Oversættelser af juridiske aftaler og politikker tilvejebringes udelukkende for nemheds skyld for at gøre det nemmere at læse og forstå de engelske versioner. Målet med at tilvejebringe oversættelser af juridiske aftaler og politikker er ikke at skabe en juridisk bindende aftale, og disse udgør ikke en erstatning for den juridiske gyldighed af de engelske versioner. I tilfælde af eventuelle tvister og konflikter vil de engelske versioner af juridiske aftaler og politikker i ethvert tilfælde være gældende og have forrang i forhold til betingelserne på ethvert andet sprog.
GoDaddy – DATABEHANDLINGSTILLÆG
Sidst revideret: 13-09-2024
Nærværende databehandlingstillæg ("tillægget") udfærdiges af og mellem dig ("kunden") og den GoDaddy-enhed, der er en part i forbindelse med de Generelle servicebetingelser, og enhver anden aftale mellem dig og GoDaddy (under ét benævnt "aftalen"). GoDaddy og kunden benævnes i det efterfølgende individuelt som en "part" og kollektivt som "parterne". Databehandlingstillægget træder i kraft på aftalens ikrafttrædelsesdato ("ikrafttrædelsesdatoen") og dækker al behandling af kunders personoplysninger i henhold til aftalen.
1. Definitioner. Medmindre andet er defineret i de gældende databeskyttelseslove (som defineret nedenfor), har udtrykkene i denne sektion skrevet med stort begyndelsesbogstav følgende betydninger:
1.1 "Partner" betyder enhver enhed, der kontrollerer eller er under fælles kontrol sammen med en part. "Kontrol" betyder direkte eller indirekte ejerskab eller kontrol over mindst halvtreds procent (50 %) af stemmerne for en enhed.
2. Omfanget af databehandlingen og forholdet mellem parterne
1.2. "Dataansvarlig" betyder den fysiske eller juridiske person, offentlige myndighed, det fysiske eller juridiske agentur eller andet organ, som på egen hånd eller i fællesskab med andre fastslår formålet med og metoden til behandling af kunders personoplysninger i henhold til aftalen.
1.3 "Kunders personoplysninger" dækker over alle personoplysninger (som defineret nedenfor), der behandles af GoDaddy på kundens vegne i forbindelse med kundens brug af tjenesteydelserne. Kunders personoplysninger omfatter ikke GoDaddy-data.
1.4 "Databeskyttelseslov" dækker over enhver lov eller bestemmelse, der gælder for behandlingen af kundens personoplysninger i henhold til aftalen.
1.5 "Registrerede" betyder en identificeret eller identificerbar fysisk person, som specifikke personoplysninger omhandler.
1.6 "De-identificerede data" betyder data, der ikke med rimelighed kan identificere, forbindes med, beskrive eller knyttes direkte eller indirekte til en specifik registreret person.
1.7 "GoDaddy-data" dækker over (a) alle oplysninger om GoDaddys forretning og levering af tjenesteydelserne, herunder, men ikke begrænset til personoplysninger om kunden og dennes medarbejdere eller repræsentanter, (b) andre oplysninger om eller knyttet til kundens konto, transaktionshistorik, brug af tjenesteydelserne og verifikation af identitet og (c) i henhold til gældende databeskyttelseslove, de-identificerede data.
1.8 "Personoplysninger" dækker over oplysninger, der er knyttet til en identificeret eller identificerbar fysisk person, inklusive enhver form for oplysninger, der defineres som personoplysninger, personlige oplysninger eller personligt identificerbare oplysninger ("PII") i henhold til nogen gældende databeskyttelseslove. Personoplysninger omfatter ikke de-identificerede data.
1.10 "Databehandler" dækker over en fysisk eller juridisk person, offentlig myndighed, et agentur eller organ, der behandler kunders personoplysninger på vegne af en dataansvarlig i henhold til aftalen.
1.9 "Behandling" dækker over enhver handling, der udføres på kunders personoplysninger, såsom indsamling, brug, opbevaring, udlevering, analyse, sletning eller ændring – uanset om dette sker manuelt eller automatisk.
1.11 "Følsomme personoplysninger" betyder (a) personnummer, pasnummer, kørekortnummer eller lignende identifikation; (b) kredit- eller debetkortoplysninger, økonomiske oplysninger, bankkontonumre eller adgangskoder til konti; (c) oplysninger om ansættelse, økonomi eller genetiske, biometriske eller sundhedsoplysninger; (d) oplysninger om race, etnisk herkomst, politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold, seksualliv eller seksuel orientering; (e) adgangskoder til konti, moders pigenavn, fødselsdato eller andre lignende oplysninger, der bruges til at bekræfte en brugers identitet; (f) kriminel baggrund; (g) biometriske data, der bruges til at identificere en specifik person (f.eks. fingeraftryk); eller (h) enhver anden form for information eller samling af informationer, der falder inden for definitionen af "særlige kategorier af oplysninger" under nogen gældende databeskyttelseslov.
1.12 "Tjenesteydelser" dækker over de produkter eller tjenesteydelser, som GoDaddy har indvilget i at levere i henhold til aftalen, og som involverer behandling af kunders personoplysninger.
1.13 "Underbehandler" betegner enhver fysisk eller juridisk person, offentlig myndighed, ethvert agentur eller organ, som GoDaddy engagerer til at behandle kunders personoplysninger.
1.14 "Overførsel" betyder (a) overførsel af kunders personoplysninger fra en dataansvarlig til en databehandler, uanset om dette sker via fysisk overførsel eller ved at give adgang til kunders personoplysninger, der opbevares eller på anden måde kontrolleres af den dataansvarlige eller (b) en videreoverførsel af kunders personoplysninger fra en databehandler til en underkontraheret databehandler (og enhver efterfølgende videreoverførsel fra en underkontraheret databehandler til en anden underkontraheret databehandler).
2.1 Kunden som dataansvarlig eller databehandler
2.1.1 Hvis kunden er en dataansvarlig, har kunden (a) eneansvaret for at bestemme formålet med og metoden til behandling af kunders personoplysninger, (b) al den nødvendige bemyndigelse samt nødvendige årsager, rettigheder og tilladelser til at levere kunders personoplysninger til GoDaddy og (c) bundet sig til at opfylde sine forpligtelser som dataansvarlig i henhold til de gældende databeskyttelseslove.
2.1.2 Hvis kunden er en databehandler, har kunden (a) eneansvaret for at overholde sin(e) aftale(r) med de(n) dataansvarlige, på hvis vegne kunden behandler kunders personoplysninger, (b) alle de nødvendige tilladelser fra den dataansvarlige til at levere kunders personoplysninger til GoDaddy og (c) bundet sig til at opfylde sine forpligtelser som databehandler i henhold til de gældende databehandlingslove.
2.1.2 Hvis kunden er en databehandler, har kunden (a) eneansvaret for at overholde sin(e) aftale(r) med de(n) dataansvarlige, på hvis vegne kunden behandler kunders personoplysninger, (b) alle de nødvendige tilladelser fra den dataansvarlige til at levere kunders personoplysninger til GoDaddy og (c) bundet sig til at opfylde sine forpligtelser som databehandler i henhold til de gældende databehandlingslove.
2.2 GoDaddy som databehandler eller underkontraheret databehandler.
2.2.1 GoDaddy skal tage alle rimeligt nødvendige forbehold for at sikre, at kunden kan overholde kundens forpligtelser som dataansvarlig og/eller databehandler i henhold til databeskyttelseslovene i overensstemmelse med arten, omfanget og formålet med de tjenesteydelser, der leveres af GoDaddy. For at undgå tvivlstilfælde er GoDaddy ikke pålagt at gøre noget for at ændre GoDaddys tjenesteydelser eller sikre, at de overholder nogen krav til kundens specifikke brug. Kundens eneste retsmiddel i tilfælde af, at tjenesteydelserne ikke anses for at overholde kravene til kundens specifikke brug, er at opsige enhver del af aftalen, der vedrører behandlingen af kunders personoplysninger.
2.2.2 GoDaddy må kun behandle kunders personoplysninger efter dokumenteret anvisning med henblik på de begrænsede og specifikke formål, der er beskrevet i aftalen, nærværende databehandlingstillæg eller som påkrævet ved lov.
2.2.3 GoDaddy må ikke sælge, opbevare, bruge eller udlevere kunders personoplysninger til noget andet kommercielt formål end at levere tjenesteydelserne.
2.2.4 GoDaddy må ikke behandle kunders personoplysninger uden for parternes direkte forretningsforhold som beskrevet i aftalen og nærværende databehandlingstillæg.
2.2.5 GoDaddy må ikke kombinere kunders personoplysninger med nogen andre data, som GoDaddy indsamler (direkte eller via tredjeparter), ud over hvad der er udtrykkeligt tilladt i henhold til aftalen.
2.2.6 GoDaddy skal indstille al behandling og give kunden besked inden for tre (3) hverdage, hvis GoDaddy: (a) mener, at en kundes anvisninger er i strid med eventuelle gældende databehandlingslove eller (b) fastslår, at GoDaddy ikke er i stand til at overholde gældende databehandlingslove eller sine forpligtelser i henhold til nærværende databehandlingstillæg.
2.2.2 GoDaddy må kun behandle kunders personoplysninger efter dokumenteret anvisning med henblik på de begrænsede og specifikke formål, der er beskrevet i aftalen, nærværende databehandlingstillæg eller som påkrævet ved lov.
2.2.3 GoDaddy må ikke sælge, opbevare, bruge eller udlevere kunders personoplysninger til noget andet kommercielt formål end at levere tjenesteydelserne.
2.2.4 GoDaddy må ikke behandle kunders personoplysninger uden for parternes direkte forretningsforhold som beskrevet i aftalen og nærværende databehandlingstillæg.
2.2.5 GoDaddy må ikke kombinere kunders personoplysninger med nogen andre data, som GoDaddy indsamler (direkte eller via tredjeparter), ud over hvad der er udtrykkeligt tilladt i henhold til aftalen.
2.2.6 GoDaddy skal indstille al behandling og give kunden besked inden for tre (3) hverdage, hvis GoDaddy: (a) mener, at en kundes anvisninger er i strid med eventuelle gældende databehandlingslove eller (b) fastslår, at GoDaddy ikke er i stand til at overholde gældende databehandlingslove eller sine forpligtelser i henhold til nærværende databehandlingstillæg.
2.3 Partnere.
3. Underbehandling
2.3.1 Kunders partnere. Hvad angår nærværende databehandlingstillæg anses alle personoplysninger, der udleveres til GoDaddy eller GoDaddys partnere af en af kundens partnere med henblik på behandling på kundens og/eller kundens partners vegne, for at være kunders personoplysninger, som er blevet udleveret af kunden. Kunden erklærer, at vedkommende vil træffe alle foranstaltninger, der med rimelighed er nødvendige for at sikre, at dennes partnere overholder alle kundens forpligtelser i henhold til nærværende databehandlingstillæg. Kunden er ansvarlig for sine partneres overholdelse af samtlige vilkår i nærværende databehandlingstillæg.
2.3.2 GoDaddys partnere. Hvad angår nærværende databehandlingstillæg vil kunders personoplysninger, der modtages af GoDaddys partnere, blive anset for at være modtaget af GoDaddy. GoDaddy tilkendegiver, at de vil træffe alle foranstaltninger, der med rimelighed er nødvendige for at sikre, at deres partnere overholder GoDaddys forpligtelser med hensyn til behandling af kunders personoplysninger i henhold til nærværende databehandlingstillæg. GoDaddy har ansvaret for GoDaddys partneres overholdelse af alle vilkår i nærværende databehandlingstillæg.
2.3.2 GoDaddys partnere. Hvad angår nærværende databehandlingstillæg vil kunders personoplysninger, der modtages af GoDaddys partnere, blive anset for at være modtaget af GoDaddy. GoDaddy tilkendegiver, at de vil træffe alle foranstaltninger, der med rimelighed er nødvendige for at sikre, at deres partnere overholder GoDaddys forpligtelser med hensyn til behandling af kunders personoplysninger i henhold til nærværende databehandlingstillæg. GoDaddy har ansvaret for GoDaddys partneres overholdelse af alle vilkår i nærværende databehandlingstillæg.
3.1 Kunden giver GoDaddy generel tilladelse til at benytte sig af underkontraherede databehandlere.
3.2 Du er velkommen til at gennemgå en liste over vores underkontraherede databehandlere
3.3 Inden overførsel af kunders personoplysninger til en underkontraheret databehandler vil GoDaddy: (a) indgå en skriftlig aftale med den underkontraherede databehandler, der beskytter kundens data mindst lige så godt som nærværende databehandlingstillæg, (b) gennemføre due diligence-undersøgelser for at sikre, at den underkontraherede databehandler kan overholde de væsentlige vilkår i nærværende databehandlingstillæg og databeskyttelseslovene i det omfang, de er knyttet til GoDaddys behandling af kunders data, inklusive informationssikkerhedskravene i afsnit 5, 6 og 8 og i bilag 2 af nærværende databehandlingstillæg.
3.4 GoDaddy står til ansvar for sine underkontraherede databehandleres handlinger og udeladelser, inklusive eventuelle handlinger eller udeladelser, der foretages af underkontraherede databehandleres underkontraherede databehandlere. 3.5 Nye underkontraherede databehandlere, retten til at gøre indsigelse.
4. Juridisk proces og andre tredjeparters anmodninger om kundens personoplysninger
3.2 Du er velkommen til at gennemgå en liste over vores underkontraherede databehandlere
3.3 Inden overførsel af kunders personoplysninger til en underkontraheret databehandler vil GoDaddy: (a) indgå en skriftlig aftale med den underkontraherede databehandler, der beskytter kundens data mindst lige så godt som nærværende databehandlingstillæg, (b) gennemføre due diligence-undersøgelser for at sikre, at den underkontraherede databehandler kan overholde de væsentlige vilkår i nærværende databehandlingstillæg og databeskyttelseslovene i det omfang, de er knyttet til GoDaddys behandling af kunders data, inklusive informationssikkerhedskravene i afsnit 5, 6 og 8 og i bilag 2 af nærværende databehandlingstillæg.
3.4 GoDaddy står til ansvar for sine underkontraherede databehandleres handlinger og udeladelser, inklusive eventuelle handlinger eller udeladelser, der foretages af underkontraherede databehandleres underkontraherede databehandlere. 3.5 Nye underkontraherede databehandlere, retten til at gøre indsigelse.
3.5.1 GoDaddy skal gøre sig rimelige bestræbelser på at meddele kunden på skrift mindst tres (60) dage på forhånd, hvis GoDaddy agter at udpege en ny underkontraheret databehandler, dog med det forbehold, at tres (60) dages varsel ikke er påkrævet, og at GoDaddy meddeler kunden snarest muligt efter udpegningen af en ny underkontraheret databehandler, hvis omgående udpegning er nødvendigt for at opretholde sikkerheden af kunders personoplysninger eller for at overholde gældende lov.
3.5.2 Hvis kunden har rimelige indvendinger mod en ny underkontraheret databehandler, skal kunden meddele GoDaddy dette på skrift inden for tredive (30) dage efter udpegningen af den underkontraherede databehandler. Efter GoDaddys eget skøn kan GoDaddy gøre sig kommercielt rimelige bestræbelser på at imødekomme kundens indvending. Hvis parterne er ude af stand til at præsentere en løsning på kundens indvending inden for tredive (30) dage, kan kunden annullere nærværende databehandlingstillæg og enhver del af aftalen, der vedrører behandlingen af kunders personoplysninger.
3.5.3 Hvis kunden ikke gør nogen indvendinger mod en ny underkontraheret databehandler inden for tredive (30) dage efter meddelelsen om udpegningen af den underkontraherede databehandler, anses kunden for at have acceptere den nye underkontraherede databehandler.
3.5.4 En meddelelse om en ny underkontraheret databehandler kan gives ved at opdatere listen over underkontraherede databehandlere beskrevet i afsnit 3.2.
4.1 GoDaddy vil ikke besvare nogen uformel anmodning om kunders personoplysninger fra nogen statslig myndighed, retshåndhævende myndighed eller andre personer, medmindre det er som svar på en stævning, dommerkendelse, retskendelse eller lignende juridisk proces (under ét benævnt "juridisk proces"), medmindre en sådan afsløring efter GoDaddys rimelige skøn regnes for at være (a) påbudt ved lov, (b) nødvendig for at beskytte GoDaddys systemer eller data mod skader eller misbrug, eller (c) nødvendig for at beskytte GoDaddy eller nogen anden person mod skader eller personskader.
5. Datasikkerhed
4.2 Medmindre det er forbudt ved lov, skal GoDaddy hurtigst muligt meddele det til kunden, hvis der opstår nogen juridisk proces, der kræver, at GoDaddy giver adgang til eller udleverer kunders personoplysninger.
4.3 Medmindre andet er påkrævet ved lov, skal GoDaddy samarbejde med kunden (for kundens regning inden for rimelighedens grænser) for at hjælpe kunden med at undgå udlevering af kunders personoplysninger i forbindelse med en eventuel juridisk proces.
5.1 GoDaddy opretholder et informationssikkerhedsprogram, der omfatter passende og dokumenterede tekniske og organisationsmæssige foranstaltninger til at bibeholde et sikkerhedsniveau, der passer til risikoen i forbindelse med behandling af kunders personoplysninger i henhold til aftalen, inklusive eventuelle specifikke foranstaltninger, der kræves i henhold til gældende databeskyttelseslove.
6. Datasikkerhedshændelser
5.2 Kunden tilkendegiver udtrykkeligt, at GoDaddy stiller sikkerhedsfunktioner til rådighed, som kunden kan bruge til at beskytte kunders personoplysninger. Kunden er eneansvarlig for at træffe passende risikobaserede foranstaltninger for at beskytte kundens konto og kunders personoplysninger, der er inden for kundens kontrol, herunder via sikkerhedsfunktioner, der stilles til rådighed af GoDaddy. Kunden er også eneansvarlig for at sikre, at alt indhold, som kunden selv placerer eller forårsager placeringen af inden for serviceydelserne, er frit for sårbarheder, der kunne medføre sikkerhedsbrud for kunders personoplysninger og GoDaddys systemer, herunder, men ikke begrænset til, skadelig software. GoDaddy har ikke ansvaret for at sikkerhedskopiere kunders personoplysninger.
5.3 Kunden skal overholde alle PCI-DSS-krav (Payment Industry Data Security Standard) og må kun forsyne GoDaddy med kunders personoplysninger, der indeholder kreditkortoplysninger, debetkortoplysninger eller andre betalingskortholderoplysninger ("PCI-DSS-data") i forbindelse med GoDaddys tjenesteydelser, der er specifikt designet til at behandle sådanne PCI-DSS-data. Kunden har eneansvaret for brud på PCI-DSS-krav, hvis kunden bruger tjenesteydelser fra GoDaddy til at behandle eller opbevare PCI-DSS-data uden for GoDaddys PCI-DSS-kompatible tjenesteydelser.
5.4 I tillæg til eventuelle andre foranstaltninger, der kræves, for at GoDaddy lever op til sine forpligtelser i henhold til gældende databeskyttelseslove og PCI-DSS-krav for GoDaddys PCI-DSS-klagetjenester, skal GoDaddy implementere de specifikke tekniske og organisationsmæssige foranstaltninger, der er anført i bilag 2 i nærværende databehandlingstillæg.
6.1 GoDaddy tilbyder kunden omfattende muligheder for at få adgang til og kontrollere kundens personoplysninger, der behandles på kundens vegne. GoDaddy har ikke ansvaret for nogen form for utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret udlevering af eller adgang til kundens personoplysninger, der ikke sker som følge af et brud på sikkerheden i GoDaddys systemer. Sikkerhedshændelser, som GoDaddy ikke er ansvarlig for, omfatter f.eks. kundens manglende hemmeligholdelse af sine adgangskoder, download af skadeligt indhold eller andre sikkerhedsrisici, som kunden foranlediger eller indfører i tjenesteydelserne og kundens hostede miljø.
7. Den registrerede persons rettigheder
6.2 GoDaddy vil gøre sig alle kommercielt rimelige bestræbelser på at meddele kunden om et eventuelt brud på sikkerheden i GoDaddys systemer, der måtte medføre utilsigtet eller ulovlig(t) ødelæggelse, tab, ændring, uautoriseret udlevering af eller adgang til kundens personoplysninger ("Sikkerhedshændelse") inden for den tidsfrist, der kræves i henhold til gældende lovgivning.
6.3 GoDaddy skal tage passende, risikobaserede forholdsregler, der er nødvendige for at begrænse, afbøde og afhjælpe sikkerhedshændelser uden urimelig forsinkelse.
6.4 GoDaddy skal udlevere oplysninger, som kunden med rimelighed anmoder om for at kunne vurdere en sikkerhedshændelses indvirkning på kunders personoplysninger, og for at kunden kan meddele sikkerhedshændelsen til statslige myndigheder, påvirkede registrerede eller eventuelle andre personer.
6.5 GoDaddys anerkendelse af en sikkerhedshændelse eller beslutning om at meddele kunden om en sikkerhedshændelse er ikke en indrømmelse af, at der er foreligger en mangel eller risiko.
7.1 Kunden har eneansvaret for at besvare enhver persons anmodning om at udøve sine rettigheder som registreret i henhold til databeskyttelseslovene, kundens anonymitetspolitikker eller kundens tjenestevilkår, herunder, men ikke begrænset til anmodninger om at få oplyst, adgang til, korrigeret eller slettet kunders personoplysninger ("Anmodninger fra registrerede").
8. Konsekvensanalyser af databeskyttelse, forudgående konsultation og forespørgsler ang. overholdelse
7.2 GoDaddy må ikke besvare anmodninger fra registrerede, medmindre der foreligger dokumenterede anvisninger fra kunden, eller det på anden måde er påbudt ved gældende lov.
7.3 GoDaddy skal meddele kunden om enhver anmodning fra registrerede. Kunden har eneansvaret for at besvare enhver anmodning fra registrerede. Hvis kunden har forsøgt alle disponible metoder til at besvare den registreredes anmodning – i henhold til kundens villighed til at dække GoDaddys rimelige udgifter på forhånd – vil GoDaddy yde kunden den hjælp, der med rimelighed er nødvendig, for at kunden kan besvare en anmodning fra den registrerede.
8.1 Konsekvensanalyser af databeskyttelse, forudgående konsultation. GoDaddy kan på kundens regning yde rimelig hjælp til kunden i forbindelse med udførslen af konsekvensanalyser af databeskyttelse og konsultationer med statslige eller lovgivende myndigheder vedrørende behandlingen af kunders personoplysninger.
9. Jurisdiktionsspecifikke krav og internationale dataoverførsler af personoplysninger
8.2 Forespørgsler angående overholdelse. Kunden kan med jævne mellemrum anmode om oplysninger, der rimeligvis er nødvendige for at bekræfte GoDaddys overholdelse af sine forpligtelser i henhold til de gældende databeskyttelseslove. Hvis GoDaddy ikke besvarer kundens anmodning inden for femogfyrre (45) dage, kan kunden bringe aftalen til ophør. For at undgå tvivlstilfælde giver intet i nærværende databehandlingstillæg kunden ret til at udføre en kontrol af GoDaddys forretninger, systemer eller tjenesteydelser. GoDaddys forpligtelser under dette afsnit er begrænsede til at give kunden de oplysninger, der er rimeligvis nødvendige for at bekræfte, at GoDaddy overholder sine forpligtelser i henhold til de gældende databeskyttelseslove.
9.1 Behandling af kunders personoplysninger i henhold til nærværende databehandlingstillæg kan omfatte behandling, der er underlagt en eller flere databeskyttelseslove, og/eller kan omfatte international overførsel af kunders personoplysninger.
10. Generelt
9.2 Hvis kundens personoplysninger stammer fra USA, gælder vilkårene for USA's love om databeskyttelse beskrevet i bilag 3 (afsnit 1) til nærværende databehandlingstillæg.
9.3 Hvis kunders personoplysninger stammer fra Den Europæiske Union/Det Europæiske Økonomiske Samarbejdsområde ("EU/EØS"), Det Forenede Kongerige ("UK") eller Schweiz, eller hvis kunden er etableret i en eller flere af disse jurisdiktioner, gælder vilkårene for gældende databeskyttelseslove i EU/EØS, UK eller Schweiz som forklaret i bilag 3 (afsnit 2) vedhæftet nærværende databehandlingstillæg.
9.4 Hvis der foreligger krav om en gyldig international dataoverførselsmekanisme ("Obligatorisk overførselsmekanisme") til lovlig overførsel af kundens personoplysninger, gælder vilkårene angivet i bilag 4 til nærværende databehandlingstillæg.
10.1 Fuldstændig aftale, fortolkning. Nærværende databehandlingstillæg udgør hele aftalen mellem parterne vedrørende databehandlingstillæggets emne, og det erstatter alle tidligere eller samtidige skriftlige eller verbale erklæringer, opfattelser, aftaler eller kommunikationer mellem parterne angående nærværende databehandlingstillægs emne. I tilfælde af en konflikt mellem nærværende databehandlingstillæg og aftalen (eller nogen anden aftale mellem parterne), vil nærværende databehandlingstillæg være gældende angående nærværende databehandlingstillægs emne. Hvis der er en konflikt mellem nogen vilkår i nærværende databehandlingstillæg og de obligatoriske overførselsbestemmelser, der beskrives i bilag 4, vil de obligatoriske overførselsbestemmelser være gældende.
Bilag 1: Detaljer om behandling af kunders personoplysninger
10.2 Ændring. Nærværende databehandlingstillæg kan udelukkende modificeres eller ændres efter GoDaddys eget skøn i henhold til procedurerne, der er fremsat i aftalen. Hvis kunden er uenig i sådanne ændringer, er kundens eneste retsmiddel at annullere den del af aftalen, der er knyttet til behandlingen af kundens personoplysninger med tredive (30) dages varsel. Medmindre det udtrykkeligt aftales af parterne på skrift, gælder enhver ændring af nærværende aftale kun med hensyn til behandling, der indtræffer efter datoen for ændringen.
10.3 Afkald. Afkald på krav i forbindelse med eventuelle brud på nærværende databehandlingstillæg gælder kun, hvis det foreligger på skrift fra en autoriseret repræsentant for parten, der giver afkald på krav i forbindelse med sådanne brud, og et sådan afkald på krav må ikke fortolkes som et afkald på krav i forbindelse med noget efterfølgende brud.
10.4 Adskillelse. Hvis en beføjelse i nærværende databehandlingstillæg viser sig at ikke kunne håndhæves, vil den pågældende beføjelse blive modificeret i det nødvendige omfang for, at den kan håndhæves, og resten af nærværende databehandlingstillæg vil fortsat være gyldigt med dets nuværende ordlyd. Hvis en ændring af nogen beføjelse, der ikke kan håndhæves, medfører, at nærværende databehandlingstillægs væsentlige formål går tabt, vil hele databehandlingstillægget dog anses for at være ugyldigt, medmindre det ændres i henhold til afsnit 10.2.
10.5 Meddelelser. Medmindre andet udtrykkeligt erklæres heri, gives meddelelser, der kræves i henhold til nærværende databehandlingstillæg, i overensstemmelse med meddelelseskravene angivet i aftalen.
10.6 Erstatningsansvar. Nærværende databehandlingstillæg giver ikke nogen af parterne eller nogen anden person noget grundlag til at søge nogen anden form for skadeserstatning end den, der er beskrevet i aftalen og i henhold til alle begrænsninger deri.
10.7 Håndhævelse. Vilkårene i nærværende databehandlingstillæg kan kun håndhæves af parterne på deres egne vegne og deres respektive partnere i overensstemmelse med tvistbilæggelsesbestemmelserne beskrevet i aftalen. Denne begrænsning af håndhævelse påvirker dog ikke nogen registreredes evne til at udøve deres rettigheder i henhold til databeskyttelseslovgivningen.
10.8 Ophør. Medmindre det bringes til ophør tidligere i henhold til aftalen eller nogen anden bestemmelse i nærværende databehandlingstillæg, vil nærværende databehandlingstillæg ophøre, når behandlingen er fuldført, eller når aftalen ophører, alt efter hvad der indtræffer sidst. Efter nærværende databehandlingstillægs ophør skal GoDaddy returnere, slette eller anonymisere kunders personoplysninger i henhold til vilkårene i aftalen og nærværende databehandlingstillæg, medmindre GoDaddy er pålagt at opbevare kundens personoplysninger i henhold til gældende lov. Hvis GoDaddy er pålagt af opbevare kunders personoplysninger efter aftalens ophør, skal GoDaddy fortsat overholde forpligtelserne angående behandlingen af kunders personoplysninger i henhold til nærværende databehandlingstillæg og skal hurtigst muligt returnere eller slette kunders personoplysninger, når opbevaringen ikke længere kræves ved lov.
10.9 Gældende lov og jurisdiktion. Nærværende databehandlingstillæg er underlagt lovene fremlagt i aftalen, undtagen i det omfang det måtte være nødvendigt i henhold til databeskyttelseslovgivningen – i så fald gælder lovene i den jurisdiktion, der er nævnt i databeskyttelseslovgivningen. Ingen bestemmelser i nærværende databehandlingstillæg må anses for at begrænse nogen personers rettigheder eller forpligtelser i henhold til nogen gældende databeskyttelseslove.
Nærværende bilag 1 omfatter detaljer om behandling af kunders personoplysninger, der kræves i henhold til databeskyttelseslovene.
Genstand for og varighed af behandling af kunders personoplysninger:
Genstanden for og varigheden af behandling af kunders personoplysninger er beskrevet i aftalen.
Arten af og formålet med behandlingen af kunders personoplysninger:
GoDaddys behandling af kunders personoplysninger er rimeligvis påkrævet for at levere tjenesteydelserne, der er beskrevet i aftalen.
Typen af personoplysninger og kategorier af registrerede:
Typen af kunders personoplysninger og kategorierne af registrerede personer styres af kunden og/eller den dataansvarlige, der udleverede kunders personoplysninger til kunden udelukkende efter eget skøn.
Følsomme oplysninger eller særlige kategorier af oplysninger:
Der kan fra tid til anden blive behandlet følsomme oplysninger i henhold til aftalen. Typen af følsomme oplysninger, der behandles i henhold til aftalen, bestemmes af kunden og/eller den dataansvarlige, der leverede følsomme oplysninger til kunden udelukkende efter eget skøn.
Den dataansvarliges forpligtelser og rettigheder:
Kundens forpligtelser og rettigheder er beskrevet i aftalen og nærværende databehandlingstillæg.
Bilag 2: Tekniske og organisatoriske sikkerhedsforanstaltninger1. Anvendelighed
1.1 Kravene i nærværende bilag 2 gælder for GoDaddy og enhver underkontraheret databehandler (herunder, men ikke begrænset til enhver cloudserviceudbyder), som GoDaddy benytter til at levere tjenesterne og/eller behandle kunders personoplysninger.
1.2 Hvis GoDaddy bruger en underkontraheret databehandler til at levere tjenesterne og/eller behandle kunders personoplysninger, skal GoDaddy sikre, at en sådan underkontraheret databehandler opfylder alle kravene i nærværende bilag.
2. Administration af databeskyttelse og datasikkerhed
2.1 Risikostyringsproces. GoDaddy opretholder en passende risikostyringsproces til at afgrænse, vurdere, reagere på og overvåge risikoen, som kunders personoplysninger udsættes for, i tråd med GoDaddys forpligtelser i henhold til aftalen, databehandlingstillægget og den gældende lovgivning.
2.2 Omfang af informationssikkerhedsprogrammet. GoDaddys informationssikkerhedsprogram, inklusive alle gældende politikker om anonymitet og databeskyttelse, vil som minimum være designet til at:
2.2.1 Beskytte fortroligheden, integriteten og tilgængeligheden af kunders personoplysninger, der er i/under GoDaddys besiddelse eller kontrol, eller som GoDaddy har adgang til, og
2.2.2 Beskytte mod rimeligt forudsigelige trusler mod eller risici for fortroligheden, integriteten og tilgængeligheden af kunders personoplysninger.
2.3 Opdateringer af informationssikkerhedsprogrammet. GoDaddy skal regelmæssigt gennemgå og opdatere sit informationssikkerhedsprogram i henhold til branchens standardpraksis og -rammer, der er relevante for typen, mængden og følsomheden af kunders personoplysninger, der behandles af GoDaddy.
2.4 Risikovurderinger og test. GoDaddy skal regelmæssigt udføre risikovurderinger for alle systemer, der behandler kunders personoplysninger, og skal jævnligt udføre tredjeparts-indtrængningstest på applikationer og infrastruktur, der bruges til at levere tjenesteydelserne, i det omfang der rimeligvis skønnes nødvendigt af GoDaddy.
2.5 Kontinuitet og modstandsdygtighed. GoDaddy skal implementere passende foranstaltninger til at beskytte integriteten og tilgængeligheden af de af sine systemer, der behandler kunders personoplysninger, inklusive foranstaltninger såsom overvågning af ydeevne og tilgængelighed, design af redundante og modstandsdygtige systemer, brugen af UPS'er, beskyttelse mod DDoS-angreb, belastnings- og stresstest og andre lignende foranstaltninger.3. Organisationsmæssig sikkerhed
3.1 Ansvarlighed. GoDaddy skal udvikle og implementere skriftlige informationssikkerhedspolitikker og -procedurer, der klart definerer ansvaret for beskyttelsen af kunders personoplysninger inden for GoDaddy, inklusive udpegning af en eller flere specifikke enkeltpersoner, der er ansvarlige for administrationen af GoDaddys informationssikkerhedsprogram og beskyttelse af kunders personoplysninger.
3.2 Aktivforvaltning og -kontrol. GoDaddy skal opretholde en aktivforvaltningspolitik og aktivkontroller, inklusive klassifikation af aktiver og en fortegnelse over enheder og systemer, der bruges til at levere tjenesteydelserne og/eller behandle kunders personoplysninger.
3.3 Fysisk sikkerhed. GoDaddy vil også implementere risikobaserede kontroller til at opretholde sine anlægs fysiske sikkerhed inklusive implementering af rimelige foranstaltninger til at sikre, at det kun er autoriserede brugere, der har adgang til GoDaddys elektroniske enheder, netværk, kritiske systemer, applikationer, serverrum, kommunikationslokaler og arbejdsområder. Foranstaltningerne, som GoDaddy kan træffe, hvor det er passende, omfatter, men er ikke begrænset til alarmer, videoovervågning, administration af besøgendes adgang samt destruktion af personoplysninger på fysiske enheder inden bortskaffelse/genbrug.
4. Sikkerhedsaktiviteter
4.1 Sikker systemkonfiguration. GoDaddy skal etablere kontrolforanstaltninger for at sikre, at systemerne, der bruges til at levere tjenesteydelserne og/eller behandle kunders personoplysninger, er sikkert konfigureret.
4.2 Administration af sårbarheder og programrettelser. GoDaddy skal etablere og opretholde et system til administration af sårbarheder og programrettelser, der sikrer, at alle systemer, der bruges til at levere tjenesteydelserne og/eller behandle kundens personoplysninger, er beskyttede mod kendte sikkerhedsmæssige sårbarheder inden for en rimelig tidsfrist alt efter, hvor kritisk programrettelsen og følsomheden af kunders personoplysninger er.
4.3 Forebyggelse af malware. GoDaddy skal implementere kontrolfunktioner til registrering, forebyggelse og udbedring for at beskytte mod skadelig software (inklusive passende programmer til at øge brugernes årvågenhed).
4.4 Logføring og kontrol. GoDaddy skal benytte et logføringsprogram, der definerer omfanget, oprettelsen, opbevaringen, analysen og bortskaffelsen af logfiler ved hjælp af risikobaserede branchestandarder.
4.5 Registrering af og respons på sikkerhedshændelser. GoDaddy skal drive risikobaserede systemer til at registrere sikkerhedshændelser i henhold til afsnit 6 i aftalen, herunder brugen af systemer til registrering af indtrængen og forhindring af indtrængen.
5. Træning
GoDaddy skal sørge for, at deres personale modtager jævnlig træning i deres forpligtelser med hensyn til fortrolighed og databeskyttelse i forbindelse med kunders personoplysninger.
6. Adgangskontrol
6.1 Unik identifikation. GoDaddy skal tildele individuelle, unikke legitimationsoplysninger til personale med adgang til kunders personoplysninger, inklusive, men ikke begrænset til, personale med administratoradgang.
6.2 Administration af adgangskoder. GoDaddy skal implementere politikker og procedurer til administration af adgangskoder, inklusive centraliseret administration af adgangskoder og centraliserede adgangskodepolitikker.
6.3 Multifaktorgodkendelse. GoDaddy skal implementere multifaktorgodkendelse med henblik på fjernadgang til netværk, systemer eller programmer, der bruges til at behandle og/eller opbevare kunders personoplysninger.
6.4 Minimumrettigheder. GoDaddy skal begrænse adgangen til kunders personoplysninger til at omfatte det personale, der er bundet af passende forpligtelser om fortrolighed og har et "behov for at vide" eller "behov for adgang" for at kunne levere tjenesteydelserne.
7. Kontrolforanstaltninger til datasikkerhed
7.1 Adskillelse af data. GoDaddy skal opbevare kunders personoplysninger i logisk særskilte og sikre miljøer.
7.2 Kryptering og andre foranstaltninger. GoDaddy skal anvende passende risikobaserede foranstaltninger til at beskytte kunders personoplysninger, inklusive kryptering, pseudonymisering og andre passende foranstaltninger, såsom anvendelse af algoritmer til hashing af hemmelig oplysninger, herunder adgangskoder og API-tokens, der bruges til at få adgang til systemer, der indeholder kunders personoplysninger.
Bilag 3: Jurisdiktionsspecifikke udtryk
1. USA
1.1 Californien.
1.1.1 Definitioner.
1.1.1.1 Følgende udtryk er specifikt defineret i henhold til definitionerne fremsat i Californiens databeskyttelseslove: "virksomhed", "kommercielt formål", "serviceudbyder", "sælge", "dele" og "tredjepart".
1.1.1.2 Udtrykket "kundens personoplysninger" omfatter personlige oplysninger om en identificeret eller identificerbar fysisk person eller husstand.
1.1.2 Parternes roller.
1.1.2.1 Hvis en kunde anses for at være en virksomhed i henhold til de gældende databeskyttelseslove i Californien, vil alle henvisninger til kundens rettigheder og forpligtelser som dataansvarlig under nærværende databehandlingstillæg henvise til kundens rettigheder og forpligtelser som virksomhed. Hvis en kunde anses for at være en serviceudbyder i henhold til de gældende databeskyttelseslove i Californien, vil alle henvisninger til kundens rettigheder og forpligtelser som databehandler under nærværende databehandlingstillæg henvise til kundens rettigheder og forpligtelser som serviceudbyder.
1.1.2.2 Hvis GoDaddy anses for at være en serviceudbyder eller tredjepart i henhold til databeskyttelseslovene i Californien, vil alle henvisninger til GoDaddys rettigheder og forpligtelser som databehandler eller underkontraheret databehandler under nærværende databehandlingstillæg også anses for at henvise til GoDaddys rettigheder og forpligtelser som en serviceudbyder eller tredjepart, alt efter hvad der er relevant.
1.2 Alle amerikanske delstater (inklusive Californien).
1.2.1 GoDaddy må ikke (a) sælge eller dele kunders personoplysninger, (b) opbevare, bruge eller udlevere kunders personoplysninger til noget andet formål end de forretningsmæssige formål, der er angivet i aftalen, eller (c) opbevare, bruge eller udlevere nogen kunders personoplysninger, der falder uden for det direkte forretningsforhold mellem GoDaddy og virksomheden.
1.2.2 GoDaddys adgang til kunders personoplysninger er ikke en del af den betaling, der udveksles af parterne i henhold til aftalen.
1.2.3 Kunden skal have ret til at træffe rimelige foranstaltninger for at: (a) kontrollere, at GoDaddy behandler kunders personoplysninger på en måde, der er i overensstemmelse med nærværende databehandlingstillæg, inklusive udøvelse af de rettigheder, der er beskrevet i afsnit 8 i databehandlingstillægget, (b) kræve, at GoDaddys behandlingsaktiviteter, der bryder vilkårene i databehandlingstillægget, standses og afhjælpes og (c) træffe andre rimelige foranstaltninger (efter kundens eget skøn) for at sikre, at GoDaddy overholder nærværende databehandlingstillæg. Hvis GoDaddy er ude af stand til eller ikke ønsker at opfylde kundens rimelige krav i henhold til nærværende afsnit 1.2.3, er kundens eneste retsmiddel at bringe nærværende databehandlingstillæg og den del af aftalen, der vedrører behandlingen af kunders personoplysninger, til ophør.
1.2.4 GoDaddy certificerer, at den forstår og vil opfylde forpligtelserne i henhold til databeskyttelseslovene og nærværende databehandlingstillæg, herunder alle restriktioner med hensyn til behandling af kunders personoplysninger.
2. Den Europæiske Union/Det Europæiske Økonomiske Samarbejdsområde
2.1 Underkontraherede databehandlere
2.1.1 Når GoDaddy engagerer en underkontraheret databehandler, skal den:
2.2 Erstatningsansvar i forbindelse med retlige sanktioner. Uanset alle andre vilkår i nærværende databehandlingstillæg eller aftalen (inklusive enhver af parternes forpligtelser og skadesløsholdelse i henhold til aftalen), vil ingen af parterne være ansvarlige for bøder fra nogen juridisk myndighed eller statsmyndighed, der idømmes modparten, inklusive eventuelle bøder i henhold til artikel 83 i EU's GDPR.2.1.1.1 Kræve, at den underkontraherede databehandler overholder de tekniske og organisationsmæssige foranstaltninger, der er fremsat i afsnit 5, 6 og 8 i databehandlingstillægget og bilag 2 i databehandlingstillægget, der er relevante for arten af den underkontraherede databehandlers behandling, inklusive, men ikke begrænset til, alle tekniske og organisationsmæssige foranstaltninger, der kræves i henhold til artikel 28 i EU's generelle databeskyttelsesforordning ("GDPR"), og
2.1.1.2 Kræve, at den underkontraherede databehandler skriftligt indvilger i kun at behandle kunders personoplysninger (a) i EU/EØS, (b) i et land, som ifølge EU-kommissionens erklæring har et "passende" niveau af databeskyttelse, eller (c) på de vilkår, der er fremsat i bilag 4 angående internationale overførsler af kunders personoplysninger.
3. Schweiz
3.1 Når GoDaddy engagerer en underkontraheret databehandler, skal den:
3.1.1 Kræve, at den underkontraherede databehandler overholder de tekniske og organisationsmæssige foranstaltninger, der er fremsat i afsnit 5, 6 og 8 og bilag 2 i databehandlingstillægget, der er relevante for arten af den underkontraherede databehandlers behandling, inklusive, men ikke begrænset til, alle tekniske og organisationsmæssige foranstaltninger, der kræves i henhold til artikel 28 i GDPR, og
3.1.2 Kræve, at den underkontraherede databehandler skriftligt indvilger i at udelukkende behandle kunders personoplysninger (a) i Schweiz, (b) i EU/EØS, (c) i et andet land, som ifølge EU-kommissionens erklæring har et "passende" niveau af databeskyttelse eller (d) på de vilkår, der er fremsat i bilag 4 angående internationale overførsler af kunders personoplysninger.
3.2 I det omfang, at der foretages overførsler af kunders personoplysninger fra Schweiz i henhold til EU-standardkontraktbestemmelserne (som defineret i bilag 4), gælder følgende ændringer:
3.2.1 Henvisninger til "medlemsstat" skal fortolkes til at omfatte Schweiz, og
3.2.2 I det omfang at overførsler er underlagt FADP ("Federal Act on Data Protection") skal henvisninger til "forordning (EU) 2016/679" anses for at være henvisninger til FADP.
3.3 I det omfang, det kræves i henhold til FADP, skal EU-standardkontraktbestemmelserne anses for at omfatte data relateret til juridiske enheder som kunders personoplysninger.4. Det Forenede Kongerige Storbritannien og Nordirland
4.1 Henvisninger til "GDPR" skal fortolkes som henvisninger til de tilsvarende love og regler i Det Forenede Kongerige, inklusive, men ikke begrænset til, UK GDPR og UK Data Protection Act of 2018.
4.2 Når virksomheden engagerer en underkontraheret databehandler, skal den:
Bilag 4: Internationale obligatoriske overførselsmekanismer på tværs af grænser
4.2.1 Kræve, at den underkontraherede databehandler overholder de tekniske og organisationsmæssige foranstaltninger, der er fremsat i afsnit 5, 6 og 8 samt bilag 2 i databehandlingstillægget, der er relevante for arten af den behandling, der foretages af den underkontraherede databehandler, inklusive, men ikke begrænset til, alle tekniske og organisationsmæssige foranstaltninger, der kræves i henhold til artikel 28 i UK GDPR, og
4.2.2 Kræve, at den underkontraherede databehandler skriftligt indvilger i kun at behandle kunders personoplysninger i (a) Det Forenede Kongerige, (b) EU/EØS, (c) et andet land, som ifølge Det Forenede Kongeriges erklæring har et "passende" niveau af databeskyttelse, eller (d) på de vilkår, der er fremsat i bilag 4 angående internationale overførsler af kunders personoplysninger.
1. Definitioner
1.1 "Databeskyttelsesrammen" (Data Privacy Framework)" henviser til certificeringsprogrammerne for databeskyttelsesrammer mellem EU og USA, Schweiz og USA eller Det Forenede Kongerige og USA, der drives af det amerikanske handelsministerium [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 "Databroen mellem Det Forenede Kongerige og USA" henviser til Det Forenede Kongeriges udvidelse af databeskyttelsesrammen mellem EU og USA.
1.3 "EU-standardkontraktbestemmelser" hentyder til de standardkontraktbestemmelser, der er godkendt af EU-kommissionen og vedhæftet som tillæg til afgørelse 2021/914 pr. juni 2021.
1.4 Det Forenede Kongeriges internationale dataoverførselsaftale (UK International Data Transfer Agreement, "UK IDTA"), der er udstedt af det britiske datatilsyn, Version B1.0, regnes for at være udfærdiget af parterne på aftalens ikrafttrædelsesdato, og EU-standardkontraktbestemmelserne regnes for at være ændret som angivet i UK IDTA med hensyn til dataoverførsler fra Det Forenede Kongerige.
2. Prioritetsrækkefølge
2.1 Der bruges ingen obligatorisk overførselsmekanisme, hvis en overførsel foretages til et land, der er blevet anset for at yde et tilstrækkeligt databeskyttelsesniveau ifølge databeskyttelseslovene i det land, hvorfra de pågældende kunders personoplysninger overføres.
2.2 Hvis en overførsel er påkrævet, og en sådan overførsel er dækket af mere end én obligatorisk overførselsmekanisme, vil overførslen være underlagt en enkelt obligatorisk overførselsmekanisme i henhold til følgende prioritetsrækkefølge: (a) den gældende EU-databeskyttelsesramme eller Schweiz' databeskyttelsesramme, (b) databroen mellem Det Forenede Kongerige og USA, (c) EU's standardkontraktbestemmelser, (d) UK IDTA eller (e) enhver anden obligatorisk overførselsmekanisme, der er tilladt i henhold til den gældende databeskyttelseslov.
2.3 Hvis en obligatorisk overførselsmekanisme anses som ugyldig efter fuldbyrdelse af nærværende aftale, vil alle fremtidige overførsler regnes for at blive udført i forbindelse med den næste gældende og gyldige obligatoriske overførselsmekanisme.
3. Databeskyttelsesrammen
3.1 Selvcertificering.
3.1.1 GoDaddys certificering. GoDaddy erklærer, at virksomheden er selvcertificeret i henhold til databeskyttelsesrammen. GoDaddy indvilger i (a) at som minimum yde det samme niveau af beskyttelse af alle kunders personoplysninger, som der kræves i henhold til databeskyttelsesrammens principper om datasikkerhed, (b) at meddele kunden på skrift hurtigst muligt, hvis GoDaddys certificering i henhold til databeskyttelsesrammen tilbagekaldes, bringes til ophør, inddrages eller på anden måde gøres ugyldig og (c) på skriftlig anmodning fra kunden at træffe rimelige og passende foranstaltninger for at stoppe og udbedre enhver uautoriseret behandling af kunders personoplysninger.
3.1.2 Virksomhedens certificering. I det omfang virksomheden er certificeret i henhold til databeskyttelsesrammen, indvilger virksomheden i (a) at som minimum ydet samme niveau af beskyttelse af alle personoplysninger, som der kræves i henhold til databeskyttelsesrammens principper om datasikkerhed, (b) at meddele GoDaddy på skrift hurtigst muligt, hvis virksomhedens certificering i henhold til databeskyttelsesrammen tilbagekaldes, bringes til ophør, inddrages eller på anden måde gøres ugyldig og (c) på skriftlig anmodning til GoDaddy at træffe rimelige og passende foranstaltninger for at stoppe og udbedre enhver uautoriseret behandling af kunders personoplysninger.
3.2 Status
3.2.1 EU-USA-databeskyttelsesrammen. EU-USA-databeskyttelsesrammen er af EU-kommissionen blevet anset for at give et tilstrækkeligt databeskyttelsesniveau i henhold til en afgørelse om tilstrækkeligheden pr. 10. juli 2023, og den er trådt i kraft pr. 10. oktober 2023.
3.2.2 Databro mellem Storbritannien og USA. Det Forenede Kongeriges minister for videnskab, innovation og teknologi har anset databroen mellem Det Forenede Kongerige og USA for at give et tilstrækkeligt databeskyttelsesniveau og har fremlagt bestemmelser om tilstrækkeligheden for Det Forenede Kongeriges parlament pr. 21. september 2023. Reglerne for databroen mellem Det Forenede Kongerige og USA træder i kraft d. 12. oktober 2023, og relevante overførsler foretages i henhold til databroen mellem Det Forenede Kongerige og USA fra denne dato.
3.2.3 Schweiz-USA-databeskyttelsesrammen. Schweiz-USA-databeskyttelsesrammen er endnu ikke trådt i kraft.
3.3 Virksomheden og virksomhedens underkontraherede databehandlere skal træffe alle nødvendige foranstaltninger for, at GoDaddy kan opfylde sine forpligtelser som dataansvarlig og/eller databehandler i henhold til databeskyttelsesrammen, inklusive, men ikke begrænset til, at hjælpe GoDaddy og/eller databehandleren med at besvare anmodninger fra privatpersoner, der ønsker at udøve deres rettigheder som registrerede.3.2.3.1 Parterne aftaler, at relevante overførsler af kunders personoplysninger fra Schweiz behandles som om, de foretages under Schweiz' databeskyttelsesramme i det omfang, at vilkårene i nærværende databehandlingstillæg er i overensstemmelse med Schweiz' databeskyttelsesramme eller dens rimelige modstykke, når den træder i kraft.
3.2.3.2 I det omfang der kræves tilføjelse af yderligere vilkår til nærværende databehandlingstillæg af Schweiz' databeskyttelsesramme, aftaler parterne, at sådanne vilkår indarbejdes automatisk uden yderligere handling fra parterne, såfremt sådanne yderligere vilkår ikke pålægger nogen af parterne nogen ekstra, væsentlige forpligtelser eller i væsentlig grad påvirker de oprindelige betingelser og vilkår i aftalen.
3.2.3.3 I det omfang, at yderligere vilkår ikke kan føjes til denne databeskyttelsesramme automatisk, kan nærværende databehandlingstillæg ændres for at tillade overførsler i henhold til Schweiz' databeskyttelsesramme.
3.2.3.4 Uanset alle andre vilkår i nærværende databehandlingstillæg vil intet i nærværende databehandlingstillæg begrænse eller på anden måde påvirke parternes evne til at overføre personoplysninger i henhold til andre lovlige dataoverførselsmekanismer.
4. EU-standardkontraktbestemmelserne
4.1 For personlige dataoverførsler fra EU/EØS og Schweiz, der er underlagt EU-standardkontraktbestemmelserne, gælder modul to (dataansvarlig til databehandler) eller modul tre (databehandler til databehandler) afhængigt af, om GoDaddy er dataansvarlig eller databehandler i forhold til de af kundernes personoplysninger, der skal overføres.
4.2 Med hensyn til modul to og tre i EU-standardkontraktbestemmelserne:
4.2.1 I bestemmelse 7 gælder de valgfri "fakultative bestemmelser" ikke.
4.2.2 I bestemmelse 9 vil alternativ 2 være gældende, og perioden for forudgående skriftlig meddelelse vedrørende ændringer til den underkontraherede databehandler beskrives i afsnit 3 af databehandlingstillægget.
4.2.3 I bestemmelse 11 vil det valgfri sprog ikke være gældende.
4.2.4 I bestemmelse 17 (alternativ 1) vil EU-standardkontraktbestemmelserne være underlagt tysk lovgivning.
4.2.5 I bestemmelse 18(b) løses tvister vedrørende databehandlingstillægget i Tyskland.
4.3 For såvidt angår tillæg I, del A:
4.3.1 Dataeksportør
4.3.1.1 Dataeksportøren er virksomheden.
4.3.1.2 Virksomheden kan kontaktes på de adresser, der er angivet i meddelelserne i aftalen.
4.3.1.3 Ved at acceptere nærværende databehandlingstillæg anses virksomheden for at have underskrevet disse EU-standardkontraktbestemmelser og deres tillæg pr. aftalens ikrafttrædelsesdato.
4.3.2 Dataimportør
4.3.2.1 Dataimportøren er GoDaddy og/eller GoDaddys autoriserede partnere.
4.3.2.2 GoDaddy kan kontaktes på de adresser, der er angivet i meddelelserne i aftalen eller på privacy@GoDaddy.com.
4.3.2.3 Ved at acceptere nærværende databehandlingstillæg anses GoDaddy for at have underskrevet disse EU-standardkontraktbestemmelser og deres tillæg pr. aftalens ikrafttrædelsesdato.
4.4 For såvidt angår tillæg I, del B:
4.4.1 Kategorierne af registrerede er beskrevet i bilag 1.
4.4.2 De følsomme oplysninger (hvis relevant), der overføres, er beskrevet i bilag 1.
4.4.3 Overførselshyppigheden er varigheden af aftalen og databehandlingstillægget.
4.4.4 Arten af behandling er beskrevet i bilag 1.
4.4.5 Formålet med behandling er beskrevet i bilag 1.
4.4.6 Varigheden af behandling er beskrevet i bilag 1.
4.5 Hvad angår tillæg I, del C i henhold til bestemmelse 13, defineres den kompetente tilsynsmyndighed som følger:
4.5.1 For overførsler af personoplysninger fra EU/EØS er tilsynsmyndigheden den tilsynsførende for databeskyttelse og informationsfrihed i Nordrhein-Westfalen("LDI NRW").
4.5.2 Den schweiziske forbundskommissær for databeskyttelse og information fungerer som kompetent tilsynsmyndighed for så vidt den relevante overførsel eller videreoverførsel er underlagt Schweiz' databeskyttelseslove og -bestemmelser.
4.6 I tillæg II til EU-standardkontraktbestemmelserne, indeholder bilag 2 de tekniske og organisatoriske foranstaltninger, der implementeres af virksomheden som dataimportør i henhold til databehandlingstillægget.
4.7 I tillæg III til EU-standardkontraktbestemmelserne kan der ses en liste over virksomhedens underkontraherede databehandlere.5. Det Forenede Kongeriges internationale dataoverførselsaftale (IDTA)
5.1 Det Forenede Kongeriges IDTA gælder for overførsler af kunders personoplysninger fra Det Forenede Kongerige til et land uden for Det Forenede Kongerige, som ifølge den kompetente juridiske myndighed eller statsmyndighed i Det Forenede Kongerige ikke sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger.
5.2 For overførsler, der er underlagt Det Forenede Kongeriges IDTA, antages det, at Det Forenede Kongeriges IDTA er indgået af parterne og fuldført som følger:
5.2.1 I tabel 1 af IDTA'en findes parternes detaljer, og centrale kontaktoplysninger findes i afsnit 4.3 i nærværende bilag 4.
5.2.2 I tabel 2 af IDTA findes oplysningerne om versionen af EU-standardkontraktbestemmelserne, modulerne og udvalgte bestemmelser, som Det Forenede Kongeriges IDTA er vedhæftet, i afsnit 4 i nærværende bilag.
5.2.3 I tabel 3 af Det Forenede Kongeriges IDTA:
5.2.3.1 Listen over parter findes i afsnit 4.3 i nærværende bilag 4.
5.2.3.2 Beskrivelsen af overførslen fremgår af bilag 1.
5.2.3.3 Tillæg II findes i bilag 2.
5.2.3.4 Virksomhedens liste over underkontraherede databehandlere findes i bilag 5.
5.2.3.5 I tabel 4 af Det Forenede Kongeriges IDTA kan både GoDaddy og virksomheden bringe Det Forenede Kongeriges IDTA til ophør i henhold til dens vilkår.
5.3 Det britiske datatilsyn fungerer som kompetent tilsynsmyndighed for så vidt den relevante overførsel er underlagt Det Forenede Kongeriges databeskyttelseslove og -bestemmelser.
5.4 Konflikt. I det omfang, der er en konflikt eller uoverensstemmelse mellem EU-standardkontraktbestemmelserne eller Det Forenede Kongeriges IDTA og andre betingelser i nærværende databehandlingstillæg, vil EU-standardkontraktbestemmelserne eller bestemmelserne i Det Forenede Kongeriges IDTA være gældende (alt efter relevans).
Oversættelser af juridiske aftaler og politikker tilvejebringes udelukkende for nemheds skyld for at gøre det nemmere at læse og forstå de engelske versioner. Målet med at tilvejebringe oversættelser af juridiske aftaler og politikker er ikke at skabe en juridisk bindende aftale, og disse udgør ikke en erstatning for den juridiske gyldighed af de engelske versioner. I tilfælde af eventuelle tvister og konflikter vil de engelske versioner af juridiske aftaler og politikker i ethvert tilfælde være gældende og have forrang i forhold til betingelserne på ethvert andet sprog.