GoDaddy

HỢP ĐỒNG BỔ SUNG VỀ XỬ LÝ DỮ LIỆU (KHÁCH HÀNG)

Hợp đồng bổ sung về xử lý dữ liệu này (Hợp đồng bổ sung) được thực hiện bởi và giữa GoDaddy.com, LLC, a Delaware limited liability company và các chi nhánh của công ty (“GoDaddy”) và bạn (“Khách hàng”) và được sáp nhập vào và bổ sung cho Điều khoản dịch vụ chung, Chính sách quyền riêng tư của chúng tôi và bất kỳ và tất cả các thỏa thuận điều chỉnh các Dịch vụ được hỗ trợ (gọi chung là "Điều khoản dịch vụ").  Trừ khi có quy định khác trong Hợp đồng bổ sung này, tất cả các thuật ngữ viết hoa không được định nghĩa trong Hợp đồng bổ sung này sẽ có ý nghĩa cụ thể trong Điều khoản dịch vụ.

1. Định nghĩa

Đơn vị liên kết” nghĩa là bất kỳ thực thể nào mà chịu sự kiểm soát của, kiểm soát hoặc dưới quyền kiểm soát chung với GoDaddy.

Dịch vụ được bao gồm” bất kỳ dịch vụ lưu trữ nào mà chúng tôi cung cấp cho bạn mà có thể liên quan đến việc chúng tôi Xử lý dữ liệu cá nhân.

“Dữ liệu khách hàng” nghĩa là Dữ liệu cá nhân của bất kỳ Chủ thể dữ liệu nào được GoDaddy xử lý trong Mạng của GoDaddy thay mặt Khách hàng tuân thủ hoặc có liên quan đến Điều khoản dịch vụ.

Đơn vị kiểm soát dữ liệu” nghĩa là Khách hàng, là thực thể xác định mục đích và biện pháp Xử lý dữ liệu cá nhân.

Đơn vị xử lý dữ liệu” nghĩa là GoDaddy, là thực thể Xử lý dữ liệu cá nhân thay mặt Đơn vị kiểm soát dữ liệu.

Luật bảo vệ dữ liệu” nghĩa là tất cả các luật và quy định, bao gồm luật và quy định của Liên minh Châu Âu, áp dụng cho việc Xử lý dữ liệu cá nhân theo Thỏa thuận này.

Chủ thể dữ liệu” nghĩa là cá nhân mà Dữ liệu cá nhân có liên quan đến.

EEA” nghĩa là Khu vực kinh tế Châu Âu.

GoDaddy Mạng” nghĩa là các cơ sở trung tâm dữ liệu của GoDaddy, máy chủ, thiết bị nối mạng và hệ thống phần mềm lưu trữ (ví dụ: tường lửa ảo) thuộc quyền kiểm soát của GoDaddy và được dùng để bảo vệ Dịch vụ được bao gồm.

Dữ liệu cá nhân” có nghĩa là bất kỳ thông tin nào liên quan đến một người được xác định hoặc có thể nhận dạng.

Xử lý” nghĩa là bất kỳ hoạt động hoặc tập hợp các hoạt động mà được thực hiện trên Dữ liệu cá nhân, cho dù bằng hoặc không bằng các phương tiện tự động, chẳng hạn như thu thập, ghi, sắp xếp, lập cấu trúc, lưu trữ, làm thích ứng hoặc thay đổi, truy xuất, tư vấn, sử dụng, tiết lộ bằng cách chuyển, truyền hoặc cung cấp, căn chỉnh hoặc kết hợp, hạn chế, xóa hoặc phá hủy. "Xử lý", "đã xử lý" và "được xử lý" sẽ được diễn giải theo cách đó. Chi tiết về việc xử lý dữ liệu được nêu trong Phụ lục 1.

Sự cố bảo mật” là (a) một vi phạm bảo mật đối với các Tiêu chuẩn bảo mật của GoDaddy dẫn đến việc phá hủy một cách vô tình hoặc bất hợp pháp, mất mát, thay đổi hoặc tiết lộ trái phép hoặc truy cập vào bất kỳ Dữ liệu khách hàng nào; hoặc (b) bất kỳ việc truy cập trái phép nào vào trang thiết bị hoặc cơ sở hạ tầng của GoDaddy, trong đó việc truy cập như vậy dẫn đến phá hủy, mất mát, tiết lộ trái phép hoặc thay đổi Dữ liệu khách hàng.

Các tiêu chuẩn bảo mật” có nghĩa là các tiêu chuẩn an ninh đính kèm trong Hợp đồng bổ sung này dưới dạng Phụ lục 2.

Điều khoản hợp đồng tiêu chuẩn” hay “SCC” nghĩa là Phụ lục 3, được đính kèm vào và tạo thành một phần của Hợp đồng bổ sung này theo Quyết định của Ủy ban Châu Âu ngày 5 tháng 2 năm 2010 về các điều khoản hợp đồng tiêu chuẩn để chuyển dữ liệu cá nhân cho các đơn vị xử lý được thành lập ở các quốc gia thứ ba theo Chỉ thị này. 

Đơn vị xử lý phụ” nghĩa là bất kỳ Đơn vị xử lý dữ liệu nào do Đơn vị xử lý thuê để xử lý dữ liệu thay mặt Đơn vị kiểm soát.                                                               

2. Xử lý dữ liệu

2.1 Phạm vi và vai trò. Hợp đồng bổ sung này áp dụng khi Dữ liệu khách hàng được xử lý bởi GoDaddy.  Trong trường hợp này, GoDaddy sẽ đóng vai trò là Đơn vị xử lý dữ liệu thay mặt Khách hàng và Đơn vị kiểm soát dữ liệu liên quan đến Dữ liệu khách hàng.

2.2 Chi tiết của việc xử lý dữ liệu. Nội dung chủ yếu của việc xử lý Dữ liệu khách hàng của GoDaddy là việc thực hiện các Dịch vụ được bao gồm theo Điều khoản dịch vụ và thỏa thuận cụ thể của sản phẩm. GoDaddy sẽ chỉ Xử lý Dữ liệu khách hàng thay mặt Khách hàng và theo hướng dẫn bằng văn bản của Khách hàng cho các mục đích sau: (i) Xử lý theo Điều khoản dịch vụ hoặc thỏa thuận của sản phẩm cụ thể; (ii) Việc xử lý do người dùng cuối bắt đầu khi sử dụng các Dịch vụ được bao gồm; (iii) Xử lý để tuân thủ theo hướng dẫn hợp lý, bằng văn bản do Khách hàng cung cấp (ví du như qua email) trong đó các hướng dẫn này nhất quán với các điều khoản của Thỏa thuận. GoDaddy sẽ không bắt buộc phải tuân thủ các hướng dẫn của Khách hàng nếu những hướng dẫn này vi phạm Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu hoặc bất kỳ luật bảo vệ dữ liệu hiện hành nào khác. Thời gian xử lý, bản chất và mục đích của việc Xử lý, các loại dữ liệu cá nhân và các danh mục của Chủ thể dữ liệu được xử lý theo bản Phụ lục này được để cập thêm trong Phụ lục 1 ("Chi tiết của việc xử lý") của bản Phụ lục này.

3. Tính bí mật của dữ liệu khách hàng

GoDaddy sẽ không tiết lộ Dữ liệu khách hàng cho bất kỳ chính phủ hoặc bất kỳ bên thứ ba nào khác, trừ khi cần thiết để tuân thủ luật pháp hoặc lệnh bắt buộc và hợp lệ của cơ quan thực thi pháp luật (như trát đòi hầu tòa hoặc lệnh của tòa án).  Nếu cơ quan thực thi pháp luật gửi cho GoDaddy yêu cầu cung cấp Dữ liệu khách hàng, GoDaddy sẽ cố gắng chuyển hướng cơ quan thực thi pháp luật đó để yêu cầu dữ liệu trực tiếp từ Khách hàng. Là một phần của nỗ lực này, GoDaddy có thể cung cấp thông tin liên hệ cơ bản của Khách hàng cho cơ quan hành pháp. Nếu buộc phải tiết lộ Dữ liệu khách hàng cho cơ quan hành pháp, thì GoDaddy sẽ cung cấp cho Khách hàng thông báo hợp lý về yêu cầu đó để cho phép Khách hàng tìm kiếm lệnh bảo vệ hoặc biện pháp khắc phục phù hợp khác trừ khi GoDaddy bị pháp luật cấm làm như vậy.

4. Bảo mật

4.1 GoDaddy đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức cho Mạng của GoDaddy như được mộ tả trong Phần này và được mô tả thêm trong Phụ lục 2 của Hợp đồng bổ sung này, Các tiêu chuẩn bảo mật. Cụ thể, GoDaddy đã triển khai và sẽ duy trì các biện pháp kỹ thuật và tổ chức sau mà đề cập đến (i) tính bảo mật của Mạng GoDaddy; (ii) an ninh vật lý của cơ sở hạ tầng; (iii) quyền kiểm soát đối với quyền truy cập của nhân viên và nhà thầu (i) và/hoặc (ii); và (iv) các quy trình kiểm tra, đánh giá, xác định tính hiệu quả của các biện pháp kỹ thuật và tổ chức do GoDaddy triển khai. Trong trường hợp chúng tôi không thể đáp ứng bất kỳ nghĩa vụ nào được nêu trong tài liệu này, chúng tôi sẽ cung cấp thông báo bằng văn bản (qua trang web và email của chúng tôi) ngay khi khả thi trên thực tế.

4.2 GoDaddy cung cấp một số tính năng và chức năng bảo mật mà Khách hàng có thể chọn sử dụng liên quan đến Dịch vụ được bao gồm. Khách hàng chịu trách nhiệm (a) định cấu hình chính xác các Dịch vụ được bao gồm, (b) sử dụng các quyền kiểm soát có sẵn liên quan đến Dịch vụ được bao gồm (bao gồm cả các quyền kiểm soát bảo mật) để đảm bảo tính bảo mật liên tục, tính trọn vẹn, khả năng sử dụng, khả năng phục hồi của các dịch vụ và hệ thống xử lý, (c) sử dụng các quyền kiểm soát có sẵn liên quan đến Dịch vụ bao gồm (bao gồm cả quyền kiểm soát bảo mật) để cho phép Khách hàng khôi phục khả năng sử dụng và quyền truy cập vào Dữ liệu khách hàng một cách kịp thời trong trường hợp xảy ra sự cố kỹ thuật hoặc sự cố vật chất (ví dụ: các bản sao lưu và quy trình lưu trữ Dữ liệu khách hàng) và (d) thực hiện các bước khi Khách hàng cho là cần thiết để duy trì mức độ bảo mật hợp lý, bảo vệ và xóa Dữ liệu khách hàng, bao gồm cả việc sử dụng công nghệ mã hóa để bảo vệ Dữ liệu khách hàng khỏi việc truy cập trái phép và các biện pháp trái phép nhằm giành quyền kiểm soát truy cập vào Dữ liệu khách hàng.

5. Các quyền của chủ thể dữ liệu

Xét đến bản chất của Dịch vụ được bao gồm, GoDaddy cung cấp cho Khách hàng các quyền kiểm soát nhất định như được nêu trong phần “Bảo mật” của Hợp đồng bổ sung này rằng Khách hàng có thể chọn sử dụng để truy xuất, chỉnh sửa, xóa hoặc hạn chế việc sử dụng và chia sẻ Dữ liệu khách hàng như được mô tả trong các Dịch vụ được bao gồm. Khách hàng có thể sử dụng các quyền kiểm soát này làm biện pháp kỹ thuật và vận hành để hỗ trợ mình liên quan đến các nghĩa vụ của khách hàng theo luật bảo vệ quyền riêng tư hiện hành, bao gồm nghĩa vụ liên quan đến việc phản hồi lại các yêu cầu từ Chủ thể dữ liệu. Khi hợp lý về mặt thương mại và trong phạm vi theo yêu cầu hoặc sự cho phép của pháp luật, GoDaddy sẽ thông báo ngay cho Khách hàng nếu GoDaddy trực tiếp nhận được yêu cầu từ một Chủ thể dữ liệu để thực thi các quyền này theo luật hiện hành về bảo vệ quyền riêng tư của dữ liệu ("Yêu cầu của chủ thể dữ liệu"). Ngoài ra, trong trường hợp việc sử dụng của Khách hàng đối với những Dịch vụ được bao gồm giới hạn khả năng xử lý Yêu cầu của chủ thể dữ liệu, thì GoDaddy có thể, ở những nơi được pháp luật cho phép và phù hợp và theo yêu cầu cụ thể của Khách hàng, cung cấp hỗ trợ hợp lý về mặt thương mại để giải quyết yêu cầu này, bằng chi phí của Khách hàng (nếu có).

6. Xử lý phụ

6.1 Đơn vị xử lý phụ được ủy quyền. Khách hàng đồng ý rằng GoDaddy có thể sử dụng các đơn vị xử lý phụ để thực hiện các nghĩa vụ theo hợp đồng theo Điều khoản dịch vụ và Hợp đồng bổ sung này hoặc để cung cấp các dịch vụ nhất định thay mặt cho mình, chẳng hạn như cung cấp các dịch vụ hỗ trợ. Khách hàng theo đây đồng ý cho GoDaddy sử dụng Đơn vị xử lý phụ như được mô tả trong Phần này. Ngoại trừ như được quy định trong Phần này hoặc theo cách khác được bạn cho phép một cách rõ ràng, GoDaddy sẽ không cho phép bất kỳ hoạt động xử lý phụ nào khác.

6.2 Nghĩa vụ của đơn vị xử lý phụ. Trong trường hợp GoDaddy sử dụng bất kỳ Đơn vị xử lý phụ được ủy quyền nào theo mô tả trong Phần 6.1:

(i) GoDaddy sẽ hạn chế quyền truy cập của Đơn vị xử lý phụ vào Dữ liệu khách hàng chỉ cho những gì cần thiết để duy trì Dịch vụ được bao gồm hoặc để cung cấp Dịch vụ được bao gồm cho Khách hàng và bất kỳ người dùng cuối nào phù hợp với Dịch vụ được bao gồm. GoDaddy sẽ cấm các Đơn vị xử lý phụ truy cập vào Dữ liệu khách hàng vì bất kỳ mục đích nào khác;

(ii) GoDaddy sẽ ký một thỏa thuận bằng văn bản với Đơn vị xử lý phụ và, trong phạm vi mà Đơn vị xử lý phụ đang thực hiện cùng các dịch vụ xử lý dữ liệu mà đang được GoDaddy cung cấp theo Hợp đồng bổ sung này, thì GoDaddy sẽ áp dụng cùng các nghĩa vụ theo hợp đồng mà GoDaddy có theo Hợp đồng bổ sung này lên Đơn vị xử lý phụ; và

(iii) GoDaddy sẽ vẫn chịu trách nhiệm tuân thủ các nghĩa vụ của Hợp đồng bổ sung này và đối với bất kỳ hành vi hoặc thiếu sót nào của Đơn vị xử lý phụ khiến GoDaddy vi phạm bất kỳ nghĩa vụ nào của GoDaddy theo Hợp đồng bổ sung này.

6.3 Đơn vị xử lý phụ mới.  Thỉnh thoảng, chúng tôi có thể thuê các Đơn vị xử lý phụ mới theo và tuân theo các điều khoản của Hợp đồng bổ sung này.  Trong trường hợp như vậy, chúng tôi sẽ thông báo trước 60 ngày (thông qua trang web và email của chúng tôi) trước khi bất kỳ Đơn vị xử lý phụ mới nào có được bất kỳ Dữ liệu khách hàng nào. Nếu Khách hàng của bạn không phê duyệt Đơn vị xử lý phụ mới, thì Khách hàng có thể chấm dứt bất kỳ Dịch vụ có liên quan nào mà không bị phạt bằng cách cung cấp cho chúng tôi, trong vòng 10 ngày kể từ khi chúng tôi thông báo hoặc kể từ khi nhận được thông báo của chúng tôi, thông báo bằng văn bản về việc chấm dứt, trong đó có giải thích lý do cho việc bạn không phê duyệt. Nếu Dịch vụ có liên quan là một phần của một gói hoặc một giao dịch mua theo gói, thì bất kỳ sự chấm dứt nào cũng sẽ áp dụng cho toàn bộ gói đó.

7. Thông báo vi phạm bảo mật

7.1 Sự cố bảo mật. Nếu GoDaddy biết về một Sự cố bảo mật, GoDaddy sẽ không chậm trễ một cách không chính đáng: (a) thông báo cho Khách hàng về Sự cố bảo mật; và (b) thực hiện các bước hợp lý để giảm thiểu tác động và giảm thiểu bất kỳ thiệt hại nào do Sự cố bảo mật này gây ra. 

7.2 GoDaddy Hỗ trợ.  Để hỗ trợ Khách hàng liên quan đến bất kỳ thông báo vi phạm dữ liệu cá nhân nào mà Khách hàng bắt buộc phải thực hiện theo bất kỳ luật bảo vệ quyền riêng tư hiện hành nào, GoDaddy sẽ bao gồm trong thông báo theo phần 8.1 thông tin về Sự cố bảo mật nếu GoDaddy có thể tiết lộ cho Khách hàng theo cách hợp lý, có cân nhắc đến bản chất của Dịch vụ được bao gồm, thông tin cung cấp cho GoDaddy, và bất kỳ hạn chế nào đối với việc tiết lộ thông tin này, chẳng hạn như tính bí mật.  

7.3 Sự cố bảo mật không thành. Khách hàng đồng ý rằng:

(i) Một sự cố bảo mật không thành sẽ không phải tuân theo các điều khoản của Hợp đồng bổ sung này. Một Sự cố bảo mật không thành là một sự cố không gây ra quyền truy cập trái phép vào Dữ liệu khách hàng hoặc bất kỳ Mạng của GoDaddy, thiết bị, hoặc cơ sở vật chất lưu trữ Dữ liệu khách hàng, và có thể bao gồm, nhưng không giới hạn ở các lệnh ping, và các cuộc tấn công truyền phát khác trên tường lửa hoặc máy chủ biên, lượt quét cổng, nỗ lực đăng nhập không thành công, cuộc tấn công từ chối dịch vụ, đánh cắp gói (hoặc quyền truy cập trái phép khác vào dữ liệu lưu lượng mà không gây ra việc truy cập bên ngoài các tiêu đề) hoặc các sự cố tương tự; và

(ii) Nghĩa vụ của GoDaddy để báo cáo hoặc phản ứng trước một Sự cố bảo mật theo Phần này không và sẽ không được cấu thành như một sự xác nhận của GoDaddy về bất kỳ lỗi hoặc trách nhiệm pháp lý nào của GoDaddy liên quan đến Sự cố bảo mật đó.  

7.4 Liên lạc. (Các) Thông báo về Sự cố bảo mật, nếu có, sẽ được gửi đến một hoặc nhiều quản trị viên của Khách hàng theo bất kỳ cách nào mà GoDaddy chọn, bao gồm cả qua email. Khách hàng chịu hoàn toàn trách nhiệm trong việc đảm bảo rằng các quản trị viên của Khách hàng duy trì thông tin liên hệ chính xác trên bảng điều khiển quản lý của GoDaddy và bảo mật việc truyền dữ liệu tại mọi thời điểm.

8. Quyền của khách hàng

8.1 Quyết định độc lập. Khách hàng chịu trách nhiệm xem xét thông tin do GoDaddy cung cấp liên quan đến việc bảo mật dữ liệu và các Tiêu chuẩn bảo mật của mình và đưa ra quyết định độc lập về việc liệu Dịch vụ được bao gồm có đáp ứng yêu cầu của Khách hàng và nghĩa vụ pháp lý cũng như nghĩa vụ của Khách hàng theo Hợp đồng bổ sung này hay không. Thông tin được cung cấp nhằm hỗ trợ Khách hàng tuân thủ các nghĩa vụ của Khách hàng theo luật bảo vệ quyền riêng tư hiện hành, bao gồm cả GDPR, liên quan đến các lần đánh giá tác động của việc bảo vệ dữ liệu và sự tham vấn trước đó.

8.2 Quyền kiểm tra của khách hàng. Khách hàng có quyền xác nhận việc tuân thủ của GoDaddy với Hợp đồng bổ sung này, nếu có, đối với các Dịch vụ được bao gồm, bao gồm cả việc tuân thủ của GoDaddy một cách cụ thể với Các tiêu chuẩn bảo mật của mình, bằng cách thực hiện quyền hợp lý để tiến hành kiểm tra hoặc thanh tra, bao gồm trong Điều khoản hợp đồng mẫu nếu những điều khoản này áp dụng, bằng cách đưa ra yêu cầu cụ thể của GoDaddy bằng văn bản đến địa chỉ được nêu trong Điều khoản dịch vụ của đơn vị này. Nếu GoDaddy từ chối tuân theo bất kỳ hướng dẫn nào được Khách hàng yêu cầu về việc kiểm tra hoặc thanh tra có phạm vi và được yêu cầu đúng cách, thì Khách hàng có quyền chấm dứt Hợp đồng bổ sung này và Điều khoản dịch vụ. Nếu Điều khoản hợp đồng tiêu chuẩn áp dụng, thì không có gì trong Phần này thay đổi hoặc sửa đổi các Điều khoản hợp đồng tiêu chuẩn cũng như không ảnh hưởng đến quyền của cơ quan giám sát hoặc quyền của chủ thể theo các Điều khoản hợp đồng tiêu chuẩn. Phần này cũng sẽ áp dụng trong phạm vi khi GoDaddy thực hiện quyền của các Đơn vị xử lý phụ thay mặt cho Khách hàng.

9. Chuyển dữ liệu cá nhân

9.1 Xử lý tại Hoa Kỳ. Trừ khi được ghi chú cụ thể trong Điều khoản dịch vụ, Dữ liệu khách hàng sẽ được chuyển ra bên ngoài Khu vực kinh tế Châu Âu (EEA) và được xử lý tại Hoa Kỳ.  

9.2 Áp dụng điều khoản hợp đồng tiêu chuẩn. Các điều khoản hợp đồng tiêu chuẩn sẽ áp dụng cho Dữ liệu khách hàng được chuyển ra ngoài Khu vực kinh tế Châu Âu, trực tiếp hoặc qua chuyển tiếp, sang bất kỳ quốc gia nào không được Ủy ban Châu Âu công nhận là cung cấp mức bảo vệ thích hợp cho dữ liệu cá nhân (như được mô tả trong Quy định chung về bảo vệ dữ liệu). Các điều khoản hợp đồng tiêu chuẩn sẽ không áp dụng cho Dữ liệu khách hàng không được chuyển nhượng, trực tiếp hoặc thông qua chuyển tiếp, bên ngoài Khu vực Kinh thế Châu Âu.  Mặc dù đã nói ở trên, các Điều khoản hợp đồng tiêu chuẩn sẽ không áp dụng khi dữ liệu được truyền theo tiêu chuẩn tuân thủ được công nhận cho việc chuyển hợp pháp dữ liệu cá nhân (như được định nghĩa trong GDPR) ra ngoài Khu vực kinh tế Châu Âu, chẳng hạn như các Khung thỏa thuận Privacy giữa Châu Âu-Hoa Kỳ và Thụy Sỹ-Hoa Kỳ.  

10. Chấm dứt Hợp đồng bổ sung

Hợp đồng bổ sung này sẽ tiếp tục có hiệu lực cho đến khi có sự chấm dứt việc xử lý của chúng tôi theo Điều khoản dịch vụ (“Ngày chấm dứt”).   

11. Trả lại hoặc xóa dữ liệu khách hàng

Như được mô tả trong Dịch vụ được bao gồm, Khách hàng có thể được cung cấp các quyền kiểm soát mà có thể dùng để truy xuất hoặc xóa Dữ liệu khách hàng. Việc xóa Dữ liệu khách hàng sẽ bị chi phối bởi các điều khoản của Dịch vụ được bao gồm cụ thể.

12. Giới hạn trách nhiệm pháp lý

Trách nhiệm pháp lý của mỗi bên theo Hợp đồng bổ sung này sẽ phụ thuộc vào các phần loại trừ và giới hạn của trách nhiệm pháp lý nêu trong Điều khoản dịch vụ. Khách hàng đồng ý rằng bất kỳ hình phạt theo quy định nào phát sinh bởi GoDaddy liên quan đến Dữ liệu khách hàng phát sinh từ kết quả của, hoặc có liên quan đến, việc Khách hàng không tuân thủ nghĩa vụ của mình theo Hợp đồng bổ sung này và bất kỳ luật bảo vệ quyền riêng tư áp dụng nào khác sẽ tính vào và làm giảm trách nhiệm pháp lý của GoDaddy theo Điều khoản dịch vụ như thể đó là trách nhiệm pháp lý của Khách hàng theo Điều khoản dịch vụ.

13. Toàn bộ điều khoản dịch vụ; Xung đột

Hợp đồng bổ sung này thay thế tất cả các tuyên bố, hiểu biết, thỏa thuận hoặc nội dung giao tiếp trước đó hoặc đương thời giữa Khách hàng và GoDaddy, cho dù bằng văn bản hoặc bằng lời, liên quan đến chủ đề của Hợp đồng bổ sung này, bao gồm mọi phụ lục về xử lý dữ liệu được ký kết giữa GoDaddy và Khách hàng liên quan đến việc xử lý dữ liệu cá nhân và về việc tự do di chuyển dữ liệu đó.  Trừ khi được sửa đổi bởi Hợp đồng bổ sung này, Điều khoản dịch vụ sẽ vẫn có hiệu lực đầy đủ.  Nếu có mâu thuẫn giữa bất kỳ thỏa thuận nào khác giữa các bên bao gồm Điều khoản dịch vụ và Hợp đồng bổ sung này, thì các điều khoản của Hợp đồng bổ sung này sẽ chiếm ưu thế.

** ************************************************

Phụ lục 1

 CHI TIẾT CỦA VIỆC XỬ LÝ

 1. Bản chất và mục đích của việc xử lý. GoDaddy sẽ xử lý Dữ liệu cá nhân khi cần thiết để thực hiện các Dịch vụ được bao gồm theo Điều khoản dịch vụ, các thỏa thuận về sản phẩm cụ thể và được theo hướng dẫn của Khách hàng trong suốt quá trình khách hàng sử dụng Dịch vụ được bao gồm.

 2. Thời gian xử lý. Theo Phần 10 của Hợp đồng bổ sung này, GoDaddy sẽ xử lý Dữ liệu cá nhân trong thời hạn có hiệu lực của Điều khoản dịch vụ, nhưng sẽ tuân thủ các điều khoản của Hợp đồng bổ sung này trong thời gian Xử lý nếu vượt quá thời hạn đó, và trừ khi có thoả thuận khác bằng văn bản.

3. Các danh mục chủ thể dữ liệu. Khách hàng có thể tải Dữ liệu cá nhân lên trong quá trình sử dụng Dịch vụ được bao gồm, trong phạm vi được Khách hàng xác định và kiểm soát theo quyết định của riêng mình, và có thể bao gồm, nhưng không giới hạn ở Dữ liệu cá nhân liên quan đến các danh mục của Chủ thể dữ liệu sau:

  • Khách hàng tiềm năng, khách hàng, đối tác kinh doanh và nhà cung cấp của Khách hàng (là những thể nhân)
  • Nhân viên hoặc người liên hệ của khách hàng tiềm năng, khách hàng, đối tác kinh doanh và nhà cung cấp của Khách hàng
  • Nhân viên, đại diện, cố vấn, cộng tác viên của Khách hàng (là những thể nhân)
  • Người dùng của khách hàng được Khách hàng ủy quyền sử dụng các Dịch vụ được bao gồm

 4. Loại dữ liệu cá nhân. Khách hàng có thể tải Dữ liệu cá nhân lên trong quá trình sử dụng Dịch vụ được bao gồm, loại và trong phạm vi được Khách hàng xác định và kiểm soát theo quyết định của riêng mình, và có thể bao gồm, nhưng không giới hạn ở các danh mục Dữ liệu cá nhân sau của Chủ thể dữ liệu sau: 

  • Tên
  • Địa chỉ
  • Số điện thoại
  • Ngày sinh
  • Địa chỉ Email
  • Các dữ liệu khác được thu thập có thể nhận dạng bạn một cách trực tiếp hoặc gián tiếp.

** ************************************************

Phụ lục 2

Các tiêu chuẩn bảo mật

I.  Biện pháp kỹ thuật và tổ chức  

Chúng tôi cam kết bảo vệ thông tin của khách hàng.  Có tính đến các phương pháp tối ưu, chi phí thực hiện và tính chất, phạm vi, tình huống và mục đích xử lý cũng như khả năng xảy ra và mức độ nghiêm trọng khác nhau của rủi ro đối với các quyền và quyền tự do của các thể nhân, chúng tôi thực hiện các biện pháp kỹ thuật và tổ chức sau đây.  Khi lựa chọn các biện pháp, chúng tôi luôn cân nhắc đến tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống. Khôi phục nhanh sau một sự cố kỹ thuật hoặc vật lý là điều được đảm bảo. 

II.  Chương trình bảo mật dữ liệu  

Chương trình quyền riêng tư của dữ liệu của chúng tôi được thiết lập để duy trì cấu trúc quản trị dữ liệu toàn cầu và thông tin bảo mật trong suốt vòng đời của thông tin. Chương trình này được điều hành bởi giám đốc bảo vệ dữ liệu, người giám sát việc thực hiện các biện pháp bảo mật và biện pháp bảo mật. Chúng tôi thường xuyên kiểm tra, đánh giá tính hiệu quả của Chương trình bảo mật dữ liệu và các Tiêu chuẩn bảo mật.   

1. Tính bí mật. “Tính bí mật có nghĩa là dữ liệu cá nhân được bảo vệ chống lại việc tiết lộ trái phép."  

Chúng tôi sử dụng nhiều biện pháp vật lý và logic để bảo vệ tính bí mật của dữ liệu cá nhân của khách hàng. Các biện pháp này bao gồm:   

  Bảo mật vật lý  

  • Hệ thống kiểm soát truy cập vật lý tại chỗ (Kiểm soát truy cập bằng thẻ, Giám sát sự kiện an ninh, v.v.) 
  • Các hệ thống giám sát bao gồm chuông báo và, nếu phù hợp, giám sát bằng CCTV
  • Chính sách bàn sạch và quyền kiểm soát tại chỗ (Khóa máy tính không có giám sát, tủ khóa v.v.)  
  •  Quản lý quyền truy cập của khách
  • Phá hủy dữ liệu trên phương tiện vật lý và tài liệu (xén, khử, v.v.) 

  Kiểm soát truy cập & Ngăn chặn truy cập trái phép 

  • Các hạn chế truy cập của người dùng được áp dụng và quyền truy cập dựa trên vai trò được cung cấp/xem xét dựa trên nguyên tắc tách biệt trách nhiệm
  • Các biện pháp ủy quyền và xác thực mạnh mẽ (Xác thực nhiều yếu tố, ủy quyền dựa trên chứng chỉ, hủy kích hoạt/đăng xuất tự động, v.v) 
  • Quản lý mật khẩu tập trung và chính sách mật khẩu mạnh/phức tạp (độ dài tối thiểu, độ phức tạp của các ký tự, thời hạn hết hạn của mật khẩu, v.v.)   
  • Truy cập có kiểm soát vào email và Internet
  • Quản lý chống virus  
  • Quản lý hệ thống phòng chống xâm nhập

Mã hóa   

  • Mã hóa giao tiếp bên ngoài và nội bộ qua các giao thức mật mã mạnh mẽ  
  • Mã hóa dữ liệu nhận dạng cá nhân/dữ liệu cá nhân nhạy cảm (PII/SPII) nằm trên các thiết bị lưu trữ (cơ sở dữ liệu, thư mục dùng chung, v.v.)   
  • Mã hóa ổ đĩa toàn bộ cho PC và máy tính xách tay của công ty
  • Mã hóa phương tiện lưu trữ
  • Các kết nối từ xa đến mạng công ty được mã hóa qua VPN
  • Bảo vệ an toàn cho vòng đời của các khóa mã hóa

 Giảm thiểu hóa dữ liệu    

  • Giảm thiểu thông tin nhận dạng cá nhân/thông tin cá nhân nhạy cảm (PII/SPI) trong ứng dụng, nhật ký gỡ lỗi và bảo mật 
  • Ẩn danh dữ liệu cá nhân để ngăn nhận dạng cá nhân trực tiếp
  • Phân chia dữ liệu được lưu trữ theo chức năng (kiểm tra, thử nghiệm, vận hành trực tiếp) 
  • Phân tách hợp lý dữ liệu theo quyền truy cập dựa trên vai trò 
  • Xác định thời gian lưu giữ dữ liệu cá nhân   

Kiểm tra bảo mật     

  • Kiểm tra xâm nhập đối với các mạng quan trọng của công ty và các nền tảng lưu trữ dữ liệu cá nhân
  • Quét tìm lỗ hổng và lỗi mạng thường xuyên

2. Sự chính trực. “Tính toàn vẹn đề cập đến việc đảm bảo độ chính xác (nguyên vẹn) của dữ liệu và hoạt động chính xác của hệ thống. Khi thuật ngữ tính toàn vẹn được sử dụng liên quan đến thuật ngữ “dữ liệu”, nó biểu thị rằng dữ liệu đó là hoàn chỉnh và không thay đổi.”  

Các quyền kiểm soát quản lý nhật ký và thay đổi phù hợp được áp dụng tại chỗ, ngoài các quyền kiểm soát truy cập để có thể duy trì tính toàn vẹn của dữ liệu cá nhân, chẳng hạn như:    

Quản lý thay đổi và phát hành    

  • Quy trình quản lý thay đổi và phát hành bao gồm (phân tích tác động, phê duyệt, kiểm tra, đánh giá bảo mật, chuẩn bị, giám sát, v.v.)  
  • Quyền truy cập dựa trên vai trò & chức năng (Tách biệt trách nhiệm) cung cấp trong môi trường sản xuất    

Ghi nhật ký và giám sát

  • Ghi nhật ký truy cập và các lần thay đổi đối với dữ liệu  
  • Nhật ký bảo mật và kiểm tra tập trung   
  • Giám sát tính hoàn thiện và chính xác của việc chuyển dữ liệu (kiểm tra từ đầu đến cuối)    

3. Tính sẵn có. “Tính sẵn có của dịch vụ và hệ thống công nghệ thông tin, ứng dụng công nghệ thông tin và các chức năng của mạng công nghệ thông tin hoặc của thông tin được đảm bảo, nếu người dùng không thể sử dụng chúng tại mọi thời điểm như dự định.”    

Chúng tôi triển khai các biện pháp bảo mật và sự liên tục phù hợp để duy trì tính sẵn có của dịch vụ và dữ liệu có trong các dịch vụ này:    

  • Kiểm tra chuyển đổi dự phòng thường xuyên được áp dụng cho các dịch vụ quan trọng  
  • Giá sát và báo cáo khả hăng hoạt động/hiệu suất cho các hệ thống quan trọng  
  • Chương trình ứng cứu sự cố  
  • Dữ liệu quan trọng được sao chép hoặc sao lưu (Các bản Sao lưu đám mây/Ổ đĩa cứng/Cơ sở dữ liệu, v.v.) 
  • Bảo trì phần mềm, cơ sở hạ tầng và bảo mật theo kế hoạch tại chỗ (Các bản cập nhật phần mềm, bản vá bảo mật, v.v.)   
  • Hệ thống dự phòng và phục hồi (cụm máy chủ, cơ sở dữ liệu được ánh xạ, các thành phần thiết lập về phạm vi cung cấp cao, v.v.) nằm ở vị trí bên ngoài và/hoặc vị trí địa lý tách biệt    
  • Sử dụng nguồn cấp điện liên tục, phần cứng dự phòng khi có lỗi và các hệ thống mạng  
  • Các hệ thống cảnh báo, bảo mật tại chỗ  
  • Các biện pháp bảo vệ vật lý tại chỗ cho các vị trí quan trọng (bảo vệ đột biến, sàn nâng, hệ thống làm mát, thiết bị báo cháy và/hoặc khói, hệ thống chữa cháy, v.v.) 
  • Bảo vệ chống DDOS để duy trì tính sẵn có   
  • Kiểm tra ứng suất và tải  

4Hướng dẫn xử lý dữ liệu. "Hướng dẫn xử lý dữ liệu đề cập đến việc đảm bảo rằng dữ liệu cá nhân sẽ chỉ được xử lý theo hướng dẫn của đơn vị kiểm soát dữ liệu và các biện pháp có liên quan của công ty"  

Chúng tôi đã thiết lập các chính sách nội bộ về quyền riêng tư, thỏa thuận và triển khai đào tạo thường xuyên về quyền riêng tư cho nhân viên để đảm bảo rằng dữ liệu cá nhân được xử lý theo tùy chọn và hướng dẫn của khách hàng.   

  • Quyền riêng tư và điều khoản bảo mật tại chỗ trong hợp đồng của nhân viên 
  • Đào tạo thường xuyên về bảo mật và quyền riêng tư của dữ liệu cho nhân viên 
  • Các điều khoản theo hợp đồng phù hợp đối với các thỏa thuận với nhà thầu phụ để duy trì các quyền kiểm soát hướng dẫn 
  • Thường xuyên kiểm tra bảo mật đối với các nhà cung cấp dịch vụ bên ngoài 
  • Cung cấp cho khách hàng toàn quyền kiểm soát đối với các tùy chọn xử lý dữ liệu của họ
  • Thường xuyên kiểm tra bảo mật 

**********************************************

Phụ lục 3

Xem Phần 9.2 của Hợp đồng bổ sung để biết phạm vi áp dụng của các SCC này

Điều khoản hợp đồng tiêu chuẩn (đơn vị xử lý)

Cho mục đích của Điều 26(2) của Chỉ thị 95/46/EC về việc chuyển dữ liệu cá nhân cho các đơn vị xử lý được thành lập ở các quốc gia thứ ba mà không đảm bảo mức bảo vệ dữ liệu thích hợp

Thực thể được xác định là "Khách hàng" trong Hợp đồng bổ sung
(“đơn vị xuất dữ liệu”)

GoDaddy.com, LLC

 (“đơn vị nhập dữ liệu”)

mỗi một "bên"; cùng nhau gọi là "các bên",

ĐÃ THỐNG NHẤT về các Điều khoản hợp đồng sau đây (Điều khoản) để tăng cường các biện pháp bảo vệ đầy đủ liên quan đến việc bảo vệ quyền riêng tư và các quyền cơ bản và quyền tự do của cá nhân đối với việc chuyển dữ liệu của đơn vị xuất dữ liệu của dữ liệu cá nhân được chỉ định trong Phụ lục 1.

Điều 1

Định nghĩa

Cho mục đích của Điều khoản này:

(a) 'dữ liệu cá nhân', 'các danh mục dữ liệu đặc biệt', 'xử lý/việc xử lý', 'đơn vị kiểm soát', 'đơn vị xử lý', 'chủ thể dữ liệu''cơ quan giám sát' sẽ có cùng định nghĩa như trong Chỉ thị 95/46/EC của Nghị viện và Hội đồng Châu Âu ngày 24 tháng 10 năm 1995 về việc bảo vệ các cá nhân liên quan đến việc xử lý dữ liệu cá nhân và trong việc di chuyển tự do các dữ liệu đó;

(b) 'đơn vị xuất dữ liệu' nghĩa là đơn vị kiểm soát việc truyền dữ liệu cá nhân;

(c) 'đơn vị nhập dữ liệu' nghĩa là đơn vị xử lý đồng ý nhận từ đơn vị xuất dữ liệu dữ liệu cá nhân nhằm xử lý thay mặt đơn vị xuất dữ liệu sau khi chuyển theo các hướng dẫn của đơn vị xuất dữ liệu và theo các điều trong Điều khoản và không tuân theo hệ thống của quốc gia thứ ba đảm bảo bảo vệ đầy đủ theo nghĩa Điều 25(1) của Chỉ thị 95/46/EC;

(d) 'đơn vị xử lý phụ' nghĩa là bất kỳ đơn vị xử lý nào tham gia cùng với đơn vị nhập dữ liệu hoặc bất kỳ đơn vị phụ xử lý dữ liệu nào khác của đơn vị nhập dữ liệu mà đồng ý nhận từ đơn vị nhập dữ liệu hoặc từ bất kỳ đơn vị phụ xử lý nào dữ liệu cá nhân của đơn vị nhập dữ liệu dành riêng cho các hoạt động xử lý được thực hiện thay mặt cho đơn vị xuất dữ liệu sau khi chuyển theo hướng dẫn của đơn vị xuất dữ liệu, các khoản mục trong Điều khoản và điều khoản hợp đồng phụ bằng văn bản;

(e) 'luật bảo vệ dữ liệu hiện hành' nghĩa là pháp luật bảo vệ các quyền cơ bản và quyền tự do của các cá nhân và, đặc biệt là, quyền riêng tư của họ đối với việc xử lý dữ liệu cá nhân áp dụng cho đơn vị kiểm soát dữ liệu trong Quốc gia thành viên mà đơn vị xuất dữ liệu được thành lập;

(f) 'các biện pháp an ninh kỹ thuật và tổ chức' nghĩa là các biện pháp nhằm bảo vệ dữ liệu cá nhân chống lại sự phá hủy vô tình hoặc bất hợp pháp hoặc mất mát, thay đổi, tiết lộ hoặc truy cập trái phép, đặc biệt trong trường hợp việc xử lý liên quan đến việc truyền dữ liệu qua mạng và chống lại tất cả các hình thức xử lý bất hợp pháp khác.

Điều 2

Chi tiết việc chuyển nhượng

Các chi tiết về việc chuyển dữ liệu và đặc biệt là các danh mục dữ liệu cá nhân, nếu có, được quy định tại Phụ lục 1 tạo thành một phần không tách rời của Điều khoản.

Điều 3

Điều khoản thụ hưởng của bên thứ ba

1.  Chủ thể dữ liệu có thể thực thi đối với đơn vị xuất dữ liệu Điều khoản này, Điều 4(b) đến (i), Điều 5(a) đến (e), và (g) đến (j), Điều 6(1) và (2), Điều 7, Điều 8(2) và Điều 9 đến 12 trong vai trò là người thụ hưởng bên thứ ba.

2.  Chủ thể dữ liệu có thể thực thi đối với đơn vị nhập dữ liệu Điều này, Điều 5(a) đến (e) và (g), Điều 6, Điều 7, Điều 8(2) và các Điều từ 9 đến 12, trong trường hợp đơn vị xuất dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo luật hoặc đã ngừng tồn tại, trừ khi bất kỳ thực thể kế thừa nào đã đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng hoặc theo quy định của pháp luật, do đó, đơn vị này sẽ đảm nhận các quyền và nghĩa vụ của đơn vị xuất dữ liệu, trong trường hợp đó, chủ thể dữ liệu có thể thực các quyền và nghĩa vụ này cho thực thể đó.

3.  Chủ thể dữ liệu có thể thực thi đối với đơn vị xử lý phụ Điều này, Điều 5(a) đến (e) và (g), Điều 6, Điều 7, Điều 8(2), Điều từ 9 đến 12, trong trường hợp cả đơn vị xuất dữ liệu và đơn vị nhập dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo luật hoặc không còn khả năng thanh toán, trừ khi bất kỳ thực thể kế thừa nào đã đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng hoặc theo quy định của pháp luật, do đó, đơn vị này sẽ đảm nhận các quyền và nghĩa vụ của đơn vị xuất dữ liệu, trong trường hợp đó, chủ thể dữ liệu có thể thực các quyền và nghĩa vụ này cho thực thể đó. Trách nhiệm pháp lý của bên thứ ba này sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

4.  Các bên không phản đối một chủ thể dữ liệu được đại diện bởi một hiệp hội hoặc cơ quan khác nếu chủ thể dữ liệu đó thể hiện mong muốn một cách rõ ràng và nếu được luật pháp quốc gia cho phép.

Điều 4

Nghĩa vụ của đơn vị xuất dữ liệu

Đơn vị xuất dữ liệu đồng ý và đảm bảo:

(a) rằng việc xử lý, bao gồm cả việc chuyển chính, dữ liệu cá nhân đã và sẽ tiếp tục được thực hiện theo các quy định có liên quan của luật bảo vệ dữ liệu hiện hành (và, nếu có, đã được thông báo cho cơ quan có liên quan của Quốc gia thành viên nơi đơn vị xuất dữ liệu được thành lập) và không vi phạm các quy định có liên quan của Quốc gia đó;

(b) rằng đơn vị đã hướng dẫn và trong suốt thời gian thực hiện các dịch vụ xử lý dữ liệu cá nhân sẽ hướng dẫn đơn vị nhập dữ liệu xử lý dữ liệu cá nhân được chuyển chỉ thay mặt đơn vị xuất dữ liệu và tuân thủ luật bảo vệ dữ liệu hiện hành và các Điều khoản;

(c) rằng đơn vị nhập dữ liệu sẽ cung cấp điều khoản bảo đảm đầy đủ về các biện pháp an ninh kỹ thuật và tổ chức được quy định tại Phụ lục 2 của hợp đồng này;

(d) rằng sau khi đánh giá các yêu cầu của luật bảo vệ dữ liệu hiện hành, các biện pháp an ninh là thích hợp để bảo vệ dữ liệu cá nhân chống lại sự phá hủy vô tình hoặc bất hợp pháp hoặc mất mát ngẫu nhiên, thay đổi, tiết lộ hoặc truy cập trái phép, đặc biệt trong trường hợp việc xử lý liên quan đến việc truyền dữ liệu qua mạng, và chống lại tất cả các hình thức xử lý bất hợp pháp khác, và rằng các biện pháp này đảm bảo mức bảo mật phù hợp đối với các rủi ro do quá trình xử lý và bản chất của dữ liệu được bảo vệ liên quan đến tính hiện đại và chi phí của việc triển khai các biện pháp này;

(e) rằng đơn vị sẽ đảm bảo việc tuân thủ các biện pháp an ninh;

(f) rằng, nếu việc chuyển dữ liệu liên quan đến các danh mục dữ liệu đặc biệt, chủ thể dữ liệu đã được thông báo hoặc sẽ được thông báo trước, hoặc sớm nhất có thể sau đó, thì việc chuyển dữ liệu đó có thể được truyền sang một quốc gia thứ ba không cung cấp các biện pháp bảo vệ thích hợp theo định nghĩa của Chỉ thị 95/46/EC;

(g) chuyển tiếp bất kỳ thông báo nào nhận được từ đơn vị nhập dữ liệu hoặc bất kỳ đơn vị xử lý phụ nào theo Điều 5(b) và Điều 8(3) đến cơ quan giám sát bảo vệ dữ liệu nếu đơn vị xuất dữ liệu quyết định tiếp tục chuyển dữ liệu hoặc gỡ bỏ việc tạm dừng;

(h) để cung cấp cho các chủ thể dữ liệu, theo yêu cầu, bản sao của Điều khoản, ngoại trừ Phụ lục 2 và bản mô tả tóm tắt các biện pháp bảo mật, cũng như bản sao của bất kỳ hợp đồng nào cho các dịch vụ xử lý phụ phải được thực hiện theo Điều khoản, trừ khi các Điều khoản hoặc hợp đồng có chứa thông tin thương mại, trong trường hợp đó, nó có thể loại bỏ thông tin thương mại đó;

(i) rằng, trong trường hợp xử lý phụ, hoạt động xử lý được thực hiện theo Điều 11 bởi một đơn vị xử lý phụ cung cấp ít nhất cùng mức độ bảo vệ cho dữ liệu cá nhân và các quyền của chủ thể dữ liệu với tư cách là đơn vị nhập dữ liệu theo Điều khoản; và

(j) rằng đơn vị sẽ đảm bảo việc tuân thủ Điều 4(a) đến (i).

Điều 51.

Nghĩa vụ của đơn vị nhập dữ liệu

Đơn vị nhập dữ liệu đồng ý và đảm bảo:

(a) chỉ xử lý dữ liệu cá nhân thay mặt đơn vị xuất dữ liệu và tuân thủ các hướng dẫn của đơn vị xuất dữ liệu và Điều khoản; nếu không thể cung cấp sự tuân thủ đó vì bất kỳ lý do nào, đơn vị nhập dữ liệu đồng ý thông báo kịp thời cho đơn vị xuất dữ liệu về việc không tuân thủ, trong trường hợp đó, đơn vị xuất dữ liệu có quyền tạm dừng việc chuyển dữ liệu và / hoặc chấm dứt hợp đồng;

(b) rằng công ty không có lý do gì để tin rằng luật áp dụng cho công ty ngăn cản việc thực hiện các hướng dẫn nhận được từ đơn vị xuất dữ liệu và các nghĩa vụ của công ty theo hợp đồng và trong trường hợp có sự thay đổi trong luật này mà có khả năng có tác động bất lợi đáng kể về việc bảo hành và nghĩa vụ theo quy định của Điều khoản, thì công ty sẽ nhanh chóng thông báo cho đơn vị xuất dữ liệu ngay khi biết được thông tin, trong trường hợp đó, đơn vị xuất dữ liệu có quyền tạm dừng chuyển dữ liệu và/hoặc chấm dứt hợp đồng;

(c) rằng đơn vị đã thực hiện các biện pháp an ninh kỹ thuật và tổ chức quy được nêu trong Tiểu mục 2 trước khi xử lý dữ liệu cá nhân được chuyển qua;

(d) rằng đơn vị sẽ nhanh chóng thông báo cho đơn vị xuất dữ liệu về:

(i) bất kỳ yêu cầu ràng buộc pháp lý nào về việc tiết lộ dữ liệu cá nhân của cơ quan hành pháp, trừ khi bị cấm, chẳng hạn như cấm theo luật hình sự để bảo vệ tính bí mật của việc điều tra thực thi pháp luật,

(ii) bất kỳ quyền truy cập vô tình hoặc trái phép nào, và

(iii) bất kỳ yêu cầu nào nhận được trực tiếp từ các chủ thể dữ liệu mà không trả lời yêu cầu đó, trừ khi đơn vị đó được ủy quyền để làm như vậy;

(e) giải quyết kịp thời và đúng cách mọi yêu cầu của đơn vị xuất dữ liệu liên quan đến việc xử lý dữ liệu cá nhân theo hoạt động chuyển dữ liệu và tuân theo hướng dẫn của cơ quan giám sát đối với việc xử lý dữ liệu được chuyển;

(f) theo yêu cầu của đơn vị xuất dữ liệu để gửi dữ liệu của mình cho các cơ sở xử lý dữ liệu để kiểm tra các hoạt động xử lý được bao gồm trong Điều khoản mà sẽ được tiến hành bởi đơn vị xuất dữ liệu hoặc một cơ quan thanh tra bao gồm các thành viên độc lập và có bằng cấp chuyên môn bị ràng buộc bởi trách nhiệm bảo mật, do đơn vị xuất dữ liệu lựa chọn, nếu có, với sự đồng ý của cơ quan giám sát;

(g) để cung cấp cho chủ thể dữ liệu, theo yêu cầu, một bản sao của các Điều khoản, hoặc bất kỳ hợp đồng hiện có nào cho việc xử lý phụ, trừ trường hợp các Điều khoản hoặc hợp đồng có chứa thông tin thương mại, trong trường hợp này đơn vị có thể loại bỏ các thông tin thương mại đó, ngoại trừ Phụ lục 2 mà sẽ được thay thế bằng một bản mô tả tóm tắt về các biện pháp bảo mật trong những trường hợp mà chủ thể dữ liệu không thể lấy được bản sao từ đơn vị xuất dữ liệu;

(h) rằng, trong trường hợp xử lý phụ, đơn vị trước đây đã thông báo cho đơn vị xuất dữ liệu và nhận được sự đồng ý trước bằng văn bản;

(i) rằng các dịch vụ xử lý của đơn vị xử lý phụ sẽ được tiến hành theo Điều 11;

(j) để nhanh chóng gửi bản sao của bất kỳ thỏa thuận nào của đơn vị xử lý phụ mà đơn vị quyết định theo các Điều khoản đối với đơn vị xuất dữ liệu.

Điều 6

Trách nhiệm pháp lý

1.  Các bên đồng ý rằng bất kỳ chủ thể dữ liệu nào bị thiệt hại do bất kỳ vi phạm nghĩa vụ nào nêu tại Điều 3 hoặc Điều 11 của bất kỳ bên hoặc đơn vị xử lý phụ nào đều được nhận khoản bồi thường từ đơn vị xuất dữ liệu.

2.  Nếu chủ thể dữ liệu không thể đưa ra yêu cầu bồi thường theo đoạn 1 đối với đơn vị xuất dữ liệu, phát sinh từ việc vi phạm của đơn vị nhập dữ liệu hoặc đơn vị xử lý phụ của đơn vị nhập dữ liệu về bất kỳ nghĩa vụ nào được nêu tại Điều 3 hoặc Điều 11, bởi vì đơn vị xuất dữ liệu đã biến mất hoặc ngừng tồn tại một trên thực tế theo luật pháp hoặc bị phá sản, thì đơn vị nhập dữ liệu đồng ý rằng chủ thể dữ liệu có thể đưa ra khiếu nại chống lại đơn vị nhập dữ liệu như thể đơn vị nhập dữ liệu chính là đơn vị xuất dữ liệu, trừ khi bất kỳ thực thể kế thừa nào đã nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu của hợp đồng theo quy định của pháp luật, trong trường hợp đó chủ thể dữ liệu có thể thực thi các quyền của mình đối với thực thể đó. Đơn vị nhập dữ liệu không được dựa vào một vi phạm của một đơn vị xử lý phụ đối với nghĩa vụ của họ để tránh các trách nhiệm pháp lý của chính mình.

3.  Nếu một chủ thể dữ liệu không thể đưa ra khiếu nại chống lại đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu được đề cập trong đoạn 1 và 2, phát sinh từ việc vi phạm bất kỳ nghĩa vụ nào của đơn vị xử lý phụ được nêu tại Điều 3 hoặc Điều 11 vì cả đơn vị xuất dữ liệu và đơn vị nhập dữ liệu trên thực tế đã biến mất hoặc ngừng tồn tại theo pháp luật hoặc đã bị phá sản, thì đơn vị xử lý phụ đồng ý rằng chủ thể dữ liệu có thể đưa ra khiếu nại chống lại đơn vị phụ xử lý dữ liệu liên quan đến các hoạt động xử lý của riêng mình theo các Điều khoản như thể là đơn vị đó là đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu, trừ khi bất kỳ thực thể kế thừa nào đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu theo hợp đồng hoặc theo quy định của pháp luật, trong trường hợp này chủ thể dữ liệu có thể thực thi các quyền chống lại thực thể này. Trách nhiệm pháp lý của đơn vị xử lý phụ sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

Điều 7

Hòa giải và thẩm quyền tài phán

1.  Đơn vị nhập dữ liệu đồng ý rằng nếu chủ thể dữ liệu yêu cầu quyền lợi thụ hưởng bên thứ ba và/hoặc yêu cầu bồi thường thiệt hại theo Điều khoản, thì đơn vị nhập dữ liệu sẽ chấp nhận quyết định của chủ thể dữ liệu:

(a) đề cập đến tranh chấp cần hòa giải, bởi một cá nhân độc lập hoặc, nếu có, bởi cơ quan giám sát

(b) đề cập đến tranh chấp với các tòa án ở Quốc gia thành viên nơi đơn vị xuất dữ liệu được thành lập.

2.  Các bên đồng ý rằng lựa chọn do chủ thể dữ liệu thực hiện sẽ không ảnh hưởng đến các quyền căn bản hoặc thủ tục của mình để tìm kiếm các biện pháp khắc phục phù hợp với các quy định khác của luật pháp quốc gia hoặc quốc tế.

Điều 8

Phối hợp với các cơ quan giám sát

1.  Đơn vị xuất dữ liệu đồng ý gửi một bản sao hợp đồng này đến cơ quan giám sát nếu có yêu cầu hoặc nếu việc gửi như vậy là bắt buộc theo luật bảo vệ dữ liệu hiện hành.

2.  Các bên đồng ý rằng cơ quan giám sát có quyền tiến hành kiểm tra đơn vị nhập dữ liệu và bất kỳ đơn vị xử lý phụ nào có cùng phạm vi và tuân theo các điều kiện tương tự như các điều kiện sẽ áp dụng cho việc kiểm tra của đơn vị xuất dữ liệu theo luật bảo vệ dữ liệu hiện hành.

3.  Đơn vị nhập dữ liệu phải thông báo kịp thời cho đơn vị xuất dữ liệu về sự tồn tại của luật pháp áp dụng cho đơn vị nhập dữ liệu hoặc bất kỳ đơn vị xử lý phụ nào ngăn chặn việc tiến hành kiểm tra của đơn vị nhập dữ liệu, hoặc bất kỳ đơn vị xử lý phụ nào, theo đoạn 2. Trong trường hợp này, đơn vị xuất dữ liệu có quyền thực hiện các biện pháp dự kiến trong Điều 5 (b).

Điều 9

Luật điều chỉnh

Các Điều khoản sẽ được điều chỉnh bởi luật pháp của Quốc gia thành viên mà đơn vị xuất dữ liệu được thành lập, và khi có nghi ngờ hoặc trong trường hợp có nhiều đơn vị xuất dữ liệu, sẽ được điều chỉnh bởi luật pháp của Anh và xứ Wales. 

Điều 10

Biến thể của hợp đồng

Các bên cam kết không thay đổi hoặc sửa đổi các Điều khoản. Điều này không ngăn cản các bên bổ sung điều khoản về các vấn đề liên quan đến kinh doanh khi được yêu cầu, miễn là các phần bổ sung đó không mâu thuẫn với Điều khoản.

Điều 11

Xử lý phụ

1.  Đơn vị nhập dữ liệu không được ký hợp đồng phụ bất kỳ hoạt động xử lý nào được thực hiện thay mặt cho đơn vị xuất dữ liệu theo Điều khoản mà không có sự đồng ý trước bằng văn bản của đơn vị xuất dữ liệu. Trong trường hợp đơn vị nhập dữ liệu ký hợp đồng phụ các nghĩa vụ của mình theo Điều khoản, có sự đồng ý của đơn vị xuất dữ liệu, thì đơn vị nhập dữ liệu chỉ được thực hiện bằng một thỏa thuận văn bản với đơn vị xử lý phụ trong đó áp đặt cùng nghĩa vụ lên đơn vị xử lý phụ như được áp dụng đối với đơn vị nhập dữ liệu theo Điều khoản. Trong trường hợp đơn vị xử lý phụ không thực hiện các nghĩa vụ bảo vệ dữ liệu theo thoả thuận bằng văn bản đó, thì đơn vị nhập dữ liệu phải hoàn toàn chịu trách nhiệm đối với đơn vị xuất dữ liệu để thực hiện các nghĩa vụ của đơn vị xử lý phụ theo thỏa thuận đó.

2.  Hợp đồng bằng văn bản trước đây giữa đơn vị nhập dữ liệu và đơn vị xử lý phụ cũng sẽ quy định điều khoản thụ hưởng của bên thứ ba như được quy định tại Điều 3 đối với các trường hợp chủ thể dữ liệu không thể mang yêu cầu bồi thường như nêu tại đoạn 1 của Điều 6 chống lại đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu vì họ đã biến mất hoặc đã ngừng tồn tại theo pháp luật hoặc đã phá sản và không có tổ chức kế thừa nào đảm nhận toàn bộ nghĩa vụ pháp lý của đơn vị xuất dữ liệu hoặc đơn vị nhập dữ liệu theo hợp đồng hoặc theo quy định của pháp luật. Trách nhiệm pháp lý của bên thứ ba này sẽ bị giới hạn ở các hoạt động xử của riêng mình theo các Điều khoản này.

3.  Các điều khoản liên quan đến các khía cạnh bảo vệ dữ liệu đối với việc xử lý phụ của hợp đồng nêu tại khoản 1 sẽ được điều chỉnh bởi luật của Quốc gia thành viên nơi đơn vị xuất dữ liệu thành lập.

4.  Đơn vị xuất dữ liệu phải lưu giữ danh sách các thỏa thuận xử lý phụ được ký kết theo các Điều khoản và được thông báo bởi đơn vị nhập dữ liệu theo Điều 5 (j), mà sẽ được cập nhật ít nhất mỗi năm một lần. Danh sách này sẽ được cung cấp cho cơ quan giám sát bảo vệ dữ liệu của đơn vị xuất dữ liệu.

Điều 12

Nghĩa vụ sau khi chấm dứt dịch vụ xử lý dữ liệu cá nhân

1.  Các bên đồng ý rằng khi việc chấm dứt cung cấp dịch vụ xử lý dữ liệu, đơn vị nhập dữ liệu và đơn vị xử lý phụ, theo sự lựa chọn đơn vị xuất dữ liệu, trả lại tất cả dữ liệu cá nhân đã chuyển và các bản sao của dữ liệu đó cho đơn vị xuất dữ liệu hoặc sẽ phá hủy tất cả dữ liệu cá nhân và chứng nhận cho đơn vị xuất dữ liệu rằng họ đã làm như vậy, trừ khi pháp luật áp đặt khi đơn vị nhập dữ liệu ngăn không cho họ trả lại hoặc hủy tất cả hoặc một phần dữ liệu cá nhân đã chuyển. Trong trường hợp đó, đơn vị nhập dữ liệu đảm bảo rằng họ sẽ đảm bảo tính bí mật của dữ liệu cá nhân đã chuyển và sẽ không chủ động xử lý dữ liệu cá nhân đã chuyển nữa.

2.  Đơn vị nhập dữ liệu và đơn vị xử lý phụ đảm bảo rằng theo yêu cầu của đơn vị xuất dữ liệu và/hoặc của cơ quan giám sát, thì đơn vị nhập dữ liệu sẽ gửi thông tin về các cơ sở xử lý dữ liệu của mình để kiểm tra các biện pháp được đề cập trong đoạn 1.

**********************************************

Phụ lục 1 của Điều khoản hợp đồng tiêu chuẩn

Đơn vị xuất dữ liệu

Đơn vị xuất dữ liệu là thực thể được xác định là "Khách hàng" trong Phụ lục

Đơn vị nhập dữ liệu

Đơn vị nhập dữ liệu là GoDaddy.com, LLC , một nhà cung cấp dịch vụ lưu trữ.

Chủ thể dữ liệu

Các hoạt động xử lý được nêu trong Phần 1.3 và Phụ lục 1 của bản Hợp đồng bổ sung này.

Các danh mục dữ liệu

Các hoạt động xử lý được nêu trong Phần 1.3 và Phụ lục 1 của bản Hợp đồng bổ sung này.

Hoạt động xử lý

Các hoạt động xử lý được nêu trong Phần 1.3 và Phụ lục 1 của bản Hợp đồng bổ sung này.

Phụ lục 2 của Điều khoản hợp đồng tiêu chuẩn

Phụ lục này tạo thành một phần của Điều khoản.  Bằng việc mua Dịch vụ được bao gồm GoDaddy, Hợp đồng bổ sung và Phụ lục 2 này được coi là đã được chấp nhận và thi hành bởi và giữa các bên.

Thông tin mô tả các biện pháp an ninh kỹ thuật và tổ chức được thực hiện bởi đơn vị nhập dữ liệu theo Điều 4(d) và 5(c) (hoặc tài liệu/luật pháp đính kèm):

Các biện pháp an ninh kỹ thuật và tổ chức do đơn vị nhập dữ liệu thực hiện là các biện pháp như được mô tả trong Hợp đồng bổ sung này, đặc biệt trong Phụ lục 2, được kết hợp và đính kèm với Hợp đồng bổ sung.


1              Các yêu cầu bắt buộc của luật pháp quốc gia áp dụng cho đơn vị nhập dữ liệu mà không vượt quá những gì cần thiết trong một xã hội dân chủ trên cơ sở của một trong những lợi ích được liệt kê trong Điều 13(1) của Chỉ thị 95/46/EC, tức là, nếu chúng cấu thành một biện pháp cần thiết để bảo vệ an ninh quốc gia, quốc phòng, an ninh công cộng, phòng ngừa, điều tra, phát hiện và truy tố tội phạm hình sự hoặc vi phạm đạo đức đối với ngành nghề được quản lý, lợi ích kinh tế hoặc tài chính quan trọng của Quốc gia hoặc bảo vệ chủ thể dữ liệu hoặc quyền và quyền tự do của người khác, là không mâu thuẫn với các điều khoản hợp đồng tiêu chuẩn. Một số ví dụ về các yêu cầu bắt buộc này mà không vượt quá những gì cần thiết trong một xã hội dân chủ là, không kể những thứ khác, các biện pháp trừng phạt được quốc tế công nhận, yêu cầu báo cáo thuế hoặc yêu cầu báo cáo chống rửa tiền.

Đã sửa đổi: 29/01/2019
Bản quyền © 2019 GoDaddy.com, LLC Bảo lưu mọi quyền.