GoDaddy

ANEKS DOTYCZĄCY PRZETWARZANIA DANYCH (KLIENCI)

Niniejszy Aneks dotyczący Przetwarzania Danych („Aneks”) zostaje zawarty pomiędzy firmą GoDaddy.com, LLC, a Delaware limited liability company i jej Partnerami („firma GoDaddy”) a klientem („Klient”) oraz jest dołączony do Regulaminu ogólnego, Zasad ochrony danych osobowych oraz wszelkich umów regulujących Świadczone usługi (łącznie „Warunki świadczenia usług”) oraz stanowi uzupełnienie wyżej wymienionych dokumentów.  O ile niniejszy Aneks nie stanowi inaczej, wszelkie terminy zapisane wielką literą i niezdefiniowane w niniejszym Aneksie posiadają znaczenie nadane im w Warunkach świadczenia usług.

1. Definicje

Partnerzy” to wszelkie podmioty kontrolowane przez firmę GoDaddy, kontrolujące ją lub pozostające z nią pod wspólną kontrolą.

Świadczone usługi” oznaczają wszelkie oferowane przez nas usługi hostowane, korzystanie z których może wiązać się z Przetwarzaniem Danych osobowych przez naszą firmę.

„Dane Klienta” oznaczają Dane osobowe każdej Osoby, której dane dotyczą, podlegające Przetwarzaniu przez firmę GoDaddy w obrębie Sieci firmy GoDaddy w imieniu Klienta na mocy Warunków świadczenia usług lub w związku z nimi.

Administrator Danych” oznacza Klienta jako podmiot ustalający cele oraz sposoby Przetwarzania Danych osobowych.

Przetwarzający dane” oznacza firmę GoDaddy jako podmiot przeprowadzający Przetwarzanie Danych osobowych w imieniu Administratora Danych.

Przepisy o ochronie danych” oznaczają wszelkie przepisy oraz regulacje prawne, łącznie z przepisami i regulacjami Unii Europejskiej, mające zastosowanie do Przetwarzania Danych osobowych na mocy niniejszej Umowy.

Osoba, której dane dotyczą” oznacza osobę fizyczną, której dotyczą Dane osobowe.

EOG” oznacza Europejski Obszar Gospodarczy.

Sieć firmy GoDaddy oznacza obiekty firmy GoDaddy będące centrami danych, serwery, urządzenia sieciowe oraz oprogramowanie instalowane na hoście (np. wirtualną zaporę ogniowa) znajdujące się pod kontrolą firmy GoDaddy i wykorzystywane do dostarczania Świadczonych usług.

Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Przetwarzanie danych” oznacza każdą operację lub ciąg operacji dokonywanych na Danych osobowych, także za pomocą metod zautomatyzowanych, takich jak gromadzenie, zapisywanie, organizowanie, porządkowanie, przechowywanie, dostosowywanie lub przekształcanie, odzyskiwanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, zestawianie lub kompilowanie, ograniczanie, usuwanie lub niszczenie. „Przetwarzać”, „przetworzone” oraz inne formy tego terminu będą interpretowane w analogiczny sposób. Szczegóły przetwarzania danych zostały opisane w Dodatku 1.

Zdarzenie naruszające bezpieczeństwo” oznacza (a) naruszenie Standardów bezpieczeństwa firmy GoDaddy prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, przekształcenia, nieautoryzowanego ujawnienia lub dostępu do wszelkich Danych Klienta; lub (b) wszelkie uzyskanie nieautoryzowanego dostępu do urządzeń lub obiektów firmy GoDaddy, skutkujące zniszczeniem, utratą, nieautoryzowanym ujawnieniem lub przekształceniem Danych klienta.

Standardy bezpieczeństwa” oznaczają standardy bezpieczeństwa załączone do niniejszego Aneksu jako Dodatek 2.

Standardowe klauzule umowne” lub „SKU oznaczają Dodatek 3, załączony do niniejszego Aneksu stanowiący jego integralną część zgodnie z decyzją Komisji Europejskiej z dnia 5 lutego 2010 roku w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych przetwarzającym prowadzącym działalność gospodarczą w krajach trzecich na mocy dyrektywy. 

Podwykonawca Przetwarzania” oznacza każdego Przetwarzającego dane zaangażowanego przez Przetwarzającego w celu Przetwarzania danych w imieniu Administratora Danych.                                                               

2. Przetwarzanie danych

2.1 Zakres i role. Postanowienia niniejszego Aneksu mają zastosowanie do przypadków przetwarzania Danych Klienta przez firmę GoDaddy.  W tym kontekście, firma GoDaddy będzie działać w charakterze Przetwarzającego dane w imieniu Klienta będącego Administratorem danych w odniesieniu do Danych Klienta.

2.2 Szczegóły przetwarzania Danych. Przedmiotem operacji Przetwarzania Danych Klienta przez firmę GoDaddy jest wykonywanie Świadczonych usług zgodnie z Warunkami świadczenia usług oraz umowami specyficznymi dla danego produktu. Firma GoDaddy przetwarza Dane Klienta wyłącznie w imieniu Klienta oraz zgodnie z jego pisemnymi instrukcjami w następujących celach: (i) Przetwarzanie zgodnie z Warunkami świadczenia usług lub mającymi zastosowanie umowami specyficznymi dla danego produktu; (ii) Przetwarzanie zainicjowane przez użytkowników końcowych podczas korzystania ze Świadczonych usług; (iii) Przetwarzanie w celu zachowania zgodności z innymi udokumentowanymi, zasadnymi instrukcjami dostarczonymi przez Klientów (np. pocztą elektroniczną), które są zgodne z warunkami Umowy. Firma GoDaddy nie ma obowiązku stosowania się do instrukcji Klienta, które naruszają postanowienia RODO lub wszelkie inne mające zastosowanie przepisy dotyczące ochrony danych, ani postępowania zgodnie z takimi instrukcjami. Czas trwania operacji Przetwarzania, charakter oraz cel Przetwarzania, rodzaje Danych osobowych oraz kategorie Osób, których dane dotyczą objętych Przetwarzaniem zgodnie z warunkami niniejszego Aneksu zostały szczegółowo opisane w Dodatku 1 („Szczegóły procesu Przetwarzania”) do niniejszego Aneksu.

3. Poufność Danych Klienta

Firma GoDaddy nie ujawnia Danych Klienta jakimkolwiek instytucjom rządowym ani jakimkolwiek innym podmiotom trzecim, z wyjątkiem przypadków, w których jest to niezbędne do zachowania zgodności z przepisami prawa lub do zastosowania się do ważnego i wiążącego nakazu organu ścigania (takiego jak wezwanie sądowe lub nakaz sądowy).  W przypadku, kiedy firma GoDaddy otrzyma od organu egzekwowania prawa wezwanie do ujawnienia Danych Klienta, firma GoDaddy podejmie próbę skierowania organu ścigania do Klienta w celu zażądania udostępnienia takich Danych bezpośrednio od niego. W ramach powyższych działań, firma GoDaddy może dostarczyć organom ścigania podstawowe dane kontaktowe Klienta. W przypadku, kiedy firma GoDaddy będzie zmuszona ujawnić Dane Klienta organom ścigania, uprzedzi ona Klienta z rozsądnym wyprzedzeniem o otrzymaniu takiego żądania, aby umożliwić Klientowi uzyskanie nakazu ochronnego lub innego środka prawnego, z wyjątkiem przypadków, w których prawo zabrania firmie GoDaddy wykonywać wyżej wymienione czynności.

4. Zabezpieczenia

4.1 Firma GoDaddy wdrożyła i będzie stosować środki techniczne oraz organizacyjne w odniesieniu do Sieci firmy GoDaddy, opisane w niniejszej sekcji oraz w Dodatku 2 do niniejszego Aneksu pt. „Standardy bezpieczeństwa”. W szczególności, firma GoDaddy wdrożyła oraz będzie stosować następujące środki techniczne i organizacyjne dotyczące (i) bezpieczeństwa Sieci firmy GoDaddy; (ii) bezpieczeństwa fizycznego obiektów; (iii) środków kontroli dostępu pracowników oraz wykonawcy do (i) i/lub (ii); oraz (iv) procesy testowania, oceny i ewaluacji skuteczności środków technicznych i organizacyjnych wdrożonych przez firmę GoDaddy. W przypadku niemożności wywiązania się z któregokolwiek z zobowiązań określonych w niniejszym dokumencie, wystosujemy pisemne zawiadomienie (za pośrednictwem swojej witryny oraz poczty e-mail) tak szybko, jak jest to praktycznie możliwe.

4.2 Firma GoDaddy udostępnia szereg form oraz funkcji zabezpieczeń, które Klient może wykorzystywać w stosunku do Świadczonych usług. Klient jest odpowiedzialny za (a) prawidłową konfigurację Świadczonych usług, (b) korzystanie z dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu stałego zapewnienia poufności, integralności, dostępności oraz odporności systemów oraz usług Przetwarzania, (c) wykorzystywanie dostępnych środków kontroli w odniesieniu do Świadczonych usług (łącznie ze środkami kontroli dotyczącymi ochrony) w celu umożliwienia Klientowi przywrócenia dostępności oraz dostępu do Danych Klienta w odpowiednim czasie w przypadku wystąpienia incydentu fizycznego lub technicznego (np. tworzenie kopii zapasowych oraz rutynową archiwizację Danych Klienta), oraz (d) podejmowanie kroków, które Klient uzna za stosowne w celu zachowania właściwego bezpieczeństwa, ochrony oraz w celu usuwania Danych Klienta, w tym wykorzystywania technologii szyfrowania w celu ochrony Danych Klienta przed nieautoryzowanym dostępem oraz środków kontroli praw dostępu do Danych Klienta.

5. Prawa Osoby, której dane dotyczą

Mając na uwadze charakter Świadczonych usług, firma GoDaddy zapewnia Klientowi określone środki kontroli opisane w sekcji „Bezpieczeństwo” niniejszego Aneksu, umożliwiające Klientowi pobieranie, sprostowanie, usuwanie lub ograniczanie wykorzystywania i przekazywania Danych Klienta opisanych w Świadczonych usługach. Klient może wykorzystywać takie środki kontroli jako środki techniczne i organizacyjne w związku z jego zobowiązania wynikającymi z mających zastosowanie przepisów dotyczących prywatności, łącznie ze zobowiązaniami związanymi z odpowiedzią na żądania Osób, których dane dotyczą. W sposób gospodarczo uzasadniony oraz w zakresie wymaganym lub dozwolonym przez prawo, firma GoDaddy niezwłocznie powiadomi Klienta w przypadku, gdy firma GoDaddy otrzyma od Osoby, której dane dotyczą bezpośrednie żądanie wykonania praw wynikających z mających zastosowanie przepisów o ochronie danych osobowych („Żądanie Osoby, której dane dotyczą”). Ponadto, w przypadku korzystania przez Klienta ze Świadczonych usług w sposób ograniczający możliwość odniesienia się do Żądania Osoby, której dane dotyczą, firma GoDaddy może – jeżeli jest to prawnie dozwolone i właściwe oraz po otrzymaniu żądania od Klienta – dostarczyć gospodarczo uzasadnioną pomoc w odnoszeniu się do żądania, na koszt Klienta (jeśli taki wystąpi).

6. Podwykonawstwo Przetwarzania

6.1 Upoważnieni Podwykonawcy Przetwarzania. Klient akceptuje, iż firma GoDaddy może korzystać z usług Podwykonawców Przetwarzania w celu realizacji swoich zobowiązań umownych wynikających z Warunków świadczenia usług oraz niniejszego Aneksu lub w celu dostarczenia określonych usług w swoim imieniu, takich jak usługi wsparcia. Klient wyraża niniejszym zgodę na korzystanie przez firmę GoDaddy z usług Podwykonawców Przetwarzania zgodnie z postanowieniami niniejszej sekcji. Z wyjątkiem przypadków określonych w niniejszej sekcji lub z wyjątkiem innych przypadków wyraźnie zatwierdzonych przez Klienta, firma GoDaddy nie zezwoli na wykonanie jakichkolwiek innych czynności Przetwarzania danych przez Podwykonawców.

6.2 Obowiązki Podwykonawców Przetwarzania. W przypadkach, w których firma GoDaddy korzysta z usług autoryzowanych Podwykonawców Przetwarzania zgodnie z postanowieniami sekcji 6.1:

(i) firma GoDaddy ograniczy dostęp Podwykonawcy Przetwarzania do Danych Klienta wyłącznie do zakresu niezbędnego do utrzymania Świadczonych usług lub do dostarczania Świadczonych usług Klientowi oraz użytkownikom końcowym zgodnie z warunkami Świadczonych usług. Firma GoDaddy uniemożliwi Podwykonawcy Przetwarzania uzyskiwanie dostępu do Danych Klienta w jakimkolwiek innym celu;

(ii) firma GoDaddy zawrze pisemną umowę z Podwykonawcą Przetwarzania oraz – w zakresie, w jakim Podwykonawca Przetwarzania świadczy te same usługi przetwarzania danych, które są oferowane przez firmę GoDaddy zgodnie z niniejszym Aneksem – firma GoDaddy nakłada na Podwykonawcę Przetwarzania te same obowiązki umowne, jakie spoczywają na firmie GoDaddy na mocy niniejszego Aneksu; oraz

(iii) firma GoDaddy ponosi odpowiedzialność za zachowanie zgodności z obowiązkami określonymi w niniejszym Aneksie oraz za wszelkie działania lub zaniechania ze strony Podwykonawcy Przetwarzania, które przyczyniają się do złamania przez firmę GoDaddy którychkolwiek ze zobowiązań firmy GoDaddy wynikających z niniejszego Aneksu.

6.3 Nowi Podwykonawcy Przetwarzania.  Okresowo nasza firma może angażować nowych Podwykonawców Przetwarzania zgodnie z postanowieniami niniejszego Aneksu.  W takich przypadkach, nasza firma przekazuje informację (za pośrednictwem swojej witryny i poczty e-mail) 60 dni przed uzyskaniem przez nowego Podwykonawcę Przetwarzania dostępu do jakichkolwiek Danych Klienta. Jeśli Klient nie zatwierdzi nowego Podwykonawcy Przetwarzania, Klientowi będzie przysługiwać prawo do wypowiedzenia dowolnych Świadczonych usług bez ponoszenia jakiejkolwiek kary poprzez przekazanie w terminie 10 dni od otrzymania zawiadomienia od naszej firmy pisemnego wypowiedzenia, obejmującego wyjaśnienie przyczyn odmowy zatwierdzenia nowego Podwykonawcy Przetwarzania. Jeżeli Świadczone usługi są częścią pakietu lub zakupu pakietowego, wszelkie wypowiedzenie będzie miało zastosowanie do całości takich usług.

7. Powiadomienie o naruszeniu bezpieczeństwa

7.1 Zdarzenie naruszające bezpieczeństwo. Jeżeli firma GoDaddy posiądzie wiedzę o wystąpieniu Zdarzenia naruszającego bezpieczeństwo, firma GoDaddy bez zbędnej zwłoki: (a) powiadomi Klienta o zaistnieniu Zdarzenia naruszającego bezpieczeństwo; oraz (b) podejmie właściwe kroki w celu złagodzenia skutków oraz zminimalizowania wszelkich szkód będących efektem danego Zdarzenia naruszającego bezpieczeństwo. 

7.2 GoDaddy Pomoc.  W celu udzielenia Klientowi pomocy w związku z wszelkimi powiadomieniami o naruszeniach ochrony danych osobowych, które Klient jest zobowiązany przekazać na mocy wszelkich obowiązujących przepisów dotyczących prywatności, firma GoDaddy umieści w takim powiadomieniu, zgodnie z postanowieniami sekcji 8.1, takie informacje dotyczące Zdarzenia naruszającego bezpieczeństwo, jakie firma GoDaddy jest w stanie ujawnić Klientowi w rozsądnych granicach, biorąc pod uwagę charakter Świadczonych usług, informacje dostępne firmie GoDaddy oraz wszelkie ograniczenia w zakresie ujawniania informacji, takie jak poufność danych.  

7.3 Nieudane Zdarzenia naruszające bezpieczeństwo. Klient akceptuje, że:

(i) Nieudane Zdarzenie naruszające bezpieczeństwo nie podlega warunkom niniejszego Aneksu. Nieudane Zdarzenie naruszające bezpieczeństwo stanowi nieudaną próbę uzyskania nieautoryzowanego dostępu do Danych Klienta lub do jednej z Sieci firmy GoDaddy, jej urządzeń lub budynków, w których przechowywane są Dane Klienta. Zdarzenia tego typu mogą obejmować m.in. polecenia ping i inne ataki na zapory sieciowe lub serwery brzegowe, polegające na nadaniu klucza publicznego trzem lub więcej użytkownikom, skanowanie portów, nieudane próby logowania, ataki typu DoS, zbieranie pakietów (lub inne sposoby uzyskania nieautoryzowanego dostępu do danych dotyczących ruchu sieciowego, w wyniku którego pozyskiwane są jedynie dane nagłówków) lub podobne zdarzenia; oraz

(ii) obowiązek zgłoszenia przez firmę GoDaddy Zdarzenia naruszającego bezpieczeństwo lub zareagowania na nie zgodnie z niniejszą sekcją nie stanowi i nie będzie stanowić uznania przez firmę GoDaddy wszelkich uchybień lub odpowiedzialności firmy GoDaddy w odniesieniu do takiego Zdarzenia naruszającego bezpieczeństwo.  

7.4 Komunikacja. Powiadomienie(-a) dotyczące Zdarzeń naruszających bezpieczeństwo będzie lub będą dostarczane do co najmniej jednego administratora Klienta przy pomocy któregokolwiek środka komunikacji wybranego przez firmę GoDaddy łącznie z pocztą e-mail. Klient ponosi wyłączną odpowiedzialność za zapewnienie, że administratorzy Klienta posiadają aktualne dane kontaktowe w konsoli zarządzania firmy GoDaddy oraz za zapewnienie bezpiecznej transmisji danych.

8. Prawa Klienta

8.1 Niezależne określanie. Klient jest odpowiedzialny za zapoznanie się z informacjami udostępnionymi przez firmę GoDaddy, które odnoszą się do bezpieczeństwa danych i Standardów bezpieczeństwa, a także za sprawdzenie, czy Świadczone usługi spełniają wymagania Klienta oraz zobowiązania prawne, jak również obowiązki Klienta opisane w niniejszym Aneksie. Udostępnione informacje mają za zadanie pomoc Klientowi w zachowaniu zgodności z obowiązkami Klienta wynikającymi z mających zastosowanie przepisów dotyczących prywatności, łącznie z RODO, w odniesieniu do oceny skutków w zakresie ochrony danych oraz wcześniejszych konsultacji.

8.2 Prawo Klienta do przeprowadzenia audytu. Klient ma prawo zweryfikować zachowywanie przez firmę GoDaddy zgodności z postanowieniami niniejszego Aneksu w odniesieniu do Świadczonych usług, w tym w szczególności przestrzegania przez firmę GoDaddy Standardów bezpieczeństwa, poprzez skorzystanie z prawa do przeprowadzenia audytu lub inspekcji, w tym na mocy Standardowych klauzul umownych, jeżeli mają one zastosowanie, poprzez przesłanie pisemnego żądania firmie GoDaddy na adres podany w Warunkach świadczenia usług. W przypadku, kiedy firma GoDaddy odmówi zastosowania się do jakichkolwiek instrukcji Klienta dotyczących prawidłowo zażądanego audytu lub inspekcji o należycie określonym zakresie, Klienta ma prawo do wypowiedzenia warunków niniejszego Aneksu oraz Warunków świadczenia usług. W przypadku, kiedy zastosowanie mają Standardowe klauzule umowne, żadne z postanowień niniejszej sekcji nie zmieniają Standardowych klauzul umownych ani nie wpływają na którekolwiek prawa jakiegokolwiek organu nadzorczego lub Osoby, której dane dotyczą, wynikające ze Standardowych klauzul umownych. Niniejsza sekcja ma również zastosowanie w zakresie, w jakim firma GoDaddy przeprowadza kontrolę Podwykonawców Przetwarzania w imieniu Klienta.

9. Przekazywanie Danych osobowych.

9.1 Przetwarzanie na terenie USA. Z wyjątkiem przypadków wyraźnie określonych w Warunkach świadczenia usług, Dane Klienta będą przenoszone poza EOG oraz przetwarzane na terenie USA.  

9.2 Zastosowanie Standardowych klauzul umownych. Standardowe klauzule umowne mają zastosowanie do Danych Klienta przekazywanych poza EOG – zarówno bezpośrednio, jak i w ramach dalszego przekazywania – do jakiegokolwiek kraju nieuznanego przez Komisję Europejską za kraj zapewniający wystarczającą ochronę danych osobowych (zgodnie z postanowieniami RODO). Standardowe klauzule umowne nie mają zastosowania do Danych Klienta, które nie są przekazywane – zarówno bezpośrednio, jak i w ramach dalszym przekazywania – poza EOG.  Niezależnie od powyższego, Standardowe klauzule umowne nie mają zastosowania, jeżeli dane są przekazywane zgodnie z uznanym standardem zgodności dotyczącym przekazywania danych osobowych zgodnie z prawem (zgodnie z postanowieniami RODO) poza EOG, takim jak Programy „Tarcza prywatności” UE-USA i Szwajcaria-USA.  

10. Wypowiedzenie Aneksu

Niniejszy Aneks pozostaje w mocy do czasu zakończenia czynności Przetwarzania zgodnie z Warunkami świadczenia usług („Data zakończenia Przetwarzania”).   

11. Zwrot lub usuwanie Danych Klienta

Tak jak zostało to opisane w Świadczonych usługach, Klient może otrzymać narzędzia kontroli, które mogą być wykorzystywane do odzyskiwania lub usuwania Danych Klienta. Wszelkie czynności usunięcia Danych Klienta podlegają warunkom realizacji danej Świadczonej usługi.

12. Ograniczenie odpowiedzialności

Odpowiedzialność każdej ze stron na mocy niniejszego Aneksu podlega wyłączeniom oraz ograniczeniom odpowiedzialności określonym w Warunkach świadczenia usług. Klient akceptuje fakt, iż wszelkie kary regulaminowe poniesione przez firmę GoDaddy w związku z Danymi Klienta, a wynikające z niedopełnienia przez Klienta jego obowiązków wynikających z postanowień niniejszego Aneksu oraz wszelkich mających zastosowanie przepisów dotyczących prywatności lub związane z takim niedopełnieniem obowiązków, zostaną zaliczone w poczet odpowiedzialności firmy GoDaddy wynikającej z Warunków świadczenia usług oraz zmniejszą ją, tak jakby stanowiły one odpowiedzialność Klienta wynikającą z Warunków świadczenia usług.

13. Całość Warunków świadczenia usług; Konflikt

Niniejszy Aneks wszelkie wcześniejsze lub równoczesne oświadczenia, porozumienia, umowy lub komunikaty pomiędzy Klientem a firmą GoDaddy, zarówno w formie pisemnej, jak i ustnej, dotyczące przedmiotu niniejszego Aneksu, w tym wszelkie załączniki dotyczące przetwarzania danych zawarte pomiędzy firmą GoDaddy a Klientem w odniesieniu do przetwarzania danych osobowych i swobodnego przepływu tych danych.  Z wyjątkiem postanowień zmienionych na mocy niniejszego Aneksu, Warunki świadczenia usług pozostają w mocy.  W przypadku konfliktu pomiędzy jakąkolwiek inną umową obowiązującą pomiędzy stronami, w tym Warunkami świadczenia usług, a niniejszym Aneksem, postanowienia niniejszego Aneksu mają moc rozstrzygającą.

** ************************************************

Dodatek 1

 SZCZEGÓŁY PRZETWARZANIA DANYCH

 1. Charakter i cel Przetwarzania. Firma GoDaddy przeprowadza Przetwarzanie Danych osobowych w zakresie niezbędnym do realizacji Świadczonych usług zgodnie z Warunkami świadczenia usług, umowami specyficznymi dla danego produktu oraz dalszymi instrukcjami Klienta otrzymywanymi w trakcie korzystania przez niego ze Świadczonych usług.

 2. Okres Przetwarzania Danych. Z zastrzeżeniem postanowień sekcji 10 niniejszego Aneksu, firma GoDaddy będzie dokonywać Przetwarzania Danych w okresie obowiązywania Warunków świadczenia usług, ale będzie również przestrzegać postanowień niniejszego Aneksu w okresie Przetwarzania, jeżeli okres taki przekracza wyżej wymieniony okres obowiązywania oraz jeśli nie dokonano innych uzgodnień w formie pisemnej.

3. Kategorie Osób, których dane dotyczą. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. Dane osobowe odnoszące się do następujących kategorii Osób, których dane dotyczą:

  • Potencjalnych klientów, klientów, partnerów biznesowych oraz dystrybutorów Klienta (będących osobami fizycznymi)
  • Pracowników lub osób kontaktowych potencjalnych klientów, klient`ów, partnerów biznesowych i dystrybutorów Klienta
  • Pracowników, agentów, doradców Klienta oraz osób świadczących usługi na rzecz Klienta jako przedstawiciele wolnych zawodów (będących osobami fizycznymi)
  • Użytkowników Klienta, którzy zostali upoważnieni przez Klienta do korzystania ze Świadczonych usług.

 4. Rodzaje Danych osobowych. Klient może przesyłać Dane osobowe w trakcie korzystania ze Świadczonych usług. Rodzaj i zakres przekazywanych Danych osobowych jest ustalany i kontrolowany przez Klienta według jego własnego uznania i może obejmować m.in. następujące kategorie Danych osobowych Osób, których dane dotyczą: 

  • Imię i nazwisko
  • Adres
  • Numer telefonu
  • Datę urodzenia
  • Adres e-mail
  • Inne gromadzone dane, które mogą pozwolić na bezpośrednią lub pośrednią identyfikację Klienta.

** ************************************************

Dodatek 2

Standardy bezpieczeństwa

I.  Środki techniczne i organizacyjne  

Dbamy o ochronę informacji o naszych Klientach.  Biorąc pod uwagę najlepsze praktyki, koszty wdrożenia oraz charakter, zakres, okoliczności i cele Przetwarzania, a także różne prawdopodobieństwo wystąpienia oraz ciężar zagrożenia dla praw i swobód osób fizycznych, podejmujemy następujące środki techniczne i organizacyjne.  Podczas dobierania tych środków uwzględniamy poufność, integralność, dostępność i odporność systemów. Gwarantujemy szybkie odzyskanie danych po incydencie fizycznym lub technicznym. 

II.  Program prywatności danych  

Nasz program prywatności danych został przyjęty w celu utrzymania globalnej struktury zarządzania danymi oraz zabezpieczenia danych przez cały cykl ich życia. Program jest prowadzony przez biuro inspektora ochrony danych, który nadzoruje wdrażanie zasad ochrony danych osobowych oraz środków bezpieczeństwa. Regularnie przeprowadzamy testy, ocenę i ewaluację skuteczności programu ochrony danych osobowych oraz Standardów bezpieczeństwa.   

1. Poufność. „Poufność oznacza ochronę danych osobowych przed nieautoryzowanym ujawnieniem.”  

Wykorzystujemy różnorodne środki fizyczne oraz logiczne mające na celu ochronę poufności danych osobowych klientów. Środki te obejmują:   

  Ochronę fizyczną  

  • Funkcjonujące fizyczne systemy kontroli dostępu (kontrola dostępu przy pomocy identyfikatorów, monitorowanie zdarzeń związanych z bezpieczeństwem itd.) 
  • Systemy nadzoru, w tym alarmy, oraz – w stosownych przypadkach – monitoring z wykorzystaniem kamer przemysłowych  
  • Politykę czystego biurka oraz środki kontroli dokumentacji (blokowanie komputerów przy pustych stanowiskach, zamykane szafki itd.)  
  • Zarządzanie dostępem gości 
  • Niszczenie danych na nośnikach fizycznych oraz dokumentów (fizyczne niszczenie dokumentów, rozmagnesowywanie itd.) 

  Kontrolę dostępu oraz zapobieganie dostępowi osób niepowołanych 

  • Zastosowane ograniczenia dostępu użytkownika oraz nadane/zrewidowane uprawnienia dostępu oparte na rolach, utworzone zgodnie z zasadą rozdziału obowiązków  
  • Silne narzędzia uwierzytelniania i autoryzacji (wielostopniowe uwierzytelnianie, autoryzację opartą na certyfikatach, automatyczną deaktywacja/wylogowanie itd.) 
  • Centralne zarządzanie hasłami oraz silne/skomplikowane zasady tworzenia haseł (minimalna długość, różnorodność znaków, okres ważności haseł itd.)   
  • Kontrolowany dostęp do poczty e-mail i Internetu 
  • Zarządzanie programami antywirusowymi  
  • Zarządzanie systemem ochrony przed intruzami  

Szyfrowanie   

  • Szyfrowanie komunikacji zewnętrznej oraz wewnętrznej przy pomocy silnych protokołów szyfrujących  
  • Szyfrowanie danych umożliwiających identyfikację (PII) i wrażliwych danych umożliwiających identyfikację (SPII) w stanie spoczynku (bazy danych, udostępnione katalogi itd.)   
  • Pełne szyfrowanie dysków w komputerach stacjonarnych oraz laptopach należących do firmy   
  • Szyfrowanie nośników danych  
  • Połączenia zdalne z sieciami należącymi do firmy realizowane są za pomocą wirtualnej sieci prywatnej VPN  
  • Zabezpieczenie cyklu użytkowania kluczy szyfrujących  

 Minimalizację danych    

  • Minimalizację danych PII i SPII w dziennikach aplikacji, debugowania i bezpieczeństwa  
  • Pseudonimizację danych osobowych w celu zapobiegania bezpośredniej identyfikacji osoby fizycznej 
  • Segregację przechowywanych danych ze względu na funkcję (testy, środowiska tymczasowe, żywe dane) 
  • Logiczne segregowanie danych według praw dostępu opartych o role 
  • Zdefiniowane okresy przechowywania danych w odniesieniu do danych osobowych   

Testy bezpieczeństwa     

  • Testowanie możliwości penetracji krytycznych sieci należących do firmy oraz platform przechowujących dane osobowe 
  • Regularne skanowanie sieci oraz wrażliwości systemu   

2. Integralność. „Pojęcie integralności odnosi się do zapewnienia poprawności (nienaruszalności) danych oraz poprawnego funkcjonowania systemów. Zestawienie terminu „integralność” z rzeczownikiem „dane” oznacza, że dane są kompletne i nienaruszone.”  

Stosowane są odpowiednie środki kontroli dotyczące zarządzania zmianami oraz rejestrami, stanowiące uzupełnienie środków kontroli dostępu służących zachowaniu integralności danych osobowych, takie jak:    

Zarządzanie zmianami i wersjami    

  • Proces zarządzania zmianami i wersjami obejmujący (analizę wpływu, akceptacje, testowanie, przeglądy bezpieczeństwa, środowiska testowe, monitoring itd.)  
  • Udzielanie dostępu w oparciu o funkcje i role (rozdział obowiązków) w odniesieniu do środowisk produkcyjnych    

Rejestrowanie i monitorowanie

  • Rejestrowanie dostępu do danych i wprowadzania w nich zmian  
  • Scentralizowane rejestry audytów i bezpieczeństwa   
  • Monitorowanie kompletności i poprawności przesyłania danych (sprawdzanie od punktu wyjścia do punktu docelowego)    

3. Dostępność. „Dostępność usług oraz systemów informatycznych, aplikacji IT oraz funkcji sieciowych IT lub informacji jest gwarantowana, jeżeli użytkownicy mają możliwość korzystania z nich w dowolnym czasie.”    

Wdrażamy stosowne środki zapewnienia ciągłości i bezpieczeństwa w celu utrzymania dostępności naszych usług oraz danych znajdujących się w takich usługach:    

  • Regularne testy odporności na awarie usług krytycznych  
  • Rozległe monitorowanie wydajności/dostępności oraz raportowanie systemów krytycznych  
  • Program reagowania na zdarzenia naruszające bezpieczeństwo  
  • Kopiowanie lub tworzenie kopii zapasowych danych krytycznych (kopia zapasowa w chmurze/kopiowanie twardych dysków lub baz danych itd.) 
  • Stosowanie planowanych konserwacji oprogramowania, infrastruktury oraz bezpieczeństwa (aktualizacje oprogramowania, łatki bezpieczeństwa itd.)   
  • Systemy nadmiarowe oraz zapewniające odporność (klastry serwerów, lustrzane kopie baz danych, konfiguracje o wysokiej dostępności itd.) położone poza terenem i/lub w miejscach oddzielonych geograficznie    
  • Wykorzystywanie zasilaczy bezprzerwowych (UPS), urządzeń oraz systemów sieciowych odpornych na uszkodzenia i awarie  
  • Stosowanie alarmów i systemów bezpieczeństwa  
  • Stosowanie środków ochrony fizycznej w krytycznych obiektach (ochrona antyprzepięciowa, podniesione podłogi, systemy chłodzenia, detektory ognia i/lub dymu, systemy przeciwpożarowe itd.) 
  • Ochrona przed atakami typu DDoS w celu zachowania dostępności usług   
  • Testy obciążeń  

4Instrukcje dotyczące przetwarzania danych. „Instrukcje przetwarzania danych dotyczą gwarancji przetwarzania danych osobowych tylko zgodnie z instrukcjami dostarczonymi przez administratora danych oraz powiązanymi regulacjami firmy”  

Wdrożyliśmy wewnętrzne zasady ochrony danych osobowych i umowy oraz przeprowadzamy regularne szkolenia pracownicze dotyczące prywatności, aby zapewnić przetwarzanie danych osobowych zgodnie z preferencjami i instrukcjami klientów.   

  • Postanowienia dotyczące prywatności i poufności w umowach pracowniczych 
  • Regularne szkolenia pracownicze na temat bezpieczeństwa oraz poufności danych 
  • Odpowiednie zapisy w umowach z podwykonawcami w celu zachowania uprawnień kontroli instruktażowej 
  • Regularne kontrole prywatności dla zewnętrznych usługodawców 
  • Zapewnienie klientom pełnej kontroli nad preferencjami dotyczącymi przetwarzania danych 
  • Regularne audyty bezpieczeństwa 

**********************************************

Dodatek 3

Przejdź do sekcji 9.2 niniejszego Aneksu, aby zapoznać się możliwościami ich zastosowania

Standardowe klauzule umowne (przetwarzający)

Do celów art. 26 ust. 2 dyrektywy 95/46/WE w zakresie przekazywania danych osobowych przetwarzającym prowadzącym działalność gospodarczą w krajach trzecich, które nie zapewnia wystarczającego poziomu bezpieczeństwa danych

Podmiot określony jako „Klient” w Aneksie
(„podmiot przekazujący dane”)

oraz

firma GoDaddy.com, LLC

 („podmiot odbierający dane”)

zwane dalej łącznie „stronami” i każde z osobna „stroną”,

UZGADNIAJĄ następujące klauzule umowne (klauzule) w celu dostarczenia odpowiednich gwarancji ochrony prywatności i podstawowych praw i wolności osób fizycznych w zakresie przekazywania podmiotowi odbierającemu dane przez podmiot przekazujący danych osobowych wyszczególnionych w dodatku 1.

Klauzula 1

Definicje

Do celów niniejszych klauzul:

(a) terminy „dane osobowe”, „szczególne kategorie danych”, „przetwarzać/przetwarzanie”, „administrator danych”, „podmiot przetwarzający”, „osoba, której dane dotyczą” i „organ nadzorczy” mają to samo znaczenie co w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych;

(b) „podmiot przekazujący dane” oznacza administratora danych, który przekazuje dane osobowe;

(c) „podmiot odbierający dane” oznacza podmiot przetwarzający dane, który wyraża zgodę na otrzymywanie od podmiotu przekazującego danych osobowych w celu ich przetwarzania w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego i warunkami określonymi w niniejszych klauzulach i który nie podlega systemowi państwa trzeciego zapewniającemu odpowiednią ochronę w rozumieniu art. 25 ust. 1 dyrektywy 95/46/WE;

(d) „podwykonawca przetwarzania” oznacza jakikolwiek podmiot działający na zlecenie podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego dane, który wyraża zgodę na otrzymywanie, od podmiotu odbierającego dane lub innego podwykonawcy przetwarzania realizującego zlecenie podmiotu odbierającego, danych osobowych przeznaczonych wyłącznie do ich przetworzenia w imieniu podmiotu przekazującego po przekazaniu zgodnie z instrukcjami tego ostatniego, warunkami ustalonymi w niniejszych klauzulach i warunkami sporządzonej na piśmie umowy o podwykonawstwo;

(e) „właściwe prawo o ochronie danych” oznacza prawodawstwo chroniące podstawowe prawa i wolności osób fizycznych, a w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych, właściwe dla administratora danych w państwie członkowskim, w którym podmiot przekazujący dane prowadzi działalność gospodarczą;

(f) „techniczne i organizacyjne środki ochrony” oznaczają takie środki, których celem jest ochrona danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci oraz przed innymi niezgodnymi z prawem formami przetwarzania.

Klauzula 2

Szczegóły dotyczące przekazywania danych

Szczegóły dotyczące przekazywania danych, a w szczególności w stosownych przypadkach szczególne kategorie danych, są określone w dodatku 1, który stanowi integralną część klauzul.

Klauzula 3

Klauzula na rzecz osoby trzeciej

1.  Osoba, której dotyczą dane, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 4 lit. b)–i), klauzuli 5 lit. a)–e) oraz lit. g)–j), klauzuli 6 pkt 1 i 2, klauzuli 7, klauzuli 8 pkt 2 i klauzuli 9–12, jako osoba trzecia, na rzecz której zawarto umowę.

2.  Osoba, której dotyczą dane, może żądać od podmiotu przekazującego dane wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12, w przypadkach, w których podmiot przekazujący dane przestał istnieć faktycznie lub formalnie. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy.

3.  Osoba, której dotyczą dane, może żądać od podwykonawcy przetwarzania wykonania niniejszej klauzuli, klauzuli 5 lit. a)–e) oraz lit. g), klauzuli 6, klauzuli 7, klauzuli 8 pkt 2 i klauzul 9–12 w przypadkach, w których zarówno podmioty przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie albo stały się niewypłacalne. Jeżeli jednak na podstawie umowy lub z mocy prawa podmiot będący jego następcą przejął wszystkie zobowiązania prawne podmiotu przekazującego dane, skutkiem czego przyjął na siebie jego prawa i obowiązki, osoba, której dane dotyczą, może żądać wykonania wymienionych klauzul od tego następcy. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.

4.  Strony nie sprzeciwiają się reprezentowaniu osoby, której dane dotyczą, przez stowarzyszenie lub inny organ, jeżeli takie jest wyraźne życzenie osoby, której dane dotyczą, i jeżeli zezwala na to prawo krajowe.

Klauzula 4

Obowiązki podmiotu przekazującego dane

Podmiot przekazujący dane zgadza się na poniższe warunki i gwarantuje, że:

(a) przetwarzanie danych, włącznie z samym ich przekazywaniem, odbywało się i będzie się nadal odbywało zgodnie z odpowiednimi przepisami obowiązującego prawa o ochronie danych (i w stosownych przypadkach było przedmiotem powiadomienia odpowiednich władz państwa członkowskiego, w którym podmiot przekazujący dane prowadzi działalność gospodarczą) oraz bez naruszenia odpowiednich przepisów tego państwa;

(b) nakazał i będzie nakazywał podmiotowi odbierającemu dane podczas całego okresu świadczenia usług przetwarzania danych osobowych, przetwarzanie przekazywanych danych osobowych wyłącznie w imieniu podmiotu przekazującego dane oraz zgodnie z właściwym prawem o ochronie danych i z niniejszymi klauzulami;

(c) podmiot odbierający dane zapewni wystarczające gwarancje w odniesieniu do technicznych i organizacyjnych środków bezpieczeństwa wyszczególnionych w dodatku 2 do niniejszej umowy;

(d) biorąc pod uwagę ocenę wymogów właściwego prawa o ochronie danych osobowych, środki bezpieczeństwa są odpowiednie do ochrony danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą, zmianą, nieupoważnionym ujawnieniem lub dostępem, w szczególności jeżeli przetwarzanie obejmuje przekazywanie danych za pomocą sieci, oraz przed innymi niezgodnymi z prawem formami przetwarzania, a także że środki te zapewniają poziom bezpieczeństwa odpowiedni do ryzyka, jakie stanowi przetwarzanie i charakter danych podlegających ochronie, uwzględniając stan wiedzy w tej dziedzinie i koszty ich wdrożenia;

(e) zapewni zgodność ze środkami bezpieczeństwa.

(f) jeżeli przekazanie obejmuje szczególne kategorie danych, osoba, której dane dotyczą, została poinformowana lub będzie poinformowana przed przekazaniem lub jak najszybciej po przekazaniu danych o tym, że jej dane mogą być przekazane do państwa trzeciego, które nie zapewnia odpowiedniej ochrony w rozumieniu dyrektywy 95/46/WE;

(g) prześle wszelkie zawiadomienia otrzymane od podmiotu odbierającego dane lub podwykonawcy przetwarzania na mocy klauzuli 5 lit. b) i klauzuli 8 pkt 3 do organu nadzorczego ds. ochrony danych, jeżeli podmiot przekazujący dane zdecyduje się kontynuować przekazywanie danych lub znieść zawieszenie;

(h) na żądanie udostępni osobie, której dotyczą dane, kopię niniejszych Klauzul, z wyjątkiem dodatku 2, oraz skrócony opis środków bezpieczeństwa, a także kopię każdej umowy dotyczącej usług podwykonawstwa przetwarzania danych, która musi być zawarta zgodnie z niniejszymi klauzulami; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć;

(i) w przypadku podwykonawstwa przetwarzania danych działalność związana z przetwarzaniem prowadzona jest zgodnie z klauzulą 11 przez podwykonawcę przetwarzania zapewniającego co najmniej ten sam poziom ochrony danych osobowych i praw osoby, której dane dotyczą, co podmiot odbierający dane zgodnie z niniejszymi klauzulami; oraz

(j) zapewni zgodność z klauzulą 4 lit. a)–i).

Klauzula 51.

Obowiązki podmiotu odbierającego dane

Podmiot odbierający dane zgadza się na poniższe warunki i gwarantuje, że:

(a) będzie przetwarzał dane osobowe wyłącznie w imieniu podmiotu przekazującego dane i zgodnie z jego instrukcjami oraz niniejszymi klauzulami; jeżeli z jakichkolwiek powodów nie może zapewnić takiej zgodności, zgadza się na natychmiastowe poinformowanie podmiotu przekazującego dane o niemożności spełnienia tego warunku, a podmiot przekazujący dane jest w takim przypadku uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;

(b) nie ma powodu, by sądzić, że prawodawstwo mające do niego zastosowanie uniemożliwia mu wypełnianie instrukcji otrzymanych od podmiotu przekazującego dane i jego obowiązków wynikających z umowy oraz że w przypadku zmiany prawodawstwa, która może mieć istotne negatywne skutki dla gwarancji i obowiązków określonych w niniejszych klauzulach, zawiadomi o tym jak najszybciej podmiot przekazujący dane, który w takim przypadku jest uprawniony do zawieszenia przekazywania danych lub rozwiązania umowy;

(c) wdrożył techniczne i organizacyjne środki bezpieczeństwa wyszczególnione w dodatku 2 przed przetwarzaniem przekazanych danych osobowych;

(d) niezwłocznie powiadomi podmiot przekazujący dane o:

(i) jakichkolwiek prawnie wiążących wnioskach o ujawnienie danych osobowych ze strony organów ścigania, chyba że powiadomienie o takim wniosku jest zakazane, na przykład na mocy prawa karnego w celu zachowania poufności postępowań prowadzonych przez organy ścigania;

(ii) jakimkolwiek przypadkowym lub nieupoważnionym dostępie; oraz

(iii) jakimkolwiek żądaniu otrzymanym bezpośrednio od osób, których dane dotyczą, bez udzielenia odpowiedzi na to żądanie, chyba że został on w inny sposób upoważniony do takiego postępowania;

(e) niezwłocznie i we właściwy sposób zajmie się wszystkimi zapytaniami ze strony podmiotu przekazującego dane, dotyczącymi przetwarzania przez siebie danych osobowych będących przedmiotem przekazania, oraz zastosuje się do zaleceń organów nadzorczych w odniesieniu do przetwarzania przekazywanych danych;

(f) na żądanie podmiotu przekazującego dane przedstawi swoje urządzenia do przetwarzania danych w celu kontroli działalności związanej z przetwarzaniem danych objętej niniejszymi klauzulami, przeprowadzanej przez podmiot przekazujący dane lub organ kontrolny złożony z niezależnych członków i posiadający wymagane kwalifikacje zawodowe, związany obowiązkiem zachowania poufności, wybrany przez podmiot przekazujący dane, w stosownych przypadkach w porozumieniu z organem nadzorczym;

(g) na żądanie udostępni osobie, której dane dotyczą, kopię niniejszych klauzul lub jakiejkolwiek istniejącej umowy dotyczącej podwykonawstwa przetwarzania danych; jednakże w przypadku gdy klauzule lub umowa zawierają informacje handlowe, informacje te można usunąć, z wyjątkiem dodatku 2, który zostanie zastąpiony skróconym opisem środków bezpieczeństwa, w przypadkach, w których osoba, której dane dotyczą, nie jest w stanie uzyskać kopii od podmiotu przekazującego dane;

(h) w przypadku podwykonawstwa przetwarzania danych poinformował wcześniej podmiot przekazujący dane i uzyskał jego uprzednią pisemną zgodę;

(i) usługi przetwarzania danych przez podwykonawcę przetwarzania będą świadczone zgodnie z klauzulą 11;

(j) niezwłocznie prześle podmiotowi przekazującemu dane kopię każdej umowy dotyczącej podwykonawstwa przetwarzania danych zawartej na podstawie niniejszych klauzul.

Klauzula 6

Odpowiedzialność

1.  Strony uzgadniają, że każda osoba, której dotyczą dane, która poniosła szkodę w wyniku jakiegokolwiek naruszenia obowiązków, o których mowa w klauzuli 3 lub 11, przez którąkolwiek ze stron lub podwykonawcę przetwarzania, jest uprawniona do uzyskania odszkodowania za poniesioną szkodę od podmiotu przekazującego dane.

2.  Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane z roszczeniem o odszkodowanie zgodnie z pkt 1, wynikającym z naruszenia przez podmiot odbierający dane lub jego podwykonawcę przetwarzania któregokolwiek z ich obowiązków, o których mowa w klauzuli 3 lub klauzuli 11, ponieważ podmiot przekazujący dane przestał istnieć faktycznie lub formalnie lub stał się niewypłacalny, podmiot odbierający zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec podmiotu odbierającego, tak jakby był on podmiotem przekazującym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego dane, osoba, której dane dotyczą, może egzekwować swoje prawa wobec tego następcy. Podmiot odbierający dane nie może powoływać się na naruszenie przez podwykonawcę przetwarzania jego obowiązków, aby uniknąć swojej własnej odpowiedzialności.

3.  Jeżeli osoba, której dane dotyczą, nie jest w stanie wystąpić przeciw podmiotowi przekazującemu dane lub podmiotowi odbierającemu dane z roszczeniem, o którym mowa w pkt 1 i 2, wynikającym z naruszenia przez podwykonawcę przetwarzania któregokolwiek z obowiązków, o których mowa w klauzulach 3 lub klauzuli 11, ponieważ zarówno podmiot przekazujący, jak i odbierający dane przestały istnieć faktycznie lub formalnie lub stały się niewypłacalne, podwykonawca przetwarzania zgadza się na wystąpienie przez osobę, której dotyczą dane, z roszczeniem wobec niego w odniesieniu do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul, tak jakby był on podmiotem przekazującym lub odbierającym dane; jeżeli jednak jakikolwiek podmiot będący jego następcą przejął na podstawie umowy lub z mocy prawa wszystkie zobowiązania prawne podmiotu przekazującego lub odbierającego dane, osoba, której dotyczą dane, może egzekwować swoje prawa wobec tego następcy. Odpowiedzialność podwykonawcy przetwarzania jest ograniczona do jego własnych czynności przetwarzania danych zgodnie z niniejszymi klauzulami.

Klauzula 7

Mediacja i sąd właściwy

1.  Podmiot odbierający dane zgadza się na to, że jeżeli osoba, której dane dotyczą, powołuje się wobec niego na prawa osoby trzeciej, na rzecz której zawarto umowę, lub występuje o odszkodowanie za szkody na podstawie niniejszych klauzul, podmiot odbierający dane przyjmie decyzję osoby, której dane dotyczą, o:

(a) przekazaniu sporu do mediacji prowadzonej przez niezależną osobę lub, w stosownych przypadkach, organ nadzorczy;

(b) przekazaniu sporu do sądów w państwie członkowskim, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.

2.  Strony uzgadniają, że wybór osoby, której dotyczą dane, nie będzie naruszał jej materialnych lub proceduralnych praw do środków ochrony prawnej zgodnie z odrębnymi przepisami prawa krajowego lub międzynarodowego.

Klauzula 8

Współpraca z organami nadzorczymi

1.  Podmiot przekazujący dane zgadza się dostarczyć kopię niniejszej umowy organowi nadzorczemu na jego żądanie lub jeżeli dostarczenie kopii jest wymagane na mocy właściwego prawa o ochronie danych.

2.  Strony uzgadniają, że organ nadzorczy ma prawo do przeprowadzenia kontroli podmiotu odbierającego dane i jakiegokolwiek podwykonawcy przetwarzania, który ma ten sam zakres i podlega tym samym warunkom, jakie miałyby zastosowanie do kontroli podmiotu przekazującego dane na mocy właściwego prawa o ochronie danych.

3.  Podmiot odbierający dane niezwłocznie informuje podmiot przekazujący dane o istnieniu przepisów mających zastosowanie do podmiotu odbierającego dane lub któregokolwiek z podwykonawców przetwarzania działających na jego zlecenie, które uniemożliwiałyby przeprowadzenie kontroli podmiotu odbierającego dane lub podwykonawcy przetwarzania na podstawie pkt 2. W takim przypadku podmiot przekazujący dane ma prawo podjąć środki przewidziane w klauzuli 5 lit. b).

Klauzula 9

Prawo właściwe

Prawem właściwym dla niniejszych klauzul jest prawo kraju członkowskiego, w którym prowadzi swoją działalność gospodarczą podmiot przekazujący dane. W razie wątpliwości lub w przypadku zaangażowania wielu podmiotów przekazujących dane, obowiązującym prawem będzie prawodawstwo Anglii i Walii. 

Klauzula 10

Zmiany umowy

Strony zobowiązują się do niedokonywania zmian lub modyfikacji niniejszych klauzul. Nie wyklucza to dodawania przez strony w razie potrzeby klauzul dotyczących kwestii związanych z ich działalnością gospodarczą, pod warunkiem że nie są one sprzeczne z niniejszymi klauzulami.

Klauzula 11

Podwykonawstwo przetwarzania danych

1.  Podmiot odbierający dane nie podzleca czynności przetwarzania danych wykonywanych w imieniu podmiotu przekazującego dane na podstawie niniejszych klauzul bez uprzedniej pisemnej zgody podmiotu przekazującego dane. Jeżeli podmiot odbierający dane podzleca wykonanie swoich obowiązków w ramach niniejszych klauzul za zgodą podmiotu przekazującego dane, czyni to wyłącznie na podstawie umowy pisemnej z podwykonawcą przetwarzania, która nakłada na podwykonawcę przetwarzania te same obowiązki, jakie spoczywają na podmiocie odbierającym dane w ramach niniejszych klauzul. Jeżeli podwykonawca przetwarzania nie wypełnia swoich obowiązków w zakresie ochrony danych w ramach takiej umowy pisemnej, podmiot odbierający dane ponosi pełną odpowiedzialność wobec podmiotu przekazującego dane za wykonanie obowiązków podwykonawcy przetwarzania na mocy takiej umowy.

2.  Umowa pisemna zawarta między podmiotem odbierającym dane a podwykonawcą przetwarzania przed przekazaniem danych osobowych podwykonawcy przetwarzania obejmuje również klauzulę na rzecz osoby trzeciej, określoną w klauzuli 3, w odniesieniu do przypadków, w których osoba, której dotyczą dane, nie jest w stanie wystąpić z roszczeniem o odszkodowanie, o którym mowa w klauzuli 6 pkt 1 przeciw podmiotowi przekazującemu lub odbierającemu dane, ponieważ przestały one istnieć faktycznie lub formalnie lub stały się niewypłacalne, a żaden podmiot będący następcą nie przejął na podstawie umowy lub z mocy prawa wszystkich zobowiązań prawnych podmiotu przekazującego lub odbierającego dane. Taka odpowiedzialność podwykonawcy przetwarzania wobec osoby trzeciej jest ograniczona do jego własnych czynności przetwarzania danych na podstawie niniejszych klauzul.

3.  Postanowienia umowy, o której mowa w pkt 1, dotyczące aspektów ochrony danych w odniesieniu do podwykonawstwa przetwarzania, podlegają prawu państwa członkowskiego, w którym prowadzi działalność gospodarczą podmiot przekazujący dane.

4.  Podmiot przekazujący dane prowadzi wykaz umów dotyczących podwykonawstwa przetwarzania danych zawartych na podstawie niniejszych klauzul, o których został poinformowany przez podmiot odbierający dane na postawie klauzuli 5 lit. j); wykaz ten podlega aktualizacji co najmniej raz do roku. Wykaz udostępnia się organowi nadzorczemu właściwemu dla podmiotu przekazującego dane.

Klauzula 12

Obowiązki po zakończeniu usług przetwarzania danych osobowych

1.  Strony uzgadniają, że wraz z zakończeniem świadczenia usług przetwarzania danych podmiot odbierający dane i podwykonawca przetwarzania zwracają podmiotowi przekazującemu dane wszystkie przekazane dane osobowe i ich kopie lub niszczą wszystkie dane osobowe i poświadczają przekazującemu dane, że to uczynili, zgodnie z decyzją przekazującego dane, chyba że przepisy prawa obowiązujące podmiot odbierający dane uniemożliwiają mu zwrot lub zniszczenie wszystkich lub części przekazanych danych osobowych. W tym przypadku podmiot odbierający dane gwarantuje, że zapewni poufność przekazanych danych osobowych i nie będzie ich już aktywnie przetwarzał.

2.  Podmiot odbierający dane oraz podwykonawca przetwarzania gwarantują przedstawienie na żądanie podmiotu przekazującego dane i/lub organu nadzorczego urządzeń do przetwarzania danych do celów kontroli środków, o których mowa w pkt 1.

**********************************************

Dodatek 1 do Standardowych klauzul umownych

Podmiot przekazujący dane

Podmiotem przekazującym dane jest jednostka oznaczona jako „Klient” w niniejszym Aneksie

Podmiot odbierający dane

Podmiotem odbierającym dane jest firma GoDaddy.com, LLC , dostawca usług hostowanych.

Osoby, których dane dotyczą

Czynności przetwarzania zostały opisane w sekcji 1.3 Dodatku 1 do Aneksu.

Kategorie danych

Czynności przetwarzania zostały opisane w sekcji 1.3 Dodatku 1 do Aneksu.

Czynności przetwarzania

Czynności przetwarzania zostały opisane w sekcji 1.3 Dodatku 1 do Aneksu.

Dodatek 2 do Standardowych klauzul umownych

Niniejszy dodatek stanowi część klauzul.  Nabycie Świadczonych usług firmy GoDaddy oznacza akceptację niniejszego Aneksu i Dodatku 2, oraz wprowadzenie ich w życie przez strony umowy.

Opis technicznych i organizacyjnych środków bezpieczeństwa wdrożonych przez podmiot odbierający dane zgodnie z klauzulą 4 lit. d) oraz klauzulą 5 lit. c) (lub załączonym dokumentem/przepisami):

Techniczne i organizacyjne środki bezpieczeństwa wdrożone przez podmiot odbierający dane zostały opisane w Aneksie, a dokładnie w Dodatku 2, który został do niego dołączony i stanowi jego integralną część.


1              Obowiązujące wymogi przepisów krajowych mające zastosowanie do podmiotu odbierającego dane, które nie wykraczają poza to, co konieczne w demokratycznym społeczeństwie na podstawie jednego z interesów wymienionych w art. 13 ust. 1 dyrektywy 95/46/WE (tj. jeżeli stanowią środek konieczny do zabezpieczenia: bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego, zapobiegania przestępstwom lub czynom stanowiącym naruszenie zasad etyki w zawodach regulowanych i ich dochodzenia, wykrywania i ścigania, ważnego interesu ekonomicznego lub finansowego państwa lub ochrony osoby, której dane dotyczą, lub praw i wolności innych osób), nie są sprzeczne ze standardowymi klauzulami umownymi. Niektóre przykłady wspomnianych bezwzględnie obowiązujących wymogów niewykraczających poza to, co konieczne w demokratycznym społeczeństwie, to m.in. sankcje uznane na szczeblu międzynarodowym, wymagania związane ze sprawozdawczością podatkową lub w zakresie przeciwdziałania praniu pieniędzy.

Aktualizacja: 29.01.2019
Copyright © 2019 GoDaddy.com, LLC Wszelkie prawa zastrzeżone.