GoDaddy - 資料處理補充附件
上次修訂時間:2024/9/13
本資料處理補充附件 (本「補充附件」) 由您 (「客戶」) 和 GoDaddy 實體共同執行,後者為通用服務條款和您與 GoDaddy 之間其他任何協議 (統稱「協議」) 的參與方。GoDaddy 和客戶在此分別稱為「任一方」,合稱「各方」。本資料處理補充附件和協議同一天生效 (「生效日期」),並約束所有按照協議處理客戶個人資料的情形。
1.定義。除非適用資料保護法 (定義如下) 另有定義,否則本節以大寫呈現的詞彙意思如下:
1.1「聯盟商」係指任何控制任一方或由任一方共同控制的實體。「控制」係指對某實體百分之五十 (50%) 以上投票興趣的直接或間接所有權或控制權。
1.2.「控管者」係指依據本協議決定客戶個人資料處理目的和方式的獨立或合作自然人、法人、政府主管機關、代理商或其他實體。
1.3「客戶個人資料」係指因客戶使用服務而由 GoDaddy 代表客戶處理的任何個人資料 (定義如下)。客戶個人資料不包括 GoDaddy 資料。
1.4「資料保護法」係指任何適用本協議處理客戶個人資料情形的法律或法規。
1.5「資料主體」係指特定個人資料相關的已辨識或可辨識自然人。
1.6「去身分化資料」係指無法以合理方式直接或間接辨識、關聯、描述、可以建立關係、連結特定資料主體的資料。
1.7「GoDaddy 資料」係指 (a) 所有和 GoDaddy 企業和提供服務相關的資訊,包括但不限於和客戶、該公司員工或代表人有關的個人資料、(b) 其他和客戶帳戶、交易記錄、使用服務和身分驗證相關的資料,以及 (c) 符合任何適用資料保護法限制的去身分化資料。
1.8「個人資料」係指和已辨識或可辨識的自然人相關的資訊,包括由任何適用資料保護法定義為個人資料、個人資訊或個人身分識別資訊 (「PII」) 的任何資訊。個人資料不包括去身分化的資料。
1.10「處理方」係指依據協議代表控管者處理客戶個人資料的自然人、法人、政府主管機關、代理商或實體。
1.9「處理」係指任何對客戶個人資料採取的行動,如收集、使用、儲存、揭露、分析、刪除或修改,無論人工或自動處理方式。
1.11「敏感個人資料」意指 (a) 社會安全碼、護照編號、駕照編號或類似識別號碼;(b) 信用卡或簽帳金融卡資訊、財務資訊、銀行帳戶號碼或帳戶密碼;(c) 職業、財務、基因、生物或健康資訊;(d) 種族、民族、政治或宗教歸屬、工會會員資格,或性生活或性向相關資訊;(e) 帳戶密碼、母親原名、出生日期,以及其他可以用來驗證使用者身分的類似資訊;(f) 刑事犯罪記錄;(g) 能夠用來辨識特定人士的生物資料 (如指紋);或 (h) 其他任何符合任何適用資料保護法律「特殊資料類別」定義的資訊或資訊組合。
1.12「服務」係指 GoDaddy 依據協議而同意提供的產品或服務,包括處理客戶個人資料。
1.13「再處理方」係指任何由 GoDaddy 訂立合約,以處理客戶個人資料的自然人或法人、政府主管機關、代理商或實體。
1.14「傳輸」係指 (a) 從控管者傳輸客戶個人資料到處理方,不限實體傳輸形式,或授權存取由控管者持有或以其他方式控制的客戶個人資料,或 (b) 從處理方再行傳輸客戶個人資料給再處理方 (以及由再處裡方後續再行傳輸給其他再處理方)。
2.資料處理範疇與各方之間的關係
2.1
客戶作為控管者或處理方
2.1.1 若客戶是控管者,則客戶 (a) 須自行負責決定處理客戶個人資料的目的和方式、(b) 擁有所有必要的權限、基礎、權利和許可,可提供客戶個人資料給 GoDaddy,且 (c) 會遵守使用資料保護法的控管者義務。
2.1.2 若客戶是處理方,則客戶 (a) 須自行負責遵守和客戶處理個人資料的代表控管者之間的協議、(b) 已由控管者授予所有必要的權限,可提供客戶個人資料給 GoDaddy,且 (c) 會遵守資料處理法的處理方義務。
2.2
GoDaddy 作為處理方或再處理方。
2.2.1 GoDaddy 會採取所有合理必要的步驟,讓使用者得以遵守客戶作為資料保護法控管者和/或處理方的義務,並合乎 GoDaddy 提供服務的特質、性質、範疇和目的。為免疑義,GoDaddy 不須採取任何步驟改變或使 GoDaddy 的服務合乎客戶的特定使用方式。若服務經判斷並未合乎客戶的特定使用方式,則客戶的唯一救濟方式是終止協議中任何和處理客戶個人資料有關的部分。
2.2.2 GoDaddy 只會在收到記載協議、本資料處理補充附件或法律要求限制和特定目的之指示文件後才會處理客戶個人資料。
2.2.3 GoDaddy 不會為了提供服務以外的商業目的販售、留存、使用或揭露客戶個人資料。
2.2.4 GoDaddy 不會在各方依據協議和本資料處理補充附件所述的直接商業關係之外處理客戶個人資料。
2.2.5 除非協議明確允許,否則 GoDaddy 不會將客戶個人資料和其他 GoDaddy (直接或透過任何第三方) 收集的資料合併。
2.2.6 如果 GoDaddy 發生以下狀況,GoDaddy 會在三 (3) 個工作天內停止處理並通知客戶:(a) 認為客戶指示違反任何適用的資料處理法,或 (b) 判斷 GoDaddy 無法遵守任何適用的資料處理法,或本資料處理補充附件規範的義務。
2.3
聯盟商。
2.3.1 客戶聯盟商。在此資料處理補充附件內,任何代表客戶和/及客戶聯盟商處理的客戶聯盟商提供給 GoDaddy 或 GoDaddy 聯盟商的個人資料皆應視為客戶個人資料,並視為由客戶提供。客戶聲明會採取所有合理必要的措施,確保其聯盟商會遵守本資料處理補充附件的所有客戶義務。客戶須負責讓其聯盟商遵守本資料處理補充附件的所有條款。
2.3 GoDaddy 聯盟商。在本資料處理補充附件內,任何 GoDaddy 聯盟商所收取的客戶個人資料皆應視為由 GoDaddy 收取。GoDaddy 聲明會採取所有合理必要的措施,確保其聯盟商會遵守 GoDaddy 在依據本資料處理補充附件處理客戶個人資料時的義務。GoDaddy 須負責讓 GoDaddy 的聯盟商遵守本資料處理補充附件的所有條款。
3.再處理
3.1 客戶授予 GoDaddy 聘用再處理方的一般權限。
3.2 我們邀請您檢閱我們的
再處理方清單
3.3 在傳輸客戶個人資料給再處理方之前,GoDaddy 會:(a) 和再處理方簽訂書面協議,使對方提供本資料處理補充附件規範以上的客戶資料保護;(b) 進行盡職調查,確認該再處理方在 GoDaddy 處理客戶資料相關方面能夠遵守本資料處理補充附件和資料保護法的實質條款,包括本資料處理補充附件的第 5、6、8 節及附錄 2。
3.4 GoDaddy 須對其再處理方的行為和疏忽負責,包括其再處理方的再處理方的任何行為和疏忽。
3.5
新再處理方;反對權。
3.5.1 如果 GoDaddy 意圖任用新的再處理方,GoDaddy 會以合理資源在至少六十 (60) 天之前以書面形式通知客戶,然而前提是該六十 (60) 天通知並非必要事項,如果必須立即任用新的再處理方,才能維護客戶個人資料的安全,或是遵守適用法律,則 GoDaddy 會在任用後並非無故拖延的時間內通知客戶。
3.5.2 如果客戶合理反對新再處理方,客戶必須在該再處理方任用後的三十 (30) 天內向 GoDaddy 發送書面通知。依 GoDaddy 的全權主觀判斷,GoDaddy 得使用合理商業資源處理客戶的反對意見。如果各方無法在三十 (30) 天內解決客戶反對意見,客戶得終止本資料處理補充附件效力,以及協議任何和處理客戶個人資料相關的部分。
3.5.3 如果客戶不在發出再處理方任用通知的三十 (30) 天表示反對,則客戶視為接受新再處理方。
3.5.4 可藉由更新第 3.2 節所述清單的方式提供新再處理方通知。
4.法律程序和其他第三方要求提供客戶個人資料
4.1 GoDaddy 不會回應由政府機關、執法機關、或其他人士對任何客戶個人資料提出的非正式要求,回應傳票、搜查令、法院命令或其他相似的法律程序 (統稱「法律程序」) 不在此限,除非 GoDaddy 依照合理酌情判斷該揭露 (a) 屬於法律要求提供、(b) 為保護 GoDaddy 系統或資料不受傷害或誤用而有所必要,或 (c) 保護 GoDaddy 或其他人士不受損失或實體傷害而有所必要。
4.2 除非法律禁止,否則若 GoDaddy 收到任何法律程序,要求 GoDaddy 必須提供客戶個人資料存取權或揭露客戶個人資料,該公司將會立即通知客戶瞭解。
4.3 除非法律另有規定,否則 GoDaddy 將和客戶 (由客戶合理支出) 合作,由客戶以任何方式不向法律程序揭露客戶的個人資料。
5.資料安全性
5.1 GoDaddy 會維護一份資訊安全性計畫,包括合宜並以文件記錄的技術和組織措施,使依據本協議處理客戶個人資料時,得以確保適當處理風險的安全性等級,包括任何由適用資料保護法所要求的特定措施。
5.2 客戶明確知悉,GoDaddy 提供安全性功能給客戶使用,以便保護客戶個人資料。客戶須自行負責採取合宜的風險基礎步驟,藉此保護客戶帳戶和客戶個人資料安全,使這些資訊能夠受到客戶控管,包括使用由 GoDaddy 提供的安全性功能。客戶也須自行負責確認所有客戶置放或導致置放在服務內的內容,均無可能導致客戶個人資料和 GoDaddy 系統遭到滲透的漏洞,包括但不限於惡意軟體。GoDaddy 不負責備份客戶個人資料。
5.3 客戶必須遵守所有支付卡產業資料安全標準規範 (「PCI-DSS」),並僅可在專門用來處理含有信用卡、簽帳金融卡或其他付款卡片持有人資訊的客戶個人資料 (「PCI-DSS 資料」) 的 GoDaddy 服務相關範圍內,將該等 PCI-DSS 資料提供給 GoDaddy。如果客戶使用 GoDaddy 服務在非 GoDaddy 的 PCI-DSS 循規服務提供內容內處理或儲存 PCI-DSS 資料,客戶須自行負責違反 PCI-DSS 規範的後果。
5.4 除了任何 GoDaddy 任何必須採取以遵守適用資料保護法義務的措施,以及為了 GoDaddy PCI-DSS 申訴服務必要的 PCI-DSS 規範之外,GoDaddy 尚須實施本資料處理補充附件於附錄 2 所述的特定技術和組織措施。
6. 資料安全性事件
6.1 GoDaddy 向客戶提供充裕的機會,使客戶得以存取和控管代表客戶所處理的客戶個人資料內容。對於並非由於 GoDaddy 系統遭到滲透而導致任何意外或不合法的破壞、損失、改變、未經授權的揭露或存取客戶個人資料,GoDaddy 不負任何責任。GoDaddy 免負責任的安全性事件範例包括客戶無法保持密碼機密、下載惡意內容,或其他任何因客戶而導致發生或進入服務和客戶託管環境的安全性漏洞。
6.2 GoDaddy 會在適當法律所規範的時間範圍內,以商業合理資源通知客戶得知 GoDaddy 系統發生安全漏洞,導致意外或不合法的破壞、損失、改變、未經授權的揭露或存取客戶個人資料 (「安全性事件」)。
6.3 GoDaddy 會採取合宜的風險基礎步驟,以便在合理必要範圍內,在並非無故拖延的時間內消彌、緩解和救濟安全性事件。
6.4 GoDaddy 會提供由客戶合理要求的資訊,以便評估安全性事件對客戶個人資料的影響,並讓客戶能向政府主管機關、影響資料主體或其他任何人士提供安全性事件通知。
6.5 GoDaddy 知悉安全性事件或決定通知客戶瞭解安全性事件,不代表承認錯誤或責任。
7.資料主體之權利
7.1 客戶須自行負責回應任何要求按照資料保護法、客戶的隱私權政策或客戶的服務條款行使資料主體的要求,包括但不限於要求得知、存取、修正或刪除客戶個人資料 (「資料主體要求」)。
7.2 除非為客戶指示文件,或其他適用法律要求,否則 GoDaddy 不會回應資料主體要求。
7.3 GoDaddy 會通知客戶知悉任何資料主體要求。客戶須自行負責回應任何資料主體要求。如果客戶已經用盡所有可以回應資料主體要求的方式 (客戶同意事前支付 GoDaddy 合理支出),則 GoDaddy 會以合理必要程度協助客戶,讓客戶得以回應資料主體要求。
8. 資料保護影響評估、事先諮商和循規調查
8.1
資料保護影響評估;事先諮商。在客戶負擔支出的情況下,GoDaddy 會提供客戶合理協助,以便進行任何資料保護影響評估,以及和政府主管機關或監管機構就處理客戶個人資料事宜進行協商。
8.2 循規調查。客戶可定期要求取得可確認 GoDaddy 確實遵守適用資料保護法規範義務的合理必要資訊。若 GoDaddy 並未在四十五 (45) 天內回應客戶要求,則客戶得終止協議。為免疑義,本資料處理補充附件內任何內容皆不會給予客戶稽查 GoDaddy 企業、系統或服務的權利。本節規範的 GoDaddy 義務以提供客戶必要資訊,以便確認 確實遵守適用資料保護法義務的範圍為限。GoDaddy
9.管轄權專用規範和個人資料的國際資料傳輸
9.1 依據本資料處理補充附件處理客戶個人資料,可能包括由一或多個資料保護法所規範的處理,以及/或可能包括在國際間傳輸客戶個人資料。
9.2 如果客戶個人資料源自美國,則須遵守本資料處理補充附件附件 3 (第 1 節)和美國資料保護法相關的條款。
9.3 如果客戶個人資料源自歐盟/歐洲經濟區 (「歐盟/歐洲經濟區」)、英國 (「英國」) 或瑞士,或者客戶屬於以上一或多個管轄區,則須遵守本資料處理補充附件附錄 3 (第 2 節) 所述的適用歐盟/歐洲經濟區、英國和/及瑞士資料保護法相關條款。
9.4 如果傳輸客戶個人資料時,必須使用有效的國際資料傳輸機制 (「強制傳輸機制」) 方得合法,則需遵守本資料處理補充附件附錄 4 所述的條款。
10.一般
10.1
完整協議;解讀。本資料處理補充附件構成各方在本資料處理補充附件主旨方面的完整協議,並會取代各方之間在本資料處理補充附件主旨方面所有之前或同時期的聲明、理解、協議或溝通 (無論書面或口頭形式)。若本資料處理補充附件和協議 (或其他任何各方之間的協議) 之間發生衝突,則在本資料處理補充附件主旨方面,以本資料處理補充附件為準。若本資料處理補充附件任何條款和附錄 4 所述的強制傳輸條款發生衝突,則以該強制傳輸條款為準。
10.2 修訂。GoDaddy 得透過主觀判斷,依據本協議所述的程序修改或修訂本資料處理補充附件。如果客戶不同意修訂內容,唯一救濟方式為在三十 (30) 天前提出通知,終止協議中和處理客戶個人資料相關的部分。除非各方明確以書面方式同意,否則協議修訂內容有效範圍僅限在該修訂日期之後所進行的處理行為。
10.3 免責條款。只有在某方授權代表以書面形式免除違反本資料處理補充附件情形時,該等違反情形的免責條款才會生效,該等免責條款不構成後續違反情形的免責條款。
10.4 分割性。若發現本資料處理補充附件的條款無法執行,則應於必要範圍內修改該條款,使其得以執行,本資料處理補充附件其餘內容應繼續維持所述內容的效力。但是,如果修改任何無法執行的條款會導致本資料處理補充附件無法符合其重要宗旨,則除非能夠按照第 10.2 節進行修訂,否則整份資料處理補充附件應視為無效並作廢。
10.5 通知。除了此處明確說明之外,本資料處理補充附件要求的通知都將遵守協議的通知規範。
10.6 責任。除了協議所述並遵守所有協議限制的情形之外,本資料處理補充附件不向任一方或其他任何人士提供還原任何種類的損傷的基礎。
10.7 執行。僅可由各方代表自己和各自的聯盟商根據協議所述的爭議解決條款執行本資料處理補充附件的條款。不過,本執行限制不影響個別資料主體根據資料保護法行使權利的能力。
10.8 終止。除非根據協議、本資料處理補充附件其他適用條款或任何適用資料保護法而提早終止本資料處理補充附件,本資料處理補充附件將於處理完畢或協議終止 (以晚發生者為準) 時終止效力。在本資料處理補充附件終止後,GoDaddy 將會根據協議和本資料處理補充附件的條款退還、刪除客戶個人資料或進行去身分化處理,除非適用法律要求 GoDaddy 必須維持客戶個人資料。如果 GoDaddy 必須在協議終止後繼續維持客戶個人資料,GoDaddy 會繼續遵守本資料處理補充附件規範的處理客戶個人資料義務,並會在法律不再要求留存後立即退還或刪除任何該等客戶個人資料。
10.9 主管法規和管轄權。本資料處理補充附件受到本協議規定的法律約束,若資料保護法另有要求則不在此限,此情況下,則須遵守資料保護法所規定的管轄權法律。本資料處理補充附件任何條款均不視為限制任何人士在任何適用資料保護法下的權利或義務。
附錄 1:處理客戶個人資料詳細資訊
本附錄 1 內含資料保護法要求的客戶個人資料處理詳細資訊。
處理客戶個人資料主旨和期間:
處理客戶個人資料主旨和期間如協議所述。
處理客戶個人資料的特性和目的:
如協議所述,GoDaddy 必須合理處理客戶個人資料,以便提供服務。
個人資料類型和資料主體分類:
客戶個人資料類型和資料主體分類由客戶和/或提供客戶資料給客戶的控管者依照主觀全權判斷控管。
敏感資料或特殊資料類別:
敏感資料可能不定期會依據協議進行處理。依據協議處理的敏感資料類型由客戶和/或提供客戶資料給客戶的控管者依照主觀全權判斷決定。
控管者義務和權利:
協議和本資料處理補充附件有描述客戶的義務和權利。
附錄 2:技術與組織安全性措施
1.適用性
1.1 本附錄 2 規範適用於 GoDaddy 和任何 GoDaddy 使用以便提供服務和/或處理客戶個人資料的再處理方 (包括但不限於任何雲端服務提供商)。
1.2 如果 GoDaddy 使用任何再處理方提供服務和/或處理客戶個人資料,GoDaddy 應確保該再處理方遵守本附錄的每項規範。
2.資訊隱私和資料安全性管理
2.1
風險管理程序。GoDaddy 應維護合宜的風險管理程序,以便特定、存取、回應和監控客戶個人資料風險,藉此遵守 GoDaddy 在本協議、資料處理補充附件和適用法律下的義務。
2.2
資訊安全性計畫範疇。GoDaddy 的資訊安全性計畫,包括所有適用的隱私和資料保護政策,至少應具有以下目的:
2.2.1 保護 GoDaddy 擁有或控制或 GoDaddy 具有存取權的客戶個人資料的機密性、完整性與可得性;以及
2.2.2 保護客戶個人資料的機密性、完整性與可得性不受可合理預測的威脅或危險傷害。
2.3
資訊安全性計畫更新。GoDaddy 會按照業界標準做法,以及適合 GoDaddy 處理之客戶個人資料的類型、含量和敏感度,定期檢閱並更新資訊安全性計畫。
2.4
風險評估和測試。GoDaddy 會定期為所有處理客戶個人資料的系統進行風險評估,並會定期在 GoDaddy 合理認為有必要時,對用來提供服務的應用程式和基礎架構進行第三方滲透測試。
2.5
持續性和恢復性。GoDaddy 會採取合宜措施,以便保護客戶個人資料處理系統的完整性和可得性,這些措施包括監控效能和可得性、設計備援和恢復系統、使用不斷電系統、DDoS 防護、負載和壓力測試,以及其他措施。
3.組織安全性
3.1 責任。GoDaddy 會研擬並實施書面形式的資訊安全性政策和程序,其中會清楚定義保護 GoDaddy 內部客戶個人資料的責任,包括指派一或多名特定個人負責管理 GoDaddy 的資訊安全性計畫和保護客戶個人資料。
3.2 資產管理和控制。GoDaddy 會維護一份資產管理政策和資產控制,包括資產分類、裝置庫存,以及用來提供服務和/或處理客戶個人資料的系統。
3.3 實體安全性。GoDaddy 也應實施以風險為基礎的控制,維護其設施的實體安全性,包括實施合理措施,以便確保只有授權使用者能夠存取 GoDaddy 的電子裝置、網路、重要系統、應用程式、伺服器機房、通訊機房,以及工作環境。GoDaddy 可能在合宜情況下實施的措施包括但不限於警報、閉路監視器、訪客存取權管理,以及在丟棄/回收實體裝置之前摧毀裝置內的個人資料。
4.安全性營運
4.1 安全系統設定。GoDaddy 會建立控制,確保用來提供服務和/或處理客戶個人資料的系統皆已安全設定。
4.2 漏洞和修補程式管理。GoDaddy 會建立並維護一份漏洞和修補程式管理系統,確保所有用來提供服務和/或處理客戶個人資料的系統都已在合乎修補程式重要性及客戶個人資料敏感性的合理時間範圍經過修補,不受已知安全性漏洞危害。
4.3 預防惡意軟體。GoDaddy 會實施偵測、預防和救濟控制,以便遏止惡意軟體 (包括合宜的使用者認知計畫)。
4.4 記錄和稽查。GoDaddy 會實施一份記錄管理計畫,其中根據以風險為基礎的業界標準定義記錄範疇、建立、儲存、分析和棄置。
4.5 安全性事件偵測和回應。GoDaddy 會維護以風險為基礎的系統,以便按照協議第 6 節要求偵測安全性事件,包括使用入侵偵測和入侵預防系統。
5.訓練
GoDaddy 會確保其人員會定期進行訓練,藉此訓練客戶個人資料相關員工的機密和資料保護義務。
6.存取控制
6.1 專用識別碼。GoDaddy 會為可存取客戶個人資料的人員指派一組專用的使用者憑證,包括但不限於持有管理存取權的人員。
6.2 密碼管理。GoDaddy 會實施密碼管理政策和程序,包括集中管理密碼,以及密碼政策。
6.3 多重要素驗證。GoDaddy 會對遠端存取用來處理和/或儲存客戶個人資料的網路、系統或應用程式實施多重要素驗證。
6.4 最低權限。針對擁有合宜機密義務,並為了提供服務而「需要知道」或「需要存取」的人員,GoDaddy 將會限制他們存取客戶個人資料的權限。
7.資料安全性控制
7.1 資料分隔。GoDaddy 會在以合理方式分隔的安全環境維護客戶個人資料。
7.2 加密和其他措施。GoDaddy 會採取合宜的風險基礎措施,以便保護客戶個人資料,包括加密、擬匿名化和其他合宜措施,如使用演算法對祕密進行雜湊處理,祕密包括可存取含有客戶個人資料之系統的密碼和 API 權杖。
附錄 3:管轄權專用條款
1.美國
1.1
加利福尼亞。
1.1.1 定義。
1.1.1.1 以下詞彙定義特指加利福尼亞資料保護法所制定之定義:「企業」、「商業目的」、「服務提供商」、「販售」、「分享」和「第三方」。
1.1.1.2「客戶個人資料」一詞包括已辨識或可辨識身分的自然人或家庭的個人資訊。
1.1.2 各方角色。
1.1.2.1 如果客戶由適用加利福尼亞資料保護法視為企業,則本 DPA 所有提到客戶身為控管者的權利和義務皆應視為提到客戶作為企業的權利和義務。如果客戶由適用加利福尼亞資料保護法視為服務提供商,則本 DPA 所有提到客戶身為處理方的權利和義務皆應視為提到客戶作為服務提供商的權利和義務。
1.1.2.2 如果 GoDaddy 由加利福尼亞資料保護法視為服務提供商或第三方,則本 DPA 所有提到 GoDaddy 身為處理方或再處理方的權利和義務皆應視為提到 GoDaddy 作為服務提供商或第三方 (依據情況而定) 的權利和義務。
1.2
所有美國州 (包括加利福尼亞)。
1.2.1 GoDaddy 不得 (a) 販售或分享客戶個人資料、(b) 為了協議規範的商業目的之外的任何目的維持、使用或揭露客戶個人資料,或 (c) 為了 GoDaddy 和公司之間直接商業關係以外的目的維持、使用或揭露任何客戶個人資料。
1.2.2 GoDaddy 存取客戶個人資料並非各方依據協議所交換的考慮事項。
1.2.3 客戶應有權採取合理步驟進行以下事項:(a) 驗證 GoDaddy 是否按照本資料處理補充附件規範處理客戶個人資料,包括行使資料處理補充附件第 8 節所述的權利;(b) 要求停止和救濟 GoDaddy 違反本資料處理補充附件條款的處理行為,以及 (c) 採取其他任何合理步驟 (出於客戶全權主觀判斷) 確保 GoDaddy 遵循本資料處理補充附件。若 GoDaddy 無法或無意遵守客戶依據本 1.2.3 節提出的合理要求,客戶的唯一救濟為終止本資料處理補充附件,以及協議和處理客戶個人資料相關的部分。
1.2.4 GoDaddy 認證其瞭解並遵守資料保護法和本資料處理補充附件所規範的義務,包括所有處理客戶個人資料的限制。
2. 歐盟/歐洲經濟區
2.1 再處理方
2.1.1 當 GoDaddy 需使用再處理方服務時,會:
2.1.1.1 要求再處理方遵守資料處理補充附件於第 5、6、8 節和附錄 2 所述,並適合再處理方處理工作性質的技術和組織措施規範,包括但不限於歐盟通用資料保護規則 (「GDPR」) 第 28 條所要求的所有技術和組織措施;並
2.1.1.2 要求再處理方以書面形式同意只在 (a) 歐盟/歐洲經濟區內、(b) 歐洲聯盟委員會宣佈具備「適當」資料保護等級的國家/地區,或 (c) 在國際傳輸客戶個人資料的情況下按照附錄 4 的條款處理客戶個人資料。
2.2 法律懲罰責任。雖然本資料處理補充附件或協議 (包括各方在協議中須遵守的賠償義務) 另有條款,對於任何法律主管機關或政府機關對某方的罰款,包括歐洲 GDPR 第 83 條規範的任何罰款,另一方均不負責任。
3.瑞士
3.1 當 GoDaddy 需使用再處理方服務時,會:
3.1.1 要求再處理方遵守資料處理補充附件 於第 5、6、8 節和附錄 2 所述,並適合再處理方處理工作性質的技術和組織措施規範,包括但不限於 GDPR 第 28 條所要求的所有技術和組織措施;並
3.1.2 要求再處理方以書面形式同意只在 (a) 瑞士、(b) 歐盟/歐洲經濟區內、(c) 其他歐洲聯盟委員會宣佈具備「適當」資料保護等級的國家/地區,或 (d) 在國際傳輸客戶個人資料的情況下按照附錄 4 的條款處理客戶個人資料。
3.2 在遵守歐盟標準契約條款 (定義見附錄 4) 規範從瑞士傳輸客戶個人資料時,將須遵守以下修訂內容:
3.2.1 提到「會員國」時,皆視為包括瑞士;且
3.2.2 在遵守聯邦資料保護法 (「FADP」) 規範進行傳輸時,提到「法規 (EU) 2016/679」時,皆視為提到 FADP。
3.3 在 FADP 要求的範圍內,歐盟標準契約條款視為將法律實體相關的資料同樣規範為客戶個人資料。
4. 英國
4.1 提到「GDPR」時,皆認定為提到英國的相關法律和法規,包括但不限於英國 GDPR 和 2018 年英國資料保護法。
4.2 當公司需使用再處理方服務時,公司會:
4.2.1 要求再處理方遵守資料處理補充附件 於第 5、6、8 節和附錄 2 所述,並適合再處理方處理工作性質的技術和組織措施規範,包括但不限於英國 GDPR 第 28 條所要求的所有技術和組織措施;並
4.2.2 要求再處理方以書面形式同意只在 (a) 英國、(b) 歐盟/歐洲經濟區、(c) 其他英國宣佈具備「適當」資料保護等級的國家/地區,或 (d) 在國際傳輸客戶個人資料的情況下按照附錄 4 的條款處理客戶個人資料。
附錄 4:國際強制跨境傳輸機制
1. 定義
1.1 「資料隱私架構 (『DPF』)」係指由美國商業部 [www.dataprivacyframework.gov](www.dataprivacyframework.gov) 營運的歐盟-美國、瑞士-美國或英國-美國資料隱私架構認證計畫。
1.2 「英國-美國資料橋接」係指英國針對歐盟-美國資料隱私架構延伸事項。
1.3 「歐盟標準契約條款」係指歐洲聯盟委員會所核准的標準契約條款,收錄於 2021 年 6 月 2021/914 決議附錄內。
1.4 英國國際資料傳輸協議 (「英國 IDTA」) 由英國資訊專員發行,版本 B1.0,此協議視為自協議生效日期由各方執行,歐盟標準契約條款則視為已按照英國 IDTA 針對從英國傳輸資料所特別闡述的方式修訂。
2.優先順序
2.1 如果傳輸客戶個人資料的國家/地區資料保護法認定傳輸目標國家/地區具有適當的資料保護等級,則不會使用任何強制傳輸機制。
2.2 如果必須進行傳輸,且該次傳輸符合複數強制傳輸機制的條件,則該次傳輸會按照以下優先順序決定使用其中一個強制傳輸機制:(a) 適用的歐盟或瑞士 DPF、(b) 英國-美國資料橋接、(c) 歐盟標準契約條款、(d) UK IDTA 或 (e) 適用資料保護法允許的其他任何適用的強制傳輸機制。
2.3 如果任意強制傳輸機制在執行本協議之後認定為無效,則在下一個適用的有效強制傳輸機制之前,所有後續傳輸都視為已經完成。
3. 資料隱私架構
3.1
自我認證。
3.1.1 GoDaddy 的認證。GoDaddy 聲明其已依據 DPF 進行自我認證。GoDaddy 同意 (a) 對任何客戶個人資料提供 DPF 資料隱私原則所要求的同等以上保護等級;(b) 如果 GoDaddy 對 DPF 的認證遭到撤回、終止、撤銷或以其他方式失效,則會在非無故拖延的時間內以書面形式通知客戶;以及 (c) 在收到客戶書面通知之後,採取合理且合宜的步驟停止並救濟任何未經授權處理客戶個人資料的行為。
3.1.2 公司的認證。在公司依據 DPF 進行自我認證的範圍內,公司同意 (a) 對任何個人資料提供 DPF 資料隱私原則所要求的同等以上保護等級;(b) 如果公司對 DPF 的認證遭到撤回、終止、撤銷或以其他方式失效,則會在非無故拖延的時間內以書面形式通知 GoDaddy;以及 (c) 在 GoDaddy 收到書面通知之後,採取合理且合宜的步驟停止並救濟任何未經授權處理客戶個人資料的行為。
3.2
狀態
3.2.1 歐盟-美國 DPF。依據 2023 年 7 月 10 日適足性決議,歐洲聯盟委員會已判定歐盟-美國 DPF 具有適當的資料保護等級,並從 2023 年 10 月 10 日開始生效。
3.2.2 英國-美國資料橋接。英國科學、創新和科技大臣已判定英國-美國資料橋接具有適當的資料保護等級,該大臣於 2023 年 9 月 21 日藉由議會通過適足性法規。英國-美國資料橋接法規於 2023 年 10 月 12 日開始生效,自該日期起,適用的傳輸行為將須遵守英國-美國資料橋接規範。
3.2.3 瑞士-美國 DPF。瑞士-美國 DPF 尚未生效。
3.2.3.1 各方同意,在本資料處理補充附件條款符合瑞士 DPF 或生效後的合理相似內容的情況下,適用的從瑞士傳輸客戶個人資料情形應視同按照瑞士 DPF 處理。
3.2.3.2 如果未來瑞士 DPF 須將任何條款加入本資料處理補充附件,各方同意該等條款將自動納入,各方無須額外採取任何行動,前提是該等新增條款並未對任意方增加實際責任,且並未實際對協議條款與條件造成負面影響。
3.2.3.3 如果新增條款無法自動加入本資料處理補充附件,得修改本資料處理補充附件內容,使傳輸情形符合瑞士 DPF。
3.2.3.4 雖然本資料處理補充附件設有其他任何條款,本資料處理補充附件任何內容皆未限制或以其他方式影響各方遵照合法資料傳輸機制傳輸個人資料的能力。
3.3 公司和公司再處理方會採取必要步驟,使 GoDaddy 遵守 DPF 規範的控管者及/或處理方義務,包括但不限於協助 GoDaddy 和/或控管者回應使用者對實行資料主體權利所提出的要求。
4. 歐盟標準契約條款
4.1 如果從歐盟/歐洲經濟區和瑞士傳輸符合歐盟標準契約條款的個人資料,則視 GoDaddy 擔任傳輸客戶個人資料的控管者或處理方而定,分別須遵守模式二 (控管者對處理方) 或模式三 (處理方對控管者)。
4.2 關於歐盟標準契約條款的模式二和三:
4.2.1 在條款 7 中,不適用選用擴充條款。
4.2.2 在條款 9 中,適用選項 2,並按照資料處理補充附件第 3 節敘述制定反對再處理方變更的提供通知和時間程序。
4.2.3 在條款 11 中,不適用選用語言。
4.2.4 在條款 17 (選項 1) 中,歐盟標準契約條款受到德國內部法律約束。
4.2.5 在條款 18(b) 中,資料處理補充附件相關爭議應交由德意志聯邦共和國解決。
4.3 在附錄 I 第 A 部分內:
4.3.1 資料輸出方
4.3.1.1 資料輸出方為本公司。
4.3.1.2 可透過協議通知條款內說明的地址聯絡本公司。
4.3.1.3 藉由簽訂此資料處理補充附件,本公司便視為已於協議生效日期簽署本歐盟標準契約條款,包括附錄。
4.3.2 資料輸入方
4.3.2.1 資料輸入方為 GoDaddy 和/或 GoDaddy 授權的聯盟商。
4.3.2.2 可透過協議通知條款內說明的地址或 privacy@GoDaddy.com 聯絡 GoDaddy。
4.3.1.3 藉由簽訂此資料處理補充附件,GoDaddy 便視為已於協議生效日期簽署本歐盟標準契約條款,包括附錄。
4.4 在附錄 I 第 B 部分內:
4.4.1 資料主體分類說明位於附錄 1
4.4.2 傳輸的敏感性資料 (如果有的話) 說明位於附錄 1。
4.4.3 傳輸頻率為協議和資料處理補充附件的有效期間。
4.4.4 處理性質說明位於附錄 1。
4.4.5 處理目的說明位於附錄 1。
4.4.6 處理期間說明位於附錄 1。
4.5 在附錄 I 第 C 部分內,為了遵守第 13 條,適任監理主管機關定義如下:
4.5.1 從歐盟/歐洲經濟區傳輸個人資料時,適任監理主管機關為北萊茵-威斯伐倫州資料保護及資訊自由委員會。
4.5.2 只要相關傳輸或再行傳輸受到瑞士資料保護法和法規約束,適任監管機關便應由瑞士聯邦資料保護和資訊專員擔任。
4.6 在歐盟標準契約條款附錄 II 內,附錄 2 含有公司依據資料處理補充附件擔任資料輸入方所實施的技術和組織措施。
4.7 在歐盟標準契約條款附錄 III 內,您可以檢視
公司再處理方的清單。
5. 英國國際資料傳輸協議
5.1 英國 IDTA 適用於從英國傳輸客戶個人資料到任何非英國且並未由適任英國法規主管機關或政府機關判定為提供適當個人資料保護等級的國家/地區的情形。
5.2 若是依據英國 IDTA 進行傳輸的行為,則視為各方已經簽訂英國 IDTA,並已完成以下事項:
5.2.1 在 IDTA 表格 1 內,各方的詳細資訊和重要聯絡資訊皆位於本附錄 4 的第 4.3 節內。
5.2.2 在 IDTA 表格 2 內,英國 IDTA 遵循的歐盟標準契約條款、模組和指定條款的版本資訊位於本附錄第 4 節。
5.2.3 在英國 IDTA 表格 3 內:
5.2.3.1 各方清單位於本附錄 4 的第 4.3 節內。
5.2.3.2 傳輸說明位於附錄 1 內。
5.2.3.3 附錄 II 位於附錄 2 內。
5.2.3.4 公司再處理方清單位於附錄 5 內。
5.2.3.5 在英國 IDTA 表格 4 內,GoDaddy 和公司得按照英國 IDTA 條款結束 IDTA。
5.3 只要相關傳輸受到英國資料保護法和法規約束,適任監管機關便應由英國資訊專員擔任。
5.4 衝突。若歐盟標準契約條款或英國 IDTA 和本資料處理補充附件內的其他任何條款發生衝突,或有不一致的內容,則以適用的歐盟標準契約條款或英國 IDTA 為準。
法律協議與政策的翻譯版本僅為方便閱讀與幫助瞭解英文版本而提供。提供法律協議與政策之翻譯版本的目的不在於建立具法律約束力的協議,且不能取代英文版本的法律效力。如有任何爭議或衝突,在任何情況下,皆由法律協議與政策的英文版本約束雙方關係,且將優先於任何其他語言的條款。