GoDaddy

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ ОБ ОБРАБОТКЕ ДАННЫХ (ДЛЯ КЛИЕНТОВ)

Настоящее Дополнительное соглашение об обработке данных (настоящее "Дополнительное соглашение") заключается между компанией GoDaddy.com, LLC, a Delaware limited liability company и ее Партнерами ("GoDaddy") и вами ("Клиент"), прилагается к нашим Универсальным условиям пользования, Политике конфиденциальности и любым другим соглашениям, регулирующим Покрываемые услуги (в совокупности "Условия предоставления услуг"), и дополняет их.  Если иное не определяется в настоящем Дополнительном соглашении, все термины с заглавной буквы, определение которых не дается в настоящем Дополнительном соглашении, имеют значение, присвоенное им в Условиях предоставления услуг.

1. Определения

"Партнеры" означает любые организации, которые владеют или являются совместной долевой собственностью вместе с компанией GoDaddy или принадлежат ей.

"Покрываемые услуги" — любые предлагаемые нами вам размещенные услуги, которые могут предполагать Обработку нами Персональных данных.

"Данные клиента" означают Персональные данные любого Субъекта данных, обрабатываемые GoDaddy в пределах Сети GoDaddy от имени Клиента в соответствии или в связи с Условиями предоставления услуг.

"Оператор данных" означает Клиента, как организацию, которая определяет цели и средства Обработки персональных данных.

"Обработчик данных" означает компанию GoDaddy в качестве организации, которая обрабатывает Персональные данные от имени Оператора по обработке данных.

"Законы о защите данных" означают все законы и нормы, включая законы и нормы Европейского союза, применимые к Обработке Персональных данных в соответствии с Соглашением.

"Субъект данных" означает лицо, к которому относятся Персональные данные.

"ЕЭП" означает Европейское экономическое пространство.

"Сеть GoDaddy" означает принадлежащую компании GoDaddy материальную базу центра обработки данных, серверы, сетевое оборудование и системы программного обеспечения хоста (например, виртуальная сетевая защита), которые контролируются компанией GoDaddy и используются для предоставления Покрываемых услуг.

"Персональные данные" означает любую информацию, касающуюся идентифицированного или идентифицируемого лица.

"Обработка" означает любую операцию или набор операций, которые выполняются с Персональными данными, при помощи средств автоматизации или без таковых, например сбор, запись, организация, структурирование, хранение, адаптация или изменение, извлечение, консультирование, использование, раскрытие путем передачи, разглашение или передача доступа другим путем, упорядочивание или комбинирование, ограничение доступа, удаление или уничтожение. Термины "обрабатывать", "обрабатывается" и "обработанный", а также их грамматические формы должны толковаться соответственно. Подробные сведения об Обработке установлены в Приложении 1.

"Инцидент нарушения безопасности" либо 1) нарушение защиты в соответствии со Стандартами безопасности компании GoDaddy, что приводит к случайному или незаконному уничтожению, утрате, изменению, неавторизованному раскрытию или доступу к любым Данным клиентам; или 2) любой неавторизованный доступ к оборудованию или материальной базе GoDaddy, при этом такой доступ приводит к уничтожению, утрате, неавторизованному раскрытию или изменению Данных клиента.

"Стандарты безопасности" означает стандарты безопасности, прилагаемые к настоящему Дополнительному соглашению в качестве Приложения 2.

"Стандартные контрактные положения" или "СКП" означают Приложение 3, прилагаемое к настоящему Дополнительному соглашению и представляющее собой его неотъемлемую часть в соответствии с решением Европейской комиссии от 5 февраля 2010 г. о стандартных положениях контрактов о передаче персональных данных обработчикам, зарегистрированным в третьих странах, в соответствии с Директивой. 

"Обработчик по субподряду" означает любого обработчика данных, привлекаемого Обработчиком с целью обработки данных от имени Оператора по обработке данных.                                                               

2. Обработка данных

2.1 Предмет и стороны. Настоящее Дополнительное соглашение применяется, когда Данные клиента обрабатываются компанией GoDaddy.  В этой связи компания GoDaddy действует в качестве Обработчика данных от имени Клиента как Оператор данных в отношении Данных клиента.

2.2 Подробные сведения об обработке данных. Суть обработки Данных клиента компанией GoDaddy — это оказание Покрываемых услуг в соответствии с Условиями предоставления услуг и соглашениями на конкретные продукты. Компания GoDaddy обрабатывает Данные клиента только от имени и в соответствии с задокументированными инструкциями Клиента для следующих целей: 1) Обработка в соответствии с Условиями предоставления услуг или применимыми соглашениями на конкретные продукты; 2) Обработка, инициированная конечными пользователями в ходе использования ими Покрываемых услуг; 3) Обработка для соблюдения других задокументированных, обоснованных инструкций, предоставленных Клиентами (например, по электронной почте), если такие инструкции согласуются с условиями Соглашения. Компания GoDaddy не обязана соблюдать инструкции Клиента или следовать им, если такие инструкции нарушают регламент GDPR или любые другие действующие законы о защите данных. Продолжительность Обработки, характер и цель Обработки, типы персональных данных и категории Субъектов данных, обрабатываемые в соответствии с настоящим Дополнительным соглашением, указаны далее в Приложении 1 ("Подробные сведения об обработке") к настоящему Дополнительному соглашению.

3. Конфиденциальность данных клиента

Компания GoDaddy не будет раскрывать Данные клиента любым правительственным органам или любым третьим сторонам, за исключением случаев, когда это необходимо для соблюдения закона или действительного и обязательного распоряжения судебного органа (например, повестка в суд или приказ суда).  Если судебный орган отправляет компании GoDaddyтребование о предоставлении Данных клиента, компания GoDaddy постарается перенаправить запрос данных судебного органа так, чтобы они были получены напрямую от Клиента. В рамках такой инициативы компания GoDaddy может предоставить основную контактную информацию Клиента судебному органу. Если компания GoDaddy будет вынужденна раскрыть Данные клиента судебному органу, она отправляет Клиенту заблаговременное уведомление о требовании, чтобы дать возможность Клиенту обратиться за охранным приказом или прибегнуть к другому средству защиты, за исключением тех случаев, когда закон запрещает компании GoDaddy так поступить.

4. Безопасность

4.1 Компания GoDaddy ввела в действие и будет предпринимать технические и организационные меры в отношении Сети GoDaddy, как описано в данном разделе и далее в Приложении 2 к настоящему Дополнительному соглашению "Стандарты безопасности". В частности, компания GoDaddy ввела в действие и будет принимать такие технические и организационные меры, которые устанавливают 1) безопасность Сети GoDaddy; 2) физическую защиту материальной базы; 3) средства контроля для сотрудников и доступ подрядчика к 1) и/или 2); и 4) процедуры для тестирования, оценки и расчета эффективности технических и организационных мер, введенных в действие компанией GoDaddy. В случае невозможности соблюдения нами любого из своих обязательств по настоящему соглашению, мы обязуемся предоставить письменное уведомление об этом (посредством нашего веб-сайта и по электронной почте) в кратчайшие сроки, как только это станет возможно.

4.2 Компания GoDaddy предоставляет ряд средств и функций защиты, которые Клиент может использовать на свой выбор в отношении Покрываемых услуг. Клиент несет ответственность за 1) надлежащее конфигурирование Покрываемых услуг, 2) использование средств управления, доступных в связи с Покрываемыми услугами (включая средства защиты) для постоянного обеспечения конфиденциальности, сохранности, доступности и отказоустойчивости услуг и систем обработки, 3) использование средств управления, доступных в связи с Покрываемыми услугами (включая средства защиты), чтобы позволить Клиенту своевременно восстановить готовность к работе и доступ к Данным клиента в случае физического или технического инцидента (например, резервное копирование или регулярная архивация Данных клиента), а также 4) принятие таких мер, которые Клиент посчитает целесообразными для поддержания надлежащего уровня безопасности, защиты и удаления Данных клиента, что включает использование технологии шифрования для защиты Данных клиента от неавторизованного доступа и мер по управлению правами доступа к Данным клиента.

5. Права субъекта данных

Принимая во внимание характер Покрываемых услуг, компания GoDaddy предлагает Клиенту определенные средства контроля, как описано в разделе "Безопасность" настоящего Дополнительного соглашения, которые Клиент может использовать по своему выбору для изъятия, исправления, удаления или ограничения использования и передачи Данных клиента, как описано в Покрываемых услугах. Клиент может использовать такие средства контроля как вспомогательные технические и организационные меры в связи с исполнением его обязательств в соответствии с действующими законами о защите данных, включая его обязательства отвечать на запросы Субъектов данных. В той мере, насколько это приемлемо с коммерческой точки зрения, а также требуется или разрешается законом, компания GoDaddy без промедления уведомляет Клиента, если GoDaddy напрямую получает запрос от Субъекта данных воспользоваться такими правами в соответствии с любыми действующими законами о защите данных ("Запрос субъекта данных"). Кроме того, в тех случаях, когда использование Клиентом Покрываемых услуг ограничивается его способностью действовать в ответ на Запрос субъекта данных, компания GoDaddy может, если это необходимо и разрешено законом, а также по конкретному запросу Клиента, предоставить приемлемую с коммерческой точки зрения помощь по ответу на запрос за счет Клиента (если применимо).

6. Обработка по субподряду

6.1 Уполномоченные обработчики по субподряду. Клиент соглашается с тем, что компания GoDaddy вправе использовать Обработчиков по субподряду для выполнения своих контрактных обязательств в соответствии с Условиями предоставления услуг и настоящим Дополнительным соглашением или для предоставления определенных услуг от своего имени, например для предоставления услуг поддержки. Клиент настоящим соглашается с использованием компанией GoDaddy Обработчиков по субподряду, как описано в настоящем разделе. За исключением описанного в настоящем разделе или явного разрешения вами других условий, компания GoDaddy не разрешает любые другие операции обработки по субподряду.

6.2 Обязанности обработчика по субподряду. В случаях, когда GoDaddy использует услуги любого неавторизованного Обработчика по субподряду, как указано в разделе 6.1:

1) компания GoDaddy ограничивает доступ Обработчика по субподряду к Данным клиента, предоставляя только самое необходимое для предоставления Покрываемых услуг или предоставления Покрываемых услуг Клиенту и любым конечным пользователям в соответствии с Покрываемыми услугами. Компания GoDaddy запрещает Обработчику по субподряду осуществлять доступ к Данным клиента в любых других целях;

2) компания GoDaddy вступает в письменное соглашение с Обработчиком по субподряду и, в той мере, насколько Обработчик по субподряду оказывает те же услуги по обработке данных, что оказываются компанией GoDaddy в соответствии с настоящим Дополнительным соглашением, компания GoDaddy налагает на Обработчика по субподряду те же контрактные обязательства, что несет компания GoDaddy в соответствии с настоящим Дополнительным соглашением; и

3) компания GoDaddy несет ответственность за соблюдение обязательств по настоящему Дополнительному соглашению, а также за любые действия или бездействие Обработчика по субподряду, которые привели к нарушению компанией GoDaddy любых обязательств GoDaddy по настоящему Дополнительному соглашению.

6.3 Новые Обработчики по субподряду.  Время от времени мы вправе привлекать новых Обработчиков по субподряду в рамках и по условиям настоящего Дополнительного соглашения.  В этом случае мы отправляем соответствующее уведомление (по электронной почте или на нашем веб-сайте) за 60 (шестьдесят) дней до того, как новому Обработчику по субподряду будет предоставлен доступ к каким-либо Данным клиентов. Если Клиент не согласен утвердить нового Обработчика по субподряду, то Клиент вправе прекратить использование любых Услуг, на которые распространяется Соглашение, без каких-либо штрафных санкций, предоставив письменное уведомление о прекращении использования с указанием причины отказа в утверждении в течение 10 дней с момента получения нашего уведомления. Если Услуги, на которые распространяется Соглашение, входят в пакет или пакетную покупку, то прекращение использования распространяется на весь пакет.

7. Уведомления о нарушении безопасности

7.1 Инцидент нарушения безопасности. Если компании GoDaddy становится известно об Инциденте нарушения безопасности, GoDaddy без необоснованных задержек: 1) сообщает Клиенту об Инциденте нарушения безопасности; и 2) предпринимает разумные меры для минимизации последствий и любого ущерба, причиненного в результате Инцидента нарушения безопасности. 

7.2 Содействие GoDaddy.  В целях помощи Клиенту в связи с любыми уведомлениями о нарушениях защиты персональных данных, которые Клиент обязан делать в соответствии с любыми действующими законами о защите данных, компания GoDaddy включает в уведомление, в соответствии с разделом 8.1, такую информацию об Инциденте нарушения безопасности, которую GoDaddy обоснованно может раскрывать Клиенту, учитывая характер Покрываемых услуг, доступную GoDaddy информацию и любые ограничения относительно разглашения информации, например ее конфиденциальность.  

7.3 Инциденты неудачных попыток нарушения безопасности. Клиент соглашается с тем, что:

1. Инциденты неудачных попыток нарушения безопасности не регулируются условиями настоящего Дополнительного соглашения. Инцидент неудачной попытки нарушения безопасности — это происшествие, которое не приводит к неавторизованному доступу к Данным клиента или к любой Сети, оборудованию или материальной базе компании GoDaddy, где хранятся Данные клиента, и может включать, без ограничения, атаки пингованием и другие атаки путем пересылки сигналов сетевых экранов или пограничных серверов, сканирование портов, неуспешные попытки входа, атаки типа "отказ в обслуживании", анализ пакетов (или другой неавторизованный доступ к потоку данных, который не приводит к доступу далее заголовка) или подобные происшествия; и

2. Обязательство компании GoDaddy составлять отчет или принимать ответные меры в результате Инцидента нарушения безопасности в соответствии с данным разделом не должно и не может рассматриваться как признание компанией GoDaddy любого нарушения или ответственности компании GoDaddy в отношении Инцидента нарушения безопасности.  

7.4 Коммуникация. Уведомления об Инцидентах нарушения безопасности, при наличии, отправляются одному или нескольким администраторам Клиента любыми способами, которые выбирает GoDaddy, включая электронную почту. Обязанностью исключительно Клиента является обеспечение наличия правильной контактной информации администраторов Клиента на консоли управления GoDaddy и надежной передачи в любое время.

8. Права клиента

8.1 Независимое решение. Клиент несет ответственность за проверку информации, предоставляемой компанией GoDaddy касаемо защиты данных и Стандартов безопасности, а также за принятие независимого решения по поводу того, соответствуют ли Покрываемые услуги требованиям Клиента и юридическим обязательствам, а также обязательствам Клиента в соответствии с настоящим Дополнительным соглашением. Предоставленная информация предназначена для помощи Клиенту с целью соблюдения требований Клиента согласно действующим законам о защите данных, включая Общий регламент ЕС по защите персональных данных (GDPR), в отношении оценок влияния защиты данных и предварительных консультаций.

8.2 Права клиента на аудит. Клиент имеет право на подтверждение компанией GoDaddy соблюдения настоящего Дополнительного соглашения, насколько это применимо к Покрываемым услугам, включая конкретно соблюдение компанией GoDaddy ее Стандартов безопасности, путем применения в разумной мере права на проведение проверок или инспекций, включая проверки в соответствии со Стандартными контрактными положениями, если они применяются, путем специального запроса компании GoDaddy в письменной форме на адрес, указанный в его Условиях на оказание услуг. Если GoDaddy отказывается соблюдать любые инструкции, запрашиваемые Клиентом в отношении надлежащим образом запрашиваемой проверки или инспекции в разумных объемах, Клиент имеет право расторгнуть настоящее Дополнительно соглашение и Условия предоставления услуг. Если применяются Стандартные контрактные положения, ничто в настоящем разделе не меняет Стандартные контрактные положения и не влияет на права любого контролирующего органа или субъекта данных в соответствии со Стандартными контрактными положениями. Настоящий раздел также применяется в той мере, насколько компания GoDaddy контролирует действия Обработчиков по субподряду от имени Клиента.

9. Передача персональных данных.

9.1 Обработка на территории США. За исключением условий, отдельно указанных в Условиях предоставления услуг, Данные клиента передаются за пределы Европейского экономического пространства и обрабатываются в Соединенных Штатах Америки.  

9.2 Применение стандартных договорных положений. Стандартные договорные положения применяются к Данным клиента, которые передаются за пределы Европейской экономической зоны (напрямую или посредством автоматической передачи данных) в любую страну, которая не определяется Европейской комиссией как страна, обеспечивающая надлежащий уровень защиты персональных данных (как описано в регламенте GDPR). Стандартные договорные положения не применяются к Данным клиента, которые не передаются (напрямую или посредством автоматической передачи) за пределы Европейской экономической зоны.  Независимо от вышеизложенного Стандартные договорные положения не применяются в тех случаях, когда данные передаются согласно общепринятому стандарту соответствия для законной передачи персональных данных (как указано в регламенте GDPR) за пределы Европейской экономической зоны, например правилам обмена конфиденциально информацией между США и ЕС и между США и Швейцарией (Privacy Shield Frameworks).  

10. Расторжение Дополнительного соглашения

Настоящее Дополнительное соглашение будет оставаться в силе до прекращения нами обработки в соответствии с Условиями предоставления услуг ("Дата прекращения действия").   

11. Возвращение или удаление данных клиента

Как описано в разделе "Покрываемые услуги", Клиенту могут быть предоставлены средства контроля, которые он может использовать для извлечения или удаления Данных клиента. Любое удаление Данных клиента регулируется условиями для конкретных Покрываемых услуг.

12. Ограничения ответственности

На ответственность каждой стороны в соответствии с настоящим Дополнительным соглашением распространяются исключения и ограничения ответственности, установленные в Условиях предоставления услуг. Клиент соглашается, что любые штрафные санкции, налагаемые на компанию GoDaddy в связи с Данными клиента, которые возникли в результате или в связи с неспособностью Клиента исполнять свои обязанности в соответствии с настоящим Дополнительным соглашением, будут в соответствии с любыми действующими законами о защите данных погашены, и ответственность в соответствии с Условиями предоставления услуг с компании GoDaddy будет снята, как если бы это была ответственность Клиента в соответствии с Условиями предоставления услуг.

13. Полный текст Условий предоставления услуг; Конфликт

Настоящее Дополнительное соглашение заменяет собой все предыдущие или одновременные заверения, договоренности, соглашения или обмен информацией между Клиентом и компанией GoDaddy, как в устной, так и в письменной форме, в отношении содержания настоящего Дополнительного соглашения, включая любые приложения, касающиеся обработки данных, которые существовали между GoDaddy и Клиентом в отношении обработки персональных данных и свободного перемещения таких данных.  За исключением поправок, устанавливаемых настоящим Дополнительным соглашением, Условия предоставления услуг остаются в силе без изменений.  Если существует конфликт с другими соглашениями, действующими между сторонами, включая Условия предоставления услуг и настоящее Дополнительное соглашение, приоритетными являются положения настоящего Дополнительного соглашения.

** ************************************************

Приложение 1

 ПОДРОБНЫЕ СВЕДЕНИЯ ОБ ОБРАБОТКЕ

 1. Суть и цель обработки. Компания GoDaddy обрабатывает Персональные данные так, как это требуется для предоставления Покрываемых услуг в соответствии с Условиями предоставления услуг, соглашениями, действующими в отношении конкретной продукции, а также в соответствии с дальнейшими инструкциями Клиента на протяжении использования им Покрываемых услуг.

 2. Продолжительность обработки. В соответствии с разделом 10 настоящего Дополнительного соглашения, компания GoDaddy обрабатывает Персональные данные в течение даты вступления в силу Условий предоставления услуг, однако придерживается условий настоящего Дополнительного соглашения на протяжении Обработки, если такой срок превышается, и если иное не будет согласовано в письменной форме.

3. Категории и субъекты данных. Клиент может отправлять Персональные данные в ходе использования им Покрываемых услуг, в мере, определяемой и контролируемой Клиентом по его собственному усмотрению, что может включать, среди прочего, Персональные данные, относящиеся к таким категориям Субъектов данных:

  • Потенциальные клиенты, клиенты, бизнес-партнеры и поставщики Клиента (являющиеся физическими лицами)
  • Сотрудники или контактные лица потенциальных клиентов, клиентов, бизнес-партнеров и поставщиков Клиента
  • Сотрудники, агенты, консультанты, фрилансеры Клиента (являющиеся физическими лицами)
  • Пользователи Клиента, авторизованные Клиентом для использования Покрываемых услуг

 4. Тип персональных данных. Клиент может отправлять Персональные данные в ходе использования им Покрываемых услуг, тип и объемы которых определяются и контролируются Клиентом по его собственному усмотрению, и которые могут включать, среди прочего, такие категории Персональных данных Субъектов данных: 

  • имя;
  • адрес;
  • номер телефона;
  • дата рождения;
  • адрес электронной почты;
  • другие собираемые данные, с помощью которых можно прямо или косвенно установить вашу личность.

** ************************************************

Приложение 2

Стандарты безопасности

1. Технические и организационные меры  

Мы обязуемся защищать информацию своих клиентов.  Принимая во внимание наилучшие практики, стоимость введения в действие, характер, объемы, обстоятельства и цели обработки, а также разную вероятность возникновения и серьезность угрозы правам и свободам физических лиц, мы принимает такие технические и организационные меры.  При выборе мер учитывается конфиденциальность, целостность, доступность и отказоустойчивость систем. Быстрое восстановление после физического или технического инцидента гарантируется. 

2.  Программа защиты данных  

Наша программа защиты данных была введена в действие с целью поддержки глобальной структуры управления данными и защиты информации на протяжении всего ее жизненного цикла. Данная программа проводится ведомством инспектора по защите данных, которая контролирует введение в действие процедур по защите данных и мер безопасности. Мы регулярно проверяем, оцениваем и рассчитываем уровень эффективности Программы защиты данных и Стандартов безопасности.   

1. Конфиденциальность. "Конфиденциальность означает, что персональные данные защищаются от неавторизованного раскрытия".  

Мы используем различные физические и логические меры для защиты конфиденциальности персональных данных клиентов. К таким мерам относятся:   

  Физическая защита  

  • Применение систем контроля физического доступа (управление доступом с использованием пропусков, мониторинг событий безопасности и т. д.) 
  • Системы наблюдения, включая сигнальные оповещения и, когда это необходимо, видеонаблюдение
  • Применяемые меры контроля и политики "чистого стола" (блокирование неиспользуемых компьютеров, шкафы под замком и т. д.).  
  • Пропускная система
  • Уничтожение данных на физических носителях и документов измельчение, размагничивание и т. д.) 

  Контроль доступа и предупреждение несанкционированного доступа 

  • Действуют ограничения доступа пользователей, а права доступа на основе ролей предоставляются/проверяются по принципу разделения ответственности
  • Надежные методы проверки подлинности и авторизации (многофакторная проверка подлинности, авторизация на основе сертификата, автоматическая деактивация/выход и т. д.) 
  • Централизованное управление паролями и политики применения надежных/сложных паролей (минимальная длина, сложность символов, истечение срока действия паролей и т. д.)   
  • Контролируемый доступ к электронной почте и Интернету
  • Защита от вирусов
  • Управление системой предотвращения вторжений

Шифрование   

  • Шифрование внешних и внутренних коммуникаций посредством надежных криптографических протоколов
  • Шифрование PII/SPII неактивных данных (базы данных, совместно используемые каталоги и т. д.)   
  • Полное шифрование диска для принадлежащих компании ПК и ноутбуков
  • Шифрование носителей хранилища
  • Удаленные подключения к сетям компании шифруются через VPN
  • Защита всего жизненного цикла ключей шифрования

 Минимизация использования данных    

  • Минимизация использования персональных данных в приложении, при отладке и в журналах безопасности
  • Псевдонимизация персональных данных для предотвращения прямой идентификации отдельных лиц
  • Разделение хранящихся данных по функции (испытание, перемещение, автоматическое обновление)
  • Логическое разделение данных посредством прав доступа на основе ролей
  • Четко обозначенные периоды хранения персональных данных

Проверка системы безопасности     

  • Испытание на проникновение для наиболее важных сетей компании и платформ, где размещаются персональные данные
  • Регулярные проверки сети и поиск уязвимостей

2. Целостность. "Целостность означает обеспечение правильности (сохранности) данных и правильное функционирование систем. Когда термин "целостность" используется в сочетании с термином "данные", это означает, что данные являются полными и не подвергались изменениям".  

Для поддержания целостности данных применяются надлежащие средства управления изменениями и входом, помимо средств контроля доступа, а именно:    

Управление изменениями и выпусками    

  • Процедуры управления изменениями и выпусками (включая анализ влияния, утверждения, испытание, проверки безопасности, перемещение данных, мониторинг и т. д.)  
  • Роль и предоставление доступа на основе функции (разделение обязанностей) в производственной среде

Регистрация и мониторинг

  • Регистрация доступа и изменение данных
  • Централизованная проверка и журналы безопасности
  • Мониторинг полноты и правильности передачи данных (полная проверка)

3. Доступность. "Доступность услуг и ИТ-систем, компьютерных приложений и сетевых функций или информации гарантируется, если пользователи могут использовать их в любое время по назначению".    

Мы вводим в действие надлежащие меры по обеспечению стабильности и безопасности для поддержания доступности услуг и данных в рамках таких услуг:    

  • В отношении наиболее важных услуг проводятся регулярные проверки на отказоустойчивость
  • Тщательный мониторинг и составление отчетов для технических характеристик/доступности наиболее важных систем
  • Программа реагирования на инциденты
  • Дублирование или резервное копирование наиболее важных данных (резервное копирование в облаке/жесткие диски /дублированные базы данных и т. д.) 
  • Планируемое использование программного обеспечения, инфраструктуры и безопасности (обновления программного обеспечения, исправления уязвимостей и т. д.)   
  • Резервные и устойчивые к отказам системы (серверные кластеры, дублируемые базы данных, наборы схем с высокой доступностью и т. д.), расположенные дистанционно и/или в географически удаленных местоположениях
  • Использование источников бесперебойного питания, устойчивого к отказам аппаратного обеспечения и сетевых систем
  • Применение систем сигнализации и обеспечения безопасности
  • Средства физической защиты, применяемые на критически важных объектах (защита от перенапряжения, фальшполы, системы кондиционирования воздуха, детекторы дыма и/или огня, системы пожаротушения и т. д.) 
  • Защита от DDOS-атак для поддержания доступности
  • Испытание нагрузкой

4Инструкции в отношении обработки данных. "Инструкции в отношении обработки данных должны гарантировать, что персональные данные будут обрабатываться исключительно в соответствии с инструкциями оператора по обработке данных и соответствующими процедурами компании".  

Мы применяем внутренние политики конфиденциальности, соглашения и проводим регулярные тренинги для сотрудников для обеспечения обработки персональных данных в соответствии с предпочтениями и инструкциями клиентов.   

  • Положения о конфиденциальности и защите информации в контрактах с сотрудниками
  • Регулярные тренинги для сотрудников по вопросам защиты данных и обеспечения безопасности
  • Надлежащие контрактные положения в соглашениях с субподрядчиками для обеспечения прав контроля за выполнением инструкций
  • Регулярные проверки соблюдения требований к конфиденциальности для внешних поставщиков услуг
  • Предоставление клиентам полного контроля в соответствии с их предпочтениями в отношении обработки данных
  • Регулярный аудит безопасности

**********************************************

Приложение 3

Применимость данных установлена в разделе 9.2 настоящего Дополнительного соглашения

Стандартные контрактные положения (обработчики)

В целях Статьи 26(2) Директивы 95/46/EC для передачи персональных данных обработчикам, зарегистрированным в третьих странах, которые не обеспечивают надлежащий уровень защиты данных,

Сторона, обозначенная как "Клиент" в Дополнительном соглашении
("Экспортер данных")

и

GoDaddy.com, LLC

 ("импортер данных")

каждая "сторона"; совместно именуемые "стороны",

ДОГОВОРИЛИСЬ о приведенных ниже договорных положениях (Положения), чтобы принять надлежащие меры безопасности с целью защиты личных данных и основных прав и свобод лиц при передаче экспортером данных импортеру данных персональных данных, как указано в Приложении 1.

Положение 1

Определения

В целях Положений:

а) термины "персональные данные", "особые категории данных", "обработка", "оператор", "обработчик", "субъект данных" и "контролирующий орган" имеют то же значение, что и термины в Директиве 95/46/EC Европейского парламента и Совета Европы от 24 октября 1995 г. о защите прав лиц в том, что касается обработки персональных данных и свободного перемещения таких данных;

б) "экспортер данных" означает оператора, который передает персональные данные;

в) "импортер данных" означает обработчика, который соглашается получать от экспортера данных персональные данные, предназначенные для обработки от его имени после передачи в соответствии с его инструкциями и условиями Положений, и на которого не распространяется действие систем третьих стран, обеспечивающих надлежащую защиту, в соответствии со значением, определяемым Статьей 25(1) Директивы 95/46/EC;

г) "обработчик по субподряду" означает любого обработчика, привлекаемого импортером данных или любым другим обработчиком по субподряду импортера данных, который соглашается получать от импортера данных или от любого другого обработчика по субподряду импортера данных персональные данные, предназначенные исключительно для операций обработки, которые должны выполняться от имени экспортера данных после передачи, в соответствии с его инструкциями, условиями Положений и условиями письменного контракта о субподряде;

д) "действующий закон о защите данных" означает законодательство, защищающее фундаментальные права и свободы лиц и, в частности, их право на неприкосновенность частной жизни в контексте обработки персональных данных, которое применяется в отношении оператора по обработке в Государстве-участнике, где зарегистрирован экспортер данных;

е) "технические и организационные меры безопасности" означают меры, направленные на защиту персональных данных от случайного или незаконного разрушения или случайной утраты, изменения, неавторизованного раскрытия или доступа, в частности, в тех случаях, когда обработка включает передачу данных по сети, а также против всех других незаконных форм обработки.

Положение 2

Подробные сведения о передаче

Подробные сведения о передаче и, в частности, особые категории персональных данных, когда это применимо, указаны в Приложении 1, которое представляет собой неотъемлемую часть настоящих Положений.

Положение 3

Положение о стороннем выгодоприобретателе

1.  Субъект данных может применять против экспортера данных настоящее Положение, Положение 4(б)–(и), Положение 5(а)–(д) и (ж)–(к), Положение 6(1) и (2), Положение 7, Положение 8(2) и Положения 9–12 в качестве стороннего выгодоприобретателя.

2.  Субъект данных может применять против импортера данных настоящее Положение, Положение 5(а)–(д) и (ж), Положение 6, Положение 7, Положение 8(2) и Положения 9–12 в случаях, когда экспортер данных фактически исчез или перестал существовать с юридической точки зрения, кроме случаев, когда какая-либо организация-правопреемник взяла на себя все юридические обязательства экспортера данных по договору или в силу закона, в результате чего она берет на себя права и обязательства экспортера данных — в таком случае субъект данных может применять их против такой организации.

3.  Субъект данных может применять против обработчика по субподряду настоящее Положение, Положение 6(a)–(e) и (g), Положение 7, Положение 8, Положение 2(9) и Положения 12–12 в случаях, когда и экспортер данных, и импортер данных фактически исчезли, или перестали существовать с юридической точки зрения, или были ликвидированы по факту банкротства, кроме случаев, когда любая организация-правопреемник взяла на себя все юридические обязательства экспортера данных по контракту или в силу закона, в результате чего она берет на себя права и обязательства экспортера данных — в таком случае субъект данных может применять их против такой организации. Такая ответственность третьей стороны обработчика по субподряду ограничивается его собственными операциями по обработке в соответствии с Положениями.

4.  Стороны не возражают против того, чтобы субъект данных был представлен ассоциацией или другой организацией, если субъект данных явно того желает и если это разрешается национальным законодательством.

Положение 4

Обязанности экспортера данных

Экспортер данных обязуется и гарантирует:

а) что обработка персональных данных, включая саму передачу, осуществлялась и будет осуществляться далее согласно соответствующим положениям действующего закона о защите данных (и, когда это применимо, о ней были проинформированы соответствующие органы Государства-участника, где зарегистрирован экспортер данных), а также не нарушает соответствующие нормы такого Государства;

б) что он проинструктировал и на протяжении всего оказания услуг по обработке персональных данных будет инструктировать импортера данных обрабатывать переданные персональные данные только от имени экспортера данных и в соответствии с действующим законом о защите данных и Положениями;

в) что импортер данных предоставляет достаточные гарантии в отношении технических и организационных мер безопасности, указанных в Приложении 2 к настоящему договору;

г) что после оценки требований действующего закона о защите данных меры безопасности являются надлежащими для защиты персональных данных от случайного или незаконного уничтожения или случайной потери, изменения, неавторизованного разглашения или доступа, в особенности в случаях, когда обработка включает передачу данных по сети, а также от всех других незаконных форм обработки, и что такие меры обеспечивают надлежащий уровень безопасности с учетом рисков, которые подразумевает обработка, и характера защищаемых данных, принимая во внимание современные технологии и стоимость их реализации;

д) будет обеспечено соблюдение всех мер безопасности;

е) что если передача включает особые категории данных, субъект данных был проинформирован или будет проинформирован заранее либо в максимально короткие сроки после передачи о том, что данные могут быть переданы в третью страну, не обеспечивающую надлежащую защиту согласно значению, установленному Директивой 95/46/EC;

ж) передавать любые уведомления, полученные от импортера данных или любого обработчика по субподряду в соответствии с Положением 5(б) и Положением 8(3), контролирующему органу по защите данных, если экспортер данных решит продолжить передачу или отозвать решение о приостановлении;

з) предоставить субъектам данных по запросу копию Положений, за исключением Приложения 2, и краткое описание мер безопасности, а также копию любого договора на услуги обработки по субподряду, которые должны быть оказаны в соответствии с Положениями, за исключением случаев, когда Положения или договор содержат коммерческую информацию — в таких случаях эта коммерческая информация может быть удалена;

и) что в случае обработки по субподряду операции обработки выполняются обработчиком по субподряду в соответствии с Положением 11 с обеспечением как минимум того же уровня защиты персональных данных и прав субъекта данных, который предоставляется импортером данных в соответствии с Положениями;

к) что будет обеспечено соблюдение Положения 4(а)–(и).

Положение 51.

Обязанности импортера данных

Импортер данных обязуется и гарантирует:

а) обрабатывать персональные данные только от имени экспортера данных и в соответствии с его инструкциями и Положениями; если соблюдение этого условия невозможно по любым причинам, он соглашается незамедлительно информировать экспортера данных о невозможности соблюдения, в случае чего экспортер данных имеет право приостановить передачу данных и/или расторгнуть договор;

б) что у него нет причин предполагать, что законодательство, регулирующее его деятельность, запрещает выполнение им инструкций, полученных от экспортера данных, и его обязанностей по настоящему договору и что в случае изменений в таком законодательстве, которые с вероятностью могут негативно сказаться на гарантиях и обязательствах, предусмотренных настоящими Положениями, он незамедлительно сообщит о таких изменениях экспортеру данных, как только о них станет известно — в таком случае экспортер данных имеет право остановить передачу данных и/или расторгнуть договор;

в) перед обработкой передаваемых персональных данных были приняты технические и организационные меры безопасности, указанные в Приложении 2;

г) что он будет без промедления уведомлять экспортера данных о следующем:

1) любой юридически обязывающий запрос на раскрытие персональных данных судебного органа, если это не запрещено законом (например, запрет в соответствии с уголовным кодексом с целью соблюдения тайны судебного расследования);

2) любой случайный или неавторизованный доступ, и

3) любой запрос, полученный напрямую от субъектов данных, на который не был дан ответ, за исключением случаев, когда на это имеются необходимые полномочия;

д) оперативно и надлежащим образом обрабатывать все запросы экспортера данных в отношении обработки персональных данных, подлежащих передаче, а также следовать предписаниям контролирующих органов в отношении обработки передаваемых данных;

е) по запросу экспортера данных предоставить его материально-техническую базу для обработки данных с целью проверки операций по обработке, предусмотренных настоящими Положениями, которая осуществляется экспортером данных или инспектирующим органом, который состоит из независимых членов, имеющих необходимые профессиональные квалификации, обязанных соблюдать конфиденциальность и выбранных экспортером данных, когда это применимо, по согласованию с контролирующим органом;

ж) предоставить субъекту данных по запросу копию Положений или любого действующего договора на услуги обработки по субподряду за исключением случаев, когда Положения или договор содержат коммерческую информацию — в таких случаях эта коммерческая информация может быть удалена, за исключением Приложения 2, которое заменяется кратким описанием мер безопасности в тех случаях, когда субъект данных не может получить копию от экспортера данных;

з) что в случае обработки по субподряду он ранее проинформировал экспортера данных и получил его предварительное письменное согласие;

и) что услуги обработки обработчиком по субподряду будут оказываться в соответствии с Положением 11;

к) незамедлительно отправлять экспортеру данных копию любых соглашений с обработчиками данных по субподряду, которые заключаются в соответствии с Положениями.

Положение 6

Ответственность

1.  Стороны соглашаются с тем, что любой субъект данных, который понес ущерб в результате любого нарушения обязательств, установленных Положением 3 или Положением 11, любой стороной или обработчиком по субподряду, имеет право получить компенсацию от экспортера данных за причиненный ущерб.

2.  Если субъект данных не может подать иск о компенсации в соответствии с параграфом 1 против экспортера данных в результате нарушения импортером данных или его обработчиком по субподряду их обязательств, установленных в Положении 3 или в Положении 11, поскольку экспортер данных фактически исчез, перестал существовать с юридической точки зрения или был ликвидирован по факту банкротства, импортер данных соглашается с тем, что субъект данных может возбудить иск против импортера данных как против экспортера данных, за исключением случаев, когда какая-либо организация-правопреемник берет на себя все юридические обязательства экспортера данных по договору или в силу закона — в таких случаях субъект данных может предъявлять претензии касаемо защиты своих прав такой организации. Импортер данных не вправе использовать нарушение обязательств обработчиком данных по субподряду в качестве основания для уклонения от своих собственных обязательств.

3.  Если субъект данных не может подать иск против экспортера или импортера данных в соответствии с параграфами 1 и 2 в результате нарушения обработчиком по субподряду любых его обязательств, установленных в Положении 3 или в Положении 11, поскольку и экспортер данных, и импортер данных фактически исчезли, перестали существовать с юридической точки зрения или были ликвидированы по факту банкротства, обработчик данных по субподряду соглашается с тем, что субъект данных может возбудить иск против обработчика данных по субподряду в отношении его собственных операций по обработке в соответствии с Положениями как против экспортера или импортера данных, за исключением случаев, когда какая-либо организация-правопреемник берет на себя все юридические обязательства экспортера или импортера данных по договору или в силу закона — в таких случаях субъект данных может выдвигать претензии касаемо защиты своих прав против такой организации. Ответственность обработчика по субподряду ограничивается его собственной деятельностью по обработке в соответствии с Положениями.

Положение 7

Судебное примирение и юрисдикция

1.  Импортер данных соглашается с тем, что если субъект данных применяет против него его права стороннего выгодоприобретателя и/или возбуждает иск о компенсации за ущерб, причиненный в соответствии с Положениями, то импортер данных принимает такое решение субъекта данных:

а) передавать спор на урегулирование независимым лицом или, если применимо, контролирующим органом;

б) передавать споры на рассмотрение в суды Государства-участника, в котором зарегистрирован экспортер данных.

2.  Стороны соглашаются с тем, что выбор, сделанный субъектом данных, не ограничивает его основные или процессуальные права прибегать к средствам правовой защиты в соответствии с другими положениями национального или международного законодательства.

Положение 8

Сотрудничество с контролирующими органами

1.  Экспортер данных обязуется передать на хранение копию настоящего договора контролирующему органу по его требованию или в случае, если такая передача требуется в соответствии с действующим законом о защите данных.

2.  Стороны соглашаются с тем, что контролирующий орган имеет право проводить проверки импортера данных и любых обработчиков по субподряду, которые осуществляются в таких же масштабах и регулируются теми же условиями, что и проверки экспортера данных в соответствии с действующим законом о защите данных.

3.  Импортер данных обязан незамедлительно информировать экспортера данных о существовании законов, применимых к нему или любому обработчику по субподряду и запрещающих проведение проверки импортера данных или любого обработчика по субподряду в соответствии с параграфом 2. В таком случае экспортер данных имеет полномочия принимать меры, предусмотренные Положением 5(б).

Положение 9

Регулирующее законодательство

Положения регулируются законом Государства-участника, где зарегистрирован экспортер данных, а в случаях, когда возникают спорные ситуации или существует несколько экспортеров данных, регулируются законодательством Англии и Уэльса. 

Положение 10

Изменения договора

Стороны обязуются не изменять Положения. Это не запрещает сторонам добавлять положения, регулирующие рабочие вопросы, когда они требуются, если они не противоречат Положениям.

Положение 11

Обработка по субподряду

1.  Импортер данных не имеет права заключать договоры о субподряде в отношении любых своих операций, выполняемых от имени экспортера данных в соответствии с Положениями, без предварительного письменного согласия экспортера данных. В случаях, когда импортер данных передает свои обязательства в соответствии с настоящими Положениями по контракту о субподряде, при согласии экспортера данных, он делает это исключительно посредством письменного соглашения с обработчиком по субподряду, которое налагает те же обязательства на субподрядчика, что налагаются на импортера данных в соответствии с Положениями. В случаях, когда обработчик по субподряду не может выполнить свои обязательства в отношении защиты данных в соответствии с таким письменным соглашением, импортер данных несет полную ответственность перед экспортером данных за выполнение обязательств обработчика по субподряду в соответствии с таким соглашением.

2.  Предварительное письменное соглашение между импортером данных и обработчиком по субподряду также должно содержать положение о стороннем выгодоприобретателе, как установлено в Положении 3, для случаев, когда субъект данных не может подать иск о компенсации в соответствии с параграфом 1 Положения 6 против экспортера или импортера данных, поскольку тот фактически исчез, прекратил существование с юридической точки зрения или был ликвидирован по факту банкротства и ни одна организация не взяла на себя в качестве преемника все юридические обязательства экспортера или импортера данных по договору либо в силу закона. Такая ответственность третьей стороны обработчика по субподряду ограничивается его собственными операциями по обработке в соответствии с Положениями.

3.  Положения, касающиеся аспектов защиты данных для обработки по субподряду, в договоре, определение которому дается в параграфе 1, регулируются законом Государства-участника, где зарегистрирован экспортер данных.

4.  Экспортер данных ведет список соглашений об обработке по субподряду, заключенных в соответствии с Положениями, по уведомлениям импортера данных в соответствии с Положением 5(к), который обновляется как минимум один раз в год. Список предоставляется контролирующему органу в сфере защиты данных экспортера данных.

Положение 12

Обязательства после прекращения предоставления услуг по обработке персональных данных

1.  Стороны соглашаются с тем, что при прекращении оказания услуг по обработке данных импортер данных и обработчик по субподряду по усмотрению экспортера данных возвращают все переданные персональные данные и их копии экспортеру данных либо уничтожают все персональные данные и подтверждают этот факт экспортеру данных, за исключением тех случаев, когда законодательство, регулирующее действия импортера данных, лишает его возможности вернуть или уничтожить переданные персональные данные целиком или частично. В таком случае импортер данных гарантирует обеспечение конфиденциальности переданных персональных данных, а также то, что более не будет активно осуществлять их обработку.

2.  Импортер данных и обработчик по субподряду гарантируют, что по запросу экспортера данных и/или контролирующего органа они предоставят свою материально-техническую базу для обработки данных с целью проведения проверки мер, предусмотренных параграфом 1.

**********************************************

Приложение 1 к Стандартным контрактным положениям

Экспортер данных

Экспортер данных — это организация, определяемая как "Клиент" в Дополнении к соглашению

Импортер данных

Импортер данных — это GoDaddy.com, LLC , поставщик размещенных услуг.

Субъекты данных

Операциям обработки дается определение в разделе 1.3 и Приложении 1 настоящего Дополнительного соглашения.

Категории данных

Операциям обработки дается определение в разделе 1.3 и Приложении 1 настоящего Дополнительного соглашения.

Операции обработки

Операциям обработки дается определение в разделе 1.3 и Приложении 1 настоящего Дополнительного соглашения.

Приложение 2 к Стандартным контрактным положениям

Настоящее Приложение представляет собой часть Положений.  При приобретении Покрываемых услуг у компании GoDaddy, Дополнительное соглашение и настоящее Приложение 2 рассматриваются как принятые и подписанные сторонами.

Описание технических и организационных мер безопасности, введенных в действие импортером данных в соответствии с Положениями 4 (г) и 5(в) (или прилагаемым документом/законом):

Технические и организационные меры безопасности, введенные в действие импортером данных, описаны в настоящем Дополнительном соглашении, а именно в Приложении 2, которое прилагается к нему и является его неотъемлемой частью.


1             Обязательные требования национального законодательства, применимые к импортеру данных, не превышающие нормы, необходимые в демократическом обществе, в соответствии с одним из принципов, перечисленных в статье 13(1) Директивы 95/46/EC, если они представляют собой необходимую меру для защиты национальной безопасности, обороны, общественной безопасности, предупреждения, расследования, обнаружения и преследования уголовных правонарушений или нарушений этических норм для регламентируемых профессий, важных экономических или финансовых интересов Государства или субъекта данных или прав и свобод других лиц, — не противоречат стандартным контрактным положениям. Некоторые примеры таких обязательных требований, не превышающих нормы, необходимые в демократическом обществе, — это, среди прочего, признанные на международном уровне санкции, требования по предоставлению налоговой отчетности или требования по составлению отчетов в рамках противодействия отмыванию денег.

Редакция: 29.01.2019
Copyright © 2019 GoDaddy.com, LLC. Все права защищены.