GoDaddy

ADENDO AO PROCESSAMENTO DE DADOS (CLIENTES)

Esse Adendo de processamento de dados (o “Adendo”) é executado por e entre GoDaddy.com, LLC, a Delaware limited liability company e seus Afiliados (“GoDaddy”) e você (“Cliente”) e está anexado a e complementa nossos Termos de Serviço Universal, Política de Privacidade e os complementos dos nossos Termos de Serviço Universal, Política de Privacidade e todos e quaisquer acordos que regem os Serviços Cobertos (coletivamente, os “Termos de Serviço”).  A menos que seja definido de outra forma neste Adendo, todos os termos em maiúsculas não definidos neste Adendo terão o significado dado a eles nos Termos de serviço.

1. Definições

Afiliados” significa qualquer entidade que seja controlada por, controle ou tenha controle comum com a GoDaddy.

Serviços Abrangidos” são quaisquer serviços hospedados que oferecemos a você que possam envolver nosso processamento de dados pessoais.

“Dados do Cliente” significa os Dados Pessoais de qualquer Titular dos Dados Processados pela GoDaddy dentro da Rede da GoDaddy em nome do Cliente de acordo com ou em conexão com os Termos de Serviço.

Controlador de Dados” significa o Cliente, como a entidade que determina os propósitos e os meios do Processamento de Dados Pessoais.

Processador de Dados” significa a GoDaddy, como a entidade que processa dados pessoais em nome do controlador de dados.

Leis de Proteção de Dados” significa todas as leis e regulamentos, incluindo leis e regulamentos da União Europeia, aplicáveis ao Processamento de Dados Pessoais nos termos do Contrato.

Titular dos Dados” significa o indivíduo a quem os Dados Pessoais estão relacionados.

EEE” significa Espaço Econômico Europeu.

GoDaddy Rede” significa as instalações de datacenter, servidores, equipamentos de rede e sistemas de host do software (por exemplo, firewalls virtuais) da GoDaddy que são controlados pela GoDaddy e são usados para fornecer os Serviços Abrangidos.

Dados Pessoais” significa qualquer informação relacionada a uma pessoa identificada ou identificável.

Processamento” significa qualquer operação ou conjunto de operações que são realizadas nos Dados Pessoais, sejam ou não por meios automáticos, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição. Os termos “Processo”, “processos” e “processado” serão interpretados de acordo. Detalhes do processamento são estabelecidos no Anexo 1.

Incidente de segurança” seja (a) uma violação de segurança dos Padrões de Segurança da GoDaddy que resulta em destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a quaisquer Dados do Cliente; ou (b) qualquer acesso não autorizado a equipamentos ou instalações da GoDaddy, onde em qualquer dos casos esse acesso resulte em destruição, perda, divulgação não autorizada ou alteração de Dados do Cliente.

Padrões de Segurança” significa os padrões de segurança anexados a este adendo como Anexo 2.

Cláusulas Contratuais Padrão” ou “SCCs” significam o Anexo 3, anexado e incluído no presente Adendo em conformidade com a Decisão da Comissão Europeia de 5 de fevereiro de 2010, com relação a cláusulas contratuais padrão para transferência de dados pessoais aos processadores estabelecidos em países terceiros nos termos da Diretiva. 

Subprocessador” significa qualquer processador de dados envolvido com o processador para processar dados em nome do controlador de dados.                                                               

2. Processamento de dados

2.1 Escopo e funções. Este adendo se aplica quando os Dados do Cliente são processados pela GoDaddy.  Neste contexto, a GoDaddy atuará como o Processador de Dados em nome do Cliente e como Controlador de Dados em relação aos Dados do Cliente.

2.2 Detalhes do processamento de dados. O processamento de Dados do Cliente pela GoDaddy é a execução dos Serviços Abrangidos de acordo com os Termos de Serviço e os contratos específicos do produto. A GoDaddy somente deve Processar Dados do Cliente em nome e de acordo com as instruções documentadas do Cliente para os seguintes propósitos: (i) Processamento de acordo com os Termos de Serviço ou com o contrato específico do produto aplicável; (ii) Processamento iniciado pelos usuários finais no uso dos Serviços Abrangidos; (iii) Processamento para cumprir com outras instruções documentadas e adequadas fornecidas pelos Clientes (por email, por exemplo), sendo que essas instruções devem estar alinhadas aos termos do Contrato. A GoDaddy não será obrigada a agir em conformidade ou cumprir as instruções do Cliente se elas violarem o GDPR ou quaisquer outras leis de privacidade de dados aplicáveis. A duração, a natureza e a finalidade do Processamento, os tipos de dados pessoais e as categorias dos Titulares de Dados Processados de acordo com este Adendo são especificados no Anexo 1 (‘Detalhes do Processamento’) deste Adendo.

3. Confidencialidade dos dados do cliente

A GoDaddy não divulgará Dados do cliente a nenhum governo ou outros terceiros, exceto conforme o necessário para cumprir a lei ou uma ordem válida de uma agência de imposição de lei (como uma intimação ou ordem judicial).  Se uma autoridade legal enviar GoDaddy uma demanda para os dados do cliente, a GoDaddy tentará redirecionar a autoridade legal para solicitar esses dados diretamente com o cliente. Como parte desse esforço, a GoDaddy pode fornecer informações básicas de contato do Cliente ao órgão de aplicação da lei. Se for obrigada a divulgar os Dados do Cliente para um órgão de aplicação da lei, então a GoDaddy fornecerá ao Cliente uma notificação fundamentada do pedido para permitir que o Cliente busque uma ordem de proteção ou outro recurso adequado, a menos que a GoDaddy seja proibida juridicamente de fazê-lo.

4. Segurança

4.1 A GoDaddy implementou e manterá as medidas técnicas e organizacionais para a Rede da GoDaddy como descrito nesta Seção e conforme descrito no Anexo 2 a este Adendo, Padrões de Segurança. Especificamente, a GoDaddy implementou e manterá as seguintes medidas técnicas e organizacionais que abordam (i) a segurança da Rede da GoDaddy; (ii) a segurança física das instalações; (iii) os controles em torno do acesso do funcionário e de terceiros a (i) e/ou (ii); e (iv) os processos para testar, analisar e avaliar a eficácia das medidas técnicas e organizacionais implementadas pela GoDaddy. Caso não possamos cumprir nenhuma de suas obrigações aqui estabelecidas, forneceremos uma notificação por escrito (via nosso site e email) assim que for possível do ponto de vista prático.

4.2 A GoDaddy disponibiliza diversos recursos e funcionalidades de segurança que o Cliente pode optar por utilizar em relação aos Serviços Abrangidos. O Cliente é responsável por (a)configurar adequadamente os Serviços Abrangidos, (b) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento, (c) usar os controles disponíveis em conexão com os Serviços Abrangidos (incluindo os controles de segurança) para permitir que o Cliente restaure a disponibilidade e o acesso aos Dados do Cliente em tempo hábil no caso de um incidente físico ou técnico (por exemplo, backups e arquivamento rotineiro dos Dados do Cliente) e (d) adotar as medidas que o Cliente considere adequadas para manter a segurança, a proteção e a exclusão apropriadas dos Dados do Cliente, o que inclui o uso da tecnologia de criptografia para proteger os Dados do Cliente contra acesso não autorizado e medidas para controlar os direitos de acesso aos Dados do Cliente.

5. Direitos do sujeito dos dados

Levando em conta a natureza dos Serviços Abrangidos, a GoDaddy oferece ao Cliente determinados controles, conforme descrito na seção “Segurança” deste Adendo, os quais o Cliente pode escolher usar para recuperar, corrigir, excluir ou restringir o uso e o compartilhamento de Dados do Cliente, conforme descrito nos Serviços Abrangidos. O Cliente pode usar esses controles como medidas técnicas e organizacionais para auxiliá-lo em conexão com suas obrigações nos termos das leis de privacidade aplicáveis, incluindo suas obrigações relacionadas à resposta a solicitações dos Titulares dos Dados. Como comercialmente aceito, e na medida jurídica exigida ou permitida, a GoDaddy notificará imediatamente o Cliente se a GoDaddy receber diretamente uma solicitação de um Titular dos Dados para exercer esses direitos sob quaisquer leis de privacidade de dados aplicáveis (“Solicitação do Titular dos Dados”). Além disso, quando o uso que o Cliente faz dos Serviços Abrangidos limita sua capacidade de atender a uma Solicitação do Titular dos Dados, a GoDaddy pode, quando juridicamente permitido e apropriado e mediante solicitação específica do Cliente, fornecer assistência comercialmente aceitável para atender à solicitação, a custo do Cliente (caso incorram custos).

6. Subprocessamento

6.1 Subprocessadores autorizados. O cliente concorda que a GoDaddy pode usar Subprocessadores para cumprir suas obrigações contratuais sob seus Termos de Serviço e este Adendo ou para fornecer determinados serviços em seu nome, como a prestação de serviços de suporte. O cliente consente, por meio deste documento, o uso de Subprocessadores da GoDaddy conforme descrito nesta Seção. Exceto conforme estabelecido nesta Seção ou de outra forma explicitamente autorizado por você, a GoDaddy não permitirá outras atividades de subprocessamento.

6.2 Obrigações do subprocessador. Onde a GoDaddy usa qualquer Subprocessador autorizado conforme descrito na Seção 6.1:

(i) A GoDaddy restringirá o acesso do Subprocessador aos Dados do Cliente apenas ao que for necessário para manter os Serviços Abrangidos ou para fornecer os Serviços Abrangidos ao Cliente e a quaisquer usuários finais de acordo com os Serviços Abrangidos. A GoDaddy proibirá o Subprocessador de acessar os Dados do Cliente para qualquer outra finalidade;

(ii)A GoDaddy realizará um acordo por escrito com o Subprocessador e, na medida em que o Subprocessador estiver executando os mesmos serviços de processamento de dados que estão sendo fornecidos pela GoDaddy sob este Adendo, a GoDaddy cobrará do Subprocessador as mesmas obrigações contratuais que a GoDaddy tem em relação a este Adendo; e

(iii)A GoDaddy continuará responsável pelo cumprimento das obrigações deste Adendo e por quaisquer atos ou omissões do Subprocessador que façam com que a GoDaddy viole quaisquer obrigações da GoDaddy nos termos deste Adendo.

6.3 Novos subprocessadores.  De tempos em tempos, podemos incluir novos subprocessadores de acordo com os termos deste Adendo.  Nestes casos, daremos um aviso com antecedência de 60 dias (pelo nosso site e por email) antes de qualquer novo processador obter quaisquer dados do cliente. Se o Cliente não aprovar um novo Subprocessador, o Cliente poderá rescindir quaisquer Serviços Abrangidos sem penalidade, fornecendo, no prazo de 10 dias ou do recebimento de uma notificação de nossa parte, uma notificação por escrito de rescisão que inclua uma explicação das razões de sua não aprovação. Se os Serviços Abrangidos fizerem parte de um pacote ou de uma compra combinada, qualquer rescisão será aplicada em sua totalidade.

7. Notificação de brecha de segurança

7.1 Incidente de segurança. Se a GoDaddy tomar conhecimento de um incidente de segurança, a GoDaddy, sem demora indevida, deverá: (a) notificar o Cliente sobre o Incidente de Segurança; e (b) adotar as medidas adequadas para corrigir os efeitos e minimizar qualquer dano resultante do Incidente de Segurança. 

7.2 GoDaddy Ajuda.  Para auxiliar o Cliente com quaisquer notificações de violação de dados pessoais que o Cliente seja obrigado a fazer sob qualquer lei de privacidade aplicável, a GoDaddy incluirá na notificação, de acordo com a seção 8.1, informações sobre o Incidente de Segurança e como a GoDaddy é, na medida do possível, capaz de divulgar ao Cliente, levando em conta a natureza dos Serviços Abrangidos, as informações disponíveis para a GoDaddy e quaisquer restrições à divulgação de informações, como confidencialidade.  

7.3 Incidentes de segurança com falha. O cliente concorda que:

(i) Um Incidente de Segurança com falha não estará sujeito aos termos deste Adendo. Um Incidente de Segurança com falha é aquele que resulta em acesso não autorizado aos Dados do Cliente ou a qualquer Rede, equipamento ou instalações da GoDaddy que armazenam Dados do Cliente e pode incluir, sem limitação, pings e outros ataques de broadcast em firewalls ou servidores edge, verificações de portas, tentativas de log-in malsucedidas, ataques de negação de serviço, sniffing de pacotes (ou outro acesso não autorizado a dados de tráfego que não resulta em acesso além de cabeçalhos) ou incidentes semelhantes; e

(ii) A obrigação da GoDaddy de informar ou responder a um Incidente de Segurança nos termos desta Seção não é e não será interpretada como um reconhecimento pela GoDaddy de qualquer culpa ou responsabilidade da GoDaddy com relação ao Incidente de Segurança.  

7.4 Comunicações. Notificações de Incidentes de Segurança, se houver, serão entregues a um ou mais administradores do Cliente por qualquer meio que a GoDaddy escolher, incluindo por email. É responsabilidade exclusiva do Cliente garantir que os administradores do Cliente mantenham informações precisas de contato no console de gerenciamento da GoDaddy e protejam a transmissão a todo momento.

8. Direitos do cliente

8.1 Determinação independente. O Cliente é responsável por revisar as informações disponibilizadas pela GoDaddy relacionadas à segurança de dados e seus Padrões de Segurança e por determinar de forma independente se os Serviços Abrangidos atendem aos requisitos e obrigações legais do Cliente, bem como às obrigações do Cliente nos termos deste Adendo. A informação disponibilizada destina-se a ajudar o Cliente a cumprir as obrigações do Cliente nos termos das leis de privacidade aplicáveis, incluindo o GDPR, no que diz respeito às avaliações de impacto da proteção de dados e consulta prévia.

8.2 Direitos de auditoria do cliente. O cliente tem o direito de verificar a conformidade da GoDaddy com este Adendo conforme aplicável aos Serviços Abrangidos, incluindo especificamente a conformidade da GoDaddy com seus Padrões de Segurança, exercendo um direito razoável de conduzir uma auditoria ou uma inspeção, incluindo as Cláusulas Contratuais Padrão, caso se apliquem, fazendo uma solicitação específica para a GoDaddy por escrito para o endereço estabelecido em seus Termos de Serviço. Se a GoDaddy recusar-se a seguir qualquer instrução solicitada pelo Cliente em relação a uma auditoria ou a uma inspeção devidamente solicitada e com escopo definido, o Cliente deverá encerrar este Adendo e os Termos de Serviço. Se as Cláusulas Contratuais Padrão forem aplicáveis, nada nesta Seção variará ou modificará as Cláusulas Contratuais Padrão nem afetará os direitos de qualquer autoridade de supervisão ou indivíduo de dados de acordo com as Cláusulas Contratuais Padrão. Esta Seção também será aplicada na medida em que a GoDaddy executa o controle de Subprocessadores em nome do Cliente.

9. Transferência de dados pessoais

9.1 Processamento baseado nos EUA. Exceto quando especificamente indicado nos Termos de Serviço, os Dados do Cliente serão transferidos para fora da EEE e processados nos Estados Unidos.  

9.2 Aplicação de Cláusulas Contratuais Padrão. As Cláusulas Contratuais Padrão serão aplicadas aos Dados do Cliente que são transferidos para fora da EEE, diretamente ou por transferência subsequente, para qualquer país não reconhecido pela Comissão Europeia como fornecedor de um nível adequado de proteção de dados pessoais (conforme descrito no GDPR). As Cláusulas Contratuais Padrão não se aplicarão aos Dados do Cliente que não sejam transferidos, diretamente ou por meio de transferência posterior, fora do EEE.  Não obstante o acima exposto, as Cláusulas Contratuais Padrão não se aplicarão quando os dados forem transferidos de acordo com um padrão de conformidade reconhecido para a transferência legítima de dados pessoais (conforme definido no GDPR) para fora do EEE, como Estruturas de Privacy Shield da UE-EUA e da Suíça-EUA.  

10. Rescisão do adendo

Este Adendo continuará em vigor até o término de nosso processamento, de acordo com os Termos de Serviço (“Data de Rescisão”).   

11. Devolução ou exclusão de Dados do Cliente

Conforme descrito nos Serviços Abrangidos, o Cliente pode fornecer controles que podem ser usados para recuperar ou excluir os Dados do Cliente. Qualquer exclusão de Dados do Cliente será regida pelos termos dos Serviços Abrangidos específicos.

12. Limitações de responsabilidade

A responsabilidade de cada parte nos termos deste Adendo estará sujeita às exclusões e limitações de responsabilidade estabelecidas nos Termos de Serviço. O Cliente concorda que quaisquer penalidades regulatórias incorridas pela GoDaddy em relação aos Dados do Cliente que surjam como resultado de, ou em conexão com, uma falha do Cliente em cumprir com suas obrigações nos termos deste Adendo e quaisquer leis de privacidade aplicáveis contarão e reduzirão a responsabilidade da GoDaddy de acordo com os Termos de Serviço como se fossem responsabilidade para com o Cliente com base nos Termos de Serviço.

13. Termos de Serviço completos; Conflito

Este Adendo substitui todas as representações, entendimentos, acordo ou comunicações anteriores ou concorrentes entre o Cliente e GoDaddy, seja por escrito ou verbal, em relação ao assunto deste Adendo, incluindo os adendos de processamento de dados inseridos entre GoDaddy e o Cliente com relação ao processamento de dados pessoais e na livre movimentação desses dados.  Exceto conforme indicado por este Adendo, os Termos de serviço permanecerão em pleno vigor e efeito.  Se houver um conflito entre qualquer outro acordo entre as partes incluindo os Termos de serviço e este Adendo, os termos deste Adendo terá precedência.

** ************************************************

Anexo 1

 DETALHES DO PROCESSAMENTO

 1. Natureza e finalidade do Processamento. A GoDaddy processará os Dados Pessoais conforme necessário para executar os Serviços Abrangidos de acordo com os Termos de Serviço, os contratos específicos do produto e conforme instruído pelo Cliente durante o uso dos Serviços Abrangidos.

 2. Duração do processamento. Sujeita à Seção 10 deste Adendo, a GoDaddy Processará Dados Pessoais durante a data de vigência dos Termos de Serviço, mas obedecerá aos termos deste Adendo enquanto durar o Processamento se exceder esse prazo, e a menos que seja acordado de outra forma por escrito.

3. Categorias de assuntos de dados. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso dos Serviços Abrangidos, na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita aos Dados Pessoais relativos às seguintes categorias de Titular de Dados:

  • Possíveis clientes, clientes, parceiros de negócios e fornecedores do Cliente (que são pessoas físicas)
  • Funcionários ou pessoas de contato de clientes em potencial, clientes, parceiros de negócios e fornecedores do Cliente
  • Funcionários, agentes, consultores, prestadores de serviço do Cliente (que são pessoas físicas)
  • Usuários do Cliente autorizados por ele para usar os Serviços Abrangidos

 4. Tipo de dados pessoais. O cliente pode fazer o upload dos Dados Pessoais no decorrer do uso do Serviços Abrangidos, do tipo e na medida em que é determinado e controlado pelo Cliente a seu exclusivo critério, e que pode incluir, mas não se limita às seguintes categorias de Dados Pessoais de Titulares de Dados: 

  • Nome
  • Endereço
  • Número de telefone
  • Data de nascimento
  • Endereço de e-mail
  • Outros dados coletados que poderiam identificá-lo direta ou indiretamente.

** ************************************************

Anexo 2

Padrões de Segurança

I.  Medidas técnicas e organizacionais  

O nosso compromisso é de proteger as informações dos nossos clientes.  Levando em conta as práticas recomendadas, os custos de implementação e a natureza, escopo, circunstâncias e finalidades de processamento, além da probabilidade diferente de ocorrência e severidade do risco para os direitos e as liberdades de pessoas naturais, realizamos as seguintes medidas técnicas e organizacionais.  Ao selecionar as medidas, são considerados itens como confidencialidade, integridade, disponibilidade e resiliência dos sistemas. Uma rápida recuperação após um incidente físico ou técnico é garantida. 

II.  Programa de privacidade de dados  

Nosso Programa de Privacidade de Dados foi criado para manter uma estrutura global de governança de dados e proteger informações em todo o seu ciclo de vida. Este programa é conduzido pelo diretor de proteção de dados do escritório, que supervisiona a implementação de práticas de privacidade e medidas de segurança. Regularmente testamos e avaliamos a eficácia de seus Padrões de segurança e Programa de privacidade de dados.   

1. Confidencialidade. “Confidencialidade significa que os dados pessoais são protegidos contra divulgação não autorizada.”  

Usamos diversas medidas físicas e lógicas para proteger a confidencialidade dos dados pessoais de seus clientes. Essas medidas incluem:   

  Segurança física  

  • Sistemas de controle de acesso físico em vigor (controle de acesso por crachás, monitoramento de eventos de segurança, etc.) 
  • Sistemas de vigilância, incluindo alarmes e, conforme o caso, monitoramento de circuito fechado de televisão  
  • Políticas e controles de mesa limpa em vigor (bloqueio de computadores sem usuários, armários trancados, etc.)  
  •  Gerenciamento de acesso ao visitante 
  • Destruição de dados em mídia física e documento (trituração, neutralização etc.) 

  Controle de acesso e Prevenção de acesso não autorizado 

  • Restrições de acesso do usuário aplicadas e permissões de acesso baseadas em função fornecidas/revisadas com base na diferenciação do princípio de direitos  
  • Métodos de autenticação e autorização fortes (Autenticação multifator, autorização baseada em certificados, desativação/logoff automático, etc.) 
  • Gerenciamento centralizado de senhas e políticas de senhas fortes/complexas (comprimento mínimo, complexidade dos caracteres, expiração de senhas etc.)   
  • Acesso controlado a emails e à Internet 
  • Gerenciamento de antivírus  
  • Gerenciamento do sistema de prevenção contra intrusão  

Criptografia   

  • Criptografia de comunicação externa e interna por meio de protocolos criptográficos fortes  
  • Criptografia de dados de PII/SPII em repouso (bancos de dados, diretórios compartilhados etc.)   
  • Criptografia completa de disco para PCs e laptops da empresa   
  • Criptografia de mídia de armazenamento  
  • Conexões remotas com as redes da empresa são criptografadas via VPN  
  • Proteção do ciclo de vida das chaves de criptografia  

 Minimização de dados    

  • Minimização de PII/SPI em logs de aplicativos, depuração e segurança  
  • Pseudonimização de dados pessoais para impedir a identificação direta de um indivíduo 
  • Segregação de dados armazenados por função (teste, preparação, ativação) 
  • Segregação lógica de dados por função com base em direitos de acesso 
  • Períodos de retenção de dados definidos para dados pessoais  

Teste de segurança     

  • Teste de penetração para redes críticas empresariais e plataformas de hospedagem de dados pessoais 
  • Verificações regulares de rede e vulnerabilidade   

2. Integridade. “Integridade refere-se à garantia da exatidão (sem falhas) dos dados e o correto funcionamento dos sistemas. Quando o termo integridade é usado em conexão com o termo “dados”, ele expressa que os dados são completos e inalterados.”  

Alterações apropriadas e controles de gerenciamento de log em vigor, além de controles de acesso para manter a integridade dos dados pessoais, como:    

Gerenciamento de alteração e versão    

  • Alterar e liberar o processo de gerenciamento, incluindo análise de impacto, aprovações, testes, revisões de segurança, preparação, monitoramento etc  
  • Provisionamento de acesso baseado em cargos e funções (segregação de tarefas) em ambientes de produção    

Registro de log e monitoramento

  • Login de acesso e alterações nos dados  
  • Auditoria centralizada e logs de segurança   
  • Monitoramento da integridade e exatidão da transferência de dados (verificação de ponta a ponta)    

3. Disponibilidade. “A disponibilidade dos serviços e sistemas de TI, aplicativos de TI e funções de rede de TI ou de informações é garantida, se os usuários puderem usá-los sempre que desejado.”    

Nós implementamos medidas apropriadas de continuidade e segurança para manter a disponibilidade dos seus serviços e os dados que são armazenados neles:    

  • Testes regulares de failover aplicados a serviços críticos  
  • Monitoramento e relatório abrangente de desempenho/disponibilidade para sistemas críticos  
  • Programa de resposta a incidentes  
  • Dados críticos replicados ou armazenados em backup (Backups em nuvem/Discos Rígidos/Replicação de banco de dados etc.) 
  • Manutenção planejada de software, infraestrutura e segurança em vigor (atualizações de software, patches de segurança etc.)   
  • Sistemas redundantes e resilientes (clusters de servidores, bancos de dados espelhados, configurações de alta disponibilidade, etc.) localizados em locais externos e/ou geograficamente diferentes    
  • Uso de fontes de energia ininterruptas, falha de hardware redundante e sistemas de rede  
  • Alarme, sistemas de segurança em uso  
  • Medidas de proteção física em uso para sites críticos (proteção contra surtos, pisos elevados, sistemas de resfriamento, detectores de incêndio e/ou fumaça, sistemas de supressão de incêndio etc.) 
  • Proteção DDOS para manter a disponibilidade   
  • Teste de carga e estresse  

4Instruções de processamento de dados. "As instruções de processamento de dados referem-se a garantir que os dados pessoais somente serão processados de acordo com as instruções do controlador de dados e as medidas da empresa relacionadas"  

Estabelecemos políticas de privacidade internas, contratos e realizamos treinamentos regulares de privacidade para os funcionários, a fim de garantir que os dados pessoais sejam processados de acordo com as preferências e instruções dos clientes.   

  • Termos de privacidade e confidencialidade em vigor nos contratos de funcionários 
  • Treinamentos regulares de privacidade e segurança de dados para funcionários 
  • Disposições contratuais adequadas para os contratos com os subcontratantes para manter os direitos de controle instrucional 
  • Verificações regulares de privacidade para provedores de serviço externos 
  • Fornecimento aos clientes de controle total sobre suas preferências de processamento de dados 
  • Auditorias de segurança regulares 

**********************************************

Anexo 3

Veja a Seção 9.2 do Adendo para saber sobre a aplicabilidade destes SCCs

Cláusulas Contratuais Padrão (processadores)

Para efeitos do Artigo 26(2) da Diretiva 95/46/EC, relativo à transferência de dados pessoais para processadores estabelecidos em países terceiros que não dão garantia de um nível adequado de proteção de dados

A entidade identificada como "Cliente" no Adendo
(o “exportador de dados”)

e

GoDaddy.com, LLC

 (o “importador de dados”)

cada um "parte"; juntos "as partes",

CONCORDARAM com as seguintes Cláusulas Contratuais (as Cláusulas) a fim de adotar medidas de segurança adequadas em relação à proteção da privacidade e dos direitos e liberdades fundamentais de indivíduos para a transferência pelo exportador de dados para o importador de dados dos dados pessoais especificados no Apêndice 1.

Cláusula 1

Definições

Para os propósitos das Cláusulas:

(a) “dados pessoais”, “categorias especiais de dados”, “processo/processamento”, “controlador”, “processador”, “titular dos dados” e “autoridade supervisora” devem ter o mesmo significado que na Diretiva 95/46/EC do Parlamento Europeu e do Conselho de 24 de outubro de 1995, com relação à proteção de indivíduos no que diz respeito ao processamento de dados pessoais e à livre movimentação desses dados;

(b) “o exportador de dados” significa o controlador que transfere os dados pessoais;

(c) “o importador de dados” significa o processador que concorda em receber do exportador de dados os dados pessoais destinados a processamento em seu nome após a transferência de acordo com suas instruções e com os termos das Cláusulas e que não está sujeito ao sistema de um país terceiro garantindo proteção adequada de acordo com o Artigo 25(1) da Diretiva 95/46/EC;

(d) “o subprocessador” significa qualquer processador contratado pelo importador de dados ou por qualquer outro subprocessador do importador de dados que concorde em receber, do importador de dados ou de qualquer outro subprocessador do importador de dados, dados pessoais exclusivamente destinados a atividades de processamento a serem realizadas em nome do exportador de dados após a transferência, de acordo com as instruções dele, com os termos das Cláusulas e com os termos do subcontrato por escrito;

(e) “a legislação de proteção de dados relevante” significa as leis que protegem os direitos e as liberdades fundamentais dos indivíduos e, em particular, seu direito à privacidade no que diz respeito ao processamento de dados pessoais aplicável a uma controladora de dados em um estado-membro no qual o exportador de dados está estabelecido;

(f) “medidas técnicas e organizacionais de segurança” são medidas destinadas a proteger dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento.

Cláusula 2

Detalhes da transferência

Os detalhes da transferência e, em particular, das categorias especiais de dados pessoais, quando aplicável, são especificados no Apêndice 1, que é parte integrante das Cláusulas.

Cláusula 3

Cláusula de beneficiário de terceiros

1.  O titular dos dados pode impor ao exportador de dados esta Cláusula, a Cláusula 4(b) até (i), a Cláusula 5(a) até (e) e (g) até (j), a Cláusula 6(1) e (2), a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12 como beneficiário de terceiros.

2.  O titular dos dados pode impor ao importador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12, nos casos em que o exportador de dados efetivamente desaparece ou deixa de existir nos termos da lei, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesses casos, o titular dos dados pode fazer valer essas cláusulas contra essa entidade.

3.  O titular dos dados pode impor contra o subprocessador esta Cláusula, a Cláusula 5(a) até (e) e (g), a Cláusula 6, a Cláusula 7, a Cláusula 8(2) e as Cláusulas 9 até 12, nos casos em que tanto o exportador quanto o importador de dados efetivamente desapareceram, deixaram de existir perante a lei ou falirem, a menos que qualquer entidade sucessora assuma todas as obrigações legais do exportador de dados por contrato ou por força de lei, o que a torna responsável pelos direitos e obrigações do exportador de dados. Nesses casos, o titular dos dados pode fazer valer essas cláusulas contra essa entidade. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

4.  As partes não se opõem que um titular dos dados seja representado por uma associação ou outro órgão, se o titular dos dados assim o desejar expressamente e se for permitido pela legislação nacional.

Cláusula 4

Obrigações do exportador de dados

O exportador de dados concorda e garante:

(a) que o processamento, incluindo a própria transferência, dos dados pessoais foi e continuará a ser realizada em conformidade com as disposições pertinentes da legislação de proteção de dados relevante (e, quando aplicável, será notificado às autoridades competentes do estado-membro em que o exportador de dados está estabelecido) e não viola as disposições pertinentes desse estado;

(b) que instruiu e, durante a duração dos serviços de processamento de dados pessoais, instruirá o importador de dados a processar os dados pessoais transferidos apenas em nome do exportador de dados e de acordo com a legislação de proteção de dados relevante e as Cláusulas;

(c) que o importador de dados fornecerá garantias suficientes em relação às medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 deste acordo;

(d) que após a avaliação dos requisitos da legislação de proteção de dados relevante, as medidas de segurança são adequadas para proteger os dados pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizados, em especial quando o processamento envolve a transmissão de dados através de uma rede e contra todas as outras formas ilegais de processamento, e que estas medidas garantem um nível de segurança adequado aos riscos apresentados pelo processamento e à natureza dos dados a serem protegidos, tendo em conta o nível tecnológico e os custo de sua implementação;

(e) que garantirá o cumprimento das medidas de segurança;

(f) que, se a transferência envolver categorias especiais de dados, o titular dos dados foi informado ou será informado, antes ou logo que possível após a transferência, de que os seus dados podem ser transmitidos a um país terceiro que não fornece proteção adequada nos termos da Diretiva 95/46/EC;

(g) encaminhar qualquer notificação recebida do importador de dados ou de qualquer subprocessador nos termos da Cláusula 5(b) e Cláusula 8(3) para a autoridade supervisora de proteção de dados, se o exportador de dados decidir continuar a transferência ou revogar a suspensão;

(h) disponibilizar aos titulares dos dados mediante solicitação, uma cópia das Cláusulas, com exceção do Anexo 2, e uma breve descrição das medidas de segurança, bem como uma cópia de qualquer contrato dos serviços de subprocessamento que tenham de ser realizados em conformidade com as Cláusulas, a menos que as Cláusulas ou o contrato contenha informações comerciais, caso em que pode ocorrer a remoção dessas informações comerciais;

(i) que, no caso de subprocessamento, a atividade de processamento é realizada de acordo com a Cláusula 11 por um subprocessador que fornece pelo menos o mesmo nível de proteção para os dados pessoais e os direitos do titular dos dados que o importador de dados nos termos das Cláusulas; e

(j) que garantirá o cumprimento da Cláusula 4(a) até (i).

Cláusula 51.

Obrigações do importador de dados

O importador de dados concorda e garante:

(a) processar os dados pessoais somente em nome do exportador de dados e em conformidade com as suas instruções e as Cláusulas; se não puder fornecer essa conformidade por qualquer motivo, ele concorda em informar prontamente ao exportador de dados sua incapacidade de cumprimento. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato.

(b) que ele não tem motivos para crer que a legislação aplicável lhe impeça o cumprimento das instruções recebidas do exportador de dados e suas obrigações decorrentes do contrato e que, em caso de alteração desta legislação, que pode ter um efeito adverso substancial nas garantias e obrigações fornecidas pelas Cláusulas, notificará imediatamente a alteração ao exportador de dados assim que tiver conhecimento dela. Nesse caso, o exportador de dados tem o direito de suspender a transferência de dados e/ou rescindir o contrato;

(c) que implementou as medidas técnicas e organizacionais de segurança especificadas no Apêndice 2 antes de processar os dados pessoais transferidos;

(d) que notificará imediatamente o exportador de dados sobre:

(i) qualquer pedido juridicamente vinculativo de divulgação de dados pessoais por uma autoridade de aplicação da lei, salvo disposição em contrário, tal como uma proibição do direito penal de preservar a confidencialidade de uma investigação judicial;

(ii) qualquer acesso acidental ou não autorizado, e

(iii) qualquer pedido recebido diretamente pelos titulares de dados sem resposta a esse pedido, a menos que tenha sido autorizado de outra forma a responder;

(e) responder rápida e adequadamente a todas as consultas do exportador de dados relacionadas ao processamento dos dados pessoais sujeitos à transferência e a cumprir o parecer da autoridade de supervisão com relação ao processamento dos dados transferidos;

(f) a pedido do exportador de dados para submeter as instalações de processamento de dados a auditoria das atividades de processamento abrangidas pelas Cláusulas, a qual deve ser realizada pelo exportador de dados ou por um órgão de fiscalização composto por membros independentes e de posse das qualificações profissionais exigidas, vinculados por um dever de confidencialidade, selecionados pelo exportador de dados, quando aplicável, de acordo com a autoridade supervisora;

(g) disponibilizar ao titular dos dados, mediante solicitação, uma cópia das Cláusulas, ou qualquer contrato existente para o subprocessamento, a menos que as Cláusulas ou contrato contenham informações comerciais. Nesse caso, as informações comerciais podem ser removidas, com exceção do Apêndice 2, que será substituído por uma descrição resumida das medidas de segurança nos casos em que o titular dos dados não possa obter uma cópia do exportador de dados;

(h) que, em caso de subprocessamento, ele informou previamente o exportador de dados e obteve seu consentimento prévio por escrito;

(i) que os serviços de processamento pelo subprocessador serão executados de acordo com a Cláusula 11;

(j) enviar prontamente uma cópia de qualquer acordo de subprocessador cumprido com base nas Cláusulas ao exportador de dados.

Cláusula 6

Responsabilidade

1.  As partes concordam que qualquer titular de dados que tenha sofrido danos como resultado de qualquer violação das obrigações referidas na Cláusula 3 ou na Cláusula 11, por qualquer parte ou pelo subprocessador, tem direito a receber uma compensação do exportador de dados pelo dano sofrido.

2.  Se o titular dos dados não puder apresentar um pedido de indenização nos termos do parágrafo 1 contra o exportador de dados, decorrente de uma violação do importador de dados ou do seu subprocessador de qualquer das obrigações referidas na Cláusula 3 ou na cláusula 11 porque o exportador de dados desapareceu de fato, deixou de existir nos termos lei ou faliu, o importador de dados concorda que o titular dos dados pode ingressar com uma reclamação contra o importador de dados como se este fosse o exportador de dados, a menos que qualquer entidade sucessora tenha assumido a totalidade das obrigações jurídicas do exportador de dados por contrato ou por força de lei, caso em que o titular dos dados pode fazer valer os seus direitos contra essa entidade. O importador de dados não pode invocar uma violação de suas obrigações por um subprocessador, a fim de evitar suas próprias responsabilidades.

3.  Se o titular dos dados não puder apresentar uma reclamação contra o exportador ou o importador de dados referido nos parágrafos 1 e 2, decorrente de uma violação de qualquer das suas obrigações pelo subprocessador, referidas na Cláusula 3 ou na Cláusula 11, porque tanto o exportador quanto o importador de dados desapareceram efetivamente, deixaram de existir nos termos lei ou faliram, o subprocessador concorda que o titular dos dados pode ingressar com uma ação contra o subprocessador de dados com relação às suas próprias operações de processamento sob as Cláusulas como se fosse o exportador ou o importador de dados, a menos que qualquer entidade sucessora tenha assumido todas as obrigações jurídicas do exportador ou do importador de dados por contrato ou por força de lei. Nesse caso, o titular dos dados pode fazer valer seus direitos contra essa entidade. A responsabilidade do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

Cláusula 7

Mediação e jurisdição

1.  O importador de dados concorda que, se o titular dos dados fazer valer os direitos de beneficiário de terceiros e/ou indenização de danos por danos nos termos da Cláusulas, o importador de dados aceitará a decisão do titular dos dados:

(a) recorrer da disputa para mediação, por uma pessoa independente ou, quando aplicável, pela autoridade supervisora;

(b) recorrer da disputa em tribunais do estado-membro em que o exportador de dados está estabelecido.

2.  As partes concordam que a escolha feita pelo titular dos dados não prejudicará seu direito material ou processual de buscar soluções em conformidade com outras disposições da lei nacional ou internacional.

Cláusula 8

Cooperação com as autoridades de supervisão

1.  O exportador de dados concorda em entregar uma cópia deste contrato à autoridade de supervisão, se for solicitado ou se assim for exigido nos termos da legislação de proteção de dados relevante.

2.  As partes concordam que a autoridade supervisora tem o direito de realizar uma auditoria no importador de dados e em qualquer subprocessador, que tenha o mesmo escopo e esteja sujeito às mesmas condições aplicáveis a uma auditoria do exportador de dados sob a legislação de proteção de dados relevante.

3.  O importador de dados deve informar imediatamente o exportador de dados sobre a existência de legislação aplicável a ele ou a qualquer subprocessador que impeça a realização de uma auditoria do importador de dados, ou de qualquer subprocessador, de acordo com o parágrafo 2. Nesse caso, o exportador de dados terá o direito de adotar as medidas previstas na Cláusula 5 (b).

Cláusula 9

Lei aplicável

As Cláusulas serão regidas pela legislação do estado-membro no qual o exportador de dados está estabelecido e, quando em dúvida ou quando houver vários exportadores de dados, serão regidas pelas leis da Inglaterra e do País de Gales. 

Cláusula 10

Variação do contrato

As partes se comprometem a não alterar ou modificar as Cláusulas. Isso não impede que as partes incluam cláusulas sobre questões relacionadas a negócios quando necessário, desde que não haja entendimento diverso da Cláusula.

Cláusula 11

Subprocessamento

1.  O importador de dados não subcontratará nenhuma de suas operações de processamento realizadas em nome do exportador de dados nos termos das Cláusulas sem o consentimento prévio por escrito do exportador de dados. Quando o importador de dados subcontratar suas obrigações nos termos das Cláusulas, com o consentimento do exportador de dados, deverá fazê-lo somente por meio de um acordo por escrito com o subprocessador que impõe as mesmas obrigações ao subprocessador impostas ao importador de dados nos termos das Cláusulas. Quando o subprocessador deixar de cumprir suas obrigações de proteção de dados, conforme o acordo por escrito, o importador de dados permanecerá integralmente responsável perante o exportador de dados pelo cumprimento das obrigações do subprocessador nos termos desse acordo.

2.  O contrato por escrito anterior entre o importador de dados e o subprocessador deverá também prever uma cláusula de beneficiário de terceiros, conforme estabelecido na Cláusula 3, para os casos em que o titular dos dados não possa apresentar o pedido de compensação referido no parágrafo 1 da Cláusula 6 contra o exportador de dados ou o importador de dados porque eles desapareceram de fato, deixaram de existir nos termos da lei ou faliram, e nenhuma entidade sucessora assumiu todas as obrigações jurídicas do exportador de dados ou importador de dados por contrato ou por força de lei. Tal responsabilidade de terceiros do subprocessador deverá ser limitada às suas próprias operações de processamento nos termos das Cláusulas.

3.  As disposições relacionadas aos aspectos de proteção de dados para o subprocessamento do contrato referido no parágrafo 1 serão regidas pela lei do estado-membro em que o exportador de dados está estabelecido.

4.  O exportador de dados deve manter uma lista de contratos concluídos de subprocessamento, que deve ser atualizada uma vez por ano, nos termos das Cláusulas e notificados pelo importador de dados em conformidade com a Cláusula 5 (j). A lista deve estar disponível para a autoridade supervisora ​​de proteção de dados do exportador de dados.

Cláusula 12

Obrigação após o término dos serviços de processamento de dados pessoais

1.  As partes concordam que, ao término da prestação de serviços de processamento de dados, o importador de dados e o subprocessador deverão, a critério do exportador de dados, devolver todos os dados pessoais transferidos e suas cópias ao exportador de dados ou destruir todos os dados pessoais e comprovar ao exportador de dados que o fez, a menos que a legislação imposta ao importador de dados o impeça de devolver ou destruir todos ou parte dos dados pessoais transferidos. Nesse caso, o importador de dados garantirá a confidencialidade dos dados pessoais transferidos e não processará de forma ativa os dados pessoais transferidos.

2.  O importador de dados e o subprocessador garantem que, a pedido do exportador de dados e/ou da autoridade supervisora, apresentarão suas instalações de processamento de dados para uma auditoria das medidas mencionadas no parágrafo 1.

**********************************************

Apêndice 1 das Cláusulas Contratuais Padrão

Exportador de dados

O exportador de dados é a entidade identificada como "Cliente" no Adendo.

Importador de dados

O importador de dados é a empresa GoDaddy.com, LLC , um provedor de serviços hospedado.

Titulares de dados

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Categorias de dados

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Operações de processamento

As operações de processamento estão definidas na Seção 1.3 e no Anexo 1 do Adendo.

Apêndice 2 das Cláusulas Contratuais Padrão

Este Apêndice faz parte das Cláusulas.  Ao adquirir os Serviços Abrangidos pela GoDaddy, o Adendo e este Anexo 2 são considerados aceitos e firmados por e entre as partes.

Descrição das medidas técnicas e organizacionais de segurança implementadas pelo importador de dados de acordo com as Cláusulas 4(d) e 5(c) (ou documento/legislação anexa):

As medidas técnicas e organizacionais de segurança implementadas pelo importador de dados são descritas no Adendo, especificamente no Anexo 2, que é incorporado e anexado a ele.


1              Requisitos obrigatórios da legislação nacional aplicável ao importador de dados, que não excedam o que é necessário em uma sociedade democrática, com base em um dos interesses listados no Artigo 13(1) da Diretiva 95/46/EC. Isto é, se elas constituem uma medida necessária para garantir a segurança nacional, a defesa, a segurança pública, a prevenção, a investigação, a detecção e a sanção de infrações penais ou violações da ética para profissões regulamentadas, um interesse econômico ou financeiro importante do Estado ou a proteção do titular dos dados ou os direitos e liberdades de terceiros não estão em contradição com as cláusulas contratuais padrão. Alguns exemplos de tais requisitos obrigatórios que não excedam o que é necessário em uma sociedade democrática são, entre outros, as sanções internacionalmente reconhecidas, os requisitos de declaração de impostos ou exigências de relatórios de combate à lavagem de dinheiro.

Revisado em: 29/01/2019
Copyright © 2019 GoDaddy.com, LLC Todos os direitos reservados.