Dette tillæg til forhandler-databeskyttelsesforordning (DPA) er en del af aftalen mellem GoDaddy.com, LLC (inklusive de tilknyttede parter, hvis de betragtes i henhold til aftalen) (GoDaddy) og dig (forhandler) med det formål at sælge GoDaddys produkter og tjenester (tjenester) gennem GoDaddys forhandlerprogram, og gælder med henblik på forhandlerens behandling af personoplysninger på vegne af GoDaddy. Forhandleren indgår denne databeskyttelsesforordning (DPA) på vegne af sig selv og, i det omfang det kræves, i henhold til gældende databeskyttelseslove og -forskrifter, i navnet og på vegne af dets autoriserede partnere. Alle termer skrevet med stort, som ikke er defineret, skal have samme betydning som anført i aftalen. Udtrykkene vi, os eller vores henviser til GoDaddy. Begreberne du, din eller forhandler henviser til ethvert individ eller enhver enhed, som accepterer denne aftale. Intet i nærværende aftale må anses for at tildele rettigheder eller fordele til en tredjepart. Denne databeskyttelsesforordning (DPA) træder i kraft og er bindende fra datoen for din elektroniske accept.

Denne databeskyttelsesforordning (DPA) består af to (2) forskellige dele, der gælder, som forklaret nedenfor:

• Databeskyttelse og sikkerhedsstandarder og krav: Anvendelse af databeskyttelse og sikkerhedsstandarder og krav. Gælder alle forhandlere, der har adgang til og behandler PII (som defineret heri) inden for karakteren og omfanget af deres deltagelse i forhandlerprogrammet.
• Standardkontraktbestemmelser (og tilhørende bilag 1 og 2): Anvendelse af standardkontraktbestemmelserne. Standardkontraktbestemmelserne gælder for kundedata, der videregives uden for EØS, enten direkte eller via videregivelse til et hvilket som helst land, der ikke anerkendes af Europa-Kommissionen for at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger (som beskrevet i GDPR). Standardkontraktbestemmelserne gælder ikke for kundedata, der ikke videregives, enten direkte eller via videregivelse, uden for EØS. Uanset ovenstående er standardkontraktbestemmelserne ikke gældende, når dataene overføres i overensstemmelse med en anerkendt standard for overholdelse af lovlig videregivelse af personoplysninger (som defineret i GDPR) uden for EØS, såsom EU-USA og Schweiz-USA Privacy Shield Frameworks.

1. Emner og anvendelsesområde

Denne aftale om databeskyttelse og sikkerheds-SLA (sikkerheds-SLA) er vedhæftet og indarbejdet i aftalen med det formål at sikre, at PII (som defineret nedenfor), der er indsamlet eller anvendt af dig, håndteres på en måde, der er sikker, og derudover er i overensstemmelse med aftalens vilkår, denne sikkerheds-SLA og gældende love og regler.

2. Prioritetsrækkefølge.

Denne sikkerheds-SLA er integreret i og udgør en del af aftalen. For spørgsmål, der ikke er omfattet af denne sikkerheds-SLA, gælder vilkårene i aftalen. Med hensyn til parternes rettigheder og ansvar overfor hinanden i tilfælde af at bestemmelserne i denne aftale og denne sikkerheds-SLA ikke stemmer overens, vil vilkårene i sikkerheds-SLA'en være gældende. I tilfælde af konflikt mellem vilkårene i sikkerheds-SLA'en og standardkontraktbestemmelserne, vil bestemmelserne i standardkontraktbestemmelserne være gældende.

3. Personlige oplysninger.

1. "PII" eller "personlige oplysninger" betyder alle oplysninger i ethvert medie eller et hvilket som helst format, der er relateret til en identificeret eller identificerbar fysisk person eller husstand; en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres ved at henvise til en identifikator, såsom navn, adresse, CPR-nummer eller andet identifikationsnummer, e-mailadresse, telefonnummer, økonomisk profil, kreditkortoplysninger, kørekortnummer eller andre oplysninger, der med rimelighed kan anses for at være knyttet til en bestemt person, computer eller enhed (f.eks. oplysninger indsamlet via sporingsteknologier, såsom IP-adresse), eller til en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet af den pågældende person.

2. Behandling af data i forbindelse med denne databeskyttelsesforordning (DPA) omfatter indsamling, registrering, organisering, strukturering, lagring, tilpasning eller ændring, hentning, rådgivning, brug, offentliggørelse, formidling eller på anden måde tilgængeliggørelse, kombination, begrænsning, sletning eller tilintetgørelse af PII.
3. GoDaddy beskriver PII udelukkende og eksklusivt til dig for din præstation af tjenesterne på vegne af GoDaddy, og du må kun behandle PII i henhold til de begrænsede og specifikke formål, der er beskrevet i aftalen og i vores skriftlige instruktioner, og ikke til andre formål, herunder med hensyn til overførsler af EU-personers PII uden for Den Europæiske Union, medmindre det kræves i henhold til EU eller EU-medlemsstaternes lovgivning (i så fald skal du straks underrette os herom, medmindre det er forbudt at informere os herom ved lov).
4. Du har ikke tilladelse til at: (i) sælge PII; (ii) støtte, bruge, eller videregive PII til kommercielt formål, ud over levering af tjenesterne, og (iii) støtte, bruge, eller videregive PII uden for denne aftale mellem dig og GoDaddy.

5. Du anerkender og bekræfter, at PII ikke beskrives som overvejelse for andre tjenester, som leveres tilGoDaddy ifølge aftalen. Du må ikke sælge nogen PII, som udtrykket “sælge” er defineret ifølge California Consumer Privacy Act of 2018, som ændret (“CCPA”), og du erklærer hermed, at du er indforstået med reglerne, kravene og definitionerne af CCPA og alle restriktionerne i denne databeskyttelsesforordning (DPA). Du accepterer at afstå fra at foretage handlinger, som kan forårsage, at overførsler af PII til eller fra dig, bliver kvalificeret som “salg af personlige oplysninger” ifølge CCPA og alle andre gældende love.
6. Du må kun overføre EU-relateret PII til EU-personer uden for EU (eller hvis sådan PII allerede er uden for EU, til enhver tredjepart, der også er uden for EU) i overensstemmelse med vilkårene i denne databeskyttelsesforordning (DPA) og kravene i artiklerne 44 til 49 i databeskyttelsesforordningen (GDPR) (som defineret nedenfor).
7. Du skal straks underrette os, hvis vores anvisning efter din mening er i strid med gældende lovgivning om databeskyttelse, herunder EU's databeskyttelseslov (som defineret nedenfor) på privacy@godaddy.com.

8. Du skal behandle alle PII'er som strengt fortrolige, og du skal informere alle dine medarbejdere eller godkendte agenter, der beskæftiger sig med behandling af PII, om PII's fortrolige karakter og sikre, at alle sådanne personer eller parter har indgået en passende fortrolighedsaftale for at opretholde PII'ens fortrolighed.
9. I det omfang du modtager, vedligeholder, behandler eller på anden måde har adgang til PII i forbindelse med forhandlerprogrammet i henhold til aftalen, anerkender og accepterer du, at du er ansvarlig for at opretholde passende organisatoriske sikkerhedsforanstaltninger til at beskytte en sådan PII. Du skal beskytte og sikre en sådan PII i overensstemmelse med alle gældende lovgivninger om beskyttelse af personlige oplysninger og databeskyttelse, herunder, men ikke begrænset til, Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer med hensyn til behandling af personoplysninger, og til den fri udveksling af sådanne oplysninger (den generelle databeskyttelsesforordning eller GDPR) og tilhørende EU-medlemsstaters lovgivning eller forskrifter (samlet EU's databeskyttelseslov) og CCPA.

10. De relevante organisatoriske sikkerhedsforanstaltninger, der henvises til i afsnit 3.7, omfatter, hvor det er relevant (men ikke begrænset til):
    1. foranstaltninger, der er angivet nedenfor i afsnit 3 og 4,
    2. foranstaltninger til at sikre, at kun autoriserede personer, der er i overensstemmelse med de formål, som er beskrevet i aftalen, har adgang til PII,
    3. psedonymisering og kryptering af PII;
    4. evnen til at sikre fortsat fortrolighed, integritet, tilgængelighed og modstandsdygtighed for dine databehandlingssystemer og -tjenester,
    5. evnen til at genoprette tilgængeligheden og adgangen til en PII i tide,
    6. en proces til regelmæssigt at teste, vurdere og evaluere effektiviteten af de tekniske og organisatoriske foranstaltninger til at garantere sikkerheden ved behandlingen af PII og
    7. foranstaltninger til at identificere sårbarheder med hensyn til behandling af PII i dine systemer.
11. I det omfang, du indgår kontrakt med en underleverandør, sælger eller anden tredjepart for at sikre, at en sådan part også overholder vilkårene i denne databeskyttelsesforordning (DPA) og i aftalen.

12. Uanset hvilken tilladelse der gives af os i overensstemmelse med afsnit 1.11, forbliver du fuldt ansvarlig for enhver underentreprenør, sælger eller anden tredjeparts handlinger, når en sådan part ikke overholder sine forpligtelser i henhold til denne databeskyttelsesforordning (DPA) (eller lignende kontraktlige aftaler, der er indgået, for at pålægge tredjeparten tilsvarende forpligtelser, ligesom dem, der påhviler dig i henhold til denne databeskyttelsesforordning (DPA)) eller i henhold til gældende lovgivning om beskyttelse af personlige oplysninger.
13. Du vil på egen bekostning forsvare, godtgøre og holde os skadesløse for ethvert ansvar, omkostninger og tab i forbindelse med midlertidig eller permanent, utilsigtet eller ulovlig utilgængelighed, tab, tilintetgørelse, uautoriseret offentliggørelse eller adgang til, tyveri eller kompromittering af PII, og ethvert andet brud på gældende databeskyttelseslovgivning og enhver overtrædelse af denne databeskyttelsesforordning (DPA).
14. I tilfælde af at du bliver opmærksom på, at du har modtaget vores fortrolige oplysninger eller PII, som du ikke var beregnet til at modtage eller autoriseret til at modtage i henhold til denne aftale, skal du (i) straks underrette os via privacy@godaddy.com, og (ii) medmindre andet er skriftligt oplyst, gemme oplysningerne, indtil du kontaktes af privacy@godaddy.com med instruktioner om, hvad man skal gøre med sådanne oplysninger.

4. Konsekvensanalyser og sikkerhedsrevisioner

1. Konsekvensanalyser af databeskyttelse. Du skal hjælpe os med at gennemføre konsekvensanalyser af databeskyttelse for at identificere og minimere eventuelle privatlivs- eller sikkerhedsrisici i forbindelse med forhandlerprogrammet i henhold til aftalen.
2. Periodiske revisioner. Vi forbeholder os retten til lejlighedsvist at revidere (eller få en tredjepart efter vores valg til at revidere) din overholdelse af denne databeskyttelsesforordning (DPA).
3. Revision efter en hændelse. I tilfælde af et brud på forhandlersikkerheden, kan vi foretage en sikkerhedsrevision for at sikre, at ingen PII blev påvirket. Du vil have 90 dage til at besvare ethvert problem, der blev påvist under en revision. Når et påpeget problem er blevet løst, kan vi foretage en sikkerhedsrevision for at sikre, at løsningen er blevet gennemført.
4. Meddelelse om manglende overholdelse. Hvis du er ude af stand til at overholde nogen af kravene i denne databeskyttelsesforordning (DPA) af nogen grund, skal du straks oplyse os herom. I sådanne tilfælde skal du oplyse om det er muligt at udbedre et problem hurtigt og uden fare for sikkerheden af nogen PII Hvis ikke kan vi vælge at opsige aftalen uden forsinkelse, straf eller yderligere ansvar for dig.

5. Respons i forbindelse med sikkerhedshændelse

1. Rettidig besked. Du skal meddele os om enhver sikkerhedshændelse relateret til dine tjenester og/eller PII straks efter at en sådan er blevet påvist, og du skal give os øjeblikkelig feedback om enhver påvirkning som denne hændelse måtte/vil have på os eller PII. Du skal gøre dit bedste for at underrette os om en sikkerhedshændelse straks efter, en sådan hændelse er blevet opdaget, og under ingen omstændigheder mere end en (1) time efter, du har opdaget hændelsen. En hændelse i forbindelse med denne databeskyttelsesforordning (DPA) skal også omfatte:
   1. en klage eller anmodning om udøvelse af en persons rettigheder i henhold til gældende love, herunder EU's databeskyttelsesforordning,
   2. en undersøgelse eller beslaglæggelse af PII foretaget af embedsmænd, lovgivere eller retshåndhævende myndigheder, eller indikationer på, at en sådan undersøgelse eller beslaglæggelse overvejes,
   3. enhver midlertidig eller permanent, utilsigtet eller ulovlig utilgængelighed, tab, tilintetgørelse, uautoriseret offentliggørelse eller adgang til, tyveri eller kompromittering af PII og
   4. ethvert brud på sikkerheds- og/eller fortrolighedsforpligtelserne, der er fastsat i denne databeskyttelsesforordning (DPA).
2. Meddelelsesformat og -indhold. Meddelelse om sikkerhedsbrud skal ske i form af et telefonopkald til vores Network Operations Center (NOC) på +1 480-505-8809 efterfulgt af en skriftlig meddelelse til securitybreach@godaddy.com. Du skal angive følgende oplysninger under underretningsopkaldet, og i den skriftlige meddelelse skal du så vidt muligt angive yderligere opdateringer, såfremt yderligere oplysninger er dukket op:
   1. en beskrivelse af karakteren af hændelsen og sandsynlige konsekvenser af hændelsen,
   2. forventet tid til løsning (hvis kendt),
   3. en beskrivelse af de foranstaltninger, der er truffet eller foreslået for at afhjælpe hændelsen, herunder foranstaltninger til at afhjælpe eventuelle negative virkninger for os, PII eller tilknyttede personer,
   4. hvis løsningsvejen er ukendt på tidspunktet for telefonopkaldet, skal du klarlægge, at den endnu er uafklaret,
   5. kategorierne og den omtrentlige størrelse af PII og personer, der potentielt er berørte af hændelsen, og de sandsynlige konsekvenser af hændelsen for denne PII og tilhørende personer og
   6. navn og telefonnummer på en forhandlerrepræsentant, vi kan kontakte for at få opdateringer om hændelsen.
3. Sikkerhedsressourcer. Vi kan, efter aftale med dig, tilbyde ressourcer fra vores sikkerhedsgruppe, som kan hjælpe angående et påvist sikkerhedsbrud. Du accepterer at hjælpe os med at opfylde forpligtelserne i forbindelse med anmeldelsen af et sikkerhedsbrud i henhold til EU's databeskyttelseslovgivning eller andre lovmæssige, regulatoriske, administrative eller kontraktlige indberetningsforpligtelser i forbindelse med brud på sikkerheden.

6. Kryptografi

1. Proprietær kryptering. Sikrede transaktioner mellem dig og underleverandør, sælger eller anden tredjepart, samt opbevaring af vores fortrolige oplysninger eller PII, må ikke gøre brug af nogen krypteringsalgoritmer, der er udviklet internt af dig. En hvilken som helst symmetrisk, asymmetrisk eller hashing-algoritme, der anvendes af applikationsinfrastrukturen, skal anvende algoritmer, der er blevet udgivet og evalueret af det overordnede kryptografiske fællesskab.
2. Krypteringsstyrke. Krypteringsalgoritmer skal være aktuel branchestandardteknologi og have tilstrækkelig styrke, såsom AES. SHA-256 eller RSA public key-kryptering.
3. Hashing-funktioner. Hashing-funktioner vil være en kombination af SHA-256 og mindst en af MD-5, SHA-2, SHA-3 eller lignende, eksklusive SHA-1. Hvis der bruges skiftende hashing-funktioner, skal de være udtrykkeligt godkendt af vores datasikkerhedsteam og ledsaget af mindst en godkendt algoritme.

7. Behandling af PII

1. Overholdelse af loven. I det omfang det er relevant, skal du hjælpe os med vores forpligtelser til at imødekomme anmodninger fra en person, hvis PII behandles i henhold til aftalen, og som ønsker at udøve sine rettigheder i henhold til EU's databeskyttelseslov, herunder (men ikke begrænset til): (i) adgangsret, (ii) ret til dataoverførsel, (iii) ret til sletning, (iv) ret til rettelse, (v) ret til at gøre indsigelse mod automatiseret beslutningstagning eller (vi) ret til at protestere mod databehandling.
2. Slet/tilintetgør. Du skal sikkert slette/tilintetgøre eller returnere alle PII'er, og overskrive fysiske drev, der bruges til opbevaring ved hjælp af kryptografisk sletning (NIST SP-800-88r1) eller tilsvarende metode til enhver tid efter vores anmodning eller, uden vores anmodning, efter ophør af aftalen, og tilintetgøre eller returnere eksisterende kopier af det samme til os.

I henhold til artikel 26, stk. 2, i direktiv 95/46/EF med hensyn til videregivelse af personoplysninger til registerførere etableret i tredjelande, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau

dataeksportør: GoDaddy.com, LLC og dennes tilknyttede enheder

og

dataimportør: Den navngivne forhandler, der deltog i forhandlerprogrammet, er underlagt vilkårene i aftalen.

hver en “part”, samlet “parterne”,

HAR AFTALT følgende kontraktbestemmelser (kontraktbestemmelserne) med henblik på at tilvejebringe passende garantier med hensyn til beskyttelse af privatlivets fred og fysiske personers grundlæggende rettigheder og frihedsrettigheder i forbindelse med dataeksportørens videregivelse af personoplysninger til dataimportøren, som anført i tillæg 1.

I henhold til standardbestemmelserne:

(a) personoplysninger, særlige kategorier af oplysninger, behandle/behandling, registeransvarlig, registerfører, den registrerede og tilsynsmyndighed har samme betydning som i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger,

(b) dataeksportør betyder den registeransvarlige, der videregiver personoplysningerne,

(c) dataimportør betyder den registerfører, som indvilliger i at modtage personoplysninger fra dataeksportøren med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser og standardbestemmelserne, og som ikke er underlagt et tredjelands system, der sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 1, i direktiv 95/46/EF,

(d) underkontraheret registerfører betyder enhver registerfører, der efter aftale med dataimportøren eller en af dataimportørens øvrige underkontraherede registerførere indvilliger i fra dataimportøren, eller enhver af dataimportørens øvrige underkontraherede registerførere, at modtage personoplysninger udelukkende med henblik på behandling på dataeksportørens vegne efter videregivelsen, i overensstemmelse med dataeksportørens instrukser, standardbestemmelserne og den skriftlige udliciteringskontrakt,

(e) den gældende databeskyttelseslovgivning betyder den lovgivning, der beskytter fysiske personers grundlæggende rettigheder og frihedsrettigheder, især deres ret til beskyttelse af privatlivets fred, med hensyn til behandling af personoplysninger, og som gælder for en registeransvarlig i den medlemsstat, hvor dataeksportøren er etableret,

(f) tekniske og organisatoriske sikkerhedsforanstaltninger betyder de foranstaltninger, der har til formål at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især hvor behandlingen omfatter videregivelse af oplysninger i et net, samt mod enhver anden form for ulovlig behandling.

De nærmere oplysninger om videregivelsen og især de særlige kategorier af personoplysninger, hvor dette er relevant, er nærmere beskrevet i bilag 1, der er en integreret del af standardbestemmelserne.

1. Den registrerede kan, som begunstiget tredjepart, håndhæve denne standardbestemmelse, standardbestemmelse 4, litra b)-i), standardbestemmelse 5, litra a)-e) og g)-j), standardbestemmelse 6, stk. 1 og 2, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataeksportøren.

2. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for dataimportøren i tilfælde, hvor dataeksportøren faktisk eller retligt set er ophørt med at eksistere, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan retssuccessor.

3. Den registrerede kan håndhæve denne standardbestemmelse, standardbestemmelse 5, litra a)-e) og g), standardbestemmelse 6, standardbestemmelse 7, standardbestemmelse 8, stk. 2 og standardbestemmelse 9-12 over for den underkontraherede registerfører i tilfælde, hvor både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller blevet insolvent, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning og som følge heraf overtager dataeksportørens rettigheder og forpligtelser, idet den registrerede i så fald kan håndhæve dem over for en sådan enhed. Den underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.

4. Parterne gør ingen indsigelse mod, at de registrerede, såfremt de udtrykkeligt ytrer ønske herom, og det er tilladt i henhold til national ret, lader sig repræsentere af en forening eller andre organer.

Dataeksportøren accepterer og garanterer:

(a) at hans behandling af personoplysningerne, herunder selve videregivelsen, har været, og fortsat vil være i overensstemmelse med de relevante bestemmelser i den gældende lovgivning om databeskyttelse (og i givet fald er blevet anmeldt til de kompetente myndigheder i den medlemsstat, hvor dataeksportøren er etableret), og at behandlingen ikke er i strid med denne stats relevante bestemmelser,

(b) som det er instrueret og i løbet af hele perioden af tjenesterne til behandling af personoplysninger, vil dataimportøren blive instrueret i kun at behandle de overførte personoplysninger på vegne af dataeksportøren, og i overensstemmelse med den gældende lovgivning om databeskyttelse og bestemmelser,

(c) at dataimportøren vil stille tilstrækkelige garantier med hensyn til de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i bilag 2 til denne kontrakt,

(d) at sikkerhedsforanstaltningerne, efter at være blevet vurderet i forhold til kravene i den gældende lovgivning om databeskyttelse, er tilstrækkelige til at beskytte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab, ændring, uautoriseret videregivelse eller adgang, især når behandlingen omfatter dataoverførsel i et netværk, samt mod enhver anden form for ulovlig behandling, og at disse foranstaltninger giver et passende databeskyttelsesniveau i forhold til de risici, der er forbundet med behandlingen og karakteren af de oplysninger, der skal beskyttes, under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse,

(e) at han vil sikre, at disse sikkerhedsforanstaltninger overholdes,

(f) at de registrerede i tilfælde af, at videregivelsen omfatter særlige kategorier af oplysninger, er blevet informeret eller inden eller snarest muligt efter videregivelsen vil blive informeret om, at deres oplysninger kan blive videregivet til et tredjeland, der ikke sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i direktiv 95/46/EF,

(g) at han vil sende meddelelser, som han modtager fra dataimportøren eller en eventuel underkontraheret registerfører i henhold til standardbestemmelse 5, litra b) og 8, stk. 3, videre til databeskyttelsesmyndigheden, hvis han beslutter at fortsætte videregivelsen eller at ophæve suspensionen,

(h) at han efter anmodning vil stille følgende til rådighed for de registrerede: et eksemplar af standardbestemmelserne, bortset fra bilag 2, og en kortfattet beskrivelse af sikkerhedsforanstaltningerne samt et eksemplar af enhver kontrakt om udlicitering, der skal ske i henhold til standardbestemmelserne, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade,

(i) at behandlingen i tilfælde af udlicitering gennemføres i henhold til standardbestemmelse 11 af en underkontraheret registerfører, der frembyder mindst samme beskyttelsesniveau for den registreredes personoplysninger og rettigheder som dataimportøren i henhold til standardbestemmelserne og

(j) at han vil sikre, at standardbestemmelse 4, litra a)-i), overholdes.

Dataimportøren accepterer og garanterer:

(a) at han udelukkende vil behandle personoplysningerne på dataeksportørens vegne og i overensstemmelse med dennes instrukser og standardbestemmelserne. Såfremt han af en hvilken som helst grund ikke er i stand til at sikre en sådan overensstemmelse, indvilliger han i straks at underrette dataeksportøren herom, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten,

(b) at han ikke har grund til at tro, at han ifølge den lovgivning, han er underlagt, er forhindret i at følge de instrukser, han har modtaget fra dataeksportøren, og overholde sine forpligtelser i henhold til kontrakten, og at han, såfremt denne lovgivning ændres således, at det sandsynligvis vil få en væsentlig negativ indvirkning på de garantier og forpligtelser, der opnås ved hjælp af standardbestemmelserne, straks vil give dataeksportøren meddelelse om ændringen, så snart han får kendskab hertil, hvorefter dataeksportøren i så fald har ret til at suspendere dataoverførslen og/eller ophæve kontrakten,

(c) at han, inden han behandler de videregivne personoplysninger, har iværksat de tekniske og organisatoriske sikkerhedsforanstaltninger, der er nærmere angivet i tillægget,

(d) at han straks vil give dataeksportøren meddelelse om:

(i) retshåndhævende myndigheders retligt bindende anmodninger om videregivelse af personoplysninger, medmindre dette på anden måde er forbudt, som for eksempel ved et forbud ifølge strafferetten med henblik på at sikre fortrolighed i efterforskningssager,

(ii) enhver utilsigtet eller uautoriseret adgang og

(iii) anmodninger, der modtages direkte fra de registrerede, og som han ikke har besvaret, medmindre han på anden måde er bemyndiget dertil,

(e) at han straks og behørigt vil behandle alle dataeksportørens forespørgsler vedrørende sin behandling af de videregivne personoplysninger og følge tilsynsmyndighedens anbefalinger med hensyn til behandling af de videregivne oplysninger,

(f) at han på dataeksportørens anmodning vil lade sine databehandlingsfaciliteter underkaste inspektion, som omfatter den i standardbestemmelserne omhandlede databehandling, og som foretages af dataeksportøren eller et inspektionsorgan bestående af uafhængige medlemmer med tavshedspligt, der er i besiddelse af de nødvendige faglige kvalifikationer, og som udpeges af dataeksportøren, i givet fald efter aftale med tilsynsmyndigheden,

(g) at han efter anmodning vil stille et eksemplar af standardbestemmelserne eller eksisterende udliciteringskontrakter til rådighed for den registrerede, medmindre standardbestemmelserne eller kontrakten indeholder kommercielle oplysninger, som han i så fald kan udelade, bortset fra tillæg 2, der erstattes af en kortfattet beskrivelse af sikkerhedsforanstaltningerne i de tilfælde, hvor den registrerede ikke kan få udleveret et eksemplar fra dataeksportøren,

(h) at han i tilfælde af udlicitering på forhånd har underrettet dataeksportøren og indhentet hans skriftlige samtykke dertil,

(i) at den underkontraherede registerførers behandling vil ske i henhold til standardbestemmelse 11,

(j) at han straks vil sende dataeksportøren et eksemplar af udliciteringsaftaler, som han indgår i henhold til standardbestemmelserne.

(k) at han på sin bekostning forsvarer, fritager og holder dataeksportøren skadesløs over for ethvert ansvar og tab i forbindelse med tab, uautoriseret afsløring, tyveri eller kompromitterede personoplysninger, og enhver anden overtrædelse af gældende databeskyttelseslovgivning af eller fra dataimportøren.

1. Parterne er enige om, at registrerede, der har lidt skade som følge af en parts eller en underkontraheret registerførers overtrædelse af de forpligtelser, der er omhandlet i standardbestemmelse 3 eller 11, har ret til erstatning fra dataeksportøren for den lidte skade.

2. Hvis en registreret i tilfælde, hvor dataimportøren eller hans underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren i henhold til stk. 1, fordi dataeksportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvent, accepterer dataimportøren, at den registrerede kan fremsætte krav mod dataimportøren, som om han var dataeksportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor.
   
   Dataimportøren kan ikke unddrage sig sit ansvar ved at påberåbe sig en underkontraheret registerførers misligholdelse af sine forpligtelser.

3. Hvis en registreret i tilfælde, hvor den underkontraherede registerfører overtræder sine forpligtelser i henhold til standardbestemmelse 3 eller 11, ikke er i stand til at fremsætte erstatningskrav mod dataeksportøren eller dataimportøren i henhold til stk. 1 og 2, fordi både dataeksportøren og dataimportøren faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, accepterer den underkontraherede registerfører, at den registrerede kan fremsætte krav mod den underkontraherede registerfører med hensyn til dennes egen behandling i henhold til standardbestemmelserne, som om han var dataeksportøren eller dataimportøren, medmindre en eventuel retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning, idet den registrerede i så fald kan påberåbe sig sine rettigheder over for en sådan retssuccessor. Den underkontraherede registerførers erstatningsansvar begrænses til hans egen databehandling i henhold til standardbestemmelserne.

1. Hvis den registrerede gør tredjemandsløftet gældende over for dataimportøren og/eller kræver skadeserstatning i henhold til standardbestemmelserne, vil dataimportøren acceptere den registreredes beslutning om:
   
   (a) at henvise sagen til mægling foretaget af en uvildig person eller i givet fald af tilsynsmyndigheden,
   
   (b) at henvise sagen til domstolene i den medlemsstat, hvor dataeksportøren er etableret.

2. Parterne er enige om, at den registreredes valg ikke har nogen indvirkning på den registreredes materielle eller processuelle rettigheder til at søge forholdet afhjulpet i overensstemmelse med andre bestemmelser i national eller international ret.

1. Dataeksportøren accepterer at deponere et eksemplar af denne kontrakt hos tilsynsmyndigheden, hvis denne måtte anmode herom, eller hvis det kræves i henhold til den gældende databeskyttelseslovgivning.

2. Parterne accepterer, at tilsynsmyndigheden har ret til at foretage en inspektion af dataimportøren og en eventuel underkontraheret registerfører med samme formål og på de samme betingelser, som en inspektion af dataeksportøren, i henhold til den gældende databeskyttelseslovgivning.

3. Dataimportøren underretter straks dataeksportøren om, at han eller en eventuel underkontraheret registerfører er underlagt en lovgivning, der forhindrer en inspektion af ham eller en eventuel underkontraheret registerfører i henhold til stk. 2. I så fald har dataeksportøren ret til at træffe de foranstaltninger, der er fastsat i standardbestemmelse 5(b).

Standardbestemmelserne er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret, eller når dataeksportøren er etableret i flere jurisdiktioner, vil han være underlagt lovgivningen i England og Wales.

Parterne forpligter sig til ikke at forandre eller ændre standardbestemmelserne. Dette udelukker ikke at parterne tilføjer standardbestemmelser angående forretningsrelaterede spørgsmål, når det er nødvendigt, så længe de ikke strider mod standardbestemmelserne.

1. Dataimportøren udliciterer ikke noget af den databehandling, han foretager på dataeksportørens vegne i henhold til standardbestemmelserne, uden dataeksportørens forudgående skriftlige samtykke. Når dataimportøren med dataeksportørens samtykke, udliciterer sine forpligtelser i henhold til standardbestemmelserne, sker dette udelukkende ved indgåelse af en skriftlig aftale med den underkontraherede registerfører, som herved pålægges de samme forpligtelser, som dem, der påhviler dataimportøren i henhold til standardbestemmelserne. Hvis den underkontraherede registerfører ikke opfylder sine databeskyttelsesforpligtelser i henhold til en sådan skriftlig aftale, er dataimportøren fuldt ansvarlig over for dataeksportøren for, at den underkontraherede registerførers forpligtelser i henhold til en sådan aftale opfyldes.

2. Den forudgående skriftlige kontrakt mellem dataimportøren og den underkontraherede registerfører indeholder også et tredjemandsløfte som fastsat i standardbestemmelse 3 for tilfælde, hvor den registrerede ikke kan fremsætte erstatningskrav som anført i standardbestemmelse 6, stk. 1, mod dataeksportøren eller dataimportøren, fordi de faktisk eller retligt set er ophørt med at eksistere eller er blevet insolvente, og ingen retssuccessor har påtaget sig alle dataeksportørens eller dataimportørens retlige forpligtelser i henhold til kontrakt eller i henhold til lovgivning. Denne tredjepart, underkontraherede registerførers erstatningsansvar er begrænset til hans egen behandling i henhold til standardbestemmelserne.

3. Bestemmelserne om aspekter ved databeskyttelse ved udlicitering i den kontrakt, der er omhandlet i stk. 1, er underlagt lovgivningen i den medlemsstat, hvor dataeksportøren er etableret.

4. Dataeksportøren fører en liste over udliciteringsaftaler, der er indgået i henhold til standardbestemmelserne og meddelt af dataimportøren i henhold til standardbestemmelse 5, litra j), og listen ajourføres mindst en gang om året. Listen er tilgængelig for dataeksportørens datatilsynsmyndighed.

1. Parterne er enige om, at dataimportøren og den underkontraherede registerfører, når databehandlingen af personoplysningerne er afsluttet, og afhængigt af dataeksportørens ønske, enten returnerer alle videregivne personoplysninger og eksemplarer heraf til dataeksportøren eller destruerer alle personoplysninger og attesterer dette over for dataeksportøren, medmindre den lovgivning, som dataimportøren er underlagt, forhindrer denne i at returnere eller destruere alle eller en del af de videregivne personoplysninger. Dataimportøren garanterer i så fald, at denne vil sikre fortroligheden af de videregivne personoplysninger og ikke aktivt vil foretage yderligere behandling af disse personoplysninger.

2. Dataimportøren og den underkontraherede registerfører garanterer, at de på dataeksportørens og/eller tilsynsmyndighedens anmodning vil lade deres databehandlingsfaciliteter underkaste en inspektion med henblik på kontrol af de foranstaltninger, der er omhandlet i stk. 1.

Yderligere nødvendige oplysninger, hvis de ikke er indeholdt i en ledsagende SOW (Statement of Work), bør indgå i dette bilag:

Dataeksportør:
Dataeksportøren er den enhed, der er identificeret som GoDaddy, en leverandør af forhandlerprogrammer så dataimportøren kan videresælge visse af GoDaddy’s produkter og tjenester til kunder.

Dataimportør:

Dataimportøren er forhandler af GoDaddys produkt og tjenester.

Registrerede

De registrerede er kunder.

Datakategorier

De overførte personoplysninger vedrører følgende datakategorier:

Kunden kan indsende personoplysninger til tjenesterne, som kan omfatte, men ikke er begrænset til, følgende kategorier af personoplysninger:

• fornavn og efternavn
• e-mail
• telefonnummer
• fysiske adresse
• databehandlinger

De overførte personoplysninger vil blive underlagt følgende grundlæggende databehandlingsaktiviteter:

Forhandleren vil behandle personoplysninger som nødvendigt for at udføre tjenesteydelser i henhold til forhandleraftalen og som yderligere instrueret af kunden under brugen af tjenesterne.

Tekniske og organisatoriske sikkerhedsforanstaltninger

Dataimportøren skal opretholde tekniske og administrative sikkerhedsforanstaltninger til beskyttelse af sikkerheden, fortroligheden og integriteten af kundedata, herunder personoplysninger, som angivet i dette databehandlingstillæg. Dataimportøren overvåger regelmæssigt overholdelsen af disse sikkerhedsforanstaltninger. Dataimportøren vil ikke væsentligt mindske den samlede sikkerhed for tjenesterne eller forhandlerprogrammet.