GoDaddy – DATABEHANDLINGSTILLÆG

Dette databehandlingstillæg ("tillægget") er eksekveret af og mellem GoDaddy.com, LLC, a Delaware limited liability company og dennes partnere ("GoDaddy") og dig ("kunden") og tilføjes som bilag til vores generelle servicebetingelser, privatlivspolitik og alle eventuelle aftaler om omfattede tjenesteydelser (samlet servicebetingelserne).

1.1 Medmindre andet er defineret i dette tillæg, vil alle termer med stort begyndelsesbogstav, og som ikke er defineret i dette tillæg, have samme betydning, som er tilskrevet dem i servicebetingelserne

"Partnere" betyder enhver enhed, der kontrolleres af, kontrollerer eller er i fælles kontrol med GoDaddy.

"Omfattede tjenester" betyder hostede tjenester, der kan omfatte vores behandling af personoplysninger, og som er underlagt betingelserne og vilkårene i følgende aftaler: (1) E-mailmarkedsføringstjenester, (2) Hosting, (3) Webshop/Hurtig indkøbsvogn, (4) Hjemmeside-tjenester, (5) Workspace-tjeneste.

"Kundeoplysninger" betyder de personoplysninger for en registreret person, der behandles af GoDaddy inden for GoDaddys netværk på vegne af kunden i henhold til eller i forbindelse med servicevilkårene.

"Gældende databeskyttelseslovgivning" henviser til al lovgivning vedrørende databeskyttelse eller beskyttelse af personoplysninger som finder anvendelse på persondatabehandling i henhold til aftalen, herunder men ikke begrænset til, og i hvert tilfælde i sin ændrede, opdaterede eller erstattede form, (i) Australiens Privacy Principles og Australiens Privacy Act (1988), (ii) Brasiliens Lei Geral de Proteção de Dados (LGPD), (iii) California Consumer Privacy Act (CCPA), (iv) Canadas Federal Personal Information Protection and Electronic Documents Act (PIPEDA), (v) EU's databeskyttelsesforordning (GDPR), (vi) enhver national lovgivning, der er skabt under eller er underlagt GDPR, (vii) EU's direktiv om databeskyttelse inden for elektronisk kommunikation (direktiv 2002/58/EF), (viii) Singapores Personal Data Protection Act 2012 (PDPA), (ix) den schweiziske forbundslov om databeskyttelse af 19. juni 1992 og tilhørende bekendtgørelser og (x) Storbritanniens GDPR eller Data Protection Act 2018.

"EØS" betyder Det Europæiske Økonomiske Samarbejdsområde.

"EU's GDPR" henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.

"EU-standardkontraktbestemmelser" henviser til standardbestemmelserne for databeskyttelse, der er godkendt af EU-Kommissionens afgørelse 2021/914 af 4. juni 2021 og som refereres til heri. EU-standardkontraktbestemmelsernes modul to (dataansvarlig-til-databehandler) og modul tre (databehandler-til-databehandler) kan downloades fra EUR-Lex' hjemmeside.

"GoDaddy Netværk" betyder GoDaddys datacenterfaciliteter, servere, netværksudstyr og vært-softwaresystemer (f.eks. virtuelle firewalls), der er inden for GoDaddys kontrol, og som bruges til at levere de omfattede tjenesteydelser.

"Sikkerhedshændelse" henviser til et sikkerhedsbrud på GoDaddys sikkerhedsstandarder, der resulterer i utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af, eller adgang til, hvilke som helst kundedata på systemer, der administreres eller styres af GoDaddy.

"Sikkerhedsstandarder" betyder de sikkerhedsstandarder, der er vedhæftet som bilag 2 til dette tillæg.

"Følsomme personoplysninger" betyder (a) personnummer, pasnummer, kørekortnummer eller lignende identifikation (eller en del deraf); (b) kredit- eller debetkortnummer (ud over den forkortede form (de sidste fire cifre) på et kredit- eller debetkort), økonomiske oplysninger, bankkontonumre eller adgangskoder; (c) oplysninger om ansættelse, økonomi eller genetiske, biometriske eller sundhedsoplysninger; (d) oplysninger om race, etnisk herkomst, politisk eller religiøs overbevisning, medlemskab af fagbevægelse, seksualliv eller seksuel orientering; (e) adgangskoder til konti, mors oprindelige efternavn eller fødselsdato; (f) kriminel baggrund; eller (g) enhver anden form for information eller samling af informationer, der falder inden for definitionen af "særlige kategorier af oplysninger" under GDPR eller enhver anden gældende lov eller bestemmelse om beskyttelse af privatlivets fred og personoplysninger.

"Underkontraheret databehandler" henviser til enhver databehandler, der er hyret af den overordnede databehandler til at behandle data på den dataansvarliges vegne.

"Storbritanniens GDPR" henviser til en ændret version af EU's GDPR, der er inkluderet i britisk lovgivning i henhold til udtrædelsesaftalen mellem EU og Storbritannien (UK European Union (Withdrawal) Act 2018) samt i gældende sekundær lovgivning, der er vedtaget under denne udtrædelsesaftale.

"Storbritanniens tillæg vedrørende international dataoverførsel" henviser til EU-standardkontraktbestemmelsernes tillæg vedrørende international dataoverførsel udstedt af det britiske datatilsyn (ICO), Version B1.0, der trådte i kraft den 21. marts 2022 og som refereres til heri. Storbritanniens tillæg vedrørende international dataoverførsel kan downloades fra det britiske datatilsyns hjemmeside

1.2 Termerne "personoplysninger", "registreret person", "behandling", "dataansvarlig" og "databehandler", som de fremgår i dette tillæg, har samme betydning, som dem der er givet i EU's GDPR, uanset hvilken databeskyttelseslovgivning der gælder.

2.1 GoDaddy som databehandler. Parterne anerkender og accepterer følgende: (i) at GoDaddy er databehandler af kundedata under gældende databeskyttelseslovgivning, (ii) at kunden er dataansvarlig for eller databehandler af, hvis relevant, kundedataene under gældende databeskyttelseslovgivning, og (iii) at hver part opfylder sine respektive forpligtelser under gældende databeskyttelseslovgivning i henhold til behandlingen af kundedata.

2.2 Oplysninger om databehandling. GoDaddys behandling af kundedata omfatter udførelsen af de omfattede tjenesteydelser i henhold til servicebetingelserne. GoDaddy behandler kun kundedata på vegne af og i overensstemmelse med kundens dokumenterede instruktioner til følgende formål: (i) behandling i overensstemmelse med servicebetingelserne, (ii) behandling startet af slutbrugere i deres brug af de omfattede tjenesteydelser, (iii) behandling for at overholde andre dokumenterede, rimelige instruktioner fra kunder (f.eks. via e-mail), hvor sådanne instruktioner er i overensstemmelse med servicebetingelserne. GoDaddy må ikke: (a) behandle, opbevare, anvende, sælge eller videregive kundedata, hvor det ikke er nødvendigt for at levere de omfattede tjenesteydelser i henhold til servicebetingelserne, eller hvor det ikke er lovpligtigt; (b) sælge sådanne kundedata til nogen tredjepart; (c) opbevare, anvende eller videregive sådanne kundedata uden for det direkte forretningsforhold mellem GoDaddy og kunden.

For at undgå tvivlstilfælde skal kundens instruktioner om behandling af kundedata overholde al gældende databeskyttelseslovgivning. Kunden er eneansvarlig for nøjagtigheden, kvaliteten og lovligheden af kundedata og måden, hvorpå kunden har erhvervet sig kundedata. Hvis kunden er dataansvarlig for kundedataene, anerkender og accepterer kunden følgende: (i) Du skal anvende forretningsmæssigt rimelige kræfter på at oplyse klart om, og indhente samtykke til, enhver dataindsamling, deling og anvendelse af data, der finder sted på enhver omfattet tjenesteydelse. (ii) Du skal gøre det klart, at slutbrugerdata som resultat af din brug af de omfattede tjenesteydelser kan blive behandlet uden for deres oprindelsesland. Hvis kunden er databehandler af kundedataene, garanterer kunden, at kundens instruktioner og handlinger i forhold til kundedata, herunder udnævnelsen af GoDaddy som anden databehandler, er blevet godkendt af den relevante dataansvarlig. GoDaddy er ikke forpligtet til at overholde eller følge kundens instruktioner, hvis instruktionerne medfører overtrædelse af gældende databeskyttelseslovgivning. Databehandlingens varighed, karakter og formål, typerne af personoplysninger og kategorierne af registrerede, der behandles i henhold til dette tillæg, er nærmere specificeret i bilag 1 (oplysninger om databehandling) til dette tillæg.

GoDaddy deler ikke kundeoplysninger med nogen myndighed eller anden tredjepart, undtaget som nødvendigt for at overholde gældende lov eller gyldig og bindende krav fra en retshåndhævende myndighed (såsom stævning eller retskrav). I tilfælde af at GoDaddy modtager en gyldig stævning, og i det omfang det er tilladt, vil GoDaddy forsøge at give kunden rimeligt varsel om kravet via e-mail eller post så kunden har mulighed for at søge at få en retskendelse eller en anden afhjælpning.

4.1 GoDaddy har iværksat og vil opretholde de tekniske og organisatoriske foranstaltninger for GoDaddys netværk som beskrevet i dette afsnit og som nærmere angivet i bilag 2 til dette tillæg om sikkerhedsstandarder. Helt specifikt har GoDaddy iværksat og vil opretholde følgende tekniske og organisatoriske foranstaltninger, der omhandler (i) sikkerheden af GoDaddys netværk, (ii) faciliteternes fysiske sikkerhed; (iii) adgangskontrol for medarbejdere og underleverandører til (i) og/eller (ii), og (iv) processer til test, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger iværksat af GoDaddy. I tilfælde af at vi ikke er i stand til at opfylde nogen af vores forpligtelser, der er angivet heri, giver vi skriftlig meddelelse herom (via e-mail eller vores hjemmeside) så hurtigt som praktisk muligt.

4.2 GoDaddy stiller en række sikkerhedsfunktioner og funktionaliteter til rådighed, som kunden kan vælge at bruge i forhold til de omfattede serviceydelser. Kunden er ansvarlig for (a) korrekt konfiguration af de omfattede serviceydelser, (b) brugen af de kontrolforanstaltninger, der er tilgængelige i forbindelse med de omfattede serviceydelser (herunder sikkerhedskontrollerne) for at sikre fortløbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed i behandlingen af systemer og tjenester, (c) brugen af de tilgængelige kontrolforanstaltninger i forbindelse med de omfattede serviceydelser (herunder sikkerhedskontrollen) for at give kunden mulighed for at genoprette tilgængeligheden og adgangen til kundedata i tide i tilfælde af en fysisk eller teknisk hændelse (f.eks. sikkerhedskopiering og rutinemæssig arkivering af kundedata) og (d) at træffe sådanne skridt, som kunden anser som rimelige for at opretholde passende sikkerhed, beskyttelse og sletning af kundedata, som omfatter brugen af krypteringsteknologi for at beskytte kundedata mod uautoriseret adgang og foranstaltninger til at kontrollere adgangsrettigheder til kundedata.

Under hensyntagen til karakteren af de omfattede tjenesteydelser tilbyder GoDaddy kunden visse kontrolforanstaltninger, som kunden kan vælge at bruge til at hente, rette, slette eller begrænse brug og deling af kundedata, som beskrevet i de omfattede tjenesteydelser. Kunden kan bruge disse kontrolforanstaltninger som tekniske og organisatoriske foranstaltninger til at bistå denne i forbindelse med dennes forpligtelser i henhold til gældende databeskyttelseslovgivning, herunder dennes forpligtelser til at imødekomme anmodninger fra registrerede personer. På forretningsmæssigt rimelige vilkår, og i den udstrækning det er påkrævet eller tilladt ved lov, skal GoDaddy straks give kunden meddelelse om, hvis GoDaddy modtager en direkte anmodning fra en registreret person om at gøre brug af sådanne rettigheder i henhold til gældende databeskyttelseslovgivning (anmodning fra en registreret person). Når kundens brug af de omfattede tjenesteydelser begrænser dennes mulighed for at imødekomme en anmodning fra en registreret person, kan GoDaddy derudover, hvor det er lovligt tilladt og hensigtsmæssigt og efter kundens specifikke anmodning, yde forretningsmæssigt rimelig bistand til at imødekomme anmodningen for kundens regning (hvis relevant).

6.1 Autoriserede underkontraherede databehandlere. Kunden accepterer, at GoDaddy kan bruge underkontraherede databehandlere til at opfylde kontraktlige forpligtelser i henhold til dennes servicebetingelser og dette tillæg, eller til at levere bestemte tjenesteydelser på dennes vegne, såsom at yde support. Kunden giver hermed samtykke til, at GoDaddy kan anvende underkontraherede databehandlere, som beskrevet i dette afsnit.

6.2 Den underkontraherede databehandlers forpligtelser. Når GoDaddy bruger en autoriseret underkontraheret databehandler som beskrevet i afsnit 6.1:

(i) begrænser GoDaddy den underkontraherede databehandlers adgang til kundedata til kun at omfatte det, der er nødvendigt for at opretholde de omfattede tjenesteydelser eller for at levere de omfattede tjenesteydelser til kunden og eventuelle slutbrugere i overensstemmelse med servicebetingelserne. GoDaddy forbyder den underkontraherede databehandler at få adgang til kundedata til andre formål,

(ii) vil GoDaddy indgå en skriftlig aftale med den underkontraherede databehandler, og i det omfang den underkontraherede databehandler udfører de samme databehandlingstjenester, der udføres af GoDaddy i henhold til dette tillæg, vil GoDaddy pålægge den underkontraherede databehandler de samme kontraktlige forpligtelser som GoDaddy har i henhold til dette tillæg, og

(iii) vil GoDaddyforblive ansvarlig for overholdelsen af forpligtelserne i dette tillæg og for handlinger eller udeladelser fra den underkontraherede databehandler, der forårsager, at GoDaddy overtræder nogen af GoDaddys forpligtelser i henhold til dette tillæg.

6.3 Nye underkontraherede databehandlere.  Fra tid til anden kan vi indlede et samarbejde med nye underkontraherede databehandlere underlagt og i henhold til vilkårene i dette tillæg.  I sådanne tilfælde giver vi 30 dages forudgående varsel (via e-mail eller vores hjemmeside), inden en eventuel ny underkontraheret databehandler modtager kundedata. Hvis du som kunde ikke godkender en ny underkontraheret databehandler, kan du opsige enhver dækket tjenesteydelse uden omkostning ved at give os skriftlig meddelelse om opsigelsen og angive grunden for, hvorfor du ikke kan godkende den underkontraherede databehandler, senest 10 dage efter du modtager meddelelsen fra os. Hvis de omfattede tjenesteydelser er del af en pakke eller et pakkekøb, så vil opsigelsen gælde pakken i sin helhed.

7.1 Sikkerhedshændelse. Hvis GoDaddy bliver opmærksom på en sikkerhedshændelse, vil GoDaddy uden unødig forsinkelse: (a) give kunden besked om sikkerhedshændelsen og (b) tage rimelige skridt til at begrænse virkningerne og minimere skader som følge af sikkerhedshændelsen.

7.2 Hjælp fra GoDaddy. For at bistå kunden i forbindelse med meddelelser vedrørende brud på persondatasikkerheden, som kunden kan være nødsaget til at sende i henhold til gældende databeskyttelseslovgivning, vil GoDaddy i meddelelsen medtage sådanne oplysninger om sikkerhedshændelsen, som GoDaddy på rimelig vis kan videregive til kunden under hensyntagen til karakteren af de omfattede tjenesteydelser, de for GoDaddy tilgængelige oplysninger og eventuelle begrænsninger i forbindelse med videregivelse af oplysningerne, såsom fortrolighed.

7.3 Mislykkede sikkerhedshændelser. Kunden accepterer, at en mislykket sikkerhedshændelse ikke vil være underlagt betingelserne i dette tillæg. En mislykket sikkerhedshændelse er en, der ikke resulterer i uautoriseret adgang til kundedata eller til nogen af GoDaddys netværk, udstyr eller faciliteter, der opbevarer kundedata, og kan omfatte, uden begrænsning, pings og andre udsendelsesangreb på firewalls eller kantservere, scanning af porte, mislykkede forsøg på indlogning, denial-of-service-angreb, opsnusning af pakker ("packet sniffing") (eller anden uautoriseret adgang til trafikdata, der ikke resulterer i adgang til andet end headere) eller lignende hændelser.

7.4 Meddelelse. Meddelelser angående sikkerhedshændelser, hvis sådanne opstår, vil blive leveret til en eller flere af kundens administratorer ad enhver kommunikationskanal, som GoDaddy vælger, herunder via e-mail. Det er udelukkende kundens ansvar at sikre, at kundens administratorer vedligeholder korrekte kontaktoplysninger på GoDaddys administrationskonsol og sikrer overførsel til enhver tid.

7.5 Ingen anerkendelse af fejl af GoDaddy: GoDaddys forpligtelse til at indberette eller reagere på en sikkerhedshændelse i henhold til dette afsnit er ikke og vil ikke blive fortolket som GoDaddys anerkendelse af, at GoDaddy er medskyldig i eller har et erstatningsansvar i forbindelse med sikkerhedshændelsen.

8.1 Uafhængig afgørelse. Kunden er ansvarlig for at gennemgå de oplysninger, som GoDaddy stiller til rådighed, og som vedrører datasikkerhed og dennes sikkerhedsstandarder, og for at træffe en uafhængig afgørelse om, hvorvidt de omfattede tjenesteydelser opfylder kundens krav og juridiske forpligtelser samt kundens forpligtelser i henhold til dette tillæg. De tilgængelige oplysninger er beregnet til at hjælpe kunden med at overholde kundens forpligtelser under gældende databeskyttelseslovgivning. Kunden accepterer, at de omfattede tjenesteydelser og sikkerhedsstandarder, der er implementeret og opretholdes af GoDaddy, giver et passende sikkerhedsniveau i forhold til den risiko, der er forbundet med personoplysninger (under hensyntagen til den nyeste teknologi, implementeringsomkostningerne og karakteren, omfanget, konteksten af og formålet med behandlingen af personoplysninger, såvel som den risiko, den udgør for enkeltpersoner).

8.2 Kundens ret til revision. Kunden har ret til at bekræfte GoDaddys overholdelse af dette tillæg med rimelige intervaller – i det omfang, det er relevant for de omfattede tjenester – ved at indgive en specifik skriftlig anmodning til den adresse, der er angivet i servicevilkårene. Hvis GoDaddy afviser at følge en instruktion, som kunden anmoder om, angående en revision eller inspektion, der er blevet korrekt rekvireret og planlagt, har kunden ret til at opsige dette tillæg og servicevilkårene.

9.1 Databehandling i USA. Medmindre andet specifikt er angivet i servicevilkårene, vil kundeoplysninger blive videregivet uden for Storbritannien eller EØS og behandlet i USA.

9.2 Anvendelse af EU-standardkontraktbestemmelserne. EU-standardkontraktbestemmelsernes modul to (dataansvarlig-til-databehandler) eller modul tre (databehandler-til-databehandler) gælder for kundedata, der overføres uden for EØS enten direkte eller via videreoverførsel til et hvilket som helst land, som Europa-Kommissionen ikke mener sikrer et tilstrækkeligt beskyttelsesniveau for kundedata. Disse EU-standardkontraktbestemmelser gælder ikke for kundedata, der ikke overføres enten direkte eller via videreoverførsel uden for EØS. Uanset ovenstående er disse EU-standardkontraktbestemmelser ikke gældende, når dataene overføres i overensstemmelse med en anerkendt standard for overholdelse af lovlig overførsel af personoplysninger uden for EØS, for eksempel hvis det er nødvendigt for at udføre de omfattede tjenesteydelser, som er dækket af servicebetingelserne, eller hvis du har givet samtykke.

1. For hvert modul, hvor det er relevant:
   1. I bestemmelse 7 af EU-standardkontraktbestemmelserne vil den valgfrie "fakultative bestemmelser" ikke være gældende.
   2. I bestemmelse 9 af EU-standardkontraktbestemmelserne vil alternativ 2 være gældende, og perioden for forudgående skriftlig meddelelse vedrørende ændringer foretaget af den underkontraherede databehandler beskrives i afsnit 6.3 (Nye underkontraherede databehandlere) af dette tillæg.
   3. I bestemmelse 11 af EU-standardkontraktbestemmelserne vil det valgfrie sprog ikke være gældende.
   4. I bestemmelse 17 (alternativ 1) vil EU-standardkontraktbestemmelserne være underlagt tysk lovgivning.
   5. I bestemmelse 18(b) af EU-standardkontraktbestemmelserne løses tvister ved domstolene i Tyskland.
   6. I bilag I, del A af EU-standardkontraktbestemmelserne:
      • Liste over parter
        
        Dataeksportør(er): Dataeksportøren er den enhed, der er identificeret som "kunden" i tillægget
        Underskrift og dato: Dataeksportøren anses for at have underskrevet disse EU-standardkontraktbestemmelser fra den dato, hvor dataeksportøren har accepteret dataimportørens servicebetingelser elektronisk.
        Rolle: Dataansvarlig (under modul to) eller databehandler (under modul tre)
        
        Dataimportør(er): GoDaddy.com, LLC
        Kontaktoplysninger: Office of the Data Protection Officer – privacy@godaddy.com
        Underskrift og dato: Dataimportøren anses for at have underskrevet disse EU-standardkontraktbestemmelser fra den dato, hvor dataeksportøren har accepteret dataimportørens servicebetingelser elektronisk.
        Rolle: Databehandler
   7. i bilag I, del B af EU-standardkontraktbestemmelserne:
      • Beskrivelse af overførslen
        
        Kategorier af registrerede personer for hvem personoplysninger overføres står beskrevet i bilag 1 af tillægget.
        Kategorier af personoplysninger, der overføres, står beskrevet i bilag 1 af tillægget. Følsomme oplysninger, der overføres, står beskrevet i bilag 1 af dette tillæg.
        Hyppigheden af overførsler er på kontinuerlig basis, så længe servicebetingelserne er gældende.
        Behandlingens art står beskrevet i afsnit 2.2 og bilag 1 af tillægget.
        Formålet/formålene med dataoverførslen og yderligere behandling står beskrevet i afsnit 2.2 og bilag 1 af dette tillæg.
        Opbevaringsperioden for personoplysningerne står beskrevet i bilag 1 af dette tillæg.
        I forbindelse med overførsler til (underkontraherede) databehandlere er emnet, arten og varigheden af behandlingen beskrevet i bilag III til standardkontraktbestemmelserne.
   8. I bilag I, del C af EU-standardkontraktbestemmelserne:
      • Den kompetente tilsynsmyndighed
        Den tilsynsførende for databeskyttelse og informationsfrihed i Nordrhein-Westfalen ("LDI NRW") er den kompetente tilsynsmyndighed.
   9. I bilag II af EU-standardkontraktbestemmelserne:
      
      De tekniske og organisatoriske sikkerhedsforanstaltninger implementeret af dataimportøren er som beskrevet i bilag 2 af tillægget.
   10. I bilag III af EU-standardkontraktbestemmelserne:
       
       Liste over underkontraherede databehandlere kan findes i bilag 3 af dette tillæg.

9.3 Application of UK International Data Transfer Addendum. The UK International Data Transfer Addendum will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK International Data Transfer Addendum will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK International Data Transfer Addendum will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

1. For dataoverførsler fra Storbritannien, der er underlagt Storbritanniens tillæg vedrørende international dataoverførsel, vil Storbritanniens tillæg vedrørende international dataoverførsel blive anset som indgået i (og inkluderet i dette tillæg som reference) og gennemført som følger:
   1. I tabel 1 af Storbritanniens tillæg vedrørende international dataoverførsel findes parternes oplysninger og primære kontaktoplysninger i afsnit 9.2 (i)(f) af dette tillæg.
   2. I tabel 2 af Storbritanniens tillæg vedrørende international dataoverførsel kan oplysninger vedrørende versionen af EU-standardkontraktbestemmelserne, modulerne og udvalgte bestemmelser, som Storbritanniens tillæg vedrørende international dataoverførsel er føjet til, findes i afsnit 9.2 (EU-standardkontraktbestemmelser) af dette tillæg.
   3. I tabel 3 af Storbritanniens tillæg vedrørende international dataoverførsel:
      1. Listen over parter findes i afsnit 9.2 (i)(f) af dette tillæg.
      2. Beskrivelsen af overførslen findes i afsnit 1 (behandlingens karakter og formål) af bilag 1 (oplysninger om databehandlingen) af dette tillæg.
      3. Bilag II findes i bilag 2 (sikkerhedsstandarder) af dette tillæg.
      4. Listen over underkontraherede databehandlere findes i bilag 3 af dette tillæg.
   4. I tabel 4 af Storbritanniens tillæg vedrørende international dataoverførsel kan både importøren og eksportøren afslutte Storbritanniens tillæg vedrørende international dataoverførsel i overensstemmelse med betingelserne i Storbritanniens tillæg vedrørende international dataoverførsel.

Dette tillæg vil være gældende indtil afslutningen af vores databehandling i overensstemmelse med servicevilkårene (udløbsdato).   

Som beskrevet i de omfattede tjenesteydelser kan kunden få beføjelser til at hente eller slette kundeoplysninger. Sletning af kundeoplysninger finder sted tredive (30) dage efter udløbsdatoen i henhold til vilkårene for de relevante omfattede tjenesteydelser. Kunden anerkender, at det er kundens ansvar at eksportere, før ophørsdatoen, alle de kundedata, du ønsker at opbevare efter ophørsdatoen.

Hver parts erstatningsansvar i henhold til dette tillæg vil være underlagt undtagelser og ansvarsbegrænsninger, som det er angivet i servicebetingelserne. Kunden accepterer, at eventuelle retlige sanktioner, som GoDaddy har pådraget sig i forbindelse med kundedataene, og som opstår som følge af eller i forbindelse med kundens manglende overholdelse af dennes forpligtelser i henhold til dette tillæg og gældende databeskyttelseslovgivning, vil blive fraregnet og reducere GoDaddys erstatningsansvar i henhold til servicebetingelserne, som var det erstatningsansvar over for kunden i henhold til servicebetingelserne.

Dette tillæg har forrang over og erstatter alle tidligere eller samtidige skriftlige eller verbale erklæringer, forståelser, aftaler eller kommunikation mellem kunden og GoDaddy angående dette tillægs emne, inklusive alle databehandlingstillæg, der er indgået aftale om mellem GoDaddy og kunden med hensyn til behandling af personoplysninger og den fri udveksling af sådanne oplysninger.  I det omfang der er en konflikt eller uoverensstemmelse mellem EU-standardkontraktbestemmelserne eller Storbritanniens tillæg vedrørende international dataoverførsel og andre betingelser i dette tillæg eller i servicebetingelserne, vil EU-standardkontraktbestemmelserne eller bestemmelserne i Storbritanniens tillæg vedrørende international dataoverførsel være gældende (hvis relevant). Medmindre de er ændret i dette tillæg, er servicevilkårene fortsat i fuld kraft og gældende.  Hvis der er uoverensstemmelse mellem servicevilkårene og dette tillæg, vil betingelserne i dette tillæg være gældende.

 OPLYSNINGER OM DATABEHANDLING

 1. Karakteren af og formålet med databehandlingen. GoDaddy behandler de kundeoplysninger, som er nødvendige for at udføre de omfattede tjenester i henhold til servicevilkårene og som yderligere instrueret af kunden under hele brugen af de omfattede tjenester.

 2. Varighed af behandling. I henhold til afsnit 10 og 11 af dette tillæg vil GoDaddy behandle kundeoplysninger i den tidsperiode, hvor servicevilkårene er gældende. Uanset ovenstående kan GoDaddy opbevare kundeoplysninger eller enhver del af dem, hvis det kræves i henhold til gældende love eller bestemmelser, herunder gældende databeskyttelseslove, såfremt sådanne kundeoplysninger holdes beskyttet i overensstemmelse med vilkårene i dette tillæg og de gældende databeskyttelseslove.

3. Kategorier af registrerede personer. Kunden kan uploade personoplysninger i forbindelse med brugen af de omfattede tjenesteydelser i det omfang, det bestemmes og kontrolleres af kunden efter eget skøn, og som kan indeholde, men ikke er begrænset til, personoplysninger vedrørende følgende kategorier af registrerede personer:

• Kundeemner, kunder, forretningspartnere og kundens leverandører (der er fysiske personer)
• Medarbejdere eller kontaktpersoner tilknyttet kundens kundeemner, kunder, forretningspartnere og leverandører
• Kundens medarbejdere, agenter, rådgivere, freelancere (som er fysiske personer)
• Kundens brugere, der er autoriseret af kunden til at bruge de omfattede tjenesteydelser

4. Kategorier af personoplysninger. Kunden kan efter eget skøn uploade personoplysninger i forbindelse med brugen af de omfattede tjenester, og disse personoplysninger kan indeholde, men er ikke begrænset til, personoplysninger vedrørende følgende kategorier af registrerede: 

• Navn
• Adresse
• Telefonnummer
• Fødselsdato
• E-mailadresse
• Andre indsamlede oplysninger, der direkte eller indirekte ville kunne identificere registrerede.

5. Følsomme personoplysninger eller særlige kategorier af personoplysninger. Kunden kan overføre følsomme personoplysninger i forbindelse med sin brug af de omfattede tjenester. Deres type og omfang fastslås og kontrolleres udelukkende af kunden. Kunden er ansvarlig for at anvende begrænsninger eller garantier, der fuldt ud tager højde for personoplysningernes art og de tilknyttede risici, inden sådanne følsomme personoplysninger overføres eller behandles via de omfattede tjenester.

Sikkerhedsstandarder

I. Tekniske og organisatoriske foranstaltninger  

Vi tager opgaven angående beskyttelse af kundeoplysninger alvorligt.  I betragtning af bedste praksis, implementeringsomkostninger og karakteren, omfanget og omstændighederne af og målet med behandlingen, såvel som forskellige sandsynligheder for og alvorligheden af den risiko, der er forbundet med en persons rettigheder og friheder, tager vi følgende tekniske og organisatoriske foranstaltninger.  Ved valget af disse foranstaltninger bliver systemernes fortrolighed, integritet, tilgængelighed og modstandsdygtighed overvejet.

II.  Databeskyttelsesprogram  

Vores databeskyttelsesprogram er etableret for at opretholde en global data forvaltnings-struktur og sikre oplysningerne gennem hele deres livscyklus. Dette program er styret af direktøren for kontoret for databeskyttelse, som overser implementering af privatlivspraksisser og sikkerhedstiltag. Vi tester og evaluerer regelmæssigt effektiviteten af dette databeskyttelsesprogram og sikkerhedsstandarder.

1. Fortrolighed. Fortrolighed betyder, at personoplysninger er beskyttet mod uautoriseret offentliggørelse.*  

Vi bruger forskellige fysiske og logiske foranstaltninger til at beskytte fortroligheden af kundernes personoplysninger. Disse foranstaltninger inkluderer:   

  Fysisk sikkerhed  

• Fysiske adgangskontrolsystemer på plads (Badge-adgangskontrol, overvågning af sikkerhedshændelser osv.) 
• Overvågningssystemer, herunder alarmer og, hvis nødvendigt, CCTV-overvågning
• Politikker om rene skriveborde og kontroller på plads (Låsning af uautoriserede computere, låste skabe osv.)  
• Administration af gæsters adgang.
• Tilintetgørelse af data på fysiske medier og af dokumenter (makulering; afmagnetisering osv.)

  Adgangskontrol og forebyggelse af uautoriseret adgang 

• Brugeradgangsbegrænsninger anvendt og rollebaserede adgangstilladelser leveret/gennemgået baseret på princippet om adskillelse af pligter
• Stærk godkendelse og godkendelsesmetoder (multi-faktor godkendelse, certifikatbaseret godkendelse, automatisk deaktivering/log-af osv.)  
• Centraliseret administration af adgangskoder og politikker vedrørende stærke/komplekse kodeord (minimums længde, tegn kompleksitet, adgangskodernes udløb osv.)   
• Kontrolleret adgang til e-mails og internet.
• Administration af antivirus.
• Systemadministration til forebyggelse af indtrængen

Kryptering   

• Kryptering af ekstern og intern kommunikation via stærke kryptografiske protokoller
• Kryptering af personoplysninger og følsomme oplysninger sat på pause (databaser, delte mapper osv.)   
• Fuld diskkryptering til virksomhedens pc’er og bærbare computere
• Kryptering af lagringsmedier
• Fjernforbindelser til virksomhedens netværk er krypteret via VPN
• Sikring af krypteringsnøglernes livscyklus

 Dataminimering    

• PII/SPI minimering i applikation, fejlfinding og sikkerhedslogs
• Brug af pseudonym til personoplysninger for at forhindre direkte identifikation af en person
• Adskillelse af lagret data efter funktion (test, opsættelse, live)
• Logisk adskillelse af data efter rollebaseret adgangsrettigheder
• Definerede dataopbevaringsperioder for personlige oplysninger 

Sikkerhedstest     

• Indtrængningstest af vigtige virksomhedsnetværk og platforme, der opbevarer personoplysninger
• Regelmæssige sårbarhedsscanninger af netværk

2. Integritet. Integritet refererer til at sikre korrektheden (at disse er intakte) af data og systemernes korrekte virke. Når begrebet integritet anvendes i forbindelse med udtrykket data, udtrykker det, at dataene er fuldstændige og uændrede.*  

Passende ændringer og styringsadministration af logs er på plads, ud over adgangskontrol, for at kunne opretholde integriteten af personoplysninger som f.eks.:    

Administration af ændringer og frigivelser    

• Forandring og håndtering af udgivelsesproces, herunder (konsekvensanalyse, godkendelser, test, sikkerhedsvurderinger, iscenesættelse, overvågning osv.)  
• Rolle og funktionsbaseret (adskillelse af pligter) tilladelse af adgang til produktionsmiljøer

Registrering og overvågning

• Logning af adgang og ændringer af data
• Centrale logs om audit og sikkerhed
• Overvågning af gennemførslen og rigtigheden af videregivelsen af data (end-to-end tjek)

3. Tilgængelighed. Tilgængeligheden af tjenester og it-systemer, it-applikationer og it-netværksfunktioner eller af oplysninger er garanteret, hvis brugerne er i stand til at bruge dem til enhver tid efter hensigten.    

Vi implementerer passende kontinuitets- og sikkerhedsforanstaltninger for at opretholde tilgængeligheden af tjenesterne og dataene inden for disse tjenester:    

• Regelmæssige fejl-over-test anvendes til vigtige tjenester
• Omfattende præstations/tilgængeligheds overvågning og rapportering for vigtige systemer
• Program for respons i forbindelse med hændelse
• Vigtige data enten replikeres eller sikkerhedskopieres (Cloud-sikkerhedskopier/harddiske/database-replikation osv.)  
• Planlagt software, vedligeholdelse af infrastruktur og sikkerhed på plads (software opdateringer, sikkerhedsudbedring osv.)   
• Redundante og robuste systemer (serverklynger, afspejlede databaser, højtilgængeligheds opsætninger osv.) anbragt off-site og/eller på geografisk adskilte steder
• Brug af strømforsyninger, der ikke kan afbrydes, fejl-redundant hardware og netværkssystemer
• Implementerede alarm- og sikkerhedssystemer
• Fysiske beskyttelsestiltag implementeret for kritiske faciliteter (sikringer, hævede gulve, afkølingssystemer, ild- og/røgalarmer, brandslukningssystemer osv.) 
• DDOS beskyttelse for at opretholde tilgængelighed
• Test af belastning og stress

4. Databehandlingsinstruktioner. "Databehandlingsinstruktioner skal sikre, at personoplysninger kun bliver behandlet i henhold til den dataansvarliges instruktioner og de relaterede virksomhedstiltag"  

Vi har etableret interne privatlivspolitikker, aftaler og gennemfører regelmæssige kurser om privatliv for medarbejderne for at sikre, at personoplysninger behandles i overensstemmelse med kundens præferencer og instruktioner.   

• Beskyttelse af personoplysninger og fortrolighed i medarbejderkontrakter 
• Regelmæssig datasikkerhedstræning og sikkerhedstræning for medarbejdere 
• Passende kontraktbestemmelser til aftaler med underentreprenører for at opretholde kontrol over instruktionsrettighederne
• Regelmæssige privatlivstjek af eksterne serviceudbydere
• Giver kunder fuld kontrol over deres databehandlingsindstillinger
• Regelmæssige sikkerhedsrevisioner