資料處理補充附件 (客戶)
本資料處理補充附件 (「補充附件」) 係由 GoDaddy.com, LLC, a Delaware limited liability company 及其聯盟商 (「GoDaddy」) 和您 (「客戶」) 所執行,並屬於我們的通用服務條款、隱私權政策以及所有涵蓋服務所遵守的補充條例 (統稱「使用條款」) 之附錄及補充條款。 除非本補充附件另有定義,否則本補充附件內所有未定義之大寫詞彙皆以使用條款內的意義為準。
1.定義「聯盟商」意指控制 GoDaddy、受其控制或共同控制的任意實體。
「CCPA」意指加州消費者隱私保護法案 (California Consumer Privacy Act) 加州民法典 1798. 100 及後續條文,包含任何在本《資料處理補充附件》生效日期當天或其後生效之相關修訂內容及執行規範。
「涵蓋服務」表示可能含有我們處理個人資料在內的託管服務,並須遵守以下協議的條款與條件:(1) email 行銷服務、(2) 主機服務、(3) 網路商店/快速購物車、(4) 建站神器服務、(5) Workspace 服務。
「客戶資料」意指由 GoDaddy 處理在 GoDaddy 網路內代替客戶遵從服務條款並與條款相關之任何資料主體的個人資料。
「資料控管者」意指客戶,該實體決定個人資料處理之目的與方法。
「資料處理方」意指 GoDaddy,因為該實體代替資料控管者或由 CCPA 所規範之服務提供商處理個人資料。
「資料保護法律」意指所有適用於本協議規範之處理個人資料的資料保護或隱私權法律及法規,包括 (i) 澳洲隱私原則 (Australian Privacy Principles) 及澳洲隱私法 (Australian Privacy Act) (1998)、(ii) 巴西一般資料保護法案 (Lei Geral de Proteção de Dados,LGPD)、(iii) 加州消費者隱私保護法案 (California Consumer Privacy Act,CCPA)、(iv) 加拿大聯邦個資及電子文件資料保護法 (Personal Information Protection and Electronic Documents Act,PIPEDA)、(v) 歐洲聯盟通用資料保護規則 (General Data Protection Regulation,GDPR)、(vi) 任何遵守或根據 GDPR 制定的國家資料保護法律、(vii) 歐盟電子隱私指示 (指令 2002/58/EC)、(viii) 新加坡 2012 年個人資料保護法 (Personal Data Protection Act 2012,PDPA)、(ix) 瑞士聯邦 1992 年 6 月 19 日資料保護法及其條例、(x) 英國 GDPR 或 2018 年資料保護法,各法案得經過修訂或取代。
「資料主體」意指與個人資料相關之人士。
「EEA」意指歐洲經濟區。
「GDPR」意指歐洲議會法規 (EU) 2016/679 (Regulation (EU) 2016/679 of the European Parliament) 與歐洲理事會於 2016 年 4 月 27 日針對在處理個人資料與自由移動該資料上保護自然人所下之決議,並廢除指令 95/46/EC (通用資料保護規則)。
「GoDaddy 網路」意指由 GoDaddy 進行控管,並用來提供涵蓋服務的 GoDaddy 資料中心設施、伺服器、網路設備與主機軟體系統 (例如虛擬防火牆)。
「個人資料」意指按照資料保護法律所定義之任何與已識別或可識別人士或家庭相關的資訊。
「處理」意指針對個人資料進行之操作或操作組合 (無論是否為自動方法),如收集、紀錄、組織、構築、儲存、改編或改動、獲得、諮商、使用、以傳輸揭露、散佈或以其他方式開放存取、校準或合併、限制、消除或摧毀等。「處理」將以其英文時態作不同解讀。處理詳情請見附錄 1。
「安全性事件」意指 (a) GoDaddy 安全性標準之安全性遭到滲透,導致客戶資料遭到意外或非法之破壞、損失、改動、未授權揭露或存取;或 (b) 任何針對 GoDaddy 的設備或設施進行之未授權存取,且該存取造成客戶資料遭到破壞、損失、未授權揭露或存取。
「安全性標準」意指此補充附件附錄 2 的安全性標準。
「敏感資料」意指 (a) 社會安全碼、護照編號、駕照編號或類似識別號碼 (或任何部份內容);(b) 信用卡或簽帳金融卡號碼 (不含縮減過後的信用卡或簽帳金融卡 (後四碼))、財務資訊、銀行帳戶號碼或密碼;(c) 職業、財務、基因、生物或健康資訊;(d) 種族、民族、政治或宗教歸屬、工會會員資格,或性生活或性向相關資訊;(e) 帳戶密碼、母親原名,或出生日期;(f) 刑事犯罪記錄;或 (g) 其他任何符合 GDPR 或其他適用之隱私全集資料保護相關法律或實踐「特殊資料類別」定義的資訊或資訊組合。
「標準契約條款」或「SCC」意指控管者向未確保適當等級之資料保護措施的第三方國家/地區處理方傳輸個人資料時,需遵守的標準資料保護條款,如 GDPR 第 46 條所述,並由歐洲聯盟委員會 2021 年 6 月 4 日決議 2021/914 認可。附錄 4 內含模組二 (控管者對處理方) 標準契約條款。
「再處理方」意指由處理方聘請,代替資料控管者處理資料的任意資料處理方。
「英國標準契約條款」意指向未確保適當等級之資料保護措施的第三方國家/地區處理方傳輸個人資料時,需遵守的標準資料保護條款,如英國 GDPR 第 46 條所述,並由歐洲聯盟委員會決議 2010/87/EU 認可。附錄 4 內含英國標準契約條例。
2.資料處理2.1 範疇與角色。若客戶資料由 GoDaddy 處理,則須遵守本補充附件規範,此時 GoDaddy 將視同為資料處理方,代表客戶成為客戶資料的資料控管者。
2.2 資料處理詳情。由 GoDaddy 進行客戶資料處理之主旨為依照服務條款執行涵蓋之服務。GoDaddy 只應為達下列目的而代表客戶並根據客戶之指示文件處理客戶資料:(i) 依照服務條款進行處理;(ii) 由終端使用者在使用涵蓋之服務時進行處理;(iii) 依照其他由客戶提供的合理指示文件 (如透過 email 提供),且該指示內容符合服務條款規定。GoDaddy 不應:(a) 處理、保留、使用、販售或揭露客戶資料 (除非在根據服務條款或法律要求之情況下提供涵蓋之服務必須進行以上行為);(b) 將此等客戶資料販售給任何第三方;(c) 在 GoDaddy 及客戶的直接商業關係以外的範疇保留、使用或揭露該等客戶資料。
為免疑慮,客戶的個人資料處理指示應遵守任何適用之資料隱私權法規。客戶應自行負責個人資料之準確、品質以及合法性,並須自行負責取得個人資料的方式。若該等指示內容違反資料保護法律,則 GoDaddy 無須遵守客戶之指示。本補充附件內文之處理期間、性質與目的,以及所處理的個人資料主體類型、類別等定義請見本補充附件之附錄 1 (「處理詳情」)。
3.客戶資料的機密性除遵守法律規定或執法機關之有效命令 (如傳票或法院命令) 外,GoDaddy 不會向政府或其他第三方揭露客戶資料。GoDaddy 收到有效的民事傳票後,在允許的範圍內,GoDaddy 將會盡力以 email 或郵寄方式為客戶提供合理的命令通知,以利客戶尋求保護令或其他合宜救濟。
4.安全性4.1 GoDaddy 已針對 GoDaddy 網路按照本節之敘述 (進一步之敘述請參見本補充附件附錄 2 - 安全性標準) 施行並在未來繼續維持技術與組織方法。GoDaddy 尤其會施行並維持下列技術與組織方法,以便維護 (i) GoDaddy 網路之安全性;(ii) 設施之實體安全性;(iii) 員工與轉包商對 (i) 存取之控制權;以及 (iv) 測試與評估 GoDaddy 技術與組織方法施行成效之程序。若我們無法遵守此處所述之義務,則會盡最快速度提供書面通知 (透過我們的網站及 email 通知)。
4.2 GoDaddy 提供數種安全性功能,讓客戶得以在涵蓋服務的相關範圍內選擇使用。客戶應負責 (a) 適當設定涵蓋服務、(b) 使用和涵蓋服務相關之可用控制 (包含安全性控制) 確保持續享有處理系統與服務之機密性、完整性、可得性與彈性、(c) 在發生實體或技術事件時,使用和涵蓋服務相關之可用控制 (包含安全性控制) 讓客戶及時還原客戶資料之可得性和存取權 (例如備份及定期封存客戶資料),以及 (d) 施行客戶認為維護客戶資料之合適安全性、保護、刪除的步驟,包含使用加密技術保護客戶資料不受未經授權之存取及方法控制客戶資料之存取權。
5.資料主體之權利考慮涵蓋服務之性質,GoDaddy 向客戶提供本補充附件「安全性」一節內所示之控制方法,使客戶得選擇使用,並用其取得、修正、刪除、限制使用、分享涵蓋服務所描述之客戶資料。客戶得使用這些控制方法作為技術及組織方法,以便協助遵守適用隱私權法律之相關義務,包含與回應資料主體的要求相關之義務。若商業上合理,且在法律必要或允許範圍內,則在 GoDaddy 直接收到資料主體依照適用之資料隱私權法律要求執行以上權利時 (「資料主體要求」),GoDaddy 應即時通知客戶。另外,客戶使用涵蓋服務若限制其處理資料主體要求之能力時,若客戶有所要求,則 GoDaddy 得在法律允許且合宜之範圍內由客戶負擔成本 (若有),以此提供商業上合理之協助,以便處理該要求。
6.再處理6.1 授權再處理方。客戶同意 GoDaddy 得透過再處理方完成其服務條款、本補充附件之契約義務,或代其提供特定服務,如提供支援服務。客戶在此同意 GoDaddy 以本節方式使用再處理方。除非本節另有說明,或您另有授權,否則 GoDaddy 不允許其他再處理行為。
6.2 再處理方義務。當 GoDaddy 依照第 6.1 節使用任意授權再處理方時:
(i) GoDaddy 會限制再處理方對客戶資料的存取權,讓其只能在對客戶或任何涵蓋服務的終端使用者維持涵蓋服務或提供涵蓋服務必要的時候進行存取。GoDaddy 會禁止再處理方以其他目的存取客戶資料;
(ii) 本補充附件之範圍內,若再處理方所提供之資料處理服務和 GoDaddy 提供之服務相同,則 GoDaddy 會和再處理方建立書面協議,GoDaddy 將要求再處理方遵守 GoDaddy 在此補充附件中所須遵守的相同契約義務;且
(iii) GoDaddy 將持續負責遵守本補充附件之義務,另外,若因再處理方之任意作為或不作為導致 GoDaddy 違反 GoDaddy 在本補充附件規範之義務,也須同樣為其負責。
6.3 新再處理方。 我們可能會不定期按照此補充附件的條款聘請新的再處理方, 這種情形下,我們會在任何新再處理方獲取客戶資料的 30 天前進行通知 (藉由我們的網站與 email 通知)。如果您的客戶不認可新的再處理方,則客戶得在透過我們接到通知後 10 天內提供書面的終止通知 (內含不認可的理由說明),並以此終止任意涵蓋服務。如果涵蓋服務屬於產品組合或購物組合的一部份,則終止涵蓋服務等同終止整體組合。
7.安全性事件7.1 安全性事件。若 GoDaddy 察覺安全性事件,則 GoDaddy 須儘速進行下列事項:(a) 通知客戶瞭解安全性事件;且 (b) 進行合理步驟減輕該安全性事件之影響,並儘可能減少帶來之損失。
7.2 GoDaddy 之協助。 為在客戶須按照適用隱私權法律而執行之資料滲透通知上協助客戶,GoDaddy 將會在通知中列出以上安全性事件之資訊,由於涵蓋服務之性質,GoDaddy 可在合理範圍內向客戶揭露 GoDaddy 已得之資訊與揭露該等資訊須遵守的限制條件,如機密性等。
7.3 失敗安全性事件。客戶同意:
(i) 處理失敗的安全事件不受此補充附件規範。處理失敗的安全事件意指導致客戶資料或 GoDaddy 任何儲存客戶資料的網路、設備、設施遭到非經授權的存取之事件,可能包含但不限於針對防火牆或邊緣伺服器進行之 ping 或其他廣播攻擊、通訊埠掃描、非必要之登入嘗試、阻斷服務攻擊、封包監聽 (或其他對流量資料進行非經授權之存取,且並未存取標題以外之區域的行為) 或類似事件;與
(ii) 本節文內所述 GoDaddy 針對安全性事件進行回報或回覆的義務不可理解為 GoDaddy 得知任何錯誤或 GoDaddy 與該安全事件之責任;
7.4 通知。若發生任何安全性事件,則會透過 GoDaddy 選擇之方式通知一位或多位客戶之管理員,包含透過 email 通知。客戶應自行負責確保客戶管理員於 GoDaddy 管理主控台內維護一份正確之聯絡資訊,並確保傳輸常保安全。
8.客戶權利8.1 獨立決策。客戶需負責檢視 GoDaddy 就資料安全性及其安全性標準提供之資訊,並獨立決定涵蓋服務是否符合客戶之要求與法定義務,以及客戶在此補充附件內所述之義務。在資料保護影響評估和事先諮商方面,該等資訊提供之目的為協助客戶遵守客戶在適用隱私權法規 (包含 GDPR) 上之義務。
8.2 客戶稽查權。客戶有權寄送書面形式的特定要求到服務條款所列的地址 (每次要求之間需等候合理的時間),藉此確認 GoDaddy 是否有遵守本補充附件所述的涵蓋服務規範。在要求得當,且稽查或調查範圍合宜下,若 GoDaddy 拒絕遵從客戶指示,則客戶有權終止本補充附件及服務條款。
9.傳輸客戶資料9.1 美國處理。除非服務條款另有註記,否則客戶資料將傳輸至英國或 EEA 之外,且在美國進行處理。
9.2 標準契約條款之應用。標準契約條款將適用於在 EEA 外直接或透過繼續傳送傳輸至歐洲聯盟委員會未認可之國家的客戶資料,以便提供合宜等級的客戶資料保護措施。標準契約條款不適用於在 EEA 外直接或透過繼續傳送傳輸的客戶資料。儘管有上述規定,但標準契約條款不適用於在 EEA 之外為合法傳輸個人資料而按照已知標準傳輸之資料,如為根據服務條款提供涵蓋服務有所必要,或已取得您的同意之情形等。
9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.
10.本補充附件之終止本補充附件在我們終止按照服務條款進行處理之前都將維持有效 (「終止日期」)。
11.返還或刪除客戶資料如「涵蓋服務」一文所述,客戶得取得控制方式,並得以用來取得或刪除客戶資料。終止日期過三十 (30) 天後,系統將會刪除客戶資料,藉此遵守特定涵蓋服務的條款。
12.責任限制此補充附件內所有參與方都須遵守服務條款內規範的責任例外與限制條款。客戶同意,任何因客戶無法遵守此補充附件規定之義務與其他任何適用隱私權法律,導致或連帶導致 GoDaddy 招致客戶資料相關之法律懲罰時,將屬於且減低 GoDaddy 在服務條款內明列之責任,且視同為客戶在服務條款內明列之責任。
13.服務條款全文;衝突若和本補充附件之主旨有關,則本補充附件將取代所有由客戶和 GoDaddy 所在先前或同期建立之陳述、理解、協議或溝通,無論是文書或是口頭皆然,包含 GoDaddy 與客戶之間就個人資料處理和個人資料自由轉移等面向所締結之任意資料處理條款。 除非本補充附件另有修訂,否則服務條款將維持完整效力。 若服務條款和本補充附件有所衝突,則以本補充附件之條款為準。
附錄 1
處理詳情
1.處理之性質與目的。 為依照服務條款與客戶在使用涵蓋服務期間之指示提供涵蓋服務之所需,GoDaddy 將會處理客戶資料。
2.處理時間。為遵守本補充附件第 10 及 11 節內容,GoDaddy 將在服務條款生效當日處理客戶資料。儘管有上述條款,若適用法律或法規 (包括適用之資料保護法律) 有所規範,則 GoDaddy 得留存客戶資料或該等資料任意部份,不過該等客戶資料必須按照本補充附件以及適用資料保護法律的條款進行保護。
3.資料類別。客戶得在使用涵蓋服務時上傳個人資料,其範圍將由客戶全權決定與控制,內容得包含但不限於以下各種資料主體相關之個人資料:
- 客戶 (須為自然人) 的潛在客戶、客戶、企業夥伴及經銷商
- 客戶的潛在客戶、客戶、企業夥伴及經銷商的員工或聯絡人
- (自然人) 客戶的員工、代理商、顧問、自由從業者
- 讓由客戶授權之客戶使用者使用涵蓋服務
4.個人資料類別。客戶得在使用涵蓋服務時上傳個人資料,其類型與範圍將由客戶全權決定與控制,內容得包含但不限於以下各種個人資料主體:
- 姓名
- 地址
- 電話號碼
- 出生日期
- email 地址
- 其他由我們收集且可以直接或間接辨識資料主體身分的資料。
5.敏感資料或特殊資料類別。客戶得在使用涵蓋服務時上傳敏感資料,該等資料類型及範圍由客戶主觀全權瘸定並控管。在透過涵蓋服務傳輸或處理任何敏感資料前,客戶須負責採取限制或保護措施,以便完整對應該等資料的性質與風險。
附錄 2
安全性標準
I. 技術與組織方法
我們致力於保障客戶的資訊。 考量最佳實踐,執行成本、處理性質、範疇、環境與目的,以及自然人發生風險可能性與嚴重性,我們會執行下列技術與組織方法。 當選擇方法時,我們會考量系統的機密性、完整性、可得性與韌性。因此在發生實體或技術事件後,一定可以快速復原。
II. 資料隱私權計畫
我們的資料隱私權計畫成立之目的為維持一份全球通用的資料管理框架,並在資訊生命週期內提供安全防護。此計畫由資料保護經理人領導,並由經理人監督隱私權實踐及安全性方法的實施情形。 我們會定期測試、評估及評量其資料隱私權計畫和安全性標準的成效。
1.機密性。「機密性意指個人資料將受保護,不會在非經授權的情況下遭到揭露。」
我們使用各種實體且合理之方法保護其客戶個人資料之機密性。方法包含:
實體安全防護
- 備有實體存取控制系統 (徽章存取控制、安全性事件監控等)
- 監視系統,包含警示與 (適合使用之) CCTV 監控
- 備有清理桌面政策與控制 (鎖定無人使用之電腦、上鎖檔案櫃等)
- 訪客存取權管理系統
- 摧毀實體媒體與文件資料 (切碎或消磁等)
存取控制與防止未經授權之存取行為
- 設有使用者存取限制,並根據不同責任歸屬提供/審核以角色為基礎的存取權限
- 高強度之驗證及授權方法 (多重要素認證、憑證認證、自動停用/登入等)
- 中央管理密碼與高強度/複雜度之密碼政策 (最低長度、字元複雜度、密碼過期時效等)
- email 與網路的控制存取
- 防毒管理
- 入侵防禦系統管理
加密
- 以高強度密碼協定加密外部與內部通訊
- 在待機時加密 PII/SPII 資料 (資料庫、共享資料夾等)
- 為公司電腦與筆記型電腦設有完整磁碟加密
- 儲存媒體之加密
- 與公司網路之遠端連線將以 VPN 進行加密
- 保護加密金鑰生命週期
資料最少化
- PII/SPI 最少化之應用、除錯與安全性紀錄
- 為個人資料進行擬匿名化,防止直接識別某人身分
- 以功能 (測試、佈建、即時) 分隔儲存資料
- 將資料依不同存取權角色進行合理分隔
- 個人資料有明確的留存時間
安全測試
- 為重要公司網路及儲存個人資料之平台進行滲透測試
- 定期掃描網路及漏洞
2.完整性。「完整性意指確保資料正確 (完整無缺) 且系統功能正確。當完整性一詞和『資料』連用時,表示該資料完整且未經變更。」
備有合宜變更與記錄管理控制,另有可維持個人資料完整性的存取權控制,如:
變更與釋出管理
- 變更及釋出管理程序包含 (影響分析、核准、測試、安全性查核、佈建、監控等)
- 產品環境提供之依角色與功能分類 (責任分隔) 存取權
記錄與監控
- 存取與變更資料的記錄
- 集中稽查與安全性記錄
- 監控資料傳輸之完全性與正確性 (端對端查核)
3. 可得性。「若使用者可持續以規定方式進行使用,則保證擁有服務與 IT 系統、IT 應用、IT 網路功能或資訊之可得性。」
我們會施行適當之一貫安全方法維護其服務和其服務內的資料:
- 為重要服務定期執行故障轉移測試
- 重要系統之延伸效能/可得性監控與報告
- 事件回應計畫
- 重要資料皆有複製或進行備份 (雲端備份/硬碟/資料庫複製等)
- 有安排軟體、基礎建設與安全性維護 (軟體更新、安全性修補檔等)
- 在異地與/或地理上分隔的位置上建立高韌性的備援冗餘系統 (叢集伺服器、鏡像資料庫、高可得性之設定等)
- 使用不會中斷的電源供應,以及備援的冗餘硬體與網路系統
- 備有安全警示系統
- 重要機房備有實體保護方法 (突波保護器、加高地板、冷卻系統、火焰/煙霧感測器、制火系統等)
- 維持可得性的 DDOS 防護措施
- 讀取及壓力測試
4. 資料處理指示。「資料處理指示要確保個人資料處理過程遵守資料控管者的指示與相關的公司方法」
我們已建立內部隱私權政策、協議,並定期執行員工隱私權訓練,確保依照客戶之偏好與指示處理個人資料。
- 在員工契約內備有隱私權與機密性等詞彙
- 為員工定期執行資料隱私權與安全性訓練
- 與再處理方制定合宜之契約條款,以維持指示控制權
- 定期為外部服務提供商執行隱私權檢查
- 提供客戶完整控制資料處理偏好設定的權利
- 定期安全稽查
附錄 3 - GoDaddy 再處理方
公司名稱 | 公司所在國家/地區 | 服務說明 | 資料類別 |
---|---|---|---|
Acronis International GmbH | 瑞士 | 客戶備份 | 備份快照。 |
Automattic Inc | 美國 | 電子商務 WordPress 內提供之 WooCommerce 外掛程式及附加元件。 | 客戶 WordPress 使用者及任何員工/承包商的個人檔案 (含名稱及 email 地址)。 |
Cisco International Limited、Cisco Solutions GmbH、Cisco Systems Inc | 英國、德國、美國 | 提供並管理我們部份網路的網路解決方案,包括中繼資料分析。 | 處理 IP 位址、時間戳記及網路流量的中繼資料 |
cPanel Inc | 美國 | 主機服務及伺服器產品使用的 cPanel 管理軟體。 | 任何由 cPanel 持有的客戶資料。 |
DENIC eG | 德國 | .de 網域註冊 | 所有提供網域必要之帳戶資訊。WHOIS 資訊。 |
Equinix Netherlands BV | 荷蘭 | 荷蘭資料中心託管設施。 | 不會特意處理任何個人資料。 |
EURid vzw | 比利時 | .eu 網域註冊 | 所有提供網域必要之帳戶資訊。WHOIS 資訊。 |
Juniper Networks Inc | 美國 | 提供並管理我們部份網路的網路解決方案,包括中繼資料分析。 | IP 位址、時間戳記、網路流量 |
LivePerson Inc | 美國 | 我們網站內的對談工具「LiveEngage」。 | 對談逐字稿,以及 IP 位址、作業系統、裝置類型等自動資訊。 |
LvivIT | 烏克蘭 | 提供作業平台支援。 | 所有客戶的帳戶資訊。 |
OVH Grouppe SAS | 法國 | 德國資料中心託管設施、經銷伺服器產品。 | 客戶託管資料,包括但不限於網站、應用程式,以及來自客戶的客戶的資料,資料可能包括網路流量。 |
Plesk International GmbH | 德國 | VPS 與專屬伺服器與建站神器 Plus 使用的 Plesk 控制面板。 | Plesk 控制面板含有的任何客戶資料,以及託管網站內含有的任何客戶資料。 |
Datadock SARL | 法國 | 法國資料中心託管設施。 | 硬體及網路服務。不會特意處理任何個人資料。 |
GoDaddy Media Temple Inc d/b/a Sucuri | 美國 | SAAS 產品:保護客戶網站不受惡意軟體影響 |
提供網站所必要的所有帳戶資訊,以及託管網站內儲存的客戶資料。 |
GoDaddy Media Temple Inc d/b/a Sucuri | 美國 | 內部:我們的品牌網站,以及客戶控制面板內的網頁應用程式防火牆,以便保護品牌資訊科技及客戶資料。 | 網站流量檢測。IP 位址、時間戳記及網路流量的中繼資料。 |
Starfield Technologies LLC | 美國 | SSL 憑證。 | 所有 SSL 憑證所需的客戶帳戶資訊。 |
DomainsByProxy LLC | 美國 | 網域隱私保護服務。 | 網域註冊及聯絡資訊。 |
GoDaddy Sellbrite, Inc. | 美國 | 網路零售工具 | 網路商店交易及產品資料。 |
GoDaddy Payments LLC | 美國 | 付款處理工具。 |
請見補充附件第 9.2 節瞭解以上 SCC 之適用性
標準契約條款 (控管者對處理方)
第 1 節
條款 1
目的與範疇
- 本處標準契約條款之目的為確保在將資料傳輸至第三方國家/地區時遵守歐洲議會法規 (EU) 2016/679 與歐洲理事會於 2016 年 4 月 27 日針對在處理個人資料與自由移動該資料上保護自然人所下之決議 (通用資料保護規則)。
- 參與方:
- 傳輸個人資料的自然人或法人、政府主管機關、代理商或其他實體 (下稱「實體」),如附錄 I.A 所列 (下稱「資料輸出方」),和
- 位於第三方國家/地區,從資料輸出方直接接收個人資料,或透過其他本條款參與方實體間接接收個人資料,並已同意本處標準契約條款 (下稱:「條款」) 的實體,如附錄 I.A 所列 (下稱「資料輸入方」)。
- 本處條款約束附錄 I.B 所闡述之個人資料傳輸行為。
- 含有參照附錄的本處條款附件已納入本處條款內。
條款 2
條款效力及不變性
- 本處條款已規範合適之保護措施,包括根據法規 (EU) 2016/679 第 46(1) 條及第 46(2)(c) 條關於控管者向處理方及/或處理方向處理方傳輸資料時可行使之資料主體權利,以及有效的法律救濟、根據法規 (EU) 2016/679 第 28(7) 條之標準契約條款,前提是這些條款未經修改 (選擇適當模組或新增或更新附錄資訊則不在此限)。以上不影響各參與方將本處條款的標準契約條款納入更廣泛的契約及/或加入其他條款或其他保護措施之行為,前提是這樣做並未直接或間接和本條款衝突,或影響資料主體的基礎權利或自由。
- 本處條款不影響資料輸出方因法規 (EU) 2016/679 而須遵守之義務。
條款 3
第三方權益
- 資料主體得對資料輸出方及/或資料輸入方援引並行使本處條款作為第三方權益,然而以下內容為例外:
- 條款 1、條款 2、條款 3、條款 6、條款 7;
- 條款 8.1(b)、8.9(a)、(c)、(d) 及 (f);
- 條款 9(a)、(c)、(d) 及 (e);
- 條款 12(a)、(d) 及 (f);
- 條款 13;
- 條款 15.1(c)、(d) 及 (e);
- 條款 16(e); (viii) 條款 18 (a) 及 (b)。
- 第 (a) 項不影響法規 (EU) 2016/679 所述的資料主體權利。
條款 4
解釋
- 當本處條款使用法規 (EU) 2016/679 定義之詞彙時,此等詞彙應和該法規所使用的意義相同。
- 本處條款應以法規 (EU) 2016/679 條款為準進行解釋。
- 解釋本處條款時,不應和法規 (EU) 2016/679 所述的權利和義務衝突。
條款 5
層級
若在同意或簽訂本處條款後,本處條款與各參與方之間的協議條款內容發生衝突,則以本處條款為準。
條款 6
傳輸說明
附錄 I.B 將說明傳輸的詳細資訊,特別是傳輸個人資料之類別及傳輸目的。
條款 7 - 特意省略
第 II 節 - 各參與方的義務
條款 8
資料保護措施
資料輸出方保證盡合理努力判斷資料輸入方有能力透過採取適當之技術及組織措施,藉此滿足本處條款所規範之義務。
8.1 指示
- 資料輸入方應只透過資料輸出方提供文件所記載的指示處理個人資料。資料輸出方得在契約期間提出該等指示。
- 若資料輸入方無法遵守該等指示,應立即通知資料輸出方。
8.2 目的限制
除非資料輸出方另有指示,否則資料輸入方應只針對傳輸特定目的處理個人資料,如附錄 I.B 所述。
8.3 透明度
若經要求,資料輸出方應製作本處條款的複本,包括各參與方填寫之附錄,並免費提供資料主體檢視。在保護企業機密或其他機密資訊 (包括附錄 II 所述的方法及個人資料) 必要的範圍內,資料輸出者得在提供複本之前隱藏本處條款附錄的部份文字內容,惟若資料主體無法透過其他方式瞭解內容或行使權利時,資料輸出者應提供具有意義的摘要。若經要求,各參與方應在不揭露隱藏資訊的可能範圍內,向資料主體說明隱藏內容的理由。本條款不影響資料輸出方在法規 (EU) 2016/679 第 13 及 14 條所述之義務。
8.4 準確性
若資料輸入方發現其收到的個人資料有誤或過舊,則應儘速通知資料輸出方。此時,資料輸入方應和資料輸出方合作消除或修正資料內容。
8.5 處理期間與消除或退還資料
資料輸入方處理時,應只花費附錄 I.B 所述之期間。處理服務提供結束後,資料輸入方應按照資料輸出方決議,刪除所有代表資料輸出方處理的個人資料,並向資料輸出方證明已刪除資料,或將所有代表資料輸出方處理的個人資料退還給資料輸出方,並刪除現有複本。在資料刪除或退還之前,資料輸入方應繼續確保遵守本處條款。若資料輸入方當地適用法規禁止退還或刪除個人資料,則資料輸入方保證繼續確保遵守本處條款,並只在該當地法律規定的範圍內進行處理。以上內容不影響條款 14,尤其是資料輸入方於條款 14(e) 所述之規範,意即若在契約期間內,資料輸入方有理由相信其必須遵守之法律或實踐不符條款 14(a) 之規範時必須通知資料輸出方時,則必須通知資料輸出方。
8.6 處理安全性
- 資料輸入方,以及傳輸時的資料輸出方應採取適當技術及組織措施,以便確保資料安全,包括防止由於安全性漏洞而導致意外或非法破壞、損失、改動、未授權揭露或存取該資料 (下稱「個人資料外洩」) 的防護措施。評估適當安全性層級時,各參與方應為資料主體適當考量處理的最新技術、措施成本、性質、範疇、脈絡及目的,以及處理風險。各參與方應特別考量安排加密或假名化的資源,包括傳輸時,以便以此等方式履行處理目的。若進行假名化,則在可能的情況下,為特定資料主體個人資料添加的資訊應只由資料輸出方進行控管為遵守本項所述之義務,資料輸入方至少應採取附錄 II 所述之技術及組織措施。資料輸入方應定期進行檢查,以確保這些措施可持續提供適當等級的安全性。
- 資料輸入方應只在採取、管理、監控契約的嚴格必要範圍內授予其人員存取個人資料的權利。資料輸入方應確保授權存取個人資料的人士會致力維護機密性,或遵守適當法定機密性義務。
- 若發生資料輸入方按照此處條款擁有的個人資料外洩事件,則資料輸入方應採取適當措施處理外洩事件,包括降低事件有害衝擊的措施。另外,資料輸入方在得知該等外洩事件後,應儘速通知資料輸出方。此類通知應含有聯絡點的詳細資訊,該聯絡點必須提供詳情、外洩事件性質說明 (若可能的話,包括受到影響的資料主體及個人資訊記錄類別及大致數量)、可能發生之後果,及已採取或提議處理外洩事件的措施,包括 (若合乎情況) 可降低事件有害衝擊的措施。若無法同時提供所有資訊,則首則通知內應含有當時可獲取的資訊,當可取得後續資訊時,應儘速提供該等後續資訊。
- 資料輸入方應考量處理性質及資料輸入方可取得的資訊,和資料輸出方合作,並協助資料輸出方,使資料輸出方得以遵守法規 (EU) 2016/679 所述的義務,尤其是通知適任監管主管機關及受到影響的資料主體。
8.7 敏感資料
當傳輸內容含有揭露以下資訊的個人資料:出身種族或民族、政治立場、宗教或哲學信仰,或工會會員身分、基因資料,或用以獨立識別自然人的生物識別資料、有關健康或個人性生活或性向的資料,或刑事罪行等 (下稱「敏感資料」) 時,資料輸入方應加上附錄 I.B 所述之特定限制及/或額外保護措施。
8.8 繼續傳輸
資料輸入方應只透過資料輸出方提供文件所記載的指示向第三方揭露個人資料。另外,資料輸入方僅可在第三方遵守或願意遵守本處條款,並需遵守適當模組的情況下,向位於歐盟境外的第三方 (和資料輸入方位於相同國家/地區或其他第三方國家/地區,下稱「繼續傳輸」) 揭露資料,或者:
- 繼續傳輸目標國家/地區受惠於根據法規 (EU) 2016/679 第 45 條涵蓋繼續傳輸之決議;
- 第三方以其他方式確保採取根據法規 (EU) 2016/679 第 46 或 47 條進行相關處理情況所制定之適當保護措施;
- 為特定管理、法規或管轄地區程序建立、行使或辯護訴訟案件請求而必須進行繼續傳輸;或 (iv) 為保護資料主體或其他自然人的重要權益而必須進行繼續傳輸。
- 任何繼續傳輸皆必須由資料輸入者遵守規範採取根據本處條款所進行的其他保護措施,特別是目的限制。
8.9 文件及遵守規範
- 資料輸入方應立即並以適當方式處理資料輸出方根據本處條款處理之相關查詢。
- 各參與方應得以展示其遵守本處條款之規範。特別是資料輸入方應保有代表資料輸出方採取之處理行為的文件。
- 資料輸入方應向資料輸出方提供所有必要資訊,以便展示其遵守本處條款所述的義務,若資料輸出方有所要求,資料輸入方應允許並繳交相關資料,以便稽查本處條款涵蓋之處理行為 (要求之間應有合理間隔時間,或有未遵守情形之跡象時)。決定查閱或稽查時,資料輸出方得考量資料輸入方持有的相關憑證。
- 資料輸出方得決定自行進行稽查,或授權獨立稽查廠商進行。稽查得包括檢查資料輸入方的廠址或實體設施,若情況許可,應在提出合理通知後進行稽查。
- 若適任監理主管機關有所要求,各參與方應提供第 (b) 與 (c) 參照之資訊,包括任何稽查結果。
條款 9
再處理方使用方法
- 資料輸入方擁有資料輸出方的一般授權,可聘用事先同意清單內的再處理方。若該清單有意進行任何變更,資料輸入方應至少在十五 (15) 天之前以書面方式通知特別通知資料輸出方瞭解其中增加或替換的再處理方,以便讓資料輸出方在聘用再處理方之前有足夠時間可以對該等變更內容提出異議。資料輸入方應為資料輸出方提供必要資訊,以便資料輸出方實行提出異議的權利。
- 當資料輸入方聘用再處理方 (代表資料輸出方) 進行特定處理活動時,資料輸入方應以書面契約形式進行聘用,契約須能實質提供和本處條款規定的資料輸入方資料保護義務相同的義務,包括資料主體方權益等條款。各參與方同意,資料輸入方遵守本處條款,即表示滿足其在條款 8.8 所規定的義務。資料輸入方應確保再處理方遵守和資料輸入方根據本處條款所遵守內容相同的義務。
- 若資料輸出方有所要求,資料輸入方應為資料輸出方提供該等再處理方的協議複本,以及所有後續修正內容。在保護商業機密或其他機密資訊 (包括個人資料) 的必要範圍內,資料輸入方得在分享複本前隱藏協議內容文字。
- 對於再處理方是否遵守其和資料輸入方簽訂之契約義務表現,資料輸入方應對資料輸出方負起完整責任。當再處理方因任何因素導致無法正確履行該契約義務時,資料輸入方應通知資料輸出方。
- 資料輸入方應和再處理方同意再處理方需遵守的第三方權益條款,若資料輸入方實質上消失、在法律上消滅或無力償還,則資料輸出方應有權終止再處理方契約,並指示再處理方消除或退還個人資料。
條款 10
資料主體權利
- 資料輸入方若收到資料主體的任何要求,應立即通知資料輸出方。若資料輸入方未經資料輸出方授權,則不應對自己提出要求。
- 資料輸入方應協助資料輸出方履行義務,以便回應資料主體為行使法規 (EU) 2016/679 所述之權利所提出的要求。此時,各參與方應考量處理性質、協助提供方式及必要協助範疇及範圍,在附錄 II 訂立適當技術及組織措施。
- 履行其第 (a) 及 (b) 項所述義務時,資料輸入方應遵守資料輸出方的指示。
條款 11
糾正
- 資料輸入方應使用透明且容易存取的格式,透過個人通知或資料輸入方網站,通知資料主體瞭解處理申訴的授權聯絡點位於何處。該聯絡點在收到由資料主體提出的任何申訴後,應立即處理該申訴。
- 若資料主體和任一方對本處條款之遵守情形發生爭議時,該方應盡其最大努力以和平方式及時解決該問題。各參與方應通知他方瞭解該等爭議內容,並在情況許可時合作解決爭議。
- 當資料主體根據條款 3 援引第三方受益人權利時,資料輸入方應接受資料主體之決定進行下列作業:
- 向對方居住地或工作地之會員國監理主管機關,或符合條款 13 之適任監理主管機關登記申訴;
- 以條款 18 範圍內方式向適任法院提出此爭議。
- 各參與方接受,資料主體得由非營利實體、組織或協會按照法規 (EU) (Regulation (EU)) 2016/679 第 80(1) 條進行代表。
- 資料輸入方應遵守適用之歐盟或會員國法律有效決定。
- 資料輸入方同意,資料主體的選擇不影響對方根據適用法律尋求救濟的實質及程序權利。
條款 12
責任
- 各參與方若因違反本處條款,而對其他方造成任何損害,則應對其負責。
- 若資料輸入方或其再處理方因違反本處條款所規範之第三方權益,因此對資料主體造成任何實質或非實質損失,則資料輸入方應對資料主體負責,且資料主體有權接受補償。
- 儘管有 (b) 項內容,若資料輸出方或資料輸入方 (或其再處理方) 因違反本處條款所規範之第三方權益,因此對資料主體造成任何實質或非實質損失,則資料輸出方應對資料主體負責,且資料主體有權接受補償。以上不影響資料輸出方的責任,若資料輸出方代表控管者擔任處理方,則也不影響法規 (EU) 2016/679 或法規 (EU) 2018/1725 中適用的控管者責任。
- 各參與方同意,若資料輸入方 (或其再處理方) 造成損失,而資料輸出方須按照第 (c) 項所述負責時,資料輸出方有權向資料輸入方按照資料輸入方對損失的責任範圍索討補償部份。
- 若因違反本處條款,導致多方造成資料主體損失時,所有責任方皆應共同並個別負起責任,而資料主體有權對責任方提出法院訴訟。
- 各參與方同意,若有一方需按照第 (e) 項負責時,該方有權向其他方按照其他方對損失的責任範圍索討補償部份。
- 資料輸入方不得藉由援引再處理方的行為而規避責任。
條款 13
監督
- 負責確保資料輸出方遵守法規 (EU) 2016/679 資料傳輸相關內容 (如附錄 I.C 所述) 的監管主管機關應視為適任監管主管機關。
- 資料輸入方同意接受該適任監管主管機關的司法管轄權管轄,並和該適任監管主管機關合作進行確保遵守本處條款的程序。特別是資料輸入方同意回應該監管主管機關提出的查詢,並進行稽查,以及遵守由該主管機關所採取的措施,包括救濟及補償措施。資料輸入方應向該監管主管機關以書面形式確認已採取必要行動。
第 III 節 – 政府主管機關存取時的當地法律及義務
條款 14
影響本處條款遵守情形的當地法律及實踐
- 各參與方保證無理由相信資料輸入方處理個人資料時須遵守第三方目標國家/地區的法律及實踐,包括任何必須揭露個人資料的規範,或授權政府主管機關存取權的方法,並藉此妨礙資料輸入方履行本處條款所規範的義務。以上內容制定基礎為法律及實踐尊重基本權利及自由本質,並不超出必要且民主社會對應範圍,藉此保護法規 (EU) 2016/679 第 23(1) 條列出的任一目標,且不和本處條款內容衝突。
- 各參與方宣稱,為提供第 (a) 項的保證,各參與方已負起規範之責任,尤其是:
- 傳輸特定情形,包括處理鏈長度、參與方數目和使用傳輸管道;意圖繼續傳輸;收受者類型;處理目的;傳輸個人資料類別及格式;進行傳輸的經濟部門;傳輸資料儲存空間所在地;
- 和傳輸特定情形相關的第三方目標國家/地區法律及實踐,包括要求向政府主管機關揭露資料或授予該機關存取權的法律及實踐,以及適用限制與保護措施;
- 採取的任何可輔助本處條款保護措施的相關契約、技術或組織保護措施,包括傳輸時所採取的措施與在目標國家/地區處理個人資料的措施。
- 資料輸入方保證,為按照第 (b) 項進行評估,資料輸入方已盡最大努力向資料輸出方提供相關資訊,並同意繼續和資料輸出方合作,藉此確保春手本處條款規範。
- 各參與方同意以書面方式記錄根據第 (b) 項的評估內容,並在適任監理主管機關提出要求時供其檢視。
- 資料輸入方同意,在同意本處條款後並在契約期間內,當資料輸入方有理由相信其必須遵守之法律或實踐不符第 (a) 項之規範 (包括需遵守變動後的第三方目標國家/地區法律;或有如揭露要求等措施表示該等法律生效,且不符第 (a) 項之規範) 時,資料輸入方會立即通知資料輸出方。
- 收到第 (e) 項所述之通知,或當資料輸出方另有理由相信資料輸入方已無法履行本處條款義務時,資料輸出方應立即找出適當之措施 (如可確保安全性及機密性的技術或組織措施),以便資料輸出方及/或資料輸入方採取行動,以求解決此問題。若資料輸出方判斷資料傳輸無法確保獲得適當保護措施,或適任監理主管機關如此指示,則資料輸出方應終止資料傳輸行為。此時,若會影響按照本處條款處理個人資料之情形,則資料輸出方有權終止契約。若契約內有多於兩個參與方,資料輸出方僅得對相關參與方行使此終止權,若所有參與方另外同意則不在此限。根據本條款終止契約時,須遵守條款 16(d) 及 (e)。
條款 15
政府主管機關存取時的資料輸入方義務
15.1 通知
- 資料輸入方發生下列情形時,其同意即時通知資料輸出方,並在可行時一併通知資料主體 (如有必要,可由資料輸出方協助辦理):
- 收到由政府主管機關 (包括管轄區主管機關) 按照目標國家/地區法律發出的法律有效要求,要求揭露根據本處條款而傳輸的個人資料;此類通知內應含有要求的個人資料、提出要求的主管機關、提出要求之法律基礎以及提供之回應等資訊;或
- 得知政府主管機關依照目標國家/地區法律,以任何方式直接存取根據本處條款而傳輸的個人資料;此類通知內應含有資料輸入方所能取得的所有資訊。
- 當資料輸入方受到目標國家/地區禁止,不得通知資料輸出方及/或資料主體時,資料輸入方同意盡最大努力儘快取得豁免該項禁止規定的文件,藉此儘可能以最完善的資訊進行溝通。資料輸入方同意以書面方式記錄其最大努力的內容,以便在資料輸出方要求時加以展示。
- 在目標國家/地區法律允許的範圍內,資料輸入方同意,在契約期間內按照固定時間間隔,儘可能為資料輸出方針對收到之要求提供最完整的相關資訊 (尤其是要求數量、要求資料類型、要求主管機關、是否已對要求提出抗辯,及抗辯結果等)。
- 資料輸入方同意保存第 (a) 至 (c) 項所述的資訊,保存期間和契約期間相等,並可在適任之監理主管機關要求時提供參閱。
- 第 (a) 至 (c) 項內容不影響資料輸入方的條款 14(e) 及條款 16 等義務,亦即當無法遵守本處條款時,須立即通知資料輸出方。
15.2 審閱法律效力及資料最小化
- 資料輸入方同意審閱揭露要求的法律效力,尤其是提出要求的政府主管機關是否符合其所擁有的權力,另外,資料輸入方在審慎評估後,若判定該要求有不合乎目標國家/地區、適用之國際法規義務以及國際禮讓原則的合理餘地,則同意提出抗辯。在相同條件下,資料輸入方應尋求上訴的可能。若對要求提出抗辯,則在適任法律主管機關判定該要求的理據前,資料輸入方應尋求可停止該要求效力的臨時方式。在適用程序規定尚未如此要求前,不應揭露要求的個人資料。此類要求不影響資料輸入方條款 14(e) 之義務。
- 資料輸入方同意以書面方式記錄其對揭露要求所進行之法律評估及任何抗辯方式,並在目標國家/地區法律允許範圍內提供該記錄文件給資料輸出方。適任之監理主管機關應可在提出要求後取得該文件。
- 回應揭露要求時,資料輸入方同意根據對要求內容的合理瞭解,提供最少量之允許提供資訊。
第 IV 節 – 最終條款
條款 16
未遵守條款和終止
- 若資料輸入方因任何因素而無法遵守本處條款,則應立即通知資料輸出方。
- 若資料輸入方違反本處條款,或無法遵守本處條款,則資料輸出方應停止傳輸個人資料給資料輸入方,直到再度確保遵守條款,或終止契約為止。以上內容不影響條款 14(f)。
- 發生以下情形且會影響按照本處條款處理個人資料的情況時,資料輸出方應有權終止契約:
- 資料輸出方已根據第 (b) 項終止傳輸個人資料給資料輸入方,且未在合理時間,及無論如何在終止後一個月內回復為遵守本處條款的情況;
- 資料輸入方實質或持續違反本處條款;或
- 資料輸入方無法遵守適任法院或監理主管機關根據本處條款義務所訂立,且具有法律效力的決議。在這些情況下,資料輸出方應通知適任監理主管機關瞭解未遵守情形。當契約內有多於兩個參與方時,資料輸出方僅得對相關參與方行使此終止權,若所有參與方另外同意則不在此限。
- 按照第 (c) 項終止契約之前所傳輸的個人資料應由資料輸出方選擇要立即退還給資料輸出方,或將其全面刪除。該等資料的所有複本也應照樣處理。資料輸入方應向資料輸出方證明已刪除該等資料。在資料刪除或退還之前,資料輸入方應繼續確保遵守本處條款。若資料輸入方需遵守的當地法律禁止退還或刪除傳輸之個人資料,則資料輸入方保證持續確保遵守本處條款,並只在該當地法律規定的範圍內處理資料。
- 若發生以下情形,則各參與方得撤銷受本處條款管理的協議:(i) 歐洲聯盟委員會接受根據法規 (EU) 2016/679 第 45(3) 條,涵蓋本處條款所規範之個人檔案傳輸的決議;或 (ii) 法規 (EU) 2016/679 成為個人資料傳輸目標國家/地區的法律架構之一。以上不影響其他根據法規 (EU) 2016/679 處理時所須遵守的義務。
條款 17
主管法規
本處條款應受任一歐盟會員國允許第三方權益的法律管理。各參與方同意,此應為德意志聯邦共和國法律。
條款 18
法院及管轄地區選擇
- 任何由於本處條款而起之爭議應交由歐盟會員國法院解決。
- 各參與方同意,該等法院應為德意志聯邦共和國法院。
- 另外,資料主體得向其居住的會員國法院針對資料輸出方及/或資料輸入方提起訴訟。
- 各參與方同意接受該等法院的司法管轄權管轄。
標準契約條款附錄 I
A. 參與方清單
資料輸出方:本補充附件內,資料輸出方即為稱為「客戶」之實體
簽名及日期:資料輸出方以電子形式接受資料輸入方的服務條款當日,資料輸出方即視為已簽署本處的標準契約條款。
角色:控管者
資料輸入方:GoDaddy.com, LLC
聯絡資訊:資料保護經理人辦公室 – privacy@godaddy.com
簽名及日期:資料輸出方以電子形式接受資料輸入方的服務條款當日,資料輸入方即視為已簽署本處的標準契約條款。
角色:處理方
B. 傳輸說明 補充附件附錄 1 將說明傳輸個人資料之資料主體類別。
補充附件附錄 1 將說明傳輸的個人資料類別。
補充附件附錄 1 將說明傳輸的敏感資料。
服務條款期間內將以規定頻率持續傳輸。
第 2.2 節及補充附件附錄 1 將說明處理性質。
第 2.2 節及補充附件附錄 1 將說明資料傳輸及後續處理之目的。
補充附件附錄 1 將說明個人資料留存期間。
標準契約條款附錄 III 將規範傳輸至 (再) 處理方的主旨、性質及處理期間。
C. 適任監理主管機關 適任監理主管機關為北萊茵-威斯伐倫州資料保護及資訊自由委員會 (「LDI NRW」)。
標準契約條款附錄 II
補充附件附錄 2 將說明資料輸入方採取的技術及組織安全性措施。
標準契約條款附錄 III
補充附件附錄 3 列有再處理方清單。
Annex I to the Standard Contractual Clauses
A. LIST OF PARTIES
Data Exporter(s): The data exporter is the entity identified as “Customer” in the Addendum
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Exporter is deemed to have signed these standard contractual clauses.
Role: Controller
Data importer(s): GoDaddy.com, LLC, a Delaware limited liability company
Contact details: Office of the Data Protection Officer – privacy@secureserver.net
Signature and date: As of the date of Data Exporter’s electronic acceptance of Data Importer’s Terms of Service, Data Importer is deemed to have signed these standard contractual clauses.
Role: Processor
B. DESCRIPTION OF TRANSFER Categories of data subjects whose personal data is transferred are described in Appendix 1 of the Addendum.
Categories of personal data transferred are described in Appendix 1 of the Addendum.
Sensitive data transferred are described in Appendix 1 of the Addendum.
The frequency of the transfer is a continuous basis for the duration of the Terms of Service.
Nature of the processing is described in Section 2.2 and Appendix 1 of the Addendum.
Purpose(s) of the data transfer and further processing are described in Section 2.2 and Appendix 1 of the Addendum.
The period for which the personal data will be retained described in Appendix 1 of the Addendum.
For transfers to (sub-) processors, the subject matter, nature and duration of the processing is set forth in Annex III to the Standard Contractual Clauses.
C. COMPETENT SUPERVISORY AUTHORITY The North Rhine-Westphalia State Commissioner for Data Protection and Freedom of Information ('LDI NRW') is the competent supervisory authority.
Annex II to the Standard Contractual Clauses
The technical and organizational security measures implemented by the Data Importer are as in Annex 2 of the Addendum.
Annex III to the Standard Contractual Clauses
List of sub-processors are in Appendix 3 of the Addendum.