Tämä jälleenmyyjien tietojenkäsittelyn lisäsopimus (Data Processing Addendum/DPA) muodostaa osan sopimuksesta, joka solmitaan yrityksen GoDaddy.com, LLC (mukaan lukien sen konserniyritykset, jos ne on sopimuksen nojalla määritetty) (“GoDaddy”) ja sinun (“jälleenmyyjä”) välillä yrityksen GoDaddy tuotteiden ja palveluiden (“palvelut”) myymiseksi yrityksen GoDaddy jälleenmyyjäohjelman kautta. Tämä sopimus määrittää ehdot jälleenmyyjän henkilötietojen käsittelylle yrityksen GoDaddy puolesta. Jälleenmyyjä solmii tämän tietojenkäsittelyn lisäsopimuksen omasta puolestaan sekä soveltuvien tietosuojalakien ja -asetusten edellyttämässä laajuudessa myös sen valtuutettujen kumppaneiden nimissä. Kaikki isoin kirjaimin kirjoitetut termit, joita tässä ei määritetä, tarkoittavat sopimuksessa määriteltyjä asioita. Termit “me”, “meitä” tai “meidän” viittaavat GoDaddyyn. Termit “sinä”, “sinun” tai “jälleenmyyjä” viittaavat kaikkiin henkilöihin tai yrityksiin, jotka hyväksyvät tämän sopimuksen. Minkään tässä sopimuksessa olevan kohdan ei voida tulkita myöntävän millekään ulkopuoliselle taholle mitään oikeuksia tai etuja. Tämä tietojenkäsittelyn lisäsopimus astuu voimaan sinä päivänä, jona hyväksyt sen sähköisesti.

Tämä tietojenkäsittelyn lisäsopimus koostuu kahdesta (2) erillisestä osasta, jotka kuvataan soveltuvin osin alla:

• Tietosuojan ja suojauksen standardit ja vaatimukset: Tietosuojan ja suojauksen standardien ja vaatimusten soveltaminen. Palvelutasosopimus koskee kaikkia jälleenmyyjiä, jotka käyttävät ja käsittelevät henkilötietoja (tässä määritetyllä tavalla) osallistuessaan jälleenmyyjäohjelmaan.
• Vakiosopimusehdot (ja sen lisäsopimukset 1 & 2): Vakiosopimusehtojen soveltaminen. Vakiosopimusehtoja sovelletaan sellaisiin asiakkaan tietoihin, jotka siirretään Euroopan talousalueen ulkopuolelle, joko suoraan tai siirtämällä edelleen, mihin tahansa maahan, jota Euroopan komissio ei tunnista sellaiseksi maaksi, joka tarjoaa riittävän henkilökohtaisten tietojen suojaustason (kuten yleisessä tietosuoja-asetuksessa kuvataan). Vakiosopimusehtoja ei sovelleta asiakastietoihin, joita ei siirretä joko suoraan tai välillisesti eteenpäin Euroopan talousalueen ulkopuolelle. Edellisestä huolimatta vakiosopimuslausekkeita ei sovelleta, kun tiedot siirretään tunnetun henkilötietojen siirron säännösstandardin mukaisesti (kuten yleisessä tietosuoja-asetuksessa kuvataan) Euroopan talousalueen ulkopuolelle, esimerkiksi EU:n ja Yhdysvaltojen sekä Sveitsin ja Yhdysvaltojen Privacy Shield -tietosuojajärjestelyn mukaisesti.

1. Aihealue ja kattavuus

Tämä tietosuojan ja suojauksen palvelutasosopimus (suojauksen palvelutasosopimus) on ohessa ja se sisällytetään osaksi sopimusta. Tämän tarkoituksena on taata, että keräämiäsi ja käyttämiäsi henkilötietoja (määritetään alla) käsitellään turvallisesti, sopimuksen ehtojen ja tämän suojauksen palvelutasosopimuksen ehtojen sekä muiden soveltuvien lakien ja säädösten mukaisesti.

2. Tärkeysjärjestys

Tämä suojauksen palvelutasosopimus sisällytetään osaksi sopimusta. Jos jotain seikkaa ei käsitellä tässä suojauksen palvelutasosopimuksessa, sopimuksen ehdot ovat voimassa. Liittyen osapuolien oikeuksiin ja velvollisuuteen toisiaan kohtaan, jos sopimusehdoissa ja tämän suojauksen palvelutasosopimuksen ehdoissa on ristiriitoja, tämän suojauksen palvelutasosopimuksen ehdot määräävät. Jos suojauksen palvelutasosopimuksen ja tavallisten sopimusehtojen välillä on ristiriitoja, tavalliset sopimusehdot hallitsevat.

3. Henkilötiedot.

1. Henkilötiedot tarkoittavat missä tahansa muodossa olevia mitä tahansa tietoja, joiden perusteella tietty luonnollinen henkilö tai talous voidaan tunnistaa suoraan tai epäsuorasti ja jotka koskevat tiettyä luonnollista henkilöä. Henkilötietoja ovat esimerkiksi nimi, osoite, sosiaaliturvatunnus tai muu vastaava, sähköpostiosoite, puhelinnumero, taloudelliset tiedot, luottokorttitiedot, ajokortin numero tai muut tiedot, jotka voidaan kohtuullisesti yhdistää tiettyyn henkilöön, tietokoneeseen tai laitteeseen (esimerkiksi tiedot, joita kerätään seurantatekniikoilla, kuten IP-osoite) tai jotka liittyvät tietyn henkilön fyysisiin, psykologisiin, geneettisiin, henkisiin, taloudellisiin, kulttuurisiin tai sosiaalisiin piirteisiin.

2. Tässä DPA-sopimuksessa käsittely tarkoittaa henkilötietojen keräämistä, tallentamista, järjestämistä, organisointia, tallentamista, muokkaamista, muuttamista, hakemista, konsultointia, käyttöä, paljastamista, jakelua, muulla tavoin käytettäväksi tarjoamista, yhdistämistä, rajoittamista, poistamista ja tuhoamista.
3. GoDaddy luovuttaa henkilötietoja sinulle ainoastaan siitä syystä, että voit niiden avulla suorittaa palveluita GoDaddy-yrityksen puolesta. Voit käsitellä henkilötietoja vain rajoitetusti ja vain tiettyihin käyttötarkoituksiin, jotka on kuvattu tässä sopimuksessa, ja kirjallisten ohjeidemme mukaisesti, et mihinkään muihin tarkoituksiin, mukaan lukien EU-kansalaisten henkilötietojen siirrot EU:n ulkopuolelle, ellei Euroopan unionin tai sen jäsenmaan laki tätä edellytä (tässä tapauksessa sinun täytyy ilmoittaa meille asiasta heti ennen tietojen siirtämistä, ellei laki kiellä ilmoittamista meille).
4. Sinua kielletään: (i) myymästä henkilötietoja; (ii) säilyttämästä, käyttämästä tai paljastamasta henkilötietoja mihinkään muuhun kaupalliseen tarkoitukseen kuin palveluiden tarjoamiseen, sekä (iii) säilyttämästä, käyttämästä tai paljastamasta henkilötietoja muilla tavoin kuin sinun ja GoDaddy-yrityksen välisen sopimuksen ehtojen mukaisesti.

5. Hyväksyt ja vahvistat, että henkilötietoja ei paljasteta liittyen mihinkään palveluihin, joita GoDaddy-yritykselle toimitetaan tämän sopimuksen mukaisesti. Et saa myydä henkilötietoja siinä merkityksessä, jossa vuoden 2018 California Consumer Privacy Act -säädös (“CCPA”) määrittelee “myymisen”, ja vakuutat täten ymmärtäväsi CCPA:n säännöt, vaatimukset ja määritelmät, sekä kaikki tämän DPA-sopimuksen rajoitukset. Lupaat olla ryhtymättä mihinkään toimiin, joiden perusteella henkilötietojen siirtäminen sinulle tai sinulta voitaisiin katsoa “henkilötietojen myymiseksi” CCPA-säädöksen tai muiden sovellettavissa olevien lakien mukaan.
6. Voit siirtää EU-kansalaisten henkilötietoja EU:n ulkopuolelle (tai jos tällaisia henkilötietoja on jo EU:n ulkopuolella, mille tahansa myös EU:n ulkopuolella olevalle kolmannelle osapuolelle) tämän DPA-sopimuksen ja yleisen tietosuoja-asetuksen artiklojen 44–49 mukaisesti (kuten alla määritetään).
7. Sinun täytyy ilmoittaa meille, jos ohjeemme mielestäsi rikkovat mitä tahansa sovellettavaa tietosuojalakia tai -säädöstä, mukaan lukien EU:n tietosuojalait (jotka määritetään alla). Tällaisessa tapauksessa sinun tulee lähettää meille välittömästi ilmoitus osoitteeseen privacy@godaddy.com.

8. Sinun täytyy käsitellä kaikkia henkilötietoja ehdottoman luottamuksellisesti. Lisäksi sinun täytyy kertoa kaikille työntekijöille ja muille hyväksytyille toimijoille, jotka käsittelevät henkilötietoja, että henkilötiedot ovat luottamuksellisia. Sinun tulee myös varmistaa, että kaikki tällaiset henkilöt ja tahot ovat allekirjoittaneet soveltuvan salassapitosopimuksen henkilötietojen luottamuksellisuuden takaamiseksi.
9. Kun saat, ylläpidät, käsittelet tai muulla tavoin käytät henkilötietoja jälleenmyyjäohjelmaan liittyen tämän sopimuksen nojalla, hyväksyt sen, että olet vastuussa näiden henkilötietojen suojaamisesta riittävin suojausmenetelmin ja organisatorisin keinoin. Sinun täytyy suojata tällaiset henkilötiedot kaikkien soveltuvien tietosuojalakien mukaisesti, mukaan lukien esimerkiksi Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, joka on annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (tätä kutsutaan “yleiseksi tietosuoja-asetukseksi”, josta käytetään myös lyhennettä “GDPR”) ja liittyvät Euroopan unionin jäsenmaiden lait j säädökset (yhdessä näitä kaikkia kutsutaan “EU:n tietosuojalaeiksi”).

10. Kohdassa 3.7 mainitut tarvittavat suojausmenetelmät ja organisatoriset menetelmät kattavat soveltuvin osin esimerkiksi seuraavat:
    1. jäljempänä osioissa 3 ja 4 mainitut menetelmät;
    2. menetelmät ja toimenpiteet, joilla varmistetaan, että vain valtuutetut henkilöt voivat käyttää henkilötietoja tässä sopimuksessa määritettyihin tarkoituksiin;
    3. henkilötietojen pseudonymisointi ja salaus;
    4. kyky taata käsittelyjärjestelmiesi ja palveluidesi jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus;
    5. mahdollisuus palauttaa henkilötiedot käyttöön ja käyttää henkilötietoja tarpeeksi nopeasti;
    6. prosessi, jolla säännöllisesti testataan ja arvioidaan teknisiä suojausmenetelmiä ja organisaation suojausmenetelmiä, joilla henkilötietojen käsittelyn turvallisuus taataan; ja
    7. toimenpiteet henkilötietojen käsittelyyn liittyvien haavoittuvuuksien tunnistamiseksi järjestelmissäsi.
11. Jos palkkaat jonkin alihankkijan, toimittajan tai muun ulkoisen tahon suorittamaan tämän sopimuksen piiriin kuuluvia palveluita, sinun täytyy (i) hankki tähän ensin meiltä kirjallinen lupa ja (ii) solmia tämän ulkoisen tahon kanssa kirjallinen sopimus, joka noudattaa tämän DPA-sopimuksen ja sopimuksen ehtoja.

12. Kohdan 1.11 mukaisen antamamme valtuutuksen estämättä olet täysin vastuuvelvollinen mistä tahansa tällaisen alihankkijan, toimittajan tai muun ulkoisen tahon toiminnasta, jos tämä taho ei täytä velvollisuuksiaan tämän DPA-sopimuksen ehtojen mukaisesti tai muun sellaisen sopimukseen perustuvan järjestelyn nojalla, joka velvoittaa samoihin velvollisuuksiin kuin sinut on velvoitettu tämän DPA-sopimuksen nojalla, tai muun soveltuvan tietosuojalain mukaisesti.
13. Puolustat omalla kustannuksellasi meitä kaikilta vastuilta, kuluilta ja menetyksiltä, jotka liittyvät mihin tahansa henkilötietojen pysyviin tai tilapäisiin, vahingosta johtuviin tai laittomiin käyttämättömyyksiin, häviämisiin, tuhoutumisiin, luvattomiin paljastuksiin tai luvattomaan käyttöön, varkauksiin tai vaarantumiseen muilla tavoin, ja kaikissa muissa soveltuvien tietosuojalakien rikkomustapauksissa sekä tämän DPA-sopimuksen rikkomustapauksissa, sekä maksat näihin liittyvät korvaukset.
14. Jos saat tietoosi, että olet vastaanottanut luottamuksellisia tietojamme tai henkilötietoja, joita ei ole tarkoitettu vastaanotettavaksesi tai joiden vastaanottamiseen sinulla ei ole valtuutusta tämän sopimuksen nojalla, sinun täytyy (i) ilmoittaa asiasta meille välittömästi osoitteeseen privacy@godaddy.com, ja (ii) ellei sinulle muuta kirjallisesti ilmoiteta, säilyttää tiedot, kunnes privacy@godaddy.com ottaa sinuun yhteyttä ja antaa ohjeet siihen, mitä sinun tulisi tehdä näillä tiedoilla.

4. Vaikutusarvioinnit ja turvatarkastukset

1. Tietosuojan vaikutusarvioinnit. Sinun täytyy auttaa meitä suorittamaan tietosuojan vaikutusarviointeja, joilla pyritään tunnistamaan ja minimoimaan tietosuoja- ja suojausriskejä, jotka liittyvät jälleenmyyjäohjelmaan sopimuksen nojalla.
2. Säännölliset tarkastukset. Pidätämme oikeuden suorittaa jaksoittaisia tarkastuksia (tai pyytää ulkopuolista tahoa tekemään tarkastuksen) koskien tämän DPA-sopimuksen noudattamistasi.
3. Tarkastus suojaus- tai tietosuojaongelman jälkeen. Jos jälleenmyyjä joutuu tietomurron uhriksi, saatamme suorittaa turvatarkastuksen varmistaaksemme, että se ei vaikuttanut henkilötietoihin. Sinulle annetaan 90 päivää aikaa vastata tarkastuksessa havaittuihin ongelmiin. Kun havaitut ongelmat on ratkaistu, suoritamme turvatarkastuksen varmistaaksemme, että ongelma on ratkaistu kokonaan.
4. Ilmoitus määräysten noudattamatta jättämisestä. Jos et mistä tahansa syystä pysty täyttämään joitakin tämän DPA-sopimuksen velvoitteita, sinun tulee ilmoittaa siitä meille välittömästi. Tällaisessa tapauksessa sinun tulee kertoa, pystytäänkö ongelma ratkaisemaan nopeasti ja vaarantamatta henkilötietojen turvallisuutta. Jos näin ei ole, saatamme irtisanoa sopimuksen viiveettä, rangaistuksetta ja asettamatta sinulle enempää velvoitteita.

5. Suojaus- ja tietosuojaongelmia koskevien

1. ilmoitusten ajoittaminen. Ilmoitat kaikki palveluidesi ja/tai henkilötietojen suojaukseen ja tietosuojaan liittyvät ongelmat meille välittömästi niiden havaitsemisen jälkeen ja kerrot, kuinka tämä saattaa vaikuttaa/vaikuttaa meihin tai henkilötietoihin. Teet parhaasi ilmoittaaksesi meille suojaus- ja tietosuojaan liittyvistä ongelmista välittömästi niiden havaitsemisen jälkeen, mutta joka tapauksessa vähintään tunti sen jälkeen, kun olet havainnut ongelman. Ongelmilla tarkoitetaan tässä DPA-sopimuksessa myös seuraavia:
   1. Valitus tai pyyntö, joka liittyy yksilön oikeuksien harjoittamiseen soveltuvien lakien mukaisesti, mukaan lukien EU:n tietosuojalait;
   2. Tapaukset, joissa viranomaiset aikovat tutkia tai ottaa haltuunsa henkilötietoja tai tätä harkitaan;
   3. Mikä tahansa henkilötietojen tilapäinen tai pysyvä, laiton tai vahingossa ilmenevä käyttämättömyys, häviö, tuhoaminen, luvaton paljastaminen tai käyttö, varkaus tai muu vaarantuminen; ja
   4. Minkä tahansa tässä DPA-sopimuksessa määritetyn suojaus- ja/tai luottamuksellisuusvelvollisuuden rikkomus.
2. Ilmoituksen muoto ja sisältö. Tietoturvaongelmista täytyy ilmoittaa soittamalla verkkokeskukseemme (NOC), jonka numero on (480) 505-8809. Puhelun jälkeen sinun täytyy lähettää myös kirjallinen ilmoitus osoitteeseen securitybreach@godaddy.com. Sinun täytyy ilmoittaa puhelussa ja kirjallisessa ilmoituksessa seuraavat tiedot mahdollisimman tarkasti, mukaan lukien uudet mahdollisesti tietoosi saamat seikat:
   1. Kuvaus ongelmasta ja sen todennäköisistä seurauksista;
   2. Odotettu ratkaisuaika (jos tiedossa);
   3. Miten aiot ratkaista ongelman tai miten olet ratkaissut ongelman, mukaan lukien toimet, joilla pyrit ehkäisemään meille, henkilötiedoille tai asiaan liittyville henkilöille aiheutuvia haittavaikutuksia;
   4. Jos ratkaisukeinot eivät ole vielä tiedossa soittaessasi puhelun, sinun täytyy kertoa, että niitä ei ole vielä päätetty;
   5. Sinun täytyy ilmoittaa henkilötietoluokat ja henkilötietojen sekä yksilöiden määrä, joita ongelma mahdollisesti koskee, sekä ongelman mahdolliset seuraukset henkilötiedoille ja asiaan liittyville yksilöille; ja
   6. Jälleenmyyjän edustajan nimi ja puhelinnumero, jotta voimme ottaa yhteyttä jälleenmyyjään tilanteen tarkistamiseksi.
3. Suojaukseen liittyvät resurssit. Voimme kanssasi mahdollisesti solmittavan sopimuksen perusteella tarjota resursseja turvallisuusryhmästämme avustaaksemme sinua havaittuun tietomurtoon liittyen. Sitoudut auttamaan meitä täyttämään tietoturvaongelmien ilmoitusvaatimukset EU:n tietosuojalakien mukaisesti tai muiden lakisääteisten, asetuksiin perustuvien tai hallinnollisten velvollisuuksien mukaisesti tai sopimusrikkomusilmoitusvelvollisuuksien mukaisesti.

6. Salaustekniikka

1. Oma salaus. Suojatuissa tapahtumissa sinun ja alihankkijan, toimittajan tai muun ulkoisen tahon välillä sekä luottamuksellisten tietojen tai henkilötietojen tallentamisessa ei saa käyttää mitään itse sisäisesti kehittämiäsi salausalgoritmeja. Mikä tahansa sovellusinfrastruktuurin symmetrinen tai asymmetrinen algoritmi tai hajautusalgoritmi käyttää algoritmeja, jotka on julkaistu ja jotka on arvioitu yleisessä salausyhteisössä.
2. Salausvahvuus. Salausalgoritmien on oltava alan nykyisen vakiotekniikan mukaisia ja riittävän vahvoja (esimerkiksi AES). SHA-256-salaus tai julkisen RSA-avaimen salaus.
3. Hajautusfunktiot. Hajautusfunktiot ovat yhdistelmä SHA-256-funktiota ja vähintään yhtä seuraavista: MD-5, SHA-2, SHA-3 tai muu vastaava, pois lukien SHA-1. Käytettäessä vaihtoehtoisia hajautusfunktioita ne vaativat erillisen tietoturvatiimimme hyväksynnän ja niiden tulee käyttää vähintään yhtä hyväksyttyä algoritmia.

7. Henkilötietojen käsittely

1. Lain noudattaminen. Autat meitä soveltuvissa määrin täyttämään velvollisuutemme vastata niiden henkilöiden pyyntöihin, joiden henkilötietoja käsitellään tämän sopimuksen nojalla ja joka haluaa harjoittaa mitä tahansa EU:n tietosuojalakien hänelle suomia oikeuksia, mukaan lukien esimerkiksi (i) oikeus tietojen tarkistamiseen, (ii) oikeus tietojen siirtämiseen, (iii) oikeus tietojen poistamiseen, (iv) oikeus tietojen korjaamiseen, (v) oikeus vastustaa automaattista päätöksentekoa ja (vi) oikeus vastustaa käsittelyä.
2. Poistaminen/tuhoaminen. Sinun täytyy turvallisesti poistaa ja tuhota tai palauttaa kaikki henkilötiedot ja päällekirjoittaa fyysiset asemat, joille niitä tallennetaan, Cryptographic Erase (NIST SP-800-88r1) -menetelmällä tai vastaavalla tavalla milloin tahansa, kun sitä pyydämme, tai jos emme sitä pyydä, sen jälkeen, kun tämä sopimus irtisanotaan, ja tuhota tai palauttaa kaikki olemassa olevat henkilötiedot meille.

Henkilötietojen siirto käsittelijöille, jotka sijaitsevat maissa, jotka eivät takaa riittävää tietosuojatasoa direktiivin 95/46/EY artiklan 26(2) mukaisesti

tietojen viejä: GoDaddy.com, LLC ja sen kumppaniyritykset

ja

tietojen tuoja: Tämä on nimetty jälleenmyyjä, joka osallistui jälleenmyyjäohjelmaan sopimusehtojen mukaisesti.

kukin erikseen “osapuoli”; yhdessä “osapuolet”,

ON HYVÄKSYNYT seuraavat vakiosopimuslausekkeet (sopimuslausekkeet) esittääkseen riittävät suojausmenetelmät liittyen yksittäisten käyttäjien tietosuojaan ja perusoikeuksiin ja vapauksiin tietojen viejän liitteessä 1 määriteltyjen henkilötietojen tuojalle suorittamaa siirtoa varten.

Sopimuslausekkeita koskevat seuraavat ehdot:

(a) ”Henkilökohtaiset tiedot”, ”erityiset tietokategoriat”, ”prosessi/prosessointi”, ”valvoja”, ”käsittelijä”, ”tietojen kohde” ja ”valvova viranomainen” tarkoittavat samaa kuin Euroopan parlamentin ja valtuuston 24. lokakuuta 1995 direktiivissä 95/46/EC koskien yksittäisten käyttäjien suojausta henkilökohtaisten tietojen käsittelyssä ja tällaisten tietojen vapaassa liikkumisessa;

(b) ”tiedon viejä” tarkoittaa valvojaa, joka siirtää henkilökohtaisia tietoja;

(c) ”tietojen tuoja” tarkoittaa tietojen käsittelijää, joka suostuu vastaanottamaan tietojen viejältä henkilökohtaisia tietoja, jotka on tarkoitettu käsittelyyn hänen puolestaan siirron jälkeen hänen ohjeidensa ja sopimusehtojen mukaan ja joka ei ole kehitysmaan järjestelmän alainen varmistaen riittäen suojauksen direktiivin 95/46/EC artiklan 25(1) mukaisesti;

(d) “alikäsittelijä” tarkoittaa mitä tahansa käsittelijää, jonka tietojen tuoja tai muu tietojen tuojan alikäsittelijä suostuu vastaanottamaan yksinomaisesti käsittelytarkoituksiin tai lähetettäväksi edelleen tietojen viejän puolesta siirron jälkeen hänen ohjeidensa, sopimuslausekkeiden ja kirjallisen alihankkijasopimuksen mukaisesti;

(e) ”sovellettava tietosuojalaki” tarkoittaa lainsäädäntöä, joka suojelee yksittäisten käyttäjien perusoikeuksia ja vapauksia ja erityisesti heidän oikeutta yksityisyyteen liittyen henkilökohtaisten tietojen käsittelyyn, joka liittyy tietojen valvojaan jäsenvaltiossa, jossa tietojen viejä sijaitsee;

(f) ”tekniset ja organisatoriset turvatoimet” tarkoittaa niitä toimia, joilla on tarkoitus suojata henkilökohtaisia tietoja tahattomalta tai laittomalta tuhoamiselta tai tahattomalta katoamiselta, muutoksilta, tahattomalta paljastumiselta tai käytöltä, erityisesti silloin, kun käsittelyyn kuuluu tietojen siirto verkon yli, ja kaikilta muilta laittomilta käsittelytavoilta.

Siirron tiedot ja erityisesti henkilötietojen erikoisluokat, kun sovellettavissa, määritellään liitteessä 1, joka muodostaa olennaisen osan sopimuslausekkeista.

1. Tietojen kohde voi vedota tietojen viejää vastaan tällä sopimuslausekkeella ja sopimuslausekkeilla 4(b)–4(i), 5(a)–5(e), 5(g)–5(j), 6(1) ja (2), 7, 8(2) ja 9–12 ulkopuolisena edunsaajana.

2. Tietojen kohde voi käyttää tietojen tuojaa vastaan tätä sopimuslauseketta, sopimuslausekkeita 5(a)–5(e) ja 5(g), sopimuslauseketta 6, sopimuslauseketta 7, sopimuslauseketta 8(2), ja sopimuslausekkeita 9–12, kun tietojen viejä on tavoittamattomissa tai ei enää laillisesti vastuussa, ellei toinen taho ole ottanut täysin tietojen viejän laillisia vastuita sopimuksen tai lakitoimen nojalla, minkä tuloksena sillä on tietojen viejän oikeudet ja velvoitteet, jolloin tietojen kohde voi käyttää niitä tällaista tahoa vastaan.

3. Tietojen kohde voi käyttää alikäsittelijää vastaan tätä sopimuslauseketta, sopimuslausekkeita 5(a)–5(e) ja 5(g), sopimuslauseketta 6, sopimuslauseketta 7, sopimuslauseketta 8(2) ja sopimuslausekkeita 9–12, kun sekä tietojen viejä että tietojen tuoja ovat tavoittamattomissa tai eivät enää laillisesti vastuussa tai ovat maksukyvyttömiä, ellei toinen taho ole ottanut täysin tietojen viejän laillisia vastuita sopimuksen tai lakitoimen nojalla, minkä tuloksena sillä on tietojen viejän oikeudet ja velvoitteet, jolloin tietojen kohde voi käyttää niitä tällaista tahoa vastaan. Tällaisen ulkopuolisen tahon vastuuvelvollisuus rajoittuu sen omaan sopimuslausekkeiden nojalla tehtyyn tiedonkäsittelyyn.

4. Osapuolet eivät vastusta sitä, että tietojen kohdetta edustaa yhdistys tai muu toimija, jos tietojen kohde niin toivoo ja se on kansallisen lain sallimaa.

Tietojen viejä hyväksyy ja takaa seuraavat:

(a) että henkilötietojen käsittely, mukaan lukien itse siirto, on suoritettu ja suoritetaan jatkossakin liittyvien sovellettavien tietosuojalain säännösten mukaisesti (ja, kun sovellettavissa, siitä on ilmoitettu asianmukaisille sen jäsenvaltion viranomaisille, jossa tietojen viejä sijaitsee), ja ettei se riko tämän valtion asianmukaisia säännöksiä;

(b) että tietojen tuojaa on ohjeistettu ja ohjeistetaan koko henkilökohtaisten tietojen käsittelyn ajan käsittelemään siirrettyjä henkilökohtaisia tietoja vain tietojen viejän puolesta ja sovellettavan tietosuojalain ja sopimusehtojen mukaisesti;

(c) että tietojen tuoja tarjoaa riittävän takuun tämän sopimuksen liitteessä 2 määritellyistä teknisistä suojausmenetelmistä ja organisaation suojausmenetelmistä;

(d) että sovellettavan tietosuojalain vaatimusten arvioinnin jälkeen turvatoimet ovat asianmukaisia suojaamaan henkilötietoja tahattomalta tai laittomalta tuhoamiselta tai tahattomalta katoamiselta, muutoksilta, tahattomalta paljastumiselta tai käytöltä, erityisesti silloin, kun käsittelyyn kuuluu tietojen siirto verkossa, ja kaikilta muilta laittomilta käsittelytavoilta, ja että nämä toimet takaavat suojatason, joka riittää estämään tietojen käsittelyn ja luonteen aiheuttamat riskit hyödyntäen viimeisintä tekniikka ja ollen samalla kustannustehokasta;

(e) että se varmistaa suojausmenetelmien vaatimustenmukaisuuden;

(f) että jos siirto sisältää erityisiä tietoluokkia, tietojen kohteelle on ilmoitettu tai ilmoitetaan etukäteen tai mahdollisimman pian siirron jälkeen, että sen tietoja voidaan siirtää maahan, joka ei tarjoa riittävää suojausta direktiivin 95/46/EY mukaisesti;

(g) lähettämään eteenpäin kaikki tietojen tuojalta tai alikäsittelijältä saadut ilmoitukset sopimuslausekkeiden 5(b) ja 8(3) mukaan tietosuojavalvontaviranomaiselle, jos tietojen viejä päättää jatkaa siirtoa tai kumota peruutuksen;

(h) pidetään tietojen kohteiden saatavilla pyynnöstä kopio sopimuslausekkeista, pois lukien liite 2, ja yhteenveto suojausmenetelmistä sekä kopio kaikista alikäsittelypalveluiden, jotka tulee suorittaa sopimuslausekkeiden mukaisesti, sopimuksista, ellei sopimus tai sopimuslausekkeet sisällä kaupallista tietoa, jolloin se voi poistaa tällaiset kaupalliset tiedot;

(i) että alikäsittelyssä käsittelytoimet suoritetaan sopimuslausekkeen 11 mukaan alikäsittelijän toimesta ja että henkilötietoja ja tietojen kohteen oikeuksia suojataan vähintään samalla tasolla kuin tietojen tuoja sopimusehtojen alaisena; ja

(j) että se varmistaa sopimuslausekkeen 4 kohtien (a)–(i) noudattamisen.

Tietojen tuoja hyväksyy ja takaa seuraavat:

(a) Se käsittelee henkilötietoja vain tietojen viejän puolesta ja sen ohjeiden ja lausekkeiden mukaisesti. Jos se ei pysty jostain syystä noudattamaan näitä sääntöjä, se suostuu ilmoittamaan tietojen viejälle heti kykenemättömyydestään noudattaa niitä, jolloin tietojen viejällä on oikeus keskeyttää tietojen siirto ja/tai purkaa sopimus.

(b) Se takaa, että ei ole syytä epäillä, että siihen sovellettava lainsäädäntö estää sitä noudattamasta tietojen viejältä saatuja ohjeistuksia ja velvoitteitaan sopimuksen puitteissa, ja että lainsäädännön muutosten, joilla on todennäköisesti merkittäviä haittavaikutuksia sopimuslausekkeiden tarjoamiin takuisiin ja velvollisuuksiin, missä tapauksessa se ilmoittaa viipeettä muutokset tietojen viejälle heti, kun se on näistä tietoinen, jolloin tietojen viejällä on oikeus keskeyttää tietojen siirto ja/tai purkaa sopimus.

(c) Se takaa, että se on toteuttanut liitteessä määritetyt tekniset suojausmenetelmät ja organisaation suojausmenetelmät ennen siirrettyjen henkilötietojen käsittelyä.

Se takaa, (d) että se ilmoittaa ripeästi tietojen viejälle seuraavista:

(i) kaikki laillisesti sitovat pyynnöt paljastaa henkilötietoja viranomaisten toimesta, ellei sitä muuten ole kielletty, kuten rikoslain kiellon kautta, jotta säilytetään lainmukaisen tutkimuksen luottamuksellisuus

(ii) mikä tahansa tahaton ja luvaton käyttö

(iii) kaikki suoraan tietojen kohteilta saadut pyynnöt vastaamatta pyyntöihin, ellei sille ole annettu lupaa tehdä niin

(e) Se sitoutuu hoitamaan viipeettä ja oikein kaikki tietojen viejän pyynnöt liittyen sen siirrettävien henkilötietojen käsittelyyn ja noudattamaan valvovan viranomaisen neuvoja liittyen siirrettyjen tietojen käsittelyyn.

(f) Se lupaa tietojen viejän pyynnöstä lähettää tietojenkäsittelysijaintinsa sopimuslausekkeiden puitteissa tehtyjen tietojenkäsittelytoimien tarkistukseen, jonka suorittaa tietojen viejä tai tarkistusviranomainen, joka koostuu puolueettomista jäsenistä ja joilla on vaaditut ammattipätevyydet ja työnkuvaan kuuluva salassapitovelvollisuus ja jotka tietojen viejä valitsee, mikäli sovellettavissa, valvovan viranomaisen kanssa.

(g) Se sitoutuu tarjoamaan tietojen kohteiden saatavilla pyynnöstä kopion sopimusehdoista tai olemassa olevasta alikäsittelyn sopimuksesta, elleivät sopimuksen sopimusehdot sisällä kaupallista tietoa, jolloin se voi poistaa tällaiset kaupalliset tiedot, pois lukien liite 2, joka tulee korvata suojausmenetelmien yhteenvedolla, jos tietojen kohde ei saa kopiota tietojen viejältä.

(h) Se takaa, että alikäsittelyn tapauksessa se on ilmoittanut etukäteen tietojen viejälle ja saanut siltä kirjallisen suostumuksen.

(i) Se takaa että alikäsittelijän käsittelypalvelut suoritetaan sopimuslausekkeen 11 mukaisesti.

(j) Se lupaa lähettää viipeettä kopion sopimuslausekkeiden puitteissa solmimastaan alikäsittelijän sopimuksesta tietojen viejälle.

(k) Se puolustaa omalla kustannuksellaan tietojen viejää kaikilta vastuilta ja menetyksiltä, jotka liittyvät mihin tahansa henkilötietojen häviämisiin, luvattomiin paljastuksiin, varkauksiin tai vaarantumiseen muilla tavoin, ja kaikissa muissa soveltuvien tietosuojalakien rikkomustapauksissa tietojen tuojan toimesta, sekä maksaa näihin liittyvät korvaukset. 

1. Osapuolet hyväksyvät sen, että tietojen kohteella, joka on kärsinyt vahinkoja sopimuslausekkeen 3 tai 11 mukaisten velvoitteiden rikkomisen tuloksena minkä tahansa osapuolen tai alikäsittelijän toimesta, on oikeus saada korvaus tietojen viejältä kärsityistä vahingoista.

2. Jos tietojen kohde ei pysty osoittamaan valitusta tai korvausvaatimusta kappaleen 1 mukaisesti tietojen viejälle, koskien tietojen tuojan tai alikäsittelijän rikkomusta velvoitteitaan kohtaan, joihin viitataan sopimuslausekkeissa 3 ja 11, koska tietojen viejä on tavoittamattomissa tai ei enää laillisesti vastuullinen tai maksukyvytön, tietojen tuoja suostuu siihen, että tietojen kohde voi osoittaa valituksen tuojalle kuin se olisi tietojen viejä, ellei toinen taho ole ottanut tietojen viejän laillisia velvoitteita kokonaan vastuulleen sopimuksen tai lakitoimen myötä, jolloin tietojen kohde voi harjoittaa oikeuksiaan tällaista tahoa kohtaan.
   
   Tietojen tuoja ei voi vedota alikäsittelijän sopimusrikkomukseen välttyäkseen omilta vastuiltaan.

3. Jos tietojen kohde ei pysty osoittamaan valitusta tietojen viejälle tai tietojen tuojalle, joihin viitataan kappaleissa 1 ja 2, koskien alikäsittelijän rikkomusta velvoitteitaan kohtaan, joihin viitataan sopimuslausekkeessa 3 ja 11, koska sekä tietojen viejä että tuoja ovat tavoittamattomissa tai eivät enää laillisesti vastuullisia tai ovat maksukyvyttömiä, alikäsittelijä suostuu siihen, että tietojen kohde voi osoittaa valituksen tietojen alikäsittelijälle koskien omia käsittelyprosessejaan sopimusehtojen alla kuin se olisi tietojen viejä tai tuoja, ellei toinen taho ole ottanut tietojen viejän tai tuojan laillisia velvoitteita kokonaan vastuulleen sopimuksen tai lakitoimen myötä, jolloin tietojen kohde voi harjoittaa oikeuksiaan tällaista tahoa kohtaan. Alikäsittelijän vastuuvelvollisuus rajoittuu sen omaan sopimuslausekkeiden nojalla tehtyyn tiedonkäsittelyyn.

1. Tietojen tuoja hyväksyy, että jos tietojen kohde turvautuu ulkopuolisen edunsaajan oikeuksiinsa ja/tai pyytää vahingonkorvausta sopimusehtojen alaisuudessa, tietojen tuoja hyväksyy tietojen kohteen päätöksen:
   
   (a) viitataan sovittelukiistaan yksityisen henkilön toimesta tai, kun sovellettavissa, valvovan viranomaisen toimesta;
   
   (b) osoittamaan kiista sen jäsenvaltion tuomioistuimeen, jossa tietojen viejä sijaitsee.

2. 1. Osapuolet hyväksyvät sen, että tietojen kohteen valinta ei vaaranna sen oleellisia tai prosessuaalisia oikeuksia etsiä ratkaisukeinoja muiden kansallisen tai kansainvälisen lainsäädännön asetusten mukaisesti.

1. Tietojen viejä suostuu jättämään kopion tästä sopimuksesta valvovalle viranomaiselle, jos se pyytää niin tai jos sovellettavassa tietosuojalaissa vaaditaan kopiota sopimuksesta.

2. Osapuolet hyväksyvät sen, että valvovalla viranomaisella on oikeus suorittaa tarkastus tietojen tuojalle ja mille tahansa alikäsittelijälle, jolla on sama laajuus ja on samojen ehtojen alainen, jotka pätevät tiedon viejän tarkastukseen sovellettavien tietosuojalakien alaisena.

3. Tietojen tuojan tulee ilmoittaa viivytyksettä tietojen viejälle siihen tai alikäsittelijään kohdistuvista sovellettavista laeista, jotka estävät tietojen tuojaan tai alikäsittelijään kohdistuvat tarkastukset, kappaleen 2 mukaan. Tällaisessa tapauksessa tietojen viejällä on oikeus suorittaa sopimuslausekkeessa 5 (b) määritetyt toimenpiteet.

Sopimuslausekkeita koskevat sen jäsenvaltiot lait, joissa tietojen viejän pääkonttori sijaitsee, tai jos tietojen viejä toimii useilla eri lainkäyttöalueilla, Englannin ja Walesin lait.

Osapuolet vakuuttavat, etteivät he muuta tai muokkaa sopimuslausekkeita. Tämä ei estä osapuolia lisäämästä sopimuslausekkeita liiketoimintaan liittyviin ongelmiin liittyen tarvittaessa, kunhan ne eivät ole ristiriidassa sopimuslausekkeiden kanssa.

1. Tietojen tuoja ei saa teettää alihankintana käsittelytoimiaan, jotka suoritetaan tietojen viejän puolesta sopimuslausekkeiden puitteissa, ilman kirjallista etukäteen saatua tietojen viejän suostumusta. Kun tietojen tuoja teettää alihankintana velvoitteensa sopimuslausekkeiden puitteissa tietojen viejän suostumuksella, se saa tehdä niin vain solmimalla kirjallisen sopimuksen alihankkijan kanssa. Siinä tulee olla samat velvoitteet alihankkijalle kuin mitä sopimuslausekkeissa asetetaan tietojen tuojalle. Kun alikäsittelijä ei noudata tietosuojavelvoitteitaan tällaisen kirjallisen sopimuksen puitteissa, tietojen tuojalla on täysi vastuu tietojen viejälle alikäsittelijän velvollisuuksien täyttymisestä tällaisen sopimuksen puitteissa.

2. Etukäteen solmitun kirjallisen sopimuksen tietojen tuojan ja alikäsittelijän välillä tulee sisältää myös ulkopuolista edunsaajaa koskeva sopimuslauseke, kuten sopimuslausekkeessa 3 määritetty ehto sellaisia tilanteita varten, joissa tietojen kohde ei pysty osoittamaan sopimuslausekkeen 6 kappaleessa 1 kuvattua korvausvaatimusta tietojen viejälle tai tietojen tuojalle, koska he ovat tavoittamattomissa tai eivät enää lain silmissä velvollisia tai ovat maksukyvyttömiä, eikä toinen taho ole ottanut täyttä laillista vastuuta tietojen viejästä tai tuojasta sopimuksen tai lakitoimen nojalla. Tällaisen ulkopuolisen tahon vastuuvelvollisuus rajoittuu sen omaan sopimuslausekkeiden nojalla tehtyyn tiedonkäsittelyyn.

3. Kappaleessa 1 viitattuja ehtoja, jotka liittyvät sopimuksen alikäsittelyn tietosuojaan, koskevat sen jäsenvaltion lait, jossa tietojen viejä sijaitsee.

4. Tietojen viejän tulee ylläpitää luetteloa alikäsittelijäsopimuksista, jotka solmitaan sopimuslausekkeiden mukaisesti ja joista tietojen tuoja ilmoittaa sopimuslausekkeen 5 (j) mukaan, joka tulee päivittää vähintään kerran vuodessa. Luettelon tulee olla tietojen viejän tietosuojaa valvovan viranomaisen saatavilla.

1. Osapuolet hyväksyvät sen, että tietojenkäsittelypalvelun tarjoamisen päättyessä tietojen tuojan ja alikäsittelijän tulee, tietojen viejän päättäessä niin, palauttaa kaikki siirretyt henkilötiedot ja niiden kopiot tietojen viejälle tai tuhota kaikki henkilötiedot ja todistaa tietojen viejälle, että näin on toimittu, ellei tietojen tuojaa koskevat lait estä palauttamasta tai tuhoamasta siirrettyjä henkilötietoja kokonaisuudessaan tai osittain. Tässä tapauksessa tietojen tuoja takaa, että se varmistaa siirrettyjen henkilötietojen luottamuksellisuuden eikä käsittele siirrettyjä henkilötietoja enää aktiivisesti.

2. Tietojen tuoja ja alikäsittelijä takaavat, että tietojen viejän ja/tai valvovan viranomaisen pyynnöstä se lähettää tietojenkäsittelyn tiedot kappaleessa 1 viitattuun tarkastukseen.

Tarvittavat lisätiedot, jotka eivät ole mukana oheisessa SOW-asiakirjassa, tulisi sisällyttää tähän liitteeseen:

Tietojen viejä:
Tietojen viejä on GoDaddy, joka tarjoaa jälleenmyyjäpalvelun tietojen viejälle, jotta se voi jälleenmyydä tiettyjä yrityksen GoDaddy tuotteita ja palveluita asiakkaille.

Tietojen tuoja:

Tietojen viejä on yrityksen GoDaddy tuotteiden ja palveluiden jälleenmyyjä.

Tietojen kohteet

Tietojen kohteet ovat asiakkaita.

Tietojen luokat

Siirrettävät henkilötiedot sisältävät seuraavien luokkien tietoja:

Asiakas voi lähettää palveluihin henkilötietoja, jotka voivat sisältää esimerkiksi seuraaviin luokkiin kuuluvia henkilötietoja:

• Etu- ja sukunimi
• Sähköposti
• Puhelinnumero
• Fyysinen osoite
• Käsittelytoimet

Siirrettäville henkilötiedoille suoritetaan seuraavia peruskäsittelytoimintoja:

Jälleenmyyjä käsittele henkilötietoja siinä määrin kuin se on tarpeen palveluiden tarjoamiseksi jälleenmyyjäsopimuksen mukaisesti sekä asiakkaan lisäohjeiden mukaisesti palveluiden käytön yhteydessä.

Tekniset suojausmenetelmät ja organisaation suojausmenetelmät

Tietojen tuoja käyttää teknisiä ja hallinnollisia suojausmenetelmiä, joilla asiakastietojen, mukaan lukien henkilötiedot, suojaus, luottamuksellisuus ja eheys taataan tässä tietojenkäsittelyn lisäsopimuksessa määrätyin tavoin. Tietojen tuoja valvoo näiden suojausmenetelmien toteutusta säännöllisesti. Tietojen tuoja ei olennaisesti heikennä palveluiden tai jälleenmyyjäohjelman yleistä suojausta.