GoDaddy

資料處理補充附件 (客戶)

最後修訂時間:2020/10/21

本資料處理補充附件 (「補充附件」) 係由 GoDaddy.com, LLC, a Delaware limited liability company 及其聯盟商 (「GoDaddy」) 和您 (「客戶」) 所執行,並屬於我們的通用服務條款隱私權政策以及所有涵蓋服務所遵守的補充條例 (統稱「使用條款」) 之附錄及補充條款。 除非本補充附件另有定義,否則本補充附件內所有未定義之大寫詞彙皆以使用條款內的意義為準。

1.定義

聯盟商」意指控制 GoDaddy、受其控制或共同控制的任意實體。

CCPA」意指加州消費者隱私保護法案 (California Consumer Privacy Act) 加州民法典 1798. 100 及後續條文,包含任何在本《資料處理補充附件》生效日期當天或其後生效之相關修訂內容及執行規範。

涵蓋服務」意指由我們提供且牽涉處理個人資料的服務。

客戶資料」意指由 GoDaddy 處理在 GoDaddy 網路內代替客戶遵從服務條款並與條款相關之任何資料主體的個人資料。

資料控管者」意指客戶,該實體決定個人資料處理之目的與方法。

資料處理方」意指 GoDaddy,因為該實體代替資料控管者或由 CCPA 所規範之服務提供商處理個人資料。

資料保護法律」意指所有符合本協議規範處理個人資料所需遵守的資料保護或隱私權法律及法規,包含 CCPA、(ii) GDPR、(iii) 歐盟電子通訊隱私指令 (EU e-Privacy Directive (Directive 2002/58/EC))、(iv) 任何按照或根據 (ii) 或 (iii) 所制定的國家資料保護法律、(v) 1992 年 6 月瑞士聯邦資料保護法 (Swiss Federal Data Protection Act of 19 June 1992) 及其條例,以及 (vi) 若為英國境內,則尚有 2018 年資料保護法 (Data Protection Act 2018) 及任何因英國脫離歐盟而作為 GDPR 或任何其他資料及隱私權相關法律替代或轉換為國內法律的適用國家法規;上述內容可被修改或取代。

資料主體」意指與個人資料相關之人士。

EEA」意指歐洲經濟區。

GDPR」意指歐洲議會法規 (EU) 2016/679 (Regulation (EU) 2016/679 of the European Parliament) 與歐洲理事會於 2016 年 4 月 27 日針對在處理個人資料與自由移動該資料上保護自然人所下之決議,並廢除指令 95/46/EC (通用資料保護規則)。

GoDaddy 網路」意指由 GoDaddy 進行控管,並用來提供涵蓋服務的 GoDaddy 資料中心設施、伺服器、網路設備與主機軟體系統 (例如虛擬防火牆)。

個人資料」意指按照資料保護法律所定義之任何與已識別或可識別人士或家庭相關的資訊。

處理」意指針對個人資料進行之操作或操作組合 (無論是否為自動方法),如收集、紀錄、組織、構築、儲存、改編或改動、獲得、諮商、使用、以傳輸揭露、散佈或以其他方式開放存取、校準或合併、限制、消除或摧毀等。「處理」將以其英文時態作不同解讀。處理詳情請見附錄 1。

安全性事件」意指 (a) GoDaddy 安全性標準之安全性遭到滲透,導致客戶資料遭到意外或非法之破壞、損失、改動、未授權揭露或存取;或 (b) 任何針對 GoDaddy 的設備或設施進行之未授權存取,且該存取造成客戶資料遭到破壞、損失、未授權揭露或存取。

安全性標準」意指此補充附件附錄 2 的安全性標準。

標準契約條款」或「SCC」意指遵循 2010 年 2 月 5 日歐洲聯盟委員會針對按照指令內容傳輸個人資料給於第三方國家成立之處理方標準契約條款決議訂立之內容,即為本補充附件加附且內含的附錄 3。 

再處理方」意指由處理方聘請,代替資料控管者處理資料的任意資料處理方。                                                               

2.資料處理

2.1 範疇與角色。若客戶資料由 GoDaddy 處理,則須遵守本補充附件規範, 此情形下 GoDaddy 將視同為資料處理方,代表做為客戶資料的資料控管者之客戶。

2.2 資料處理詳情。由 GoDaddy 進行客戶資料處理之主旨為依照服務條款與特定產品協議執行涵蓋之服務。GoDaddy 只應為達下列目的而代表客戶並根據客戶之指示文件處理客戶資料:(i) 依照須遵守之特定產品協議進行處理;(ii) 由終端使用者在使用涵蓋之服務時進行處理;(iii) 依照其他由客戶提供的合理指示文件 (如透過 email 提供),且該指示內容符合協議規定。GoDaddy 不應:(a) 處理、保留、使用、販售或揭露客戶資料 (除非在根據服務條款或法律要求之情況下提供涵蓋之服務必須進行以上行為);(b) 將此等客戶資料販售給任何第三方;(c) 在 GoDaddy 及客戶的直接商業關係以外的範疇保留、使用或揭露該等客戶資料。

為免疑慮,客戶的個人資料處理指示應遵守任何適用之資料隱私權法規。客戶應自行負責個人資料之準確、品質以及合法性,並須自行負責取得個人資料的方式。若該等指示內容違反資料保護法律,則 GoDaddy 無須遵守客戶之指示。本補充附件內文之處理期間、性質與目的,以及所處理的個人資料主體類型、類別等定義請見本補充附件之附錄 1 (「處理詳情」)。

3.客戶資料的機密性

除遵守法律規定或執法機關之有效命令 (如傳票或法院命令) 外,GoDaddy 不會向政府或其他第三方揭露客戶資料。GoDaddy 收到有效的民事傳票後,在允許的範圍內,GoDaddy 將會盡力以 email 或郵寄方式為客戶提供合理的命令通知,以利客戶尋求保護令或其他合宜救濟。

4.安全性

4.1 GoDaddy 已針對 GoDaddy 網路按照本節之敘述 (進一步之敘述請參見本補充附件附錄 2 - 安全性標準) 施行並在未來繼續維持技術與組織方法。GoDaddy 尤其會施行並維持下列技術與組織方法,以便維護 (i) GoDaddy 網路之安全性;(ii) 設施之實體安全性;(iii) 員工與轉包商對 (i) 存取之控制權;以及 (iv) 測試與評估 GoDaddy 技術與組織方法施行成效之程序。若我們無法遵守此處所述之義務,則會盡最快速度提供書面通知 (透過我們的網站及 email 通 之)。

4.2 GoDaddy 提供數種安全性功能,讓客戶得以在涵蓋服務的相關範圍內選擇使用。客戶應負責 (a) 適當設定涵蓋服務、(b) 使用和涵蓋服務相關之可用控制 (包含安全性控制) 確保持續享有處理系統與服務之機密性、完整性、可得性與彈性、(c) 在發生實體或技術事件時,使用和涵蓋服務相關之可用控制 (包含安全性控制) 讓客戶及時還原客戶資料之可得性和存取權 (例如備份及定期封存客戶資料),以及 (d) 施行客戶認為維護客戶資料之合適安全性、保護、刪除的步驟,包含使用加密技術保護客戶資料不受未經授權之存取及方法控制客戶資料之存取權。

5.資料主體之權利

考慮涵蓋服務之性質,GoDaddy 向客戶提供本補充附件「安全性」一節內所示之控制方法,使客戶得選擇使用,並用其取得、修正、刪除、限制使用、分享涵蓋服務所描述之客戶資料。客戶得使用這些控制方法作為技術及組織方法,以便協助遵守適用隱私權法律之相關義務,包含與回應資料主體的要求相關之義務。若商業上合理,且在法律必要或允許範圍內,則在 GoDaddy 直接收到資料主體依照適用之資料隱私權法律要求執行以上權利時 (「資料主體要求」),GoDaddy 應即時通知客戶。另外,客戶使用涵蓋服務若限制其處理資料主體要求之能力時,若客戶有所要求,則 GoDaddy 得在法律允許且合宜之範圍內由客戶負擔成本 (若有),以此提供商業上合理之協助,以便處理該要求。

6.再處理

6.1 授權再處理方。客戶同意 GoDaddy 得透過再處理方完成其服務條款、本補充附件之契約義務,或代其提供特定服務,如提供支援服務。客戶在此同意 GoDaddy 以本節方式使用再處理方。除非本節另有說明,或您另有授權,否則 GoDaddy 不允許其他再處理行為。

6.2 再處理方義務。當 GoDaddy 依照第 6.1 節使用任意授權再處理方時:

(i) GoDaddy 會限制再處理方對客戶資料的存取權,讓其只能在對客戶或任何涵蓋服務的終端使用者維持涵蓋服務或提供涵蓋服務必要的時候進行存取。GoDaddy 會禁止再處理方以其他目的存取客戶資料;

(ii) 本補充附件之範圍內,若再處理方所提供之資料處理服務和 GoDaddy 提供之服務相同,則 GoDaddy 會和再處理方建立書面協議,GoDaddy 將要求再處理方遵守 GoDaddy 在此補充附件中所須遵守的相同契約義務;且

(iii) GoDaddy 將持續負責遵守本補充附件之義務,另外,若因再處理方之任意作為或不作為導致 GoDaddy 違反 GoDaddy 在本補充附件規範之義務,也須同樣為其負責。

6.3 新再處理方。 我們可能會不定期按照此補充附件的條款聘請新的再處理方, 這種情形下,我們會在任何新再處理方獲取客戶資料的 60 天前進行通知 (藉由我們的網站與 email 通知)。如果您的客戶不認可新的再處理方,則客戶得在透過我們接到通知後 10 天內提供書面的終止通知 (內含不認可的理由說明),並以此終止任意涵蓋服務。如果涵蓋服務屬於產品組合或購物組合的一部份,則終止涵蓋服務等同終止整體組合。

7.安全滲透通知

7.1 安全性事件。若 GoDaddy 察覺安全性事件,則 GoDaddy 將在合宜時間內進行下列事項:(a) 通知客戶瞭解安全性事件;且 (b) 進行合理步驟減輕該安全性事件之影響,並盡可能減少帶來之傷害。

7.2 GoDaddy 之協助。 為在客戶須按照適用隱私權法律而執行之資料滲透通知上協助客戶,GoDaddy 將會在通知中列出以上安全性事件之資訊,由於涵蓋服務之性質,GoDaddy 可在合理範圍內向客戶揭露 GoDaddy 已得之資訊與揭露該等資訊須遵守的限制條件,如機密性等。  

7.3 失敗安全性事件。客戶同意:

(i) 處理失敗的安全事件不受此補充附件規範。處理失敗的安全事件意指導致客戶資料或 GoDaddy 任何儲存客戶資料的網路、設備、設施遭到非經授權的存取之事件,可能包含但不限於針對防火牆或邊緣伺服器進行之 ping 或其他廣播攻擊、通訊埠掃描、非必要之登入嘗試、阻斷服務攻擊、封包監聽 (或其他對流量資料進行非經授權之存取,且並未存取標題以外之區域的行為) 或類似事件;與

(ii) 本節文內所述 GoDaddy 針對安全性事件進行回報或回覆的義務不可理解為 GoDaddy 得知任何錯誤或 GoDaddy 與該安全事件之責任;

7.4 通訊。若發生任何安全性事件,則會透過 GoDaddy 選擇之方式通知一位或多位客戶之管理員,包含透過 email 通知。客戶應自行負責確保客戶管理員於 GoDaddy 管理主控台上維護一份正確之聯絡資訊,並確保傳輸常保安全。

8.客戶權利

8.1 獨立決策。客戶需負責檢視 GoDaddy 就資料安全性及其安全性標準提供之資訊,並獨立決定涵蓋服務是否符合客戶之要求與法定義務,以及客戶在此補充附件內所述之義務。在資料保護影響評估和事先諮商方面,該等資訊提供之目的為協助客戶遵守客戶在適用隱私權法規 (包含 GDPR) 上之義務。

8.2 客戶稽查權。客戶有權透過施行合理權利,並執行稽查或調查,確認 GoDaddy 在涵蓋服務適用範圍內是否遵守本補充附件之規範,包含 GoDaddy 是否遵守其安全性標準在內,稽查或調查方法包含在適合的標準契約條款內以書面向 GoDaddy 服務條款所述的地址進行特定之要求。在要求得當,且稽查或調查範圍合宜下,若 GoDaddy 拒絕遵從客戶指示,則客戶有權終止本補充附件及服務條款。如果需遵守標準契約條款,則本節內文不會變更或改動標準契約條款,也不會影響主管機關或資料主體在該標準契約條款內的權利。當 GoDaddy 代替客戶控制再處理方時,也須遵守本節規定。

9.個人資料轉移

9.1 美國處理。除非服務條款另有註記,否則客戶資料將傳輸至 EEA 之外,且在美國進行處理。

9.2 標準契約條款之應用。標準契約條款將適用於在 EEA 外直接或透過繼續傳送傳輸至歐洲聯盟委員會未認可之國家的客戶資料,以便提供合宜等級的個人資料保護措施。標準契約條款不適用於在 EEA 外直接或透過繼續傳送傳輸的客戶資料。儘管有上述規定,但標準契約條款不適用於在 EEA 之外為合法傳輸個人資料而按照已知標準傳輸之資料,如為根據服務條款提供涵蓋服務有所必要,或已取得您的同意之情形等。

10.本補充附件之終止

本補充附件在我們終止按照服務條款進行處理之前都將維持有效 (「終止日期」)。

11.返還或刪除客戶資料

如涵蓋服務一文所述,客戶得取得控制方式,並得以用來取得或刪除客戶資料。任何刪除客戶資料之行為皆受該特定涵蓋服務之條款規範。

12.責任限制

此補充附件內所有參與方都須遵守服務條款內規範的責任例外與限制條款。客戶同意,任何因客戶無法遵守此補充附件規定之義務與其他任何適用隱私權法律,導致或連帶導致 GoDaddy 招致客戶資料相關之法律懲罰時,將屬於且減低 GoDaddy 在服務條款內明列之責任,且視同為客戶在服務條款內明列之責任。

13.服務條款全文;衝突

若和本補充附件之主旨有關,則本補充附件將取代所有由客戶和 GoDaddy 所在先前或同期建立之陳述、理解、協議或溝通,無論是文書或是口頭皆然,包含 GoDaddy 與客戶之間就個人資料處理和個人資料自由轉移等面向所締結之任意資料處理條款。 除非本補充附件另有修訂,否則服務條款將維持完整效力。 若本補充附件和各方之間協議 (包含服務條款) 有所衝突,則以此補充附件之條款為準。

** ************************************************

附錄 1

 處理詳情

 1.處理之性質與目的。 為依照服務條款、產品協議與客戶在使用涵蓋服務期間之指示提供涵蓋服務之所需,GoDaddy 將會處理個人資料。

 2.處理時間。為遵守本補充附件的第 10 節規範,GoDaddy 將在服務條款的有效日期內處理個人資料,但除非經書面同意,否則若超出該有效日期,則會遵從本補充附件之處理時間條款。

3.資料類別。客戶得在使用涵蓋服務時上傳個人資料,其範圍將由客戶全權決定與控制,內容得包含但不限於以下各種資料主體相關之個人資料:

  • 客戶 (須為自然人) 的潛在客戶、客戶、企業夥伴及經銷商
  • 客戶的潛在客戶、客戶、企業夥伴及經銷商的員工或聯絡人
  • (自然人) 客戶的員工、代理商、顧問、自由從業者
  • 讓由客戶授權之客戶使用者使用涵蓋服務

4.個人資訊類型。客戶得在使用涵蓋服務時上傳個人資料,其類型與範圍將由客戶全權決定與控制,內容得包含但不限於以下各種個人資料主體: 

  • 名稱
  • 地址
  • 電話號碼
  • 出生日期
  • email 地址
  • 其他由我們收集且可以直接或間接辨識您的身分的資料。

** ************************************************

附錄 2

安全性標準

I. 技術與組織方法  

我們致力於保障客戶的資訊。  考量最佳實踐,執行成本、處理性質、範疇、環境與目的,以及自然人發生風險可能性與嚴重性,我們會執行下列技術與組織方法。  當選擇方法時,我們會考量系統的機密性、完整性、可得性與彈性。因此在發生實體或技術事件後,一定可以快速復原。 

II. 資料隱私權計畫  

我們的資料隱私權計畫成立之目的為維持一份全球通用的資料管理框架,並在資訊生命週期內提供安全防護。此計畫由資料保護經理人領導,並由經理人監督隱私權實踐及安全性方法的實施情形。 我們會定期測試、評估及評量其資料隱私權計畫和安全性標準的成效。   

1.機密性。「機密性意指個人資料將受保護,不會在非經授權的情況下遭到揭露。」  

我們使用各種實體且合理之方法保護其客戶個人資料之機密性。方法包含:   

  實體安全防護  

  • 備有實體存取控制系統 (徽章存取控制、安全性事件監控等) 
  • 監視系統,包含警示與 (適合使用之) CCTV 監控
  • 備有清理桌面政策與控制 (鎖定無人使用之電腦、上鎖檔案櫃等)  
  • 訪客存取權管理系統
  • 摧毀實體媒體與文件資料 (切碎或消磁等) 

  存取控制與防止未經授權之存取行為 

  • 設有使用者存取限制,並根據不同責任歸屬提供/審核以角色為基礎的存取權限
  • 高強度之驗證及授權方法 (多重要素認證、憑證認證、自動停用/登入等) 
  • 中央管理密碼與高強度/複雜度之密碼政策 (最低長度、字元複雜度、密碼過期時效等)   
  • 電子郵件與網路的控制存取
  • 防毒管理
  • 入侵防禦系統管理

加密   

  • 以高強度密碼協定加密外部與內部通訊
  • 在待機時加密 PII/SPII 資料 (資料庫、共享資料夾等)   
  • 為公司電腦與筆記型電腦設有完整磁碟加密
  • 儲存媒體之加密
  • 與公司網路之遠端連線將以 VPN 進行加密
  • 保護加密金鑰生命週期

 資料最少化    

  • PII/SPI 最少化之應用、除錯與安全性紀錄
  • 為個人資料進行擬匿名化,防止直接識別某人身分
  • 以功能 (測試、佈建、即時) 分隔儲存資料
  • 將資料依不同存取權角色進行合理分隔
  • 個人資料有明確的留存時間

安全測試     

  • 為重要公司網路及儲存個人資料之平台進行滲透測試
  • 定期掃描網路及漏洞

2.完整性。「完整性意指確保資料正確 (完整無缺) 且系統功能正確。當完整性一詞和『資料』連用時,表示該資料完整且未經變更。」  

備有合宜變更與記錄管理控制,另有可維持個人資料完整性的存取權控制,如:    

變更與釋出管理    

  • 變更及釋出管理程序包含 (影響分析、核准、測試、安全性查核、佈建、監控等)  
  • 產品環境提供之依角色與功能分類 (責任分隔) 存取權

記錄與監控

  • 存取與變更資料的記錄
  • 集中稽查與安全性記錄
  • 監控資料傳輸之完全性與正確性 (端對端查核)

3. 可得性。「若使用者可持續以規定方式進行使用,則保證擁有服務與 IT 系統、IT 應用、IT 網路功能或資訊之可得性。」    

我們會施行適當之一貫安全方法維護其服務和其服務內的資料:    

  • 為重要服務定期執行故障轉移測試
  • 重要系統之延伸效能/可得性監控與報告
  • 事件回應計畫
  • 重要資料皆有複製或進行備份 (雲端備份/硬碟/資料庫複製等) 
  • 有安排軟體、基礎建設與安全性維護 (軟體更新、安全性修補檔等)   
  • 在異地與/或地理上分隔的位置上建立多餘且具彈性的系統 (叢集伺服器、鏡像資料庫、高可得性之設定等)
  • 使用不會中斷的電源供應,並淘汰冗贅的硬體與網路系統
  • 備有安全警示系統
  • 重要網站備有實體保護方法 (突波保護器、加高地板、冷卻系統、火焰/煙霧感測器、制火系統等) 
  • 維持可得性的 DDOS 防護措施
  • 讀取及壓力測試

4資料處理指示。「資料處理指示要確保個人資料處理過程遵守資料控管者的指示與相關的公司方法」  

我們已建立內部隱私權政策、協議,並定期執行員工隱私權訓練,確保依照客戶之偏好與指示處理個人資料。   

  • 在員工契約內備有隱私權與機密性等詞彙
  • 為員工定期執行資料隱私權與安全性訓練
  • 與再處理方制定合宜之契約條款,以維持指示控制權
  • 定期為外部服務提供商執行隱私權檢查
  • 提供客戶完整控制資料處理偏好設定的權利
  • 定期安全稽查

**********************************************

附錄 3

請見補充附件第 9.2 節瞭解以上 SCC 之適用性

標準契約條款 (處理方)

為讓傳輸個人資料到於未確保合宜資料保護水準的第三方國家成立的處理方之行為符合指令 95/46/EC 之第 26(2) 項規範而設

本補充附件內,該實體稱為「客戶」
(「資料輸出方」)

以及

GoDaddy.com, LLC

 (「資料輸入方」)

皆稱作「參與方」,

同意以下契約條款 (條款),以便在資料輸出方傳輸附錄 1 內規範之個人資料給資料輸入方時,援引合宜隱私權保護與基本權利與個人自由相關之防護措施。

條款 1

定義

在本條款內:

(a)「個人資料」、「特別類別資料」、「處理」、「控管者」、「處理方」、「資料主體」「主管機關」應與歐洲議會指令 95/46/EC 及 1995 年 10 月 24 日個人資料處理保護與該資料之自由移動的議會決議具有相同意義;

(b)「資料輸出方」意指個人資料傳輸的控制者;

(c)「資料輸入方」意指同意接收資料輸出方個人資料以便在根據對方指示與本條款的情形下替對方進行處理的處理方,且並非以指令 95/46/EC 條款 25(1) 定義之受第三方國家系統確保適當保護規範的對象;

(d)「再處理方」意指由資料輸入方所聘請之任意處理方,或其他由資料輸入方同意可僅以代資料輸出方執行處理活動為目的,而依照資料輸出方之指示、條款內規範以及書面轉包契約接收資料輸入方或其他再處理方提供之資料輸入方個人資料的再處理方;

(e)「適用之資料保護法律」意指保護基礎權利與個人自由,特指資料輸出方建立所在會員國內資料控管者所適用之個人資料處理相關的隱私權權利之法律;

(f)「技術與組織安全性方法」意指意圖保護個人資料不受意外或非法摧毀或意外流失、竄改、非經授權之揭露或存取所採取之方法,特指網路間傳輸資料之處理,並防止其他任何之非法處理形式。

條款 2

傳輸詳情

附錄 1 另有收錄個人資料 (尤其是特別個人資料) 轉移相關資訊,並納入本條文內。

條款 3

第三方受益人條款

1. 資料主體可以第三方受益人身分強制向資料輸出方執行本條款、條款 4(b) 到 (i)、條款 5(a) 到 (e) 和 (g) 到 (j)、條款 6(1) 與 (2)、條款 7、條款 8(2) 與條款 9 到 12。

2. 若資料輸出方實質上消失或在法律上消滅,則資料主體可強制對資料輸入方執行本條款內容、條款 5(a) 到 (e) 與 (g)、條款 6、條款 7、條款 8(2)、條款 9 到 12,除非繼承實體可依照契約或法律效力實行該資料輸出者的完整法律義務,此時,該實體將獲得該資料輸出方之權利與義務,而資料主體可對該實體強制執行以上條款。

3. 若資料輸出方和資料輸入方實質上消失或在法律上消滅,或無力償還,則資料主體可強制對再處理方執行本條款內容、條款 5(a) 到 (e) 與 (g)、條款 6、條款 7、條款 8(2)、條款 9 到 12,除非繼承實體可依照契約或法律效力實行該資料輸出者的完整法律義務,此時,該實體將獲得該資料輸出方之權利與義務,而資料主體可對該實體強制執行以上條款。上述第三方之再處理方責任應按照本條款以其處理範圍為限。

4. 如果資料當事人明確表示,且符合國家法律規定,則各方不反對由組織或其他實體代表資料當事人。

條款 4

資料輸出方義務

資料輸出方同意並保證:

(a) 包含傳輸本身的個人資料處理一貫根據相關資料保護法律之條款進行 (有必要時也必須通知資料輸出方建立所在會員國之相關主管機關),且不違背該國家相關條款;

(b) 需指示並在個人資料處理服務期間指示資料輸入方僅代替資料輸出方處理所傳輸的個人資料,並遵守合適之資料保護法律及本條款;

(c) 資料輸入方將針對本契約附錄 2 所規範之技術與組織安全性方法提供足夠擔保;

(d) 在評估適用資料保護法律之必要性後,安全性方法即適合用來保護個人資料不受意外或非法摧毀或意外流失、竄改、非經授權之揭露或存取所採取之方法,特指網路間傳輸資料之處理,並防止其他任何之非法處理形式,此等方法確保考慮到最新技術與施行成本下,即使處理過程與欲保護資料之性質有其風險,但依然可享有合適之安全等級;

(e) 確保遵守該安全性方法;

(f) 如果所傳輸之資料包含特殊類別的資料,則會告知資料主體其資料將會傳輸至未提供指令 95/46/EC 規範之合適保護的第三方國家,若傳輸前未告知,也會在傳輸後盡快告知;

(g) 如果資料輸出方決定繼續傳輸,或復原終止行為,則需依照條款 5(b) 及條款 8(3) 之規範將資料輸入方送出之通知轉交資料保護主管機關;

(h) 經要求後,向資料主體提供條款複本 (附錄 2 除外) 及安全性方法之摘要,以及根據條款制定之任何再處理服務契約;若該條款或契約內含有商業資訊則不在此限,此情形下,可移除該等商業資訊;

(i) 當再處理時,再處理方須按照條款 11 進行處理,並須按照本條款執行至少和資料輸入方相同等級之個人資料與資料主體權利保護;且

(j) 確保遵守條款 4(a) 至 (i)。

條款 51

資料輸入方義務

資料輸入方同意並保證:

(a) 僅代表資料輸出方處理個人資料,並遵守相關指示與本條款;如果因任何理由無法遵守規範,則其同意立即通知資料輸出方瞭解其無法遵守規範之情形,此時資料輸出方有權終止傳輸資料並/或終止契約;

(b) 無理由相信該適用法規阻礙其完成由資料輸出方提出之指示與其契約內之義務,且該法規變更內容可能對此條款內的保證和義務有實質不良影響,則其會在得知後立即通知資料輸出方了解此等變更,此時資料輸出方有權終止資料傳輸並/或終止契約;

(c) 在處理所傳輸的個人資料前,已施行附錄 2 規範之技術與組織安全性方法;

(d) 即時通知資料輸出方以下資訊:

(i) 由執法主管機關提出任何具有法律效力之揭露個人資料要求,除非另遭禁止,如因保持執法調查之機密性而被刑法禁止;

(ii) 任何意外或未經授權之存取,以及

(iii) 未收到任何直接從資料主體接收的要求之回覆,除非另有授權。

(e) 即時並合適處理由資料輸出方針對處理所傳輸的個人資料所提出的任何詢問,並遵從主管機關針對已傳輸資料所提出的建議;

(f) 在資料輸出方要求提交資料處理設備以便稽查本條款所述之處理行為時,稽查應由資料輸出方或資料輸出方選擇之由獨立成員組成,持有必須專業資格,並受保密義務規範,並和 (若有) 主管機關達成協議的調查實體進行之;

(g) 經要求後,向資料主體提供條款複本及任意現存再處理契約之複本,若該等條款或契約內有商業資訊則不在此限,此情形下,可以除該等商業資訊;若資料主體無法向資料輸出方取得複本,則提供之內容應以安全性方法的摘要取代附錄 2;

(h) 執行再處理時,事先告知資料輸出方,並事先取得書面同意。

(i) 再處理方的處理服務將根據條款 11 進行;

(j) 即時向資料輸出方傳送任何按照本條款終止之再處理方協議的複本。

條款 6

責任

1. 各方同意,因任意一方或再處理方由於違反條款 3 或條款 11 的義務,導致任何資料主體受到損害時,該資料主體有權向資料輸出者收取蒙受損害之賠償。

2. 若因資料輸入方或其再處理方遭滲透,或其他由條款 3 或條款 11 所列之任意義務,由於資料輸出方因實質上消失、在法律上消滅或無力償還,導致資料主體無法依照第 1 項向資料輸出方求償,則資料輸入方同意,資料主體可將資料輸入方視為資料輸出方並求償,除非任意繼承實體可依照契約或法律效力實行該資料輸出方之完整義務,則此時資料主體可向該實體強制執行其權利。資料輸入方不得仰賴再處理方的滲透相關義務規避自身之責任。

3. 若因其再處理方遭滲透,或其他由條款 3 或條款 11 所列之任意義務,由於資料輸出方及資料輸入方因實質上消失、在法律上消滅或無力償還,導致資料主體無法依照第 1 項及第 2 項向資料輸出方或資料輸入方申訴,則再處理方同意,資料主體可針對本條款中該再處理方的處理過程,將資料再處理方視為資料輸出方或資料輸入方並進行申訴,除非任意繼承實體可依照契約或法律效力實行該資料輸出方或輸入方之完整義務,則此時資料主體可向該實體強制執行其權利。再處理方之責任應按照本條款以其處理範圍為限。

條款 7

調解與司法管轄

1. 資料輸入方同意,若資料主體就此條款規範之損失向第三方受益人提出權利及/或申請賠償,則資料輸入方將會接受下列資料主體之決定:

(a) 由獨立人士 (或情況許可時,由主管機關) 將爭議轉向調解;

(b) 將爭議轉至資料輸出方建立所在會員國的法院。

2. 各方同意,資料主體所作之決定不會為根據國內或國際法規的其他條文尋求救濟而損害其實際或程序上之權利。

條款 8

與主管機關合作

1. 若經主管機關要求,或適用之資料保護法律要求留存複本,則資料輸出方同意在主管機關處留存一份本契約之複本。

2. 各方同意主管機關有權稽查資料輸入方及任意再處理方,後者和適用資料保護法律下的資料輸出方之稽查具有相同範疇,且須遵守相同條件。

3. 資料輸入方應遵守第 2 項規範即時通知資料輸出方瞭解適用之法規,或者任何妨礙資料輸入方進行資料稽查之再處理方,或任意處理方之存在。此種情形下,資料輸出方應有權採取條款 5 (b) 說明之方法。

條款 9

主管法規

本條款受資料輸出方建立所在會員國之法律規範,若有疑慮,或有多個資料輸出方,則以英格蘭和威爾斯的法律為依歸。 

條款 10

契約變更

各方不得變更或修改本條款。但此規定不影響各方針對商務議題之必要新增條款內容,前提是不得與本條款內相衝突。

條款 11

再處理

1. 此條款中,若無事先取得資料輸出方之書面同意書,資料輸入方不得將其代替資料輸出方進行之處理操作進行轉包。若資料輸入方按照本條款規範在取得資料輸出方之同意後將其義務轉包,則須和再處理方制定書面協議,規定該再處理方須遵守與該資料輸入方按照此條款所需遵守之相同義務。若再處理方無法達成該書面協議上所指之資料保護義務,則資料輸入方應對資料輸出方負起該協議中再處理方的執行義務之完整責任。

2. 根據條款 3 之規範,前述由資料輸入方與再處理方之間締結之書面契約應另外提供第三方受益人條款,以便因應資料輸出方或資料輸入方因實質上消失、在法律上消滅或無力償還,且無繼承實體可依照契約或法律效力實行該資料輸出者或輸入者的完整法律義務時,導致資料當事人無法依照條款 6 第 1 項申請補償之情形。上述第三方之再處理方責任應按照本條款以其處理範圍為限。

3. 第 1 項文中與該合約再處理方面的資料保護之條文應受該資料輸出者建立所在會員國之法律規範。

4. 資料輸出方應維護一份按照本條款建立之再處理協議清單,並接收資料輸入方按照條款 5 (j) 所傳送之通知,此通知每年應至少更新一次。資料輸出方的資料保護主管機關應可存取此清單。

條款 12

終止個人資料處理服務後之義務

1. 各方同意,停止提供資料處理服務後,資料輸入方與再處理方應按照資料輸出方之選擇返還所有傳輸的個人資料及其複本給傳輸資料的資料輸出方,除非該資料輸入方所需遵守的法規規定不得返還或摧毀所有或部分的已傳輸個人資料。此情形下,資料輸入方保證該等已傳輸個人資料之機密性,且未來不會主動處理該等已傳輸個人資料。

2. 資料輸入方與再處理方保證,一經資料輸出方及/或主管機關要求,則會提出資料處理設備,以便依照第 1 項所述之方式進行稽查。

**********************************************

標準契約條款附錄 1

資料輸出方

本補充附件內,資料輸出方即為稱為「客戶」之實體

資料輸入方

資料輸入方為 GoDaddy.com, LLC ,係一託管服務提供商。

資料主體

處理操作之定義請見第 1.3 節與補充附件之附件 1。

資料類別

處理操作之定義請見第 1.3 節與補充附件之附件 1。

處理操作

處理操作之定義請見第 1.3 節與補充附件之附件 1。

標準契約條款附錄 2

本附錄為條款之一部份。 向 GoDaddy 購買涵蓋服務,即表示各方視為接受並會執行此補充附件與本附錄 2 之規範。

由資料輸入方根據條款 4(d) 及 5(c) 所施行之技術與組織安全性方法敘述 (或附加文件/法規):

由資料輸入方所施行之技術與組織安全性方法請見補充附件,特別是附錄 2 (已合併且附加於該文內)。

1              在民主社會必要範圍內 (以指令 95/46/EC 第 13(1) 條中任一利益為準),即如果這些需求構成保護國家安全、防禦、公共安全、防止、調查、刪除及檢舉犯罪或違反受控職業之道德、國家重要經濟或金融利益或保護資料主體或他人自由與權利,則資料輸入方適用之國內法規強制需求不與標準契約條例相衝突。上述民主社會必要範圍內之強制需求的相關範例包含國際認可、報稅需求或防洗錢回報需求等。