tämä lisäsopimus ja palvelun käyttöehdot.
9. Asiakkaan tietojen siirrot9.1 Yhdysvalloissa tapahtuva käsittely. Ellei palvelun käyttöehdoissa erikseen muuta mainita, asiakkaan tiedot siirretään Yhdistyneen kuningaskunnan tai Euroopan talousalueen ulkopuolelle ja niitä käsitellään Yhdysvalloissa.
9.2 EU:n vakiosopimuslausekkeiden soveltaminen Moduulin kaksi (rekisterinpitäjältä käsittelijälle) EU:n vakiosopimuslausekkeita tai moduulin kolme (käsittelijältä käsittelijälle) EU:n vakiosopimuslausekkeita sovelletaan sellaisiin asiakkaan tietoihin, jotka siirretään Euroopan talousalueen ulkopuolelle joko suoraan tai siirtämällä ne edelleen mihin tahansa maahan, jota Euroopan komissio ei tunnista maaksi, joka tarjoaa riittävän suojaustason asiakkaan tiedoille. Näitä EU:n vakiosopimuslausekkeita ei sovelleta asiakkaan tietoihin, joita ei joko siirretä suoraan tai siirretä edelleen Euroopan talousalueen ulkopuolelle. Edellisestä huolimatta näitä EU:n vakiosopimuslausekkeita ei sovelleta, kun tiedot siirretään tunnetun henkilötietojen siirron säännösstandardin mukaisesti Euroopan talousalueen ulkopuolelle, kuten silloin, kun se on tarpeen sopimuksen kattamien palveluiden tarjoamiseksi palveluehtojen mukaisesti tai suostumuksellasi.
- Kullekin moduulille tarvittaessa:
- EU:n vakiosopimuslausekkeiden lausekkeessa 7 valinnainen liittymistä koskeva lauseke ei sovellu;
- EU:n vakiosopimuslausekkeiden lausekkeessa 9 vaihtoehtoa 2 sovelletaan ja alikäsittelijän muutosten kirjallisen etukäteisilmoituksen ajanjakso on sellainen kuin tämän lisäsopimuksen osiossa 6.3 (Uudet alikäsittelijät) ilmoitetaan;
- EU:n vakiosopimuslausekkeiden lausekkeessa 11 mainittua valinnaista kieltä ei sovelleta;
- lausekkeessa 17 (vaihtoehto 1) EU:n vakiosopimuslausekkeisiin sovelletaan Saksan lakia;
- EU:n vakiosopimuslausekkeiden lausekkeessa 18(b) riidat ratkaistaan Saksan liittotasavallan tuomioistuimissa;
- EU:n vakiosopimuslausekkeiden liitteessä I, osassa A:
- Osapuolten luettelo
Tietojen viejä(t): Tietojen viejä on lisäsopimuksessa ”asiakkaaksi” määritetty taho
Allekirjoitus ja päivämäärä: Siitä päivästä alkaen, jona tietojen viejä on sähköisesti hyväksynyt tietojen tuojan palveluehdot, tietojen viejän katsotaan allekirjoittaneen nämä EU:n vakiosopimuslausekkeet.
Rooli: Rekisterinpitäjä (moduulissa kaksi) tai käsittelijä (moduulissa kolme)
Tietojen tuoja(t): GoDaddy.com, LLC
Yhteystiedot: Office of the Data Protection Officer – privacy@godaddy.com
Allekirjoitus ja päivämäärä: Siitä päivästä alkaen, jona tietojen viejä on sähköisesti hyväksynyt tietojen tuojan palveluehdot, tietojen tuojan katsotaan allekirjoittaneen nämä EU:n vakiosopimuslausekkeet.
Rooli: Käsittelijä
- Osapuolten luettelo
- EU:n vakiosopimuslausekkeiden liitteessä I, osassa B:
- Siirron kuvaus
Niiden rekisteröityjen luokat, joiden henkilötietoja siirretään, on kuvattu lisäsopimuksen liitteessä 1.
Siirrettyjen henkilötietojen luokat on kuvattu lisäsopimuksen liitteessä 1. Arkaluonteiset siirrettävät tiedot on kuvattu tämän lisäsopimuksen liitteessä 1.
Tietojen siirtoa tapahtuu jatkuvasti niin kauan kuin palveluehdot ovat voimassa.
Käsittelyn luonne on kuvattu lisäsopimuksen osiossa 2.2 ja liitteessä 1.
Tiedonsiirron ja lisäkäsittelyn tarkoitukset on kuvattu tämän lisäsopimuksen osiossa 2.2 ja liitteessä 1.
Ajanjakso, jonka verran henkilötietoja säilytetään, on kuvattu tämän lisäsopimuksen liitteessä 1.
(Ali)käsittelijöille siirron osalta käsittelyn kohde, luonne ja kesto on määritelty vakiosopimuslausekkeiden liitteessä III.
- Siirron kuvaus
- EU:n vakiosopimuslausekkeiden liitteessä I, osassa C:
- Toimivaltainen valvontaviranomainen
North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information (LDI NRW) on toimivaltainen valvontaviranomainen.
- Toimivaltainen valvontaviranomainen
- EU:n vakiosopimuslausekkeiden liitteessä II:
Tietojen tuojan käyttöön ottamat tekniset ja organisatoriset toimenpiteet ovat samoja kuin tämän lisäsopimuksen liitteessä 2. - EU:n vakiosopimuslausekkeiden liitteessä III:
Luettelo alikäsittelijöistä on tämän lisäsopimuksen liitteessä 3.
9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
- Yhdistyneestä kuningaskunnasta tuleville tiedonsiirroille, joihin sovelletaan Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimusta, katsomme, että tämä lisäsopimus on tehty (ja sisällytetty tähän lisäsopimukseen tällä viitteellä) ja viimeistelty seuraavasti:
- Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen taulukossa 1 mainitut osapuolten tiedot ja tärkeät yhteystiedot ovat tämän lisäsopimuksen osiossa 9.2 (i)(f).
- Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen taulukossa 2 mainitut tiedot EU:n vakiosopimuslausekkeiden, moduulien ja valittujen lausekkeiden versiosta, johon tämä Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimus on liitetty, on mainittu tämän lisäsopimuksen osiossa 9.2 (EU:n vakiosopimuslausekkeet).
- Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen taulukossa 3:
- Osapuolten luettelo on tämän lisäsopimuksen osiossa 9.2 (i)(f).
- Siirron kuvaus esitetään tämän lisäsopimuksen liitteen 1 (Käsittelyn tiedot) osiossa 1 (Käsittelyn luonne ja tarkoitus).
- Liite II on tämän lisäsopimuksen liitteessä 2 (Turvallisuusstandardit)
- Alikäsittelijöiden luettelo on tämän lisäsopimuksen liitteessä 3.
- Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen taulukossa 4 sekä tuoja että viejä saavat irtisanoa Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen ehtojen mukaisesti.
Tämä lisäsopimus on voimassa, kunnes emme enää käsittele sitä, palvelumme käyttöehtojemme mukaisesti (tämä on päättymispäivä).
11. Asiakkaan tietojen palautus tai poistaminenKuten sopimuksen kattamissa palveluissa kuvataan, asiakkaalle voidaan tarjota toimintoja, joilla asiakas voi hakea ja poistaa asiakastietoja. Asiakkaan tietojen poistaminen tapahtuu kolmenkymmenen (30) päivän kuluttua irtisanomispäivästä, kunkin sopimuksen kattaman palvelun ehtojen mukaisesti. Asiakas hyväksyy, että asiakkaalla on vastuu viedä ennen irtisanomispäivää kaikki asiakastiedot, jotka tämä haluaa säilyttää irtisanomispäivän jälkeen.
12. VastuunrajoituksetJokaisen tämän lisäsopimuksen alaisen osapuolen vastuuseen sovelletaan vastuunrajoituksia ja poikkeuksia, jotka on määritetty palveluehdoissa. Asiakas hyväksyy, että mitkä tahansa tahon GoDaddy aiheuttamat asiakkaan tietoihin liittyvät säädösperusteiset rangaistukset, jotka johtuvat siitä tai liittyvät siihen, ettei asiakas noudata tämän lisäsopimuksen mukaisia velvoitteitaan tai sovellettavia tietosuojalakeja, vaikuttavat tahon GoDaddy vastuuseen ja pienentävät sitä palveluehtojen mukaisesti siten kuin kyseessä olisi vastuuvelvollisuus asiakasta kohtaan palveluehtojen mukaisesti.
13. Palveluehdot kokonaisuudessaan ja ristiriidatTämä lisäsopimus syrjäyttää ja korvaa kaikki aiemmat tai väliaikaiset tämän lisäsopimuksen aihetta koskevat kuvaukset, käsitykset, sopimukset tai ilmoitukset asiakkaan ja yrityksen GoDaddy välillä, olivatpa ne kirjallisia tai suullisia, mukaan lukien kaikki tietojen käsittelyn lisäykset, jotka GoDaddy ja asiakas ovat solmineet henkilötietojen käsittelystä ja tällaisten tietojen vapaasta liikkumisesta. Mikäli EU:n vakiosopimuslausekkeiden tai Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen ja minkä tahansa muiden tämän lisäsopimuksen ehtojen tai palveluehtojen välillä on ristiriitoja tai epäyhdenmukaisuutta, EU:n vakiosopimuslausekkeiden tai Yhdistyneen kuningaskunnan International Data Transfer -lisäsopimuksen ehdot pätevät sen mukaan, kumpaa sovelletaan. Tämän lisäsopimuksen muutoksia lukuun ottamatta palveluehdot pysyvät voimassa kokonaisuudessaan. Jos palveluehtojen ja tämän lisäsopimuksen välillä on ristiriitoja, tämän lisäsopimuksen ehtoja sovelletaan.
Liite 1
KÄSITTELYN TIEDOT
1. Käsittelyn luonne ja tarkoitus. GoDaddy käsittelee asiakkaan tietoja tarpeen mukaan tarjotakseen sopimuksen kattamia palveluita käyttöehtojen ja asiakkaan lisäohjeiden mukaisesti koko sopimuksen kattamien palveluiden käytön ajan.
2. Käsittelyn kesto. Jollei tämän lisäyksen kohdista 10 ja 11 muuta johdu, GoDaddy käsittelee asiakkaan tietoja palveluehtojen ollessa voimassa. Edellä mainitusta huolimatta GoDaddy voi säilyttää asiakkaan tietoja tai niiden osia, jos sovellettavat lait tai määräykset, sovellettavat tietosuojalait mukaan lukien, tätä edellyttävät, mikäli kyseiset asiakkaan tiedot säilyvät suojattuina tämän lisäyksen ehtojen ja sovellettavien tietosuojalakien mukaisesti.
3. Rekisteröityjen luokat Asiakas voi siirtää palvelimeen henkilötietoja sopimuksen kattamien palveluiden käyttöaikana asiakkaan oman harkintansa mukaan määrittämässä ja hallinnoimassa laajuudessa. Ne saattavat sisältää (mutta eivät rajoitu näihin) seuraaviin rekisteröityjen luokkiin sisältyviä henkilötietoja:
- potentiaaliset asiakkaat, asiakkaat, yrityskumppanit ja asiakkaan toimittajat (jotka ovat luonnollisia henkilöitä)
- asiakkaiden potentiaalisten asiakkaiden, asiakkaiden, yrityskumppaneiden ja toimittajien työntekijät tai yhteyshenkilöt
- asiakkaan työntekijät, edustajat, neuvonantajat tai freelancerit (jotka ovat luonnollisia henkilöitä)
- asiakkaan käyttäjät, joille asiakas on antanut luvan käyttää sopimuksen kattamia palveluita.
4. Henkilötietojen luokat. Asiakas voi siirtää palvelimeen henkilötietoja käyttäessään sopimuksen kattamia palveluita. Niiden tyypin ja kattavuuden määrittää ja niiden tyyppiä ja kattavuutta valvoo asiakas täysin omalla vastuullaan. Tämä saattaa käsittää muun muassa seuraavat rekisteröityjen henkilötietojen luokat:
- nimi
- osoite
- puhelinnumero
- syntymäaika
- sähköpostiosoite
- muut kerätyt tiedot, joista rekisteröity voidaan suoraan tai epäsuorasti tunnistaa.
5. Arkaluontoiset tiedot tai tietojen erikoisluokat. Asiakas voi sopimuksen kattamia palveluja käyttäessään siirtää palvelimeen arkaluontoisia tietoja, joiden tyypin ja laajuuden asiakas määrittelee ja joiden tyyppiä ja laajuutta asiakas valvoo oman harkintansa mukaan. Asiakas on vastuussa siitä, että se soveltaa rajoituksia tai suojatoimia, joissa otetaan täysin huomioon tietojen luonne ja niihin liittyvät riskit, ennen kuin arkaluontoisia tietoja lähetetään tai käsitellään sopimuksen kattamien palvelujen kautta.
Liite 2
Turvallisuusstandardit
I. Tekniset ja organisatoriset toimenpiteet
Olemme sitoutuneet suojaamaan asiakkaidemme tietoja. Suoritamme seuraavat tekniset ja organisatoriset toimenpiteet ottaen huomioon käyttöönoton kustannukset sekä käsittelyn luonteen, laajuuden, olosuhteet ja tarkoituksen sekä eri todennäköisyydet ja riskin vakavuuden liittyen luonnollisten henkilöiden oikeuksiin ja vapauksiin. Kun valitsemme toimenpiteitä, otamme huomioon järjestelmien luottamuksellisuuden, eheyden, käytettävyyden ja vikasietoisuuden.
II. Tietosuojaohjelma
Tietosuojaohjelmamme määrittää maailmanlaajuisen tietojen hallinta- ja suojausrakenteen tietojen koko elinkaarelle. Tätä ohjelmaa johtaa tietosuojavastaava, joka valvoo tietosuoja- ja suojauskäytäntöjen toteutusta. Testaamme ja arvioimme tietosuojaohjelmien ja turvallisuusstandardien tehokkuutta säännöllisesti.
1. Luottamuksellisuus ”Luottamuksellisuus tarkoittaa sitä, että henkilötietoja suojataan luvattomalta paljastumiselta.”
Käytämme monia fyysisiä ja loogisia toimenpiteitä, joilla suojaamme asiakkaidemme henkilötietojen luottamuksellisuutta. Näitä toimenpiteitä ovat esimerkiksi seuraavat:
Fyysinen suojaus
- Käytämme fyysisiä kulunvalvontajärjestelmiä (kulkukortit, tapahtumien valvonta jne.).
- Käytämme valvontajärjestelmiä, esimerkiksi hälytysjärjestelmiä ja valvontakamerajärjestelmiä (soveltuen).
- Noudatamme työpöytien siisteyskäytäntöjä ja työpisteiden turvallisuuskäytäntöjä (lukitut kaapistot ja työkoneet jne.).
- Vierailijoiden kulkulupien hallinta
- Tuhoamme fyysisten tallennusvälineiden tiedot ja asiakirjat (silppuaminen, demagnetointi jne.).
Käyttöoikeuksien hallinta ja luvattoman käytön estäminen
- Käytämme käyttäjä- ja roolipohjaisia käyttöoikeuksia, joita myönnetään tarpeisiin perustuen.
- Käytämme vahvoja todennus- ja valtuutustapoja (monimenetelmäinen todennus, varmennepohjainen valtuutus, automaattinen käytöstä poistaminen ja kirjautuminen jne.).
- Hallitse salasanoja keskitetysti ja edellytämme vahvojen/monimutkaisten salasanojen käyttöä (vähimmäispituus, merkkivaatimukset, salasanojen vanhentuminen jne.).
- Sähköpostin ja Internetin valvottu käyttö
- Virustorjunnan hallinta
- Tietomurtojen estojärjestelmien hallinta
Salaus
- Salaamme sisäisen ja ulkoisen viestinnän vahvoilla salausprotokollilla.
- Salaamme henkilötiedot ja arkaluonteiset tiedot, joita ei parhaillaan käytetä (tietokannat, jaetut hakemistot jne.).
- Salaamme yrityksen työkoneiden asemat kokonaan.
- Salaamme tallennusvälineet.
- Salaamme etäyhteydet yrityksen verkkoihin VPN:llä.
- Suojaamme salausavaimia koko elinkaaren ajan.
Tietojen minimointi
- Henkilötietojen ja luottamuksellisten henkilötietojen käyttö sovelluksissa sekä virheenkorjaus- ja suojauslokeissa minimoidaan.
- Muunnamme henkilötiedot tunnistamattomaan muotoon, jotta yksittäisiä henkilöitä ei voida tunnistaa suoraan.
- Erittelemme tallennetut tiedot toimintatarkoituksen perusteella (testaus, valmistelu, hyötykäyttö).
- Erottelemme tiedot loogisesti roolipohjaisten käyttöoikeuksien avulla.
- Henkilötiedoille on määritetty tietyt säilytysajat.
Suojaustestaus
- Suoritamme tärkeille yritysverkoille ja henkilötietoja sisältäville järjestelmille tietomurtotestejä.
- Valvomme verkkoa ja haavoittuvuuksia säännöllisesti.
2. Eheys Eheys tarkoittaa tietojen oikeellisuuden (koskemattomuuden) ja järjestelmien oikean toiminnan takaamista. Kun termiä eheys käytetään yhdessä termin data tai tiedot kanssa, se tarkoittaa sitä, että tiedot ovat kattavia ja muuttumattomia.
Käytämme asianmukaiset muutos- ja lokihallintatoimintoja. Lisäksi henkilötietojen eheys taataan seuraavien käytönvalvontatoimien avulla:
Muutosten ja versioiden hallinta
- Käytämme muutos- ja versiohallintaprosessia, joka kattaa vaikutusanalyysit, hyväksynnät, testauksen, suojausarviot, valmistelun, valvonnan jne.
- Hyötykäyttöympäristöjen käyttöoikeudet myönnetään rooli- ja tehtäväpohjaisesti (tehtävien erottelu).
Kirjaaminen ja valvonta
- Tietojen käyttö ja muutokset kirjataan.
- Ylläpidämme keskitettyjä suojaus- ja valvontalokeja.
- Valvomme tiedonsiirron kattavuutta ja oikeellisuutta (päästä päähän).
3. Käytettävyys ”Palveluiden ja IT-järjestelmien, IT-sovellusten ja IT-verkon toimintojen tai sen tietojen käytettävyys on taattu, jos käyttäjät voivat käyttää niitä aina tarkoituksenmukaisesti.”
Ylläpidämme asianmukaisia jatkuvuus- ja suojaustoimia, joilla takaamme palveluiden ja niiden sisältämien tietojen käytettävyyden:
- Suoritamme tärkeille palveluille säännöllisesti vikasietotestejä.
- Valvomme tärkeiden järjestelmien suorituskykyä ja käytettävyyttä kattavasti raporttien avulla.
- Meillä on ohjelma suojaus- ja tietoturvaongelmien käsittelemiseksi.
- Tärkeät tiedot joko replikoidaan tai varmuuskopioidaan (pilvivarmuuskopiot, kiintolevyt, tietokantareplikointi jne.).
- Meillä on käytössä suunnitelma ohjelmistojen, infrastruktuurin ja suojauksen ylläpitoa varten (ohjelmistopäivitys, suojauskorjaustiedostot jne.).
- Käytämme vikasietoisia järjestelmiä (palvelinklusterit, peilatut tietokannat, suuren käytettävyyden järjestelmät jne.), jotka sijaitsevat eri paikoissa ja/tai maantieteellisesti hajautetusti.
- Käytämme katkottomia virtalähteitä sekä vikasietoisia laitteistoja ja verkkojärjestelmiä.
- Käytämme hälytys- ja suojausjärjestelmiä.
- Tärkeissä toimipisteissä käytetään fyysisiä suojausratkaisuja (ylijännitesuojaus, viilennysjärjestelmät, palohälyttimet, sammutusjärjestelmät jne.).
- Olemme suojautuneet palvelunestohyökkäyksiltä käytettävyyden takaamiseksi.
- Suoritamme kuormitus- ja stressitestejä.
4. Tietojen käsittelyohjeet. ”Tietojen käsittelyohjeet tarkoittavat sen varmistamista, että henkilötietoja käsitellään vain rekisterinpitäjän ohjeiden ja asiaan liittyvien yrityskäytäntöjen mukaisesti.”
Olemme ottaneet käyttöön sisäiset tietosuojakäytännöt ja -sopimukset. Järjestämme säännöllisesti tietosuojakoulutuksia työntekijöille varmistaaksemme sen, että henkilötietoja käsitellään asiakkaan tahdon ja ohjeiden mukaisesti.
- Työntekijöiden sopimuksissa on tietosuoja- ja salassapitoehdot
- Säännölliset työntekijöiden tietosuoja- ja turvallisuuskoulutukset
- Alihankkijoiden sopimukset sisältävät soveltuvat ehdot käyttöoikeuksiin liittyen
- Säännölliset tietosuojatarkastukset ulkoisille palveluntarjoajille
- Asiakkaille tarjotaan täydet mahdollisuudet hallita tietojensa käsittelyn asetuksia
- Säännölliset turvallisuusauditoinnit
Liite 3 – GoDaddyn alikäsittelijät
Sopimusten ja käytäntöjen käännetyt versiot tarjotaan vain ja ainoastaan käyttäjien tiedoksi ja englanninkielisten versioiden ymmärtämiseksi. Juridisten sopimusten ja käytäntöjen käännösten tarjoamisen tarkoitus ei ole luoda lainvoimaista sopimusta tai korvata englanninkielisten sopimusten juridista sitovuutta. Mahdollisissa erimielisyyksissä tai ristiriitatilanteissa juridisten sopimusten ja käytäntöjen englanninkieliset versiot määrittävät palveluntarjoajan ja tilaajan suhteen ja ne ovat etusijalla muille kielille käännettyihin ehtoihin nähden.