GoDaddy - 資料處理補充附件
本資料處理補充附件 (本「補充附件」) 由您 (「客戶」) 和 GoDaddy 共同執行,後者為通用服務條款和您與 GoDaddy 之間其他任何協議 (統稱「協議」) 的參與方。GoDaddy 和客戶在此分別稱為「任一方」,合稱「各方」。本資料處理補充附件和協議同一天生效 (「生效日期」),並約束所有按照協議處理客戶個人資料的情形。
1.定義。除非適用資料保護法 (定義如下) 另有定義,否則本節以大寫呈現的詞彙意思如下:
1.1「聯盟商」係指任何控制任一方或由任一方共同控制的實體。「控制」係指對某實體百分之五十 (50%) 以上投票興趣的直接或間接所有權或控制權。
1.2.「控管者」係指依據本協議決定客戶個人資料處理目的和方式的獨立或合作自然人、法人、政府主管機關、代理商或其他實體。
1.3「客戶個人資料」係指因客戶使用服務而由 GoDaddy 代表客戶處理的任何個人資料 (定義如下)。客戶個人資料不包括 GoDaddy 資料。
1.4「資料保護法」係指任何適用本協議處理客戶個人資料情形的法律或法規。
1.5「資料主體」係指特定個人資料相關的已辨識或可辨識自然人。
1.6「去身分化資料」係指無法以合理方式直接或間接辨識、關聯、描述、可以建立關係、連結特定資料主體的資料。
1.7「GoDaddy 資料」係指 (a) 所有和 GoDaddy 企業和提供服務相關的資訊,包括但不限於和客戶、該公司員工或代表人有關的個人資料、(b) 其他和客戶帳戶、交易記錄、使用服務和身分驗證相關的資料,以及 (c) 符合任何適用資料保護法限制的去身分化資料。
1.8「個人資料」係指和已辨識或可辨識的自然人相關的資訊,包括由任何適用資料保護法定義為個人資料、個人資訊或個人身分識別資訊 (「PII」) 的任何資訊。個人資料不包括去身分化的資料。
1.9「處理」係指任何對客戶個人資料採取的行動,如收集、使用、儲存、揭露、分析、刪除或修改,無論人工或自動處理方式。
1.10「處理方」係指依據協議代表控管者處理客戶個人資料的自然人、法人、政府主管機關、代理商或實體。
1.11「敏感個人資料」意指 (a) 社會安全碼、護照編號、駕照編號或類似識別號碼;(b) 信用卡或簽帳金融卡資訊、財務資訊、銀行帳戶號碼或帳戶密碼;(c) 職業、財務、基因、生物或健康資訊;(d) 種族、民族、政治或宗教歸屬、工會會員資格,或性生活或性向相關資訊;(e) 帳戶密碼、母親原名、出生日期,以及其他可以用來驗證使用者身分的類似資訊;(f) 刑事犯罪記錄;(g) 能夠用來辨識特定人士的生物資料 (如指紋);或 (h) 其他任何符合任何適用資料保護法律「特殊資料類別」定義的資訊或資訊組合。
1.12「服務」係指 GoDaddy 依據協議而同意提供的產品或服務,包括處理客戶個人資料。
1.13「再處理方」係指任何由 GoDaddy 訂立合約,以處理客戶個人資料的自然人或法人、政府主管機關、代理商或實體。
1.14「傳輸」係指 (a) 從控管者傳輸客戶個人資料到處理方,不限實體傳輸形式,或授權存取由控管者持有或以其他方式控制的客戶個人資料,或 (b) 從處理方再行傳輸客戶個人資料給再處理方 (以及由再處裡方後續再行傳輸給其他再處理方)。
2.資料處理範疇與各方之間的關係2.1 客戶作為控管者或處理方
2.1.1 若客戶是控管者,則客戶 (a) 須自行負責決定處理客戶個人資料的目的和方式、(b) 擁有所有必要的權限、基礎、權利和許可,可提供客戶個人資料給 GoDaddy,且 (c) 會遵守使用資料保護法的控管者義務。
2.1.2 若客戶是處理方,則客戶 (a) 須自行負責遵守和客戶處理個人資料的代表控管者之間的協議、(b) 已由控管者授予所有必要的權限,可提供客戶個人資料給 GoDaddy,且 (c) 會遵守資料處理法的處理方義務。
2.2 GoDaddy 作為處理方或再處理方。
2.2.1 GoDaddy 會採取所有合理必要的步驟,讓使用者得以遵守客戶作為資料保護法控管者和/或處理方的義務,並合乎 GoDaddy 提供服務的特質、性質、範疇和目的。為免疑義,GoDaddy 不須採取任何步驟改變或使 GoDaddy 的服務合乎客戶的特定使用方式。若服務經判斷並未合乎客戶的特定使用方式,則客戶的唯一救濟方式是終止協議中任何和處理客戶個人資料有關的部分。
2.2.2 GoDaddy 只會在收到記載協議、本資料處理補充附件或法律要求限制和特定目的之指示文件後才會處理客戶個人資料。
2.2.3 GoDaddy 不會為了提供服務以外的商業目的販售、留存、使用或揭露客戶個人資料。
2.2.4 GoDaddy 不會在各方依據協議和本資料處理補充附件所述的直接商業關係之外處理客戶個人資料。
2.2.5 除非協議明確允許,否則 GoDaddy 不會將客戶個人資料和其他 GoDaddy (直接或透過任何第三方) 收集的資料合併。
2.2.6 如果 GoDaddy 發生以下狀況,GoDaddy 會在三 (3) 個工作天內停滯處理並通知客戶:(a) 認為客戶指示違反任何適用的資料處理法,或 (b) 判斷 GoDaddy 無法遵守任何適用的資料處理法,或本資料處理補充附件規範的義務。
2.3 聯盟商。
2.3.1 客戶聯盟商。在此資料處理補充附件內,任何代表客戶和/及客戶聯盟商處理的客戶聯盟商提供給 GoDaddy 或 GoDaddy 聯盟商的個人資料皆應視為客戶個人資料,並視為由客戶提供。客戶聲明會採取所有合理必要的措施,確保其聯盟商會遵守本資料處理補充附件的所有客戶義務。客戶須負責讓其聯盟商遵守本資料處理補充附件的所有條款。
2.3.2 GoDaddy 聯盟商。在本資料處理補充附件內,任何 GoDaddy 聯盟商所收取的客戶個人資料皆應視為由 GoDaddy 收取。GoDaddy 聲明會採取所有合理必要的措施,確保其聯盟商會遵守 GoDaddy 在依據本資料處理補充附件處理客戶個人資料時的義務。GoDaddy 須負責讓 GoDaddy 的聯盟商遵守本資料處理補充附件的所有條款。
3.再處理3.1 客戶授予 GoDaddy 聘用再處理方的一般權限。
4.法律程序和其他第三方要求提供客戶個人資料4.1 GoDaddy 不會回應由政府機關、執法機關、或其他人士對任何客戶個人資料提出的非正式要求,回應傳票、搜查令、法院命令或其他相似的法律程序 (統稱「法律程序」) 不在此限,除非 GoDaddy 依照合理酌情判斷該揭露 (a) 屬於法律要求提供、(b) 為保護 GoDaddy 系統或資料不受傷害或誤用而有所必要,或 (c) 保護 GoDaddy 或其他人士不受損失或實體傷害而有所必要。
4.2 除非法律禁止,否則若 GoDaddy 收到任何法律程序,要求 GoDaddy 必須提供客戶個人資料存取權或揭露客戶個人資料,該公司將會立即通知客戶瞭解。
4.3 除非法律另有規定,否則 GoDaddy 將和客戶 (由客戶合理支出) 合作,由客戶以任何方式不向法律程序揭露客戶的個人資料。
5.資料安全性5.1 GoDaddy 會維護一份資訊安全性計畫,包括合宜並以文件記錄的技術和組織措施,使依據本協議處理客戶個人資料時,得以確保適當處理風險的安全性等級,包括任何由適用資料保護法所要求的特定措施。
5.2 客戶明確知悉,GoDaddy 提供安全性功能給客戶使用,以便保護客戶個人資料。客戶須自行負責採取合宜的風險基礎步驟,藉此保護客戶帳戶和客戶個人資料安全,使這些資訊能夠受到客戶控管,包括使用由 GoDaddy 提供的安全性功能。客戶也須自行負責確認所有客戶置放或導致置放在服務內的內容,均無可能導致客戶個人資料和 GoDaddy 系統遭到滲透的漏洞,包括但不限於惡意軟體。GoDaddy 不負責備份客戶個人資料。
5.3 客戶必須遵守所有支付卡產業資料安全標準規範 (「PCI-DSS」),並僅可在專門用來處理含有信用卡、簽帳金融卡或其他付款卡片持有人資訊的客戶個人資料 (「PCI-DSS 資料」) 的 GoDaddy 服務相關範圍內,將該等 PCI-DSS 資料提供給 GoDaddy。如果客戶使用 GoDaddy 服務在非 GoDaddy 的 PCI-DSS 循規服務提供內容內處理或儲存 PCI-DSS 資料,客戶須自行負責違反 PCI-DSS 規範的後果。
5.4 除了任何 GoDaddy 任何必須採取以遵守適用資料保護法義務的措施,以及為了 GoDaddy PCI-DSS 申訴服務必要的 PCI-DSS 規範之外,GoDaddy 尚須實施本資料處理補充附件於附錄 2 所述的特定技術和組織措施。
6. 資料安全性事件6.1 GoDaddy 向客戶提供充裕的機會,使客戶得以存取和控管代表客戶所處理的客戶個人資料內容。對於並非由於 GoDaddy 系統遭到滲透而導致任何意外或不合法的破壞、損失、改變、未經授權的揭露或存取客戶個人資料,GoDaddy 不負任何責任。GoDaddy 免負責任的安全性事件範例包括客戶無法保持密碼機密、下載惡意內容,或其他任何因客戶而導致發生或進入服務和客戶託管環境的安全性漏洞。
6.2 GoDaddy 會在適當法律所規範的時間範圍內,以商業合理資源通知客戶得知 GoDaddy 系統發生安全漏洞,導致意外或不合法的破壞、損失