GoDaddy

ДОДАТКОВА УГОДА ПРО ОБРОБКУ ДАНИХ (ДЛЯ КЛІЄНТІВ)

Додаткова угода про обробку даних (далі – "Додаткова угода") укладена між компанією GoDaddy.com, LLC, a Delaware limited liability company і її Компаньйонами (далі – "GoDaddy") та вами (далі – "Клієнт") і доповнює наші Універсальні умови користування, Політику конфіденційності та всі інші угоди, що регламентують надання Передбачених послуг (разом – "Умови надання послуг").  Якщо в цій Додатковій угоді не зазначено інше, усі невизначені в ній терміни, написані з великої літери, матимуть значення, наведені в Умовах надання послуг.

1. Визначення

"Компаньйони" – це будь-які юридичні особи, які перебувають під контролем компанії GoDaddy, контролюють її або контролюються спільно з нею.

"Передбачені послуги – будь-які послуги, розміщені на хостингу, які ми надаємо вам і з приводу яких можемо обробляти особисті даних.

"Дані клієнта" – це особисті дані будь-якого суб’єкта даних, оброблені компанією GoDaddy в мережі GoDaddy від імені Клієнта відповідно до Умов надання послуг або у зв’язку з ними.

"Контролер даних" – це Клієнт як суб’єкт, який визначає цілі та засоби обробки особистих даних.

"Обробник даних – це компанія GoDaddy як суб’єкт, який обробляє особисті дані від імені Контролера даних.

"Закони про захист даних" — це всі закони та правила, включно із законами та правилами Європейського Союзу, що застосовуються до Обробки особистих даних відповідно до Угоди

"Суб’єкт даних – це фізична особа, якої стосуються особисті дані.

"ЄEП" – це Європейський економічний простір.

"Мережа GoDaddy" – це об’єкти центру обробки даних GoDaddy, сервери, мережеве обладнання та програмні системи хоста (наприклад, віртуальні брандмауери), які перебувають під контролем GoDaddy і використовуються для надання Передбачених послуг.

"Особисті дані" – це будь-яка інформація, що стосується ідентифікованої особи або особи, яку можна ідентифікувати.

"Обробка" – це будь-яка операція або сукупність операцій, які виконуються з Особистими даними автоматично або вручну, зокрема збирання, записування, упорядкування, структурування, зберігання, адаптація або змінення, отримання, консультування, використання, розкриття шляхом передавання, розповсюдження або надання доступу іншим чином, узгодження або комбінування, обмеження, стирання або знищення. Слова "обробка", "обробляти" й "оброблені" будуть тлумачитися відповідним чином. Докладні відомості про обробку викладено в Додатку 1.

"Інцидент із безпекою" – (a) порушення безпеки Стандартів безпеки GoDaddy, що призводить до випадкового або незаконного знищення, утрати, змінення, несанкціонованого розголошення будь-яких Даних клієнта або доступу до них; (б) будь-який несанкціонований доступ до обладнання або об’єктів GoDaddy, що призводить до знищення, утрати, несанкціонованого розкриття або змінення Даних клієнта.

"Стандарти безпеки" – це стандарти безпеки, включені в цю Додаткової угоди як Додаток 2.​

"Стандартні договірні положення" (СДП) – це Додаток 3, що доповнює цю Додаткову угоду та є її невід’ємною частиною відповідно до рішення Європейської комісії від 5 лютого 2010 р. щодо Стандартних договірних положень у зв’язку з передаванням особистих даних обробникам, укладених у сторонніх країнах відповідно до Директиви. 

"Субпідрядник з обробки даних" – це будь-який обробник даних, задіяний Обробником для обробки даних від імені Контролера даних.                                                               

2. Обробка даних

2.1 Сфера дії та ролі. Ця Додаткова угода застосовується, коли дані Клієнта обробляє компанія GoDaddy.  У цьому контексті GoDaddy буде діяти як Обробник даних від імені Клієнта та як Контролер даних відносно Даних клієнта.

2.2 Докладні відомості про обробку даних. Обробка даних Клієнта компанією GoDaddy полягає у виконанні Передбачених послуг відповідно до Умов надання послуг і угод про використання певного продукту. Компанія GoDaddy обробляє Дані клієнта лише від імені Клієнта та відповідно до його документованих інструкцій з такими цілями: (І) обробка відповідно до Умов надання послуг або відповідної угоди про використання продукту; (ІІ) обробка, ініційована користувачами під час використання Передбачених послуг; (ІІІ) обробка для виконання інших документованих, обґрунтованих інструкцій, наданих Клієнтами (наприклад, електронною поштою), якщо такі інструкції відповідають умовам Угоди. Компанія GoDaddy не зобов’язана виконувати або дотримуватись інструкцій Клієнта, якщо вони порушують Загальний регламент із захисту даних або будь-які інші чинні закони про захист даних. Тривалість, характер і мета Обробки, типи особистих даних і категорії суб’єктів даних, оброблених відповідно до цієї Додаткової угоди, зазначено далі в Додатку 1 (далі — "Докладні відомості про обробку") до цієї Додаткової угоди.

3. Конфіденційність Даних клієнта

Компанія GoDaddy не розголошуватиме Дані клієнта будь-якому державному органу або третім особам, окрім випадків, коли це необхідно для дотримання законодавства або чинного й обов’язкового розпорядження правоохоронного органу (наприклад, судової повістки чи постанови).  Якщо правоохоронні органи надішлють GoDaddy запит на видачу Даних клієнта, компанія GoDaddy намагатиметься рекомендувати правоохоронним органам звернутися за цими даними напряму до Клієнта. У межах цього процесу компанія GoDaddy може надати правоохоронним органам базову контактну інформацію Клієнта. У разі потреби розголосити Дані клієнта правоохоронним органам компанія GoDaddy надасть Клієнту обґрунтоване повідомлення про таку вимогу, надавши йому змогу отримати охоронний судовий наказ або вжити інших належних заходів із захисту своїх прав, якщо компанії GoDaddy це не заборонено законом.

4. Безпека

4.1. Компанія GoDaddy запровадила й зобов’язується підтримувати технічні та організаційні заходи для мережі GoDaddy, описані в цьому розділі та Додатку 2 "Стандарти безпеки" цієї Додаткової угоди. Зокрема, компанія GoDaddy запровадила й зобов’язується підтримувати наведені нижче технічні та організаційні заходи, які стосуються (і) безпеки мережі GoDaddy; (іі) фізичної безпеки об’єктів; (ііі) контролю доступу працівників і підрядників до (і) та/або (ii); та (іv) процесів перевірки й оцінювання ефективності технічних і організаційних заходів, які впроваджує GoDaddy. У разі неспроможності виконання нами будь-яких її зобов’язань, викладених у цьому документі, ми якомога швидше надамо про це письмове повідомлення (на нашому веб-сайті або електронною поштою).

4.2.Компанія GoDaddy надає низку функцій безпеки й можливостей її гарантування, які Клієнт може використовувати у зв’язку із Передбаченими послугами. Клієнт несе відповідальність за (а) правильне налаштування Передбачених послуг, (б) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), для забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і служб обробки; (в) використання засобів керування, доступних у зв’язку з Передбаченими послугами (зокрема, засобів керування безпекою), щоб мати змогу своєчасно відновлювати Дані клієнта та отримувати до них доступ на випадок фізичного або технічного інциденту (наприклад, резервного копіювання та поточного архівування Даних клієнта); (г) вжиття таких заходів, які він вважає достатніми для підтримки відповідного рівня безпеки, захисту та видалення Даних клієнта, зокрема використання технології шифрування для захисту Даних клієнта від несанкціонованого доступу та вжиття заходів для керування правами доступу до Даних клієнта.

5. Права Суб’єкта даних

З огляду на характер Передбачених послуг компанія GoDaddy пропонує Клієнтам певні елементи керування, як це описано в розділі "Безпека" цієї Додаткової угоди, за допомогою яких Клієнт може отримувати, виправляти та видаляти свої дані або обмежувати їх використання й обмін, як описано в розділі "Передбачені послуги". Клієнт може використовувати ці елементи керування як технічні й організаційні заходи, які допомагають йому під час виконання його зобов’язань відповідно до чинного законодавства про конфіденційність, включно із зобов’язаннями щодо відповіді на запити Суб’єктів даних. Враховуючи комерційно обґрунтовані міркування, компанія GoDaddy у передбачених законом випадках негайно повідомляє Клієнта, якщо GoDaddy отримує прямий запит від Суб’єкта даних на виконання таких прав згідно з будь-якими чинними законами про захист даних (далі — "запит Суб’єкта даних"). Крім того, якщо використання Клієнтом Передбачених послуг обмежує його здатність реагувати на запит Суб’єкта даних, компанія GoDaddy може, за умови юридичного обґрунтування й доречності та за конкретним запитом Клієнта, надавати комерційно обґрунтовану допомогу в процесі розгляду запиту коштом Клієнта (якщо потрібно).

6. Обробка даних субпідрядником

6.1 Авторизовані субпідрядники з обробки даних. Клієнт погоджується, що компанія GoDaddy може залучати субпідрядників з обробки даних для виконання власних договірних зобов’язань відповідно до Умов надання послуг і цієї Додаткової угоди або надання певних послуги від її імені, наприклад послуг підтримки. Клієнт погоджується, що GoDaddy використовуватиме субпідрядників з обробки даних, як описано в цьому розділі. Крім випадків, викладених у цьому розділі, або якщо інше не буде явно дозволено вами, GoDaddy не дозволить виконувати будь-які інші дії із залученням субпідрядників з обробки даних.

6.2 Обов’язки субпідрядника з обробки даних. Якщо компанія GoDaddy використовує будь-якого авторизованого субпідрядника з обробки даних, як описано в розділі 6.1:

(і) компанія GoDaddyобмежує доступ субпідрядника з обробки даних до Даних клієнта тільки тим, що необхідно для підтримки Передбачених послуг або їх надання Клієнту та будь-яким кінцевим користувачам відповідно до правил надання Передбачених послуг. Компанія GoDaddy забороняє субпідряднику з обробки даних доступ до Даних клієнта для будь-яких інших цілей;

(іі) компанія GoDaddy укладе письмовий договір із субпідрядником з обробки даних і, у тій мірі, у якій субпідрядник з обробки даних надає ті ж послуги з обробки даних, які надаються GoDaddy відповідно до цієї Додаткової угоди, компанія GoDaddy накладе на субпідрядника з обробки даних ті ж договірні зобов’язання, що й передбачені для компанії GoDaddy за цією Додатковою угодою;

(ііі) компанія GoDaddy залишатиметься відповідальною за виконання своїх зобов’язань за цією Додатковою угодою та за будь-які дії чи бездіяльність субпідрядника з обробки даних, через які компанія GoDaddy порушить будь-які із зобов’язань GoDaddy за цією Додатковою угодою.

6.3 Нові субпідрядники з обробки даних.  Час від часу ми можемо залучати нових субпідрядників з обробки даних відповідно до умов цієї Додаткової угоди.  У таких випадках ми надсилаємо попереднє повідомлення (через веб-сайт або електронною поштою) за 60 днів до того, як передати новому субпідряднику з обробки даних будь-які дані клієнтів. Якщо ваш клієнт не схвалює нового субпідрядника з обробки даних, він може припинити використовувати Передбачені послуги без штрафів, надавши, протягом 10 днів із дати отримання повідомлення від нас, письмове повідомлення про припинення використання послуг із поясненням причин свого несхвалення. Якщо Передбачені послуги є частиною набору або збірної покупки, тоді будь-яке припинення застосовуватиметься до всього набору чи збірки.

7. Сповіщення про порушення безпеки

7.1 Інцидент із безпекою. Якщо компанія GoDaddy дізнається про Інцидент із безпекою, GoDaddy зобов’язується без зайвої затримки: (а) повідомити Клієнта про Інцидент із безпекою; (б) вжити відповідні заходи для пом’якшення наслідків і мінімізації будь-якої шкоди, завданої внаслідок цього Інциденту. 

7.2 GoDaddy Допомога.  Щоб надати Клієнту допомогу з будь-якими повідомленнями про порушення конфіденційності особистих даних, які він зобов’язаний надсилати згідно з будь-яким відповідним законом про конфіденційність, компанія GoDaddy включить у повідомлення, зазначене в розділі 8.1, інформацію про Інцидент із безпекою, яку GoDaddy може обґрунтовано розкрити Клієнту з урахуванням характеру Передбачених послуг, інформації, доступної компанії GoDaddy, і будь-яких обмежень на розкриття такої інформації, зокрема її конфіденційності.  

7.3 Невдалі інциденти з безпекою. Клієнт погоджується з тим, що:

(і) Невдалий Інцидент із безпекою не підпадатиме під дію умов цієї Додаткової угоди. Невдалий Інцидент із безпекою не є результатом несанкціонованого доступу до Даних клієнта або до будь-якої з мереж, устаткування чи об’єктів компанії GoDaddy, що зберігають Дані клієнта, і може включати, зокрема, перевірки зв’язку й інші трансляційні атаки на брандмауери або межові сервери, сканування портів, невдалі спроби входу в систему, атаки типу "відмова в обслуговуванні", вистежування пакетів (або інший неавторизований доступ до даних про трафік, який не призводить до доступу до вмісту під заголовками) або подібні інциденти.

(іі) Обов’язок компанії GoDaddy повідомляти про Інцидент із безпекою або реагувати на нього відповідно до цього розділу не може та не буде тлумачитися як визнання компанією GoDaddy будь-якої помилки або відповідальності GoDaddy у зв’язку з таким Інцидентом.  

7.4 Спілкування. Повідомлення про Інциденти з безпекою, якщо такі є, доставлятимуться одному або кільком адміністраторам Клієнта будь-якими способами на розсуд компанії GoDaddy, зокрема електронною поштою. Клієнт несе повну відповідальність за те, щоб адміністратори Клієнта постійно зберігали точну контактну інформацію на консолі керування GoDaddy та здійснювали безпечне передавання.

8. Права Клієнта

8.1 Незалежне визначення. Клієнт несе відповідальність за перегляд інформації, наданої компанією GoDaddy стосовно захисту даних і її стандартів безпеки, а також незалежне визначення того, чи відповідають Передбачені послуги вимогам і юридичним зобов’язанням Клієнта, а також його зобов’язанням відповідно до цієї Додаткової угоди. Надана інформація призначена для того, щоб допомогти Клієнту виконувати його зобов’язання згідно з чинним законодавством про конфіденційність, включно із Загальним регламентом із захисту даних, щодо оцінки впливу на захист даних і отримання попередньої консультації.

8.2 Права Клієнта на аудит. Клієнт має право переконатися в дотриманні компанією GoDaddy вимог щодо Передбачених послуг за цією Додатковою угодою, зокрема у виконанні GoDaddy власних Стандартів безпеки, скориставшись належним правом на проведення аудиту або інспекції, зокрема згідно зі Стандартними договірними положеннями, якщо вони застосовуються, і надіславши спеціальний письмовий запит до компанії GoDaddy на адресу, зазначену в Умовах надання послуг. Якщо GoDaddy відмовляється виконувати будь-які інструкції, запропоновані Клієнтом стосовно належним чином запитаного й обґрунтованого аудиту чи інспекції, Клієнт має право припинити дію цієї Додаткової угоди та Умов надання послуг. Якщо застосовуються Стандартні договірні положення, ніщо в цьому розділі не змінює або не модифікує Стандартні договірні положення та не впливає на права будь-якого наглядового органу чи суб’єкта даних відповідно до Стандартних договірних положень. Цей розділ також застосовується в рамках здійснення компанією GoDaddy контролю над субпідрядниками з обробки даних від імені Клієнта.

9. Передавання особистих даних

9.1 Обробка у США. Крім випадків, коли це явно зазначено в Умовах надання послуг, Дані клієнта передаватимуться за межі ЄЕП і оброблятимуться в Сполучених Штатах.  

9.2 Застосування Стандартних договірних положень. Стандартні договірні положення застосовуватимуться до Даних клієнта, які передаються за межі ЄЕП (напряму або через передавання даних) до будь-якої країни, не визнаної Європейською Комісією як такою, що забезпечує належний рівень захисту особистих даних (як описано в Загальному регламенті із захисту даних). Стандартні договірні положення не поширюються на Дані клієнта, які не передаються ні напряму, ні через передавання даних за ​​межі ЄЕП.  Незважаючи на вищесказане, Стандартні договірні положення не застосовуються, якщо дані передаються відповідно до визнаного стандарту законного передавання особистих даних (як визначено в Загальному регламенті із захисту даних) за межами ЄЕП, зокрема Програм захисту конфіденційності ЄС-США та Швейцарія-США.  

10. Припинення дії Додаткової угоди

Ця Додаткова угода продовжуватиме діяти до завершення нами обробки відповідно до Умов надання послуг (далі — "Дата припинення дії").   

11. Повернення або видалення Даних клієнта

Як описано в розділі "Передбачені послуги", Клієнту можуть бути надані елементи керування, які можна використовувати для отримання або видалення Даних клієнта. Будь-яке видалення Даних клієнта регулюватиметься умовами використання конкретних Передбачених послуг.

12. Обмеження відповідальності

Відповідальність кожної зі сторін у межах цієї Додаткової угоди підпадає під винятки й обмеження відповідальності, викладені в Умовах надання послуг. Клієнт погоджується з тим, що будь-які регулятивні штрафи, накладені на компанію GoDaddy у зв’язку з Даними клієнта, які виникають унаслідок або через невиконання Клієнтом своїх зобов’язань відповідно до цієї Додаткової угоди та будь-яких чинних законів про конфіденційність, враховуватимуться та зменшуватимуть відповідальність GoDaddy відповідно до Умов надання послуг так, ніби це була б відповідальність перед Клієнтом згідно з Умовами надання послуг.

13. Вичерпність Умов надання послуг; колізії

Ця Додаткова угода замінює собою всі зроблені раніше чи одночасно заяви, домовленості, угоди або обговорення між Клієнтом і компанією GoDaddy в письмовій або усній формі стосовно предмету цієї Додаткової угоди, зокрема будь-які додаткові угоди про обробку даних, укладні між компанією GoDaddy і Клієнтом у зв’язку з обробкою особистих даних і їх вільним переміщенням.  Усі положення Умов надання послуг зберігатимуть повну юридичну силу, окрім тих, у які внесено зміни цією Додатковою угодою.  У разі колізії між будь-якими угодами, укладеними між сторонами, зокрема між Умовами надання послуг і цією Додатковою угодою, умови цієї Додаткової угоди матимуть переважну силу.

** ************************************************

Додаток 1

 ДОКЛАДНІ ВІДОМОСТІ ПРО ПРОЦЕС

 1. Суть і мета обробки. Компанія GoDaddy оброблятиме Особисті дані, необхідні для надання Передбачених послуг відповідно до Умов надання послуг, угод про використання певних продуктів, а також додаткових інструкцій, наданих Клієнтом під час використання Передбачених послуг.

 2. Тривалість обробки. За умови дотримання розділу 10 цієї Додаткової угоди компанія GoDaddy оброблятиме особисті дані протягом періоду чинності Умов надання послуг, але дотримуватиметься умов цієї Додаткової угоди на час Обробки, якщо її тривалість перевищуватиме цей термін і якщо інше не узгоджено в письмовій формі.

3. Категорії суб’єктів даних. Клієнт може передавати Особисті дані під час використання Передбачених послуг у тій мірі, у якій це визначається та контролюється на власний розсуд Клієнта, що може передбачати, зокрема, Особисті дані, що стосуються наведених нижче категорій суб’єктів даних:

  • Потенційні та наявні клієнти, ділові партнери та постачальники Клієнта (які є фізичними особами)
  • Співробітники або контактні особи потенційних або наявних клієнтів, ділових партнерів і постачальників Клієнта
  • Співробітники, агенти, радники, фрилансери Клієнта (які є фізичними особами)
  • Користувачі Клієнта, яким він дозволив використовувати Передбачені послуги

 4. Типи особистих даних. Клієнт може завантажувати Особисті дані під час використання Передбачених послуг, тип і обсяг яких визначається та контролюється Клієнтом на власний розсуд. Вони, зокрема, можуть враховувати зазначені нижче категорії Особистих даних Суб’єктів даних: 

  • Ім’я
  • Адреса
  • Номер телефону
  • Дата народження
  • Адреса електронної пошти
  • Інші дані, які ми збираємо, що можуть прямо або опосередковано вказувати на вас.

** ************************************************

Додаток 2

Стандарти безпеки

I. Технічні та організаційні заходи  

Ми прагнемо захистити інформацію наших клієнтів.  Беручи до уваги передовий досвід, витрати на реалізацію та суть, обсяг, обставини й цілі обробки, а також різну ймовірність виникнення та ступінь ризику для прав і свобод фізичних осіб, ми вживаємо перелічених нижче технічних і організаційних заходів.  Під час вибору заходів враховується конфіденційність, цілісність, доступність і стійкість систем. Швидке відновлення після фізичного чи технічного інциденту гарантується. 

II.  Програма конфіденційності даних  

Наша програма конфіденційності даних створена для підтримки глобальної структури керування даними та безпеки інформації протягом усього її життєвого циклу. Цю програму ініціювала служба із захисту даних, голова якої здійснює нагляд за впровадженням заходів із забезпечення конфіденційності та безпеки. Ми регулярно перевіряємо, оцінюємо й аналізуємо ефективність її Програми захисту конфіденційності даних і Стандартів безпеки.   

1. Конфіденційність. "Конфіденційність означає, що особисті дані захищені від несанкціонованого розголошення".  

Ми вживаємо різних фізичних і логічних заходів для захисту конфіденційності особистих даних наших клієнтів. Ці заходи передбачають наведене нижче.   

  Підтримка фізичної безпеки  

  • Наявність систем контролю фізичного доступу (контроль доступу до емблем, моніторинг подій безпеки тощо) 
  • Системи спостереження, зокрема сигнали тривоги та, за потреби, відеонагляд
  • Правила та заходи із забезпечення чистоти робочого місця (блокування комп’ютера, що лишається без нагляду, закриті шафи тощо)  
  • Керування доступом відвідувачів
  • Знищення даних на фізичних носіях і документів (подрібнення, розмагнічування тощо) 

  Керування доступом і запобігання несанкціонованому доступу 

  • Застосовані обмеження доступу користувачів і дозволи на доступ на основі ролей, надані або переглянуті за принципом розподілу обов’язків
  • Надійні методи автентифікації й авторизації (багатофакторна автентифікація, авторизація на основі сертифікатів, автоматична деактивація або вихід із системи тощо) 
  • Централізоване керування паролями та правила надійних і складних паролів (мінімальна довжина, складність символів, термін дії паролів тощо)   
  • Керований доступ до електронної пошти й Інтернету
  • Керування антивірусними програмами
  • Керування системою запобігання вторгненням

Шифрування   

  • Шифрування зовнішньої та внутрішньої комунікації за допомогою надійних криптографічних протоколів
  • Шифрування даних PII/SPII у стані спокою (бази даних, спільні каталоги тощо)   
  • Шифрування всього диска для ПК і ноутбуків компанії
  • Шифрування носіїв даних
  • Віддалені підключення до мереж компанії шифруються за допомогою VPN
  • Захист життєвого циклу ключів шифрування

 Мінімізація даних    

  • Мінімізація даних PII/SPI у програмах, налагодження та журнали безпеки
  • Псевдонімізація особистих даних для запобігання прямої ідентифікації особи
  • Класифікація збережених даних за функцією (тестові, проміжні, інтерактивні)
  • Логічна класифікація даних за правами доступу на основі ролей
  • Визначені періоди збереження особистих даних

Перевірка безпеки     

  • Перевірка захисту від несанкціонованого доступу до найважливіших мереж і платформ компанії, на яких розміщуються особисті дані
  • Регулярна перевірка мережі та пошук вразливостей

2. Цілісність. "Цілісність означає забезпечення правильності (недоторканності) даних і належного функціонування систем. Коли термін "цілісність" використовується у зв’язку з терміном "дані", він означає, що дані є повними та незміненими".  

Окрім елементів керування доступом, наявні також належні елементи керування змінами та журналами, щоб дають змогу зберігати цілісність особистих даних, наприклад:    

Керування змінами та випусками    

  • Процес керування змінами та випусками включно з (аналізом впливу, схваленням, тестуванням, аналізом безпеки, групуванням, моніторингом тощо)  
  • Надання доступу до виробничого середовища на основі ролей і функцій (розподіл обов’язків)

Журналювання та моніторинг

  • Журналювання доступу до даних і внесення змін у них
  • Централізовані журнали аудиту та безпеки
  • Моніторинг повноти та правильності передавання даних (наскрізна перевірка)

3. Доступність. "Доступність послуг та ІТ-систем, комп’ютерних програм і функцій мережі ІТ або ІТ-інформації гарантується, якщо користувачі здатні завжди використовувати їх належним чином".    

Ми впроваджуємо відповідні заходи для забезпечення безперебійності та безпеки, щоб підтримувати доступність своїх служб і даних, розміщених у них.    

  • Регулярні перевірки важливих служб на відновлення після відмови
  • Інтенсивний моніторинг ефективності або доступності та звітність для критичних систем
  • Програма реагування на інциденти
  • Реплікація або резервне копіювання важливих даних (резервне копіювання в хмарі або на жорсткому диску, реплікація баз даних тощо) 
  • Планове обслуговування програмного забезпечення, інфраструктури та засобів безпеки (оновлення програмного забезпечення, виправлення системи безпеки тощо)   
  • Надлишкові та стійкі системи (серверні кластери, дзеркальні бази даних, налаштування високої доступності тощо) розташовано у віддалених і/або географічно розділених розташуваннях
  • Використання джерел безперебійного живлення, резервного обладнання та мережевих систем
  • Сигналізація, наявні системи безпеки
  • Заходи фізичного захисту в критичних місцях (захист від перенапруг, фальшпідлоги, системи охолодження, детектори вогню та/або диму, системи пожежогасіння тощо) 
  • Захист від DDOS-атак для підтримки доступності
  • Перевірка стійкості та перевірка з навантаженням

4Інструкції з обробки даних. "Інструкції з обробки даних передбачають, що особисті дані оброблятимуться лише відповідно до інструкцій контролера даних і відповідних заходів компанії"  

Щоб забезпечити обробку особистих даних відповідно до вподобань та інструкцій клієнтів, ми запровадили внутрішню політику конфіденційності, укладаємо з працівниками відповідні угоди та проводимо для них регулярні навчання з питань конфіденційності.   

  • Умови захисту конфіденційності в договорах із працівниками
  • Проведення регулярних навчань для працівників із дотримання конфіденційності та безпеки даних
  • Включення відповідних положень в угоди із субпідрядниками з метою збереження прав на інструктивне керування
  • Проведення регулярних перевірок дотримання конфіденційності сторонніми постачальниками послуг
  • Надання клієнтам повного контролю над параметрами обробки даних
  • Регулярні аудити безпеки

**********************************************

Додаток 3

Відомості про застосування цих СДП див. в розділі 9.2 Додаткової угоди

Стандартні договірні положення (для обробників)

Для потреб статті 26(2) Директиви 95/46/EC щодо передавання особистих даних обробникам, зареєстрованим у сторонніх країнах, що не забезпечують належного рівня захисту даних

Суб’єкт, ідентифікований як "Клієнт", у Додатковій угоді
(далі – "експортер даних")

та

компанія GoDaddy.com, LLC

 (далі – "імпортер даних"),

що окремо називаються "сторона", а разом – "сторони",

ДОМОВИЛИСЯ про наведені нижче Договірні положення (далі – "Положення") з метою забезпечення адекватних гарантій захисту конфіденційності та дотримання основних прав і свобод фізичних осіб під час передавання експортером даних імпортеру даних особистих даних, зазначених у Додатку 1.

Положення 1

Визначення

Для цілей цих Положень:

(a) поняття "особисті дані", "спеціальні категорії даних", "обробляти", "обробка", "контролер", "обробник", "суб’єкт даних" і "наглядовий орган" мають таке ж значення, як у Директиві 95/46/EC Європейського Парламенту та Європейської Ради від 24 жовтня 1995 р., що стосується захисту фізичних осіб у зв’язку з обробкою особистих даних і їх вільним переміщенням;

(б) "експортер даних" – це контролер, який передає особисті дані;

(в) "імпортер даних" – це обробник, який погоджується отримувати від експортера даних особисті дані, призначені для обробки від його імені після передачі відповідно до інструкцій і умов Положень, і який не підпадає під дію систем третьої країни щодо забезпечення належного захисту згідно з вимогами статті 25(1) Директиви 95/46/EC;

(г) "субпідрядник з обробки даних" – це будь-який обробник, задіяний імпортером даних або будь-яким іншим його субпідрядником, який погоджується отримувати від них особисті дані, призначені винятково для обробки від імені експортера даних після передачі відповідно до його інструкцій, умов цих Положень і умов договору підряду, укладеного в письмовій формі;

(ґ) "чинне законодавства про захист даних" – це законодавство, яке захищає основні права та свободи фізичних осіб, зокрема, їхнє право на конфіденційність у зв’язку з обробкою особистих даних, і застосовується до контролера даних у Державі-члена, у якій засновано експортера даних;

(д) "технічні й організаційні заходи безпеки" – це заходи, спрямовані на захист особистих даних від випадкового або незаконного знищення чи випадкової втрати, змінення, несанкціонованого розкриття інформації або доступу до неї, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки.

Положення 2

Докладні відомості про передачу

Докладні відомості про передачу та, зокрема, спеціальні категорії особистих даних, якщо застосовуються, наведено в Додатку 1, який є невід’ємною частиною цих Положень.

Положення 3

Положення щодо сторонніх бенефіціарів

1.  Суб’єкт даних може вимагати виконання експортером даних цього Положення, Положення 4(б)–(ж), Положення 5(а)–(ґ) і (е)–(з) Положення 6(1) і (2), Положення 7, Положення 8(2), Положень 9–12 як стороннім бенефіціаром.

2.  Суб’єкт даних може забезпечити виконання імпортером даних цього Положення, Положень 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положень 9–12 у випадках, коли експортер даних фактично зник або юридично припинив існувати, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта.

3.  Суб’єкт даних може забезпечити виконання субпідрядником з обробки даних цього Положення, Положення 5(a)–(ґ) і (е), Положення 6, Положення 7, Положення 8(2) і Положень 9–12 у випадках, коли експортер та імпортер даних фактично зникли або припинили своє законне існування чи стали неплатоспроможними, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується його власними процесами обробки згідно з Положеннями.

4.  Сторони не заперечують проти представництва суб’єкта даних асоціацією чи іншим органом, якщо суб’єкт даних явно висловлює таке побажання й це дозволено національним законодавством.

Положення 4

Обов’язки експортера даних

Експортер даних погоджується та гарантує:

(а) що обробка, зокрема власне передавання, особистих даних виконувалася й виконуватиметься відповідно до наявних положень чинного законодавства про захист даних (і, якщо це доречно, про це буде повідомлено відповідні органи Держави-члена, у якій засновано експортера даних) і не порушує відповідних положень такої Держави;

(б) що він віддав (і віддаватиме протягом усього терміну використання служб обробки особистих даних) імпортерам даних розпорядження обробляти особисті дані, передані тільки від імені експортера даних і відповідно до чинного законодавства про захист даних і Положень;

(в) що імпортер даних забезпечить достатні гарантії стосовно технічних і організаційних заходів безпеки, зазначених у Додатку 2 до цього договору;

(г) що після оцінки вимог чинного законодавства про захист даних заходи безпеки є доцільними для захисту особистих даних від випадкового або незаконного знищення або випадкової втрати, змінення, несанкціонованого розголошення або доступу, особливо якщо обробка передбачає передавання даних через мережу, а також від усіх інших незаконних форм обробки, і що ці заходи гарантують рівень безпеки, відповідний ризикам, що виникають під час обробки, і характеру даних, що підлягають захисту, з урахуванням їхньої актуальності та вартості;

(ґ) що він забезпечить відповідність вимогам до заходів безпеки;

(д) що, якщо передавання передбачає спеціальні категорії даних, суб’єкт даних був або буде поінформований перед або найближчим часом після передавання про те, що його дані можуть бути передані до третьої країни, яка не надає адекватного захисту, передбаченого Директивою 95/46/EC;

(е) переслати будь-яке повідомлення, отримане від імпортера даних або будь-якого субпідрядника з обробки даних відповідно до Положення 5(б) і Положення 8(3), до наглядового органу із захисту даних, якщо експортер даних вирішить продовжити передавання або скасувати призупинення;

(є) надавати за запитом суб’єктам даних копію цих Положень, крім Додатку 2, короткий опис заходів безпеки, а також копію будь-якого договору про надання послуг з обробки даних субпідрядником, який потрібно укладати відповідно до Положень, якщо в Положеннях або в контракті не міститься комерційна інформація, яку в такому разі можна вилучити;

(ж) що у випадку виконання обробки субпідрядниками з обробки даних вона здійснюватиметься відповідно до Положення 11 із забезпеченням щонайменше такого самого рівня захисту особистих даних і прав суб’єкта даних, як і в імпортера даних відповідно до Положень;

(з) що це забезпечить дотримання Положення 4(a)–(ж).

Положення 51.

Обов’язки імпортера даних

Імпортер даних погоджується та гарантує:

(а) обробляти особисті дані лише від імені експортера даних і відповідно до його інструкцій і Положень; якщо він не може забезпечити таке дотримання з будь-яких причин, він погоджується негайно повідомити експортера даних про неможливість такого дотримання, і в такому разі експортер даних має право призупинити передавання даних і/або розірвати договір;

(б) що він не має підстав вважати, що законодавство, яке застосовується до нього, перешкоджає йому виконувати інструкції, отримані від експортера даних, і його зобов’язання за договором, і що в разі змінення цього законодавства, яке, імовірно, матиме суттєвий негативний вплив на гарантії та зобов’язання, передбачені цими Положеннями, він негайно повідомить про ці зміни експортера даних, щойно йому стане про це відомо; у такому разі експортер даних має право призупинити передавання даних і/або розірвати договір;

(в) що він ужив технічних і організаційних заходів безпеки, зазначених у Додатку 2, перед обробкою переданих особистих даних;

(г) він негайно повідомить експортера про:

(і) будь-який обов’язковий для виконання запит правоохоронного органу на розголошення особистих даних, якщо це не заборонено, наприклад, кримінальним законодавством з метою збереження таємниці слідства;

(іі) будь-який випадковий чи неавторизований доступ;

(ііі) будь-який запит, отриманий безпосередньо від суб’єктів даних, на який не потрібно відповідати, крім випадків, коли на це є відповідний дозвіл;

(ґ) негайно та правильно вирішувати всі запити, надіслані експортером даних, щодо обробки особистих даних, що підлягають передаванню, і дотримуватися рекомендацій наглядового органу щодо обробки переданих даних;

(д) на вимогу експортера даних надавати свої засоби обробки даних для аудиту заходів обробки, передбачених цими Положеннями, які має здійснювати експортер даних або інспекційний орган, що складається з незалежних членів і має належну професійну кваліфікацію, пов’язану з дотриманням конфіденційності, обраний експортером даних, якщо це можливо, за згодою з наглядовим органом;

(е) надавати суб’єктам даних за запитом копію цих Положень або будь-якого наявного договору про обробку даних субпідрядниками, якщо в Положеннях чи договорі не міститься комерційна інформація (яку в такому разі можна видалити), за винятком Додатку 2, який слід замінити коротким описом заходів безпеки на випадок, коли суб’єкт даних не зможе отримати копію від експортера даних;

(є) що, у разі обробки даних субпідрядником, він раніше повідомив експортера даних і отримав його попередню письмову згоду;

(ж) що послуги обробки субпідрядником з обробки даних виконуватимуться відповідно до Положення 11;

(з) негайно надсилати експортеру даних копію будь-якої угоди із субпідрядником з обробки даних, яку він укладає згідно з Положеннями.

Положення 6

Відповідальність

1.  Сторони погоджуються, що будь-який суб’єкт даних, який зазнав шкоди внаслідок будь-якого порушення будь-якою стороною або субпідрядником з обробки даних зобов’язань, зазначених у Положенні 3 або в Положенні 11, має право отримати компенсацію від експортера даних за заподіяну шкоду.

2.  Якщо суб’єкт даних, згідно з пунктом 1, не може пред’явити вимогу експортеру даних щодо компенсації, зумовленої порушенням імпортером даних або його субпідрядником з обробки даних будь-яких їхніх зобов’язань, зазначених у Положенні 3 або Положенні 11, тому що експортер даних фактично зник або юридично припинив своє існування чи став неплатоспроможним, імпортер даних погоджується, що суб’єкт даних може пред’явити вимогу імпортеру даних так, ніби він виступає експортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Імпортер даних не може покладатися на порушення субпідрядником з обробки даних своїх зобов’язань, щоб уникнути виконання власних зобов’язань.

3.  Якщо суб’єкт даних не може пред’явити вимогу експортеру або імпортера даних, зазначених у пунктах 1 і 2, що виникає у зв’язку з порушенням субпідрядником з обробки даних будь-якого з його зобов’язань, зазначених у Положенні 3 або Положенні 11, тому що експортер та імпортер даних фактично зникли або припинили юридично існувати чи стали неплатоспроможними, субпідрядник з обробки даних погоджується, що суб’єкт даних може пред’явити вимогу субпідряднику з обробки даних щодо його операцій обробки відповідно до Положень так, наче він є експортером або імпортером даних, якщо жоден правонаступник не перебрав на себе всі юридичні зобов’язання експортера або імпортера даних на підставі договору чи законодавства; у цьому випадку суб’єкт даних може вимагати виконання своїх прав від такого суб’єкта. Відповідальність субпідрядника з обробки даних обмежується його власними процесами обробки згідно з Положеннями.

Положення 7

Посередництво та юрисдикція

1.  Імпортер даних погоджується, що, якщо суб’єкт даних вимагатиме від нього реалізації прав сторонніх бенефіціарів і (або) вимагатиме компенсацію за збитки відповідно до Положень, імпортер даних погодиться з рішенням суб’єкта даних:

(а) передати спір на вирішення незалежній стороні або, у разі потреби, наглядовому органу;

(б) передати спір до судів Держави-члена, у якій засновано експортера даних.

2.  Сторони погоджуються, що вибір, зроблений суб’єктом даних, не зашкодить його матеріальним або процесуальним правам шукати засоби захисту відповідно до інших положень національного або міжнародного права.

Положення 8

Співпраця з наглядовими органами

1.  Експортер даних зобов’язується надати копію цього контракту наглядовій установі, якщо вона цього вимагає, або якщо таке внесення вимагається відповідно до чинного законодавства про захист даних.

2.  Сторони погоджуються з тим, що наглядовий орган має право проводити аудит імпортера даних і будь-якого субпідрядника з обробки даних у тих самих обсягах і на тих самих умовах, як у випадку аудиту експортера даних відповідно до чинного законодавства про захист даних.

3.  Імпортер даних має негайно інформувати експортера даних про існування нормативного акта, що застосовується до нього або будь-якого субпідрядника з обробки даних і перешкоджає проведенню аудиту імпортера даних або будь-якого субпідрядника з обробки даних відповідно до пункту 2. У такому разі експортер даних має право вжити заходів, передбачених у Положенні 5(б).

Положення 9

Застосовне право

Ці Положення регулюються законодавством Держави-члена, у якій засновано експортера даних, а в разі сумнівів або залучення кількох експортерів даних – законодавством Англії та Уельсу. 

Положення 10

Порядок внесення змін у договір

Сторони зобов’язуються не змінювати й не коригувати Положення. Це не перешкоджає сторонам додавати в разі потреби статті, пов’язані з комерційною діяльністю, якщо вони не суперечать цьому Положенню.

Положення 11

Обробка даних субпідрядником

1.  Імпортер даних не може делегувати субпідряднику будь-які операції обробки, що виконуються від імені експортера даних згідно з Положеннями, без попередньої письмової згоди експортера даних. У випадках, коли імпортер даних передає свої зобов’язання за цими Положеннями субпідряднику за згодою експортера даних, він робить це тільки за умови укладання письмової угоди із субпідрядником з обробки даних, яка накладає на субпідрядника з обробки даних ті самі зобов’язання, які застосовуються до імпортера даних відповідно до цих Положень. Якщо субпідрядник з обробки даних не виконує свої зобов’язання із захисту даних за такою письмовою угодою, імпортер даних залишається повністю відповідальним перед експортером даних за виконання зобов’язань субпідрядника з обробки даних за такою угодою.

2.  Попередній письмовий договір між імпортером даних і субпідрядником з обробки даних також має передбачати Положення на користь третьої сторони, як викладено в Положенні 3, на випадок, коли суб’єкт даних не зможе пред’явити вимогу про відшкодування, зазначену в пункті 1 Положення 6, експортеру чи імпортеру даних, оскільки вони фактично зникли або припинили юридично існувати чи стали неплатоспроможними, а жодна сторона-правонаступник не перебрала всі юридичні зобов’язання експортера чи імпортера даних за контрактом або чинним законом. Така відповідальність субпідрядника з обробки даних як третьої сторони обмежується його власними процесами обробки згідно з Положеннями.

3.  Положення, що стосуються аспектів захисту даних під час обробки даних субпідрядником за договором відповідно до пункту 1, регулюються законодавством Держави-члена, у якій засновано експортера даних.

4.  Експортер даних має зберігати список угод про обробку даних субпідрядниками, укладених згідно з Положеннями й наданих імпортером даних відповідно до Положення 5(з). Цей список має оновлюватися принаймні один раз на рік. Цей список повинен бути доступним для органу нагляду за захистом даних експортера даних.

Положення 12

Обов’язок після припинення послуг обробки особистих даних

1.  Сторони погоджуються, що в разі припинення надання послуг з обробки даних імпортер даних і субпідрядник з обробки даних зобов’язані (за вибором експортера даних) повернути всі передані особисті дані та їхні копії експортеру даних або знищити всі особисті дані та підтвердити експортеру даних, що це було зроблено, крім випадків, коли законодавство, установлене для імпортера даних, забороняє повернення або знищення всіх або деяких переданих особистих даних. У такому разі імпортер даних гарантує конфіденційність переданих особистих даних і не буде їх активно обробляти.

2.  Імпортер даних і субпідрядник з обробки даних гарантують, що на вимогу експортера даних і (або) наглядового органу він подасть свої засоби обробки даних для проведення аудиту заходів, згаданих у пункті 1.

**********************************************

Додаток 1 до Стандартних договірних положень

Експортер даних

Експортером даних є суб’єкт, ідентифікований як "Клієнт" у Додатковій угоді

Імпортер даних

Імпортер даних – GoDaddy.com, LLC , постачальник послуг, розміщених на хостингу.

Суб’єкти даних

Операції з обробки визначено в розділі 1.3 та Додатку 1 Додаткової угоди.

Категорії даних

Операції з обробки визначено в розділі 1.3 та Додатку 1 Додаткової угоди.

Операції обробки

Операції з обробки визначено в розділі 1.3 та Додатку 1 Додаткової угоди.

Додаток 2 до Стандартних договірних положень

Ця Додаток є частиною Положень.  Придбання Передбачених послуг у компанії GoDaddy вважається свідченням того, що сторони уклали Додаткову угоду разом із Додатком 2 та прийняли викладені в них умови.

Опис технічних і організаційних заходів безпеки, яких вживає імпортер даних відповідно до Положень 4(г) і 5(в) (або до вкладеного документу чи законодавства):

Технічні й організаційні заходи безпеки, які впроваджує імпортер даних, описано в Додатковій угоді, зокрема в Додатку 2, який додано й включено до неї.


1              Обов’язкові вимоги національного законодавства, що застосовуються до імпортера даних, які не виходять за межі того, що необхідно в демократичному суспільстві для виконання однієї з потреб, перелічених у статті 13(1) Директиви 95/46/EC, тобто якщо вони є необхідним заходом для забезпечення національної безпеки, оборони, громадської безпеки, запобігання, розслідування, виявлення та переслідування кримінальних злочинів або порушень етики для регульованих професій, важливих економічних або фінансових інтересів держави або захисту суб’єкта даних чи прав і свобод інших осіб, не суперечать стандартним договірним положенням. Прикладами таких обов’язкових вимог, які не виходять за межі того, що необхідно в демократичному суспільстві, є, зокрема, міжнародно визнані санкції, вимоги податкової звітності або вимоги звітності щодо відмивання грошей.

Дата перегляду: 29.01.2019
Copyright © 2019 GoDaddy.com, LLC. Усі права захищено.