Vertinimo paslaugų klientas, sutinkantis su šiomis sąlygomis (Klientas), sudaro sutartį su „Google“ arba trečiosios šalies perpardavėju (jei taikoma) dėl Vertinimo paslaugų (kuri retkarčiais gali būti keičiama, Sutartis), per kurių naudotojo sąsają Klientas įgalino duomenų bendrinimo nustatymą, teikimo.
Dėl šių „Google“ vieno duomenų valdytojo kitam perduodamų duomenų vertinimo apsaugos sąlygų (Duomenų valdytojo sąlygos) susitaria „Google“ ir Klientas. Kai Klientas ir „Google“ yra sudarę Sutartį, šios Duomenų valdytojo sąlygos ją papildo. Kai sutartį yra sudarę Klientas ir trečiosios šalies perpardavėjas, šios Duomenų valdytojo sąlygos sudaro atskirą „Google“ ir Kliento sutartį.
Kad būtų išvengta abejonių, Vertinimo paslaugų teikimą reglamentuoja Sutartis. Šiose Duomenų valdytojo sąlygose nustatomos duomenų apsaugos nuostatos, susijusios tik su duomenų bendrinimo nustatymu, tačiau kitaip netaikomos teikiant Vertinimo paslaugas.
Atsižvelgiant į 6.2 skirsnį („Nėra poveikio Duomenų tvarkytojo sąlygoms“), šios Duomenų valdytojo sąlygos įsigalioja ir pakeičia visas anksčiau taikytas sąlygas, susijusias su objektu, nuo Sąlygų įsigaliojimo datos.
Jei sutinkate su šiomis Duomenų valdytojo sąlygomis Kliento vardu, garantuojate, kad: a) turite visus teisinius įgaliojimus įpareigoti Klientą laikytis šių Duomenų valdytojo sąlygų; b) perskaitėte ir suprantate šias Duomenų valdytojo sąlygas ir c) Kliento vardu sutinkate su šiomis Duomenų valdytojo sąlygomis. Jei neturite teisinių įgaliojimų įpareigoti Klientą, nesutikite su šiomis Duomenų valdytojo sąlygomis.
Jei esate perpardavėjas, nesutikite su šiomis Duomenų valdytojo sąlygomis. Šiose Duomenų valdytojo sąlygose išdėstytos teisės ir įsipareigojimai, kurie galioja Vertinimo paslaugų naudotojams ir „Google“.
1. Įžanga
Šios Duomenų valdytojo sąlygos atspindi šalių susitarimą dėl Duomenų valdytojo asmens duomenų apdorojimo pagal duomenų bendrinimo nustatymą.
2. Apibrėžtys ir paaiškinimas
2.1
Šiose Duomenų valdytojo sąlygose
„Papildomos sąlygos“ reiškia papildomas sąlygas, nurodytas pirmame priede, kuriame pateikiama šalių sutartis dėl Duomenų valdytojo asmens duomenų tvarkymo pagal tam tikrus taikomus duomenų apsaugos įstatymus sąlygų.
„Patronuojamoji bendrovė“ reiškia subjektą, kuris tiesiogiai ar netiesiogiai valdo šalį, yra jos valdomas arba valdo bendrai su šalimi.
„Taikomi duomenų apsaugos įstatymai“ reiškia, kaip taikoma Duomenų valdytojo asmens duomenims, visus nacionalinius, federalinius, ES, valstijos, provincijos ar kitus privatumo, duomenų saugos ar duomenų apsaugos įstatymus ar reglamentus, įskaitant Europos duomenų apsaugos teisės aktus, BADAĮ ir JAV privatumo įstatymus.
„Konfidenciali informacija“ reiškia šias Duomenų valdytojo sąlygas.
„Duomenų valdytojo duomenų subjektas“ reiškia duomenų subjektą, su kuriuo susiję Duomenų valdytojo asmens duomenys.
„Duomenų valdytojo asmens duomenys“ reiškia asmens duomenis, kuriuos šalis apdoroja pagal Duomenų bendrinimo nustatymą.
„Duomenų bendrinimo nustatymas“ reiškia duomenų bendrinimo nustatymą, kurį Klientas įgalino naudodamas Vertinimo paslaugų naudotojo sąsają, leidžiantį „Google“ ir jos patronuojamosioms bendrovėms naudoti asmens duomenis „Google“ ir jos patronuojamųjų bendrovių produktams ir paslaugoms tobulinti.
„Galutinis duomenų valdytojas“ reiškia galutinį kiekvienos šalies Duomenų valdytojo asmens duomenų valdytoją.
„ES BDAR“ reiškia 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinama Direktyva 95/46/EB.
„Europos duomenų apsaugos teisės aktai“ atitinkamais atvejais reiškia: a) BDAR ir (arba) b) Šveicarijos FDAĮ.
„BDAR“ atitinkamais atvejais reiškia: a) ES BDAR ir (arba) b) JK BDAR.
„Google“ reiškia:
- a) „Google“ subjektą, kai „Google“ subjektas yra Sutarties šalis;
- b) kai Sutartis sudaryta tarp Kliento ir trečiosios šalies perpardavėjo, o:
- i) trečiosios šalies perpardavėjas organizuotai veikia Šiaurės Amerikoje arba kitame regione už Europos, Artimųjų Rytų, Afrikos, Azijos ir Okeanijos ribų, – „Google LLC“ (anksčiau vadintas „Google Inc.“);
- ii) trečiosios šalies perpardavėjas organizuotai veikia Europoje, Viduriniuose Rytuose ar Afrikoje, – „Google Ireland Limited“ arba
- iii) trečiosios šalies perpardavėjas organizuotai veikia Azijoje ir Okeanijoje, – „Google Asia Pacific Pte. Ltd.“
„Google“ subjektas“ reiškia „Google LLC“, „Google Ireland Limited“ arba bet kurią kitą „Google LLC“ patronuojamąją bendrovę.
„BADAĮ“ reiškia Brazilijos bendrąjį duomenų apsaugos įstatymą („Lei Geral de Proteção de Dados Pessoais“).
„Vertinimo paslaugos“ reiškia „Google Analytics“, „Google Analytics 360“, „Google Analytics“, skirtą „Firebase“, „Google Optimize“ arba „Google Optimize 360“, pagal taikomą duomenų bendrinimo nustatymą, dėl kurio šalys sutiko su šiomis Duomenų valdytojo sąlygomis.
„Politika“ reiškia „Google“ galutinio naudotojo sutikimo politiką, pasiekiamą https://www.google.com/about/company/user-consent-policy.html.
„Duomenų tvarkytojo sąlygos“ reiškia:
- a) jei „Google“ yra Sutarties šalis, – duomenų tvarkytojo sąlygas, pasiekiamas https://business.safety.google/adsprocessorterms; arba
- b) jei sudaryta Sutartis tarp Kliento ir trečiosios šalies perpardavėjo, – tokias sąlygas, atspindinčias duomenų valdytojo ir duomenų tvarkytojo ryšį (jei toks yra), dėl kurių susitarė Klientas ir trečiosios šalies perpardavėjas.
„Šveicarijos FDAĮ“ reiškia 1992 m. birželio 19 d. Federalinį duomenų apsaugos įstatymą (Šveicarija).
„Sąlygų įsigaliojimo data“ reiškia datą, kai Klientas spustelėjo, kad sutiktų, ar šalys kitaip sutiko su šiomis Duomenų valdytojo sąlygomis.
„JK duomenų valdytojo asmens duomenys“ reiškia Duomenų valdytojo duomenų subjektų, esančių JK, Duomenų valdytojo asmens duomenis.
„JK BDAR“ reiškia ES BDAR, iš dalies pakeistą ir įtrauktą į JK teisinę sistemą pagal 2018 m. JK Europos Sąjungos (Pasitraukimo) aktą, ir galiojantį papildomą įstatymą, priimtą pagal šį aktą.
„JAV privatumo įstatymai“ reiškia, kaip taikoma (i) 2018 m. Kalifornijos vartotojų privatumo aktą (įskaitant pataisytą 2020 m. Kalifornijos privatumo teisių aktą) ir visus įgyvendinimo nuostatus (KVPA); ii) Virdžinijos Vartotojų duomenų apsaugos įstatymą, Va. kodeksas Ann. 59.1–571 ir paskesni str.; ir iii) Kolorado privatumo įstatymą, Colo. per. stat. 6-1-1301 str. ir paskesni str.; iv) Konektikuto įstatymą dėl duomenų privatumo ir stebėjimo internete, pub. Įstatymas Nr. 22015; ir v) Jutos vartotojų privatumo aktą, Jutos kodeksas Ana. 13-61-101 ir paskesni str.
2.2
Terminai „duomenų valdytojas“, „duomenų subjektas“, „asmens duomenys“, „apdorojimas“ ir „duomenų tvarkytojas“ šiose Duomenų valdytojo sąlygose vartojami reikšmėmis, nurodytomis a) taikomuose duomenų apsaugos įstatymuose; arba b) jei nėra tokios reikšmės ar įstatymų, BDAR.
2.3
Visi pavyzdžiai šiose Duomenų valdytojo sąlygose pateikti tik iliustraciniais tikslais, jie nėra vieninteliai konkrečios sąvokos pavyzdžiai.
2.4
Bet kokia nuoroda į teisinę sistemą, statutą ar kitą norminį aktą yra nuoroda į jį su retkarčiais atliekamais pakeitimais arba priėmimais iš naujo.
2.5
Jei bet kuri išversta šios Sutarties versija nesuderinama su versija anglų kalba, bus taikoma versija anglų kalba.
2.6
Duomenų valdytojo SSS pateiktos nuorodos į „Google Ads“ vieno duomenų valdytojo kitam perduodamų duomenų apsaugos sąlygas bus laikomos nuorodomis į „Google“ vieno duomenų valdytojo kitam perduodamų duomenų vertinimo apsaugos sąlygas.
3. Šių Duomenų valdytojo sąlygų taikymas
3.1 Bendroji dalis
Šios Duomenų valdytojo sąlygos bus taikomos tik duomenų bendrinimo nustatymui, dėl kurio šalys sutiko su šiomis Duomenų valdytojo sąlygomis (pvz., duomenų bendrinimo nustatymui, kurį spustelėjęs Klientas sutiko su šiomis Duomenų valdytojo sąlygomis).
3.2 Trukmė
Šios Duomenų valdytojo sąlygos bus taikomos Sąlygų įsigaliojimo dieną ir tęsis, kol „Google“ arba Klientas apdoros Duomenų valdytojo asmens duomenis. Po to Duomenų valdytojo sąlygos bus automatiškai nutrauktos.
4. Apdorojimo vaidmenys ir apribojimai
4.1 Nepriklausomi Duomenų valdytojai
Pagal 4.4 skirsnį („Galutiniai duomenų valdytojai“) kiekviena šalis:
- a) yra nepriklausomas Duomenų valdytojo asmens duomenų valdytojas;
- b) atskirai nustatys Duomenų valdytojo asmens duomenų tvarkymo tikslus ir priemones ir
- c) laikysis įsipareigojimų, taikomų pagal Taikomus duomenų apsaugos įstatymus, susijusius su Duomenų valdytojo asmens duomenų apdorojimu.
4.2 Apdorojimo apribojimai
4.1 skirsnis (Nepriklausomi duomenų valdytojai) neturės įtakos jokiems Šalių teisių naudoti ar kitaip apdoroti Duomenų valdytojo asmens duomenis pagal Sutartį apribojimams.
4.3 Galutinio naudotojo sutikimas
Klientas laikysis politikos nuostatų, susijusių su Duomenų valdytojo asmens duomenimis, bendrinamais pagal Duomenų bendrinimo nustatymą, ir visada galės įrodyti, kad laikosi šių nuostatų.
4.4 Galutiniai duomenų valdytojai
Nesumažindama nė vienos šalies įsipareigojimų pagal šias Duomenų valdytojo sąlygas, kiekviena šalis pripažįsta, kad: a) kitos šalies patronuojamosios bendrovės arba klientai gali būti galutiniai duomenų valdytojai ir b) kita šalis gali veikti kaip duomenų tvarkytoja jos galutinių duomenų valdytojų vardu. Kiekviena šalis užtikrins, kad galutiniai duomenų valdytojai laikytųsi Duomenų valdytojo sąlygų.
4.5 Skaidrumas
Klientas patvirtina, kad „Google“ paskelbė informaciją apie tai, kaip „Google“ naudoja informaciją iš svetainių, programų ar kitų nuosavybių, kuriose naudojamos jos paslaugos adresu https://business.safety.google/privacy/. Neapribojant savo įsipareigojimų pagal 4.1 skirsnio c punktą, Klientas gali pateikti nuorodą į tą puslapį ir pateikti Duomenų valdytojo duomenų subjektams informaciją apie „Google“ duomenų valdytojo asmens duomenų apdorojimą.
5. Atsakomybė
5.1
Jei „Google“ yra:
- a) Sutarties šalis, o Sutartį reglamentuoja:
- i) JAV valstijos teisės aktai, tuomet, nepaisant nieko, kas nurodyta Sutartyje, bendra bet kurios šalies atsakomybė kitai šaliai pagal šias Duomenų valdytojo sąlygas arba su jomis susijusiose srityse bus apribota iki maksimalios pinigų sumos arba mokėjimu pagrįstos sumos, kuria ribojamas šios šalies įsipareigojimas pagal Sutartį (todėl bet koks žalos atlyginimo pretenzijų išskyrimas iš Sutarties atsakomybės apribojimo nebus taikomas žalos atlyginimo pretenzijoms pagal Sutartį, susijusią su Taikomais duomenų apsaugos įstatymais), arba
- ii) jurisdikcijos, kuri nėra JAV valstija, teisės aktai, šalių atsakomybė pagal šias Duomenų valdytojo sąlygas bus taikoma Sutarties išskyrimams ir atsakomybės apribojimui arba
- b) ne Sutarties šalis, tiek, kiek leidžia taikomi įstatymai, „Google“ nebus atsakinga už Kliento prarastas pajamas ar netiesioginę, specialią, atsitiktinę, pasekminę, baudžiamąją ar baudžiamųjų nuostolių žalą, net jei „Google“ ar jos patronuojamosioms bendrovėms buvo pranešta, jos žinojo ar turėjo žinoti, kad tokia žala netenkina teisių gynimo priemonių. „Google“ (ir jos patronuojamųjų bendrovių) bendra kaupiamoji atsakomybė Klientui ar bet kuriai kitai šaliai už bet kokią žalą ar nuostolius, atsirandančius dėl pretenzijų, gedimų ar veiksmų, kilusių iš šių Duomenų valdytojo sąlygų ar susijusių su jomis, neviršys 500 USD.
6. Duomenų valdytojo sąlygų poveikis
6.1 Pirmumo tvarka
Jei yra kokių nors prieštaravimų ar neatitikimų Papildomose sąlygose, likusi šių Duomenų valdytojo sąlygų dalis ir (arba) likusi Sutarties dalis, vadovaujantis 4.2 (Apdorojimo apribojimai) ir 6.2 (Nėra poveikio Duomenų tvarkytojo sąlygoms), skyriais nuostatos pagal eiliškumą bus taikomos tokia tvarka: a) Papildomos sąlygos (jei taikoma); b) likusios šių Duomenų valdytojo sąlygų nuostatos ir c) likusi Sutarties dalis. Pagal šių Duomenų valdytojo sąlygų pataisas, „Google“ ir Kliento sutartis lieka visiškai galiojanti.
6.2 Nėra poveikio Duomenų tvarkytojo sąlygoms
Šios Duomenų valdytojo sąlygos nepakeis jokių Duomenų tvarkytojų sąlygų ir neturės joms įtakos. Kad būtų išvengta abejonių, jei Klientas yra Duomenų tvarkytojo sąlygų, susijusių su vertinimo paslaugomis, šalis, Duomenų tvarkytojo sąlygos ir toliau bus taikomos Vertinimo paslaugoms, nepaisant to, kad šios Duomenų valdytojo sąlygos yra taikomos Duomenų valdytojo asmens duomenų apdorojimui pagal duomenų bendrinimo nustatymą.
7. Šių Duomenų valdytojo sąlygų pakeitimai
7.1 Duomenų valdytojo sąlygų pakeitimai
„Google“ gali pakeisti šias Duomenų valdytojo sąlygas, jei:
- a) atspindi juridinio subjekto pavadinimo ar formos pakeitimą;
- b) pakeitimas būtinas, laikantis taikomų įstatymų, taikomų taisyklių, teismo įsakymo ar valstybinės priežiūros institucijos arba agentūros pateiktų nurodymų, arba atspindi „Google“ alternatyvaus perkėlimo sprendimo pritaikymą (kaip apibrėžta 1A priede);
- c) yra toks, kaip aprašyta 7.2 skiltyje („URL pakeitimai“) arba
- d): jei pakeitimu: i) nesiekiama kitaip pakeisti šalių priskyrimo Duomenų valdytojo asmens duomenų valdytojų kategorijai pagal taikytinus duomenų apsaugos teisės aktus; ii) neišplečiama bet kurios iš šalių teisės naudoti ar kitaip tvarkyti Duomenų valdytojo asmens duomenis apimtis arba nepanaikinami bet kokie apribojimai; arba iii) nedaromas reikšmingas neigiamas poveikis Klientui, kaip pagrįstai nustatė „Google“.
7.2 URL pakeitimai
Retkarčiais „Google“ gali pakeisti bet kokį šiose Duomenų valdytojo sąlygose nurodytą URL ir bet kurio tokio URL turinį.
7.3 Pranešimas apie pakeitimus
Jei „Google“ ketina pakeisti šias Duomenų valdytojo sąlygas pagal 7.1 skirsnio b) dalį ir toks pakeitimas turės esminį neigiamą poveikį Klientui, kaip pagrįstai nustatė „Google“, „Google“ stengsis sąžiningai informuoti Klientą bent prieš 30 dienų (gali prireikti trumpesnio laikotarpio, kad būtų laikomasi taikomų įstatymų, taikomų taisyklių, teismo įsakymo ar valstybinės priežiūros institucijos arba agentūros pateiktų nurodymų) iki pakeitimo įsigaliojimo. Jei Klientas prieštarauja bet kuriam iš šių pakeitimų, jis gali išjungti duomenų bendrinimo nustatymą.
8. Papildomos nuostatos
8.1
Šis 8 skirsnis („Papildomos nuostatos“) bus taikomas tik tada, kai „Google“ nėra Sutarties šalis.
8.2
Kiekviena šalis vykdys savo įsipareigojimus pagal šias Duomenų valdytojo sąlygas, laikydamasi protingumo ir atsargumo kriterijų.
8.3
Nė viena iš šalių nenaudos ir neatskleis kitos šalies Konfidencialios informacijos be išankstinio raštiško kitos šalies sutikimo, išskyrus atvejus, kai norima pasinaudoti teisėmis, reikia vykdyti šiose Duomenų valdytojo sąlygose apibrėžtus įsipareigojimus arba jei to reikalauja įstatymai, kiti teisės aktai arba teismo įsakymas. Tokiu atveju šalis, kuri yra verčiama atskleisti Konfidencialią informaciją, prieš tai padarydama, turi, vadovaudamasi protinga praktika, kiek galima anksčiau informuoti kitą šalį.
8.4
Visa taikomų įstatymų leidžiama apimtimi, išskyrus atvejus, aiškiai nurodytus šiose Duomenų valdytojo sąlygose, „Google“ neteikia jokių kitų aiškiai apibrėžtų, numanomų, įstatyminių ar kitų garantijų, įskaitant, be apribojimų, garantijas dėl galimybės parduoti, tinkamumo konkrečiam naudojimui ir pažeidimų nebuvimo.
8.5
Jokia šalis nebus atsakinga už veikimo triktį ar delsą, įvykusią dėl aplinkybių, kurių šalis pagrįstai negali kontroliuoti.
8.6
Jei kuri nors šių Duomenų valdytojo sąlygų nuostata (arba jos dalis) yra netinkama, neteisėta arba nevykdytina, likusios šių Duomenų valdytojo sąlygų nuostatos liks galioti.
8.7
a) Išskyrus tai, kas išdėstyta b) punkte toliau, šioms Duomenų valdytojo sąlygoms taikomi Kalifornijos valstijos įstatymai, jos aiškinamos pagal šiuos įstatymus, nenurodant teisės normų kolizijos principų. Jei būtų kokių nors užsienio įstatymų, taisyklių ir reglamentų bei Kalifornijos įstatymų, taisyklių ir reglamentų prieštaravimų, bus taikomi Kalifornijos įstatymai, taisyklės ir reglamentai bei jais bus vadovaujamasi. Kiekviena šalis sutinka paklusti išimtinei ir asmeninei Santa Klaros apygardos (Kalifornija) teismų jurisdikcijai. Šioms Duomenų valdytojo sąlygoms netaikoma Jungtinių Tautų konvencija dėl tarptautinių prekių pirkimo-pardavimo sutarčių ir Kompiuterinių informacijos sandorių aktas.
b) Jei Sutartis sudaryta tarp Kliento ir trečiosios šalies perpardavėjo, o trečiosios šalies perpardavėjas organizuotai veikia Europoje, Viduriniuose Rytuose ar Afrikoje, šioms Duomenų valdytojo sąlygoms taikomi Anglijos įstatymai. Abi šalys sutinka paklusti išimtinei Anglijos teismų jurisdikcijai sprendžiant bet kokį ginčą (sutartinį arba nesutartinį), kylantį iš šių Duomenų valdytojo sąlygų ar sąsajų su jomis.
c) Jei Duomenų valdytojo SSS taikomos ir teikiamos kaip įstatymai, kurie skiriasi nuo pirmiau a) ir b) skirsniuose nurodytų įstatymų, Duomenų valdytojo SSS apibrėžti įstatymai taikomi tik pagal Duomenų valdytojo SSS.
d) Šioms Duomenų valdytojo sąlygoms netaikoma Jungtinių Tautų konvencija dėl tarptautinių prekių pirkimo-pardavimo sutarčių ir Kompiuterinių informacijos sandorių aktas.
8.8
Visi pranešimai dėl nutraukimo ar pažeidimo turi būti pateikti kitos šalies teisės skyriui raštu anglų kalba. Pranešimus siųskite „Google“ teisės skyriui adresu legal-notices@google.com. Pranešimas laikomas pateiktu tada, kai jis gaunamas. Tai nustatoma atsižvelgiant į raštišką ar automatinį gavimo patvirtinimą arba elektroninį žurnalą (jei taikoma).
8.9
Nė viena šalis nebus laikoma atsisakiusia teisių nevykdydama šiose Duomenų valdytojo sąlygose išdėstytų teisių (arba atidėjusi jų vykdymą). Nė viena šalis negali perleisti jokios šių Duomenų valdytojo sąlygų dalies be raštiško kitos šalies sutikimo, išskyrus atvejus, kai Sutartis perleidžiama patronuojamajai bendrovei, jei a) perėmėjas raštu sutiko laikytis šių Duomenų valdytojo sąlygų, b) perleidžianti šalis lieka atsakinga už šiose Duomenų valdytojo sąlygose aprašytų įsipareigojimų vykdymą, jei perėmėjas nevykdo šių įsipareigojimų, c) Kliento atveju, jei perleidžianti šalis perdavė savo Vertinimo paslaugų paskyrą perėmėjui, ir d) perleidžianti šalis pranešė kitai šaliai apie perleidimą. Kitaip atliekamas perleidimas yra niekinis.
8.10
Šalys yra nepriklausomi rangovai. Šiomis Duomenų valdytojo sąlygomis nesukuriami jokie atstovavimo, partnerystės ar bendros įmonės tipo santykiai tarp šalių. Šiomis Duomenų valdytojo sąlygomis nesuteikiamos privilegijos jokiai trečiajai šaliai, išskyrus atvejus, kai Sąlygose tai aiškiai nurodyta.
8.11
Kiek tai leidžiama pagal taikomus įstatymus, šiose Duomenų valdytojo sąlygose nurodomos visos sąlygos, dėl kurių susitaria šalys. Nė viena šalis sutikdama su šiomis Duomenų valdytojo sąlygomis nesivadovavo jokiais kitais teiginiais, pareiškimais ar garantijomis (pateiktomis neatsargiai ar nepiktavališkai), išskyrus tai, kas aiškiai išdėstyta šiose Duomenų valdytojo sąlygose, ir nė viena šalis neturės tokių kitų teiginių, pareiškimų ar garantijų suteikiamų teisių ar teisės gynimo būdų.
1 priedas: „Papildomos taikomų duomenų apsaugos įstatymų sąlygos“
A SKIRSNIS – PAPILDOMOS EUROPOS DUOMENŲ APSAUGOS TEISĖS AKTŲ SĄLYGOS
1. Įžanga
Šis 1A priedas bus taikomas tik tiek, kiek Duomenų valdytojo asmens duomenų apdorojimui taikomi Europos duomenų apsaugos teisės aktai.
2. Apibrėžtys
2.1 Šiame 1A priede:
„Tinkama šalis“ reiškia:
- a) jei duomenys tvarkomi pagal ES BDAR: EEE arba šalį ar teritoriją, kuri pripažįstama kaip užtikrinanti tinkamą duomenų apsaugą pagal ES BDAR;
- b) jei duomenys tvarkomi pagal JK BDAR: JK arba šalį ar teritoriją, kuri pripažįstama kaip užtikrinanti tinkamą apsaugą pagal JK BDAR ir 2018 m. Duomenų apsaugos aktą; ir (arba)
- c) jei duomenys tvarkomi pagal Šveicarijos FDAĮ: Šveicariją arba šalį ar teritoriją, i) kuri yra įtraukta į šalių, kurių įstatymai užtikrina tinkamą apsaugą, sąrašą, paskelbtą Šveicarijos federalinio duomenų apsaugos ir informacijos komisaro, arba ii) kuri pripažįstama kaip užtikrinanti tinkamą Šveicarijos federalinės tarybos apsaugą pagal Šveicarijos FDAĮ bet kuriuo atveju, išskyrus pasirenkamą duomenų apsaugos sistemą.
„Alternatyvus perkėlimo sprendimas“ reiškia kitą nei Duomenų valdytojo SSS sprendimą, leidžiantį teisėtai perkelti asmens duomenis trečiajai šaliai laikantis Europos duomenų apsaugos teisės aktų, pvz., duomenų apsaugos struktūros, pripažįstamos kaip užtikrinančios, kad dalyvaujantys subjektai suteikia tinkamą apsaugą.
„Duomenų valdytojo SSS“ reiškia sąlygas, pateiktas adresu business.safety.google/adscontrollerterms/sccs/c2c.
„EEE“ reiškia Europos ekonominę erdvę.
„Europos duomenų valdytojo asmens duomenys“ reiškia Duomenų valdytojo duomenų subjektų, esančių EEE arba Šveicarijoje, Duomenų valdytojo asmens duomenis.
„Europos įstatymai“ reiškia, kaip taikoma: a) ES arba Europos Sąjungos narės valstybinį teisės aktą (jeigu ES BDAR taikoma tvarkant valdytojo asmens duomenis); b) JK arba JK priklausančios jurisdikcijos teisės aktą (jeigu JK BDAR taikoma tvarkant valdytojo asmens duomenis); ir c) Šveicarijos įstatymus (jei Šveicarijos FDAĮ taikoma tvarkant Duomenų valdytojo asmens duomenis).
„„Google“ galutiniai duomenų valdytojai“ reiškia „Google“ apdorotų Duomenų valdytojo asmens duomenų galutinius valdytojus.
„Leidžiami Europos perkėlimai“ reiškia Duomenų valdytojo asmens duomenų tvarkymą Tinkamoje šalyje arba jų perkėlimą Tinkamai šaliai.
„Apribotas (-i) Europos perkėlimas (-ai)“ reiškia Duomenų valdytojo asmens duomenų perkėlimą (-us), kuris (-ie) a) taikomas Europos duomenų apsaugos teisės aktams; ir b) neleidžiami Europos perkėlimai.
„JK duomenų valdytojo asmens duomenys“ reiškia Duomenų valdytojo duomenų subjektų, esančių JK, Duomenų valdytojo asmens duomenis.
2.2 Terminai „duomenų importuotojas“ ir „duomenų eksportuotojas“ reiškia Duomenų valdytojo SSS nurodytas reikšmes.
3. Galutiniai „Google“ duomenų valdytojai
Priskirti „Google“ galutiniai duomenų valdytojai: i) „Google“ apdorotiems Europos duomenų valdytojo asmens duomenims – „Google Ireland Limited“, ii) „Google“ apdorotiems JK duomenų valdytojo asmens duomenims – „Google LLC“. Kiekviena šalis užtikrins, kad galutiniai duomenų valdytojai laikytųsi Duomenų valdytojo SSS (jei taikoma).
4. Duomenų perkėlimas
4.1 Riboti perkėlimai Europoje. Bet kuri šalis gali vykdyti Ribotus perkėlimus Europoje, jei laikomasi Europos duomenų apsaugos teisės aktuose pateiktų Ribotų perkėlimų Europoje nuostatų.
4.2 Alternatyvus perkėlimo sprendimas.
- a) Jei „Google“ priėmė Alternatyvų perkėlimo sprendimą, taikomą bet kokiam Ribotam Europos perkėlimui Europoje: i) „Google“ užtikrins, kad tokie Riboti perkėlimai Europoje būtų atliekami, vadovaujantis Alternatyviu perkėlimo sprendimu; ir ii) šio 1A priedo 5 skirsnis (Duomenų valdytojo SSS) nebus taikomas tokiems Ribotiems perkėlimams Europoje.
- b) Jei „Google“ nepriėmė arba informuoja Klientą, kad „Google“ nebenaudoja Alternatyvaus perkėlimo sprendimo, taikomo bet kokiam Ribotam perkėlimui Europoje, tokiems Ribotiems perkėlimams Europoje bus taikomas šio 1A priedo 5 skirsnis (Duomenų valdytojo SSS).
4.3 Tolesnio perkėlimo nuostatos
- a) 4.3 skirsnio taikymas. Šio 1A priedo 4.3 b) skiltis („Duomenų teikėjo asmens duomenų naudojimas“) ir 4.3 c) (Duomenų teikėjo asmens duomenų apsauga) taikomos tik tiek, kiek:
- i) šalis (toliau – Duomenų gavėjas) tvarko Duomenų valdytojo asmens duomenis, kuriuos kita šalis (toliau – Duomenų teikėjas) pateikia ryšium su Sutartimi (tokie Duomenų valdytojo asmens duomenys toliau vadinami Duomenų teikėjo asmens duomenimis);
- ii) Duomenų teikėjas arba jo Patronuojamoji bendrovė yra sertifikuoti pagal Alternatyvų perkėlimo sprendimą; ir
- iii) Duomenų teikėjas praneša apie tokio Alternatyvaus perkėlimo sprendimo sertifikato Duomenų gavėją raštu.
- b) Duomenų teikėjo asmens duomenų naudojimas.
- i) Jei taikomas Alternatyvus perkėlimo sprendimas apima paskesnio perkėlimo principą, atsižvelgiant į tokius paskesnius perkėlimo principus pagal atitinkamą Alternatyvų perkėlimo sprendimą, Duomenų gavėjas naudos Duomenų teikėjo asmens duomenis tik tokiu būdu, kuris atitinka atitinkamo Duomenų valdytojo duomenų subjektų duotą sutikimą.
- ii) Jeigu Duomenų teikėjui nepavyksta gauti atitinkamų Duomenų valdytojo duomenų subjektų sutikimo, kaip reikalaujama pagal Sutartį, Duomenų gavėjas nepažeidžia 4.3 dalies b punkto i papunkčio, jeigu jis naudoja Duomenų teikėjo asmens duomenis pagal reikalaujamą sutikimą.
- c) Duomenų teikėjo asmens duomenų apsauga.
- i) Duomenų gavėjas užtikrins tokį Duomenų teikėjo asmens duomenų apsaugos lygį, kuris yra bent jau lygiavertis tam, kurio reikalaujama pagal taikomą alternatyvaus perkėlimo sprendimą.
- ii) Jei Duomenų gavėjas nustato, kad negali laikytis 4.3 dalies c punkto i papunkčio, jis: A) raštu informuos Duomenų teikėją; ir B) nutrauks Duomenų teikėjo asmens duomenų tvarkymą arba imsis pagrįstų ir tinkamų veiksmų tokiam neatitikimui ištaisyti.
- d) Alternatyvaus perdavimo sprendimo priėmimas ir sertifikavimas. Informacijos apie tai, kaip „Google“ ir (arba) jos filialai priima arba sertifikuoja Alternatyvius perdavimo sprendimus, galima rasti adresu https://policies.google.com/privacy/frameworks. Pagal 4.3 dalies a punkto iii papunktį šis 4.3 dalies d punktas yra rašytinis pranešimas apie dabartinius „Google“ ir (arba) su ja susijusių įmonių patvirtinimus Sąlygų įsigaliojimo dieną.
5. Duomenų valdytojų SSS
5.1 Europos duomenų valdytojo asmens duomenų perkėlimas klientui. Jei:
- a) „Google“ perkelia Europos duomenų valdytojo asmens duomenis Klientui; ir
- b) perkėlimas yra Ribotas Europos perkėlimas, bus laikoma, kad Klientas, kaip duomenų importuotojas, sutinka su Duomenų valdytojų SSS ir „Google Ireland Limited“ (atitinkamu „Google“ galutiniu duomenų valdytoju) kaip duomenų eksportuotojas, ir perkėlimui bus taikomos Duomenų valdytojų SSS.
5.2 JK duomenų valdytojo asmens duomenų perdavimas Klientui. Jei:
- a) „Google“ perkelia JK duomenų valdytojo asmens duomenis Klientui; ir
- b) perkėlimas yra Ribotas Europos perkėlimas, bus laikoma, kad Klientas, kaip duomenų importuotojas, sutinka su Duomenų valdytojų SSS ir „Google LLC“ (atitinkamu „Google“ galutiniu duomenų valdytoju) kaip duomenų eksportuotojas, ir perkėlimui bus taikomos Duomenų valdytojo SSS.
5.3 Europos duomenų valdytojo asmens duomenų perkėlimas „Google“. Šalys pripažįsta, kad, jei Klientas perkelia Europos duomenų valdytojo asmens duomenis „Google“, Duomenų valdytojų SSS nėra būtinos, nes „Google Ireland Limited“ (atitinkamo „Google“ galutinio duomenų valdytojo) adresas yra Tinkamoje šalyje ir tokie perkėlimai yra laikomi Europoje leidžiamais perkėlimais. Tai neturi įtakos „Google“ įsipareigojimams pagal šio 1A priedo 4.1 skirsnį („Riboti perkėlimai Europoje“).
5.4 JK duomenų valdytojo asmens duomenų perkėlimas „Google“. Jei Klientas perkelia JK duomenų valdytojo asmens duomenis „Google“, laikoma, kad Klientas, kaip duomenų eksportuotojas, sutinka su Duomenų valdytojų SSS ir „Google LLC“ (atitinkamu „Google“ galutiniu duomenų valdytoju) kaip duomenų importuotojas, ir perkėlimui bus taikomos Duomenų valdytojų SSS, nes „Google LLC“ adresas nėra Tinkamoje šalyje.
5.5 Susisiekimas su „Google“. Kliento informacija
- a) Klientas gali susisiekti su „Google Ireland Limited“ ir (arba) „Google LLC“ dėl Duomenų valdytojo SSS adresu https://support.google.com/policies/troubleshooter/9009584 arba kitomis priemonėmis, kurias „Google“ gali retkarčiais pateikti.
- b) Klientas pripažįsta, kad „Google“ pagal Duomenų valdytojo SSS turi įrašyti tam tikrą informaciją, įskaitant (i) duomenų importuotojo tapatybę ir kontaktinę informaciją (įskaitant bet kokį kontaktinį asmenį, atsakingą už duomenų apsaugą); ii) duomenų importuotojo technines ir organizacines priemones. Todėl Klientas, kai prašoma ir kai taikoma, pateiks tokią informaciją „Google“ tokiomis priemonėmis, kuriomis prašo „Google“, ir užtikrins, kad visa pateikta informacija būtų tiksli ir atnaujinta.
5.6 Atsakymas į Duomenų subjekto užklausas Atitinkamas duomenų importuotojas bus atsakingas už atsakymą į duomenų subjektų ir priežiūros institucijų užklausas, susijusius su duomenų importuotojo atliekamu atitinkamo Duomenų valdytojo asmens duomenų apdorojimu.
5.7 Duomenų ištrynimas nutraukus paskyrą. Jei:
- a) „Google LLC“ veikia kaip duomenų importuotoja, o Klientas veikia kaip duomenų eksportuotojas pagal Duomenų valdytojo SSS; ir
- b) Klientas nutraukia Sutartį pagal Duomenų valdytojo SSS 16 sąlygos c skirsnį, o Duomenų valdytojo SSS 16 sąlygos d) skirsnyje Klientas nurodo „Google“ ištrinti Duomenų valdytojo asmens duomenis ir, išskyrus atvejus, kai Europos teisės aktuose reikalaujama juos saugoti, „Google“ palengvins ištrynimą, kai tik įmanoma ir kiek tai įmanoma (atsižvelgiant į tai, kad „Google“ yra nepriklausoma tokių Duomenų valdytoja, taip pat Vertinimo paslaugų pobūdį ir funkcijas).
6. Atsakomybė, jei taikomos Duomenų valdytojų SSS.
Jei pagal šio 1A priedo 5 pastraipą (Duomenų valdytojų SSS) taikomos Duomenų valdytojų SSS, tuomet bendra atsakomybė:
- a) „Google“, „Google LLC“ ir „Google Ireland Limited“ atsakomybei Klientui; ir
- b) Kliento atsakomybei „Google“, „Google LLC“ ir „Google Ireland Limited“ pagal Sutartį ir Duomenų valdytojų SSS kartu taikomos 5 skyriaus („Atsakomybė“) nuostatos. Duomenų valdytojo SSS 12 sąlyga neturės įtakos ankstesniam sakiniui.
7. Trečiųjų šalių naudos gavėjai
Jei „Google LLC“ ir (arba) „Google Ireland Limited“ nėra Sutarties šalis, bet yra taikytinų Duomenų valdytojų SSS šalis pagal šio 1A priedėlio 5 dalį („Duomenų valdytojo SSS“), „Google LLC“ ir (arba) „Google Ireland Limited“ (priklausomai nuo situacijos) bus trečiosios šalies naudos gavėja pagal šio 1A priedėlio 4.4 skirsnį („Galutiniai Duomenų valdytojai“), 3 dalį („Google“ galutiniai valdytojai), 5 dalį („Duomenų valdytojų SSS“) ir 6 dalį („Atsakomybė, jei taikomos Duomenų valdytojo SSS“). Jei ši 7 pastraipa (Trečiųjų šalių naudos gavėjai) prieštarauja arba yra nesuderinama su bet kuria kita Sutarties sąlyga, bus taikoma ši 7 pastraipa (Trečiųjų šalių naudos gavėjai).
8. Pirmumas
8.1 Jei yra prieštaravimų arba neatitikimų tarp Duomenų valdytojų SSS, šio 1A priedo, likusių šių Duomenų valdytojo sąlygų ir (arba) likusios Sutarties dalies, pirmenybė teikiama Duomenų valdytojų SSS.
8.2 Papildomos komercinės sąlygos. Pagal šių Duomenų valdytojo sąlygų pataisas, sutartis lieka visiškai galiojanti. Šio 1A priedo skirsniai nuo 5.5 („Susisiekimas su „Google“) iki 5.7 („Duomenų ištrynimas nutraukus paskyrą“) ir 6 skirsnis („Atsakomybė, jei taikomos Duomenų valdytojo SSS“) yra papildomos komercinės sąlygos, susijusios su Duomenų valdytojų SSS, kaip leidžiama pagal Duomenų valdytojų SSS 2 sąlygos a) skirsnį („Sąlygų poveikis ir nekintamumas“).
8.3 Duomenų valdytojų SSS nekeičiamos. Jokia Sutarties nuostata (įskaitant šias Duomenų valdytojo sąlygas) nekeičia Duomenų valdytojo SSS ir joms neprieštarauja bei nekenkia pagrindinėms duomenų subjektų teisėms ar laisvėms pagal Europos duomenų apsaugos teisės aktus.
B DALIS – PAPILDOMOS JAV PRIVATUMO ĮSTATYMŲ SĄLYGOS
1. Įžanga
„Google“ gali pasiūlyti ir Klientas gali įgalinti tam tikrus Vertinimo paslaugų nustatymus, konfigūracijas ar kitas funkcijas, susijusias su ribotu duomenų apdorojimu, kaip aprašyta papildomų dokumentų skiltyje business.safety.google/rdp, kaip kurios retkarčiais atnaujinamos (toliau – „Ribotas duomenų apdorojimas“). Šis 1B priedas atspindi šalių susitarimą dėl Kliento asmens duomenų ir neidentifikuojamų duomenų apdorojimo (kaip apibrėžta toliau) pagal Sutartį, vadovaujantis JAV valstijos privatumo apsaugos įstatymais, ir galioja tik tiek, kiek taikomi visi JAV valstijos privatumo apsaugos įstatymai.
2. Papildomi apibrėžimai ir paaiškinimas.
Šiame 1B priede
- a) „Kliento asmens duomenys“ reiškia asmens duomenis, kuriuos „Google“ apdoroja Kliento vardu, teikdama „Google“ vertinimo paslaugas.
- b) „Neidentifikuoti duomenys“ reiškia „neidentifikuotą“ duomenų informaciją (kaip apibrėžta KVPA) ir „neidentifikuotus duomenis“ (kaip apibrėžta kituose JAV privatumo įstatymuose), kai ją viena šalis atskleidžia kitai šaliai.
- c) „Nurodymai" kartu reiškia Kliento nurodymus „Google“ tvarkyti Kliento asmens duomenis tik pagal JAV valstijos privatumo įstatymus: a) teikti RDP paslaugas ir bet kokią susijusią techninę pagalbą; b) kaip toliau nurodyta Klientui naudojantis RDP paslaugomis (įskaitant tokių RDP paslaugų nustatymus ir kitas funkcijas) ir bet kokią susijusią techninę pagalbą; c) kaip užfiksuota Sutarties formoje, įskaitant šį 1B priedą; d) kaip toliau užfiksuota bet kokiuose kituose Kliento pateiktuose rašytiniuose nurodymuose, kuriuos „Google“ pripažįsta kaip nurodymus šio 1B priedo tikslais; ir e) tvarkyti Kliento asmens duomenis taip, kaip leidžiama pagal JAV valstijos privatumo įstatymus paslaugų teikėjams ir duomenų tvarkytojams.
- d) „RDA paslaugos“ reiškia Duomenų valdytojo paslaugas, veikiančias pagal Ribotą duomenų apdorojimą.
- e) „Terminas“ reiškia laikotarpį nuo Sąlygų įsigaliojimo datos iki tol, kol „Google“ teiks Vertinimo paslaugas pagal šią Sutartį.
- f) Terminai „įmonė“, „vartotojas“, „asmens informacija“, „išpardavimas (-ai)“, „pardavimas“, „paslaugos teikėjas“ ir „dalis“, kaip nurodyta šiame 1B priede, reiškia JAV Valstijų privatumo įstatyme nurodytas reikšmes.
- g) Naudodamasis „Google“ paslaugomis, įskaitant „Ribotą duomenų apdorojimą“, Klientas pats atsako už visų JAV privatumo įstatymų laikymąsi.
3. JAV valstijos privatumo įstatymo sąlygos (skiltyje „Ribotas duomenų apdorojimas“).
3.1 Duomenų apdorojimas.
3.1.1
- a) Duomenų tvarkytojo ir duomenų valdytojo įsipareigojimai. Šalys patvirtina ir sutinka, kad:
- i) šio 1B priedo 7 dalyje („Duomenų tvarkymo objektas ir išsami informacija pagal JAV valstijos privatumo įstatymus“) aprašomas Kliento asmens duomenų tvarkymo objektas ir išsami informacija;
- ii) „Google“ yra paslaugos teikėjas ir Kliento asmens duomenų tvarkytojas pagal JAV valstijos privatumo įstatymus; ir
- iii) Klientas yra Kliento asmens duomenų valdytojas arba tvarkytojas, kaip taikytina, pagal JAV valstijos privatumo įstatymus.
- b) Duomenų tvarkytojo klientai. Jei Klientas yra duomenų valdytojas:
- i) Klientas nuolat garantuoja, kad atitinkamas duomenų valdytojas patvirtino: A) Instrukcijas, B) Kliento nurodymą paskirti „Google“ kitu duomenų tvarkytoju; ir C) „Google“ atliktą subrangovų pasitelkimą, kaip aprašyta šio 1B priedo 3.6 dalyje („Subrangovai“);
- ii) Klientas nedelsdamas perduos atitinkamam duomenų valdytojui visus „Google“ pranešimus, pateiktus pagal 3.3.2 dalies a punktą („Pranešimas apie incidentą“) ir 3.6 dalį („Subrangovai“); ir
- iii) Klientas gali pateikti atitinkamam administratoriui bet kokią informaciją, kurią „Google“ pateikė pagal 3.3.3 punkto c papunktį („Kliento audito teisės“) ir 3.6 punktą („Subrangovai“).
3.1.2 Kliento instrukcijos. Įvesdamas šį 1B priedą Klientas nurodo „Google“ apdoroti Kliento asmens duomenis tik pagal Instrukcijas.
3.1.3 „Google“ instrukcijų laikymasis. „Google“ laikysis instrukcijų, nebent tai bus draudžiama pagal JAV privatumo įstatymus.
3.1.4 Papildomi produktai. Jei Klientas naudoja bet kokį „Google“ ar trečiosios šalies teikiamą produktą, paslaugą ar programą, kuri (kurią): a) nėra RDA paslaugų dalis; ir b) galima naudoti RDA paslaugų naudotojo sąsajoje arba kitais būdais integruoti į RDA paslaugas („Papildomas produktas“), pagal RDA paslaugas šis Papildomas produktas gali leisti pasiekti Kliento asmens duomenis, jei to reikia Papildomo produkto sąveikai su RDA paslaugomis užtikrinti. Siekiant aiškumo, šis 1B priedas netaikomas tvarkant asmens duomenis, susijusius su bet kokio Kliento naudojamu Papildomu produktu, įskaitant asmens duomenis, perduodamus į tą Papildomą produktą arba iš jo.
3.2. Duomenų ištrynimas pasibaigus galiojimo laikui. Klientas nurodo „Google“ ištrinti visus likusius Kliento asmens duomenis (įskaitant esamas kopijas) iš „Google“ sistemų Termino galiojimo pabaigoje, vadovaujantis galiojančiais įstatymais. „Google“ įvykdys tokį nurodymą kuo greičiau ir ne vėliau kaip per 180 dienų, išskyrus atvejus, kai pagal taikomus įstatymus tokius duomenis reikalaujama saugoti.
3.3. Duomenų sauga.
3.3.1 „Google“ saugos priemonės ir pagalba.
- a) „Google“ saugos priemonės. „Google“ naudos ir saugos technines ir organizacines priemones, kad apsaugotų Kliento asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pakeitimo, neteisėto paskelbimo ar prieigos („Saugos priemonės“). Saugos priemonės apima: i) asmens duomenų šifravimą; ii) pagalbą užtikrinant „Google“ sistemų ir paslaugų konfidencialumą, vientisumą, pasiekiamumą ir atsparumą; iii) pagalbą laiku atkuriant prieigą prie asmens duomenų įvykus incidentui; ir iv) reguliarų efektyvumo testavimą. „Google“ gali retkarčiais atnaujinti ar pakeisti Saugos priemones, jei dėl šių atnaujinimų ir pakeitimų nesuprastėja bendras Kliento asmens duomenų saugumas.
- b) Prieiga ir atitiktis. „Google“ užtikrins, kad visi asmenys, įgalioti apdoroti Kliento asmens duomenis, yra įsipareigoję užtikrinti konfidencialumą arba privalo laikytis atitinkamų konfidencialumo įstatymų.
- c) „Google“ saugos pagalba. „Google“ (atsižvelgdama į Kliento asmens duomenų tvarkymo pobūdį ir „Google“ turimą informaciją) padės Klientui vykdyti Kliento (arba, jei Klientas yra duomenų tvarkytojas, atitinkamo duomenų valdytojo) įsipareigojimus, susijusius su asmens duomenų saugumu ir jo pažeidimais, įskaitant Kliento (arba, jei Klientas yra duomenų tvarkytojas – atitinkamo duomenų valdytojo) įsipareigojimus, susijusius su asmens duomenų saugumu ir jo pažeidimais pagal JAV valstijos privatumo įstatymus:
- (i) įgyvendindamas ir prižiūrėdamas Saugumo priemones pagal 3.3.1 dalies a punktą („Google“ saugumo priemonės);
- (ii) laikydamasis 3.3.2 punkto („Duomenų incidentai“) sąlygų; ir
- (iii) suteikdamas Klientui teises pagal 3.3.3 punkto c papunktį („Kliento audito teisės“).
3.3.2 Duomenų incidentai
- a) Pranešimas apie incidentą. „Google“ sužinojusi apie duomenų incidentą (kaip apibrėžta toliau) nedelsdama: i) praneša Klientui apie duomenų incidentą; ir ii) nedelsiant imasi protingų veiksmų, kad būtų sumažinta žala ir Kliento asmens duomenų sauga. Šiame 1B priede „Duomenų incidentas“ reiškia „Google“ saugos pažeidimą, dėl kurio netyčia ar neteisėtai sunaikinami, prarandami, pakeičiami, neteisėtai atskleidžiami Kliento asmens duomenys ar suteikiama prieiga prie jų sistemose, kurias valdo arba kitaip kontroliuoja „Google“. „Duomenų incidentai“ neapima nesėkmingų bandymų ar veiksmų, kurie nepažeidžia Kliento asmens duomenų saugos, įskaitant nesėkmingus bandymus prisijungti, ryšio patikras, prievado nuskaitymus, paslaugos trikdymo atakas ir kitas tinklo atakas užkardose ar tinklo sistemose.
- b) Pranešimo pristatymas. „Google“ praneš apie bet kokį Duomenų incidentą Kliento nurodytu el. pašto adresu, naudodama RDA paslaugų naudotojo sąsają ar kitomis „Google“ pateiktomis priemonėmis, kad gautų „Google“ pranešimus, susijusius su šiuo 1B priedu („Pranešimas el. pašto adresu“) arba „Google“ nuožiūra (įskaitant atvejus, kai Klientas nepateikė pranešimo el. pašto adreso) kitu tiesioginiu bendravimu (pvz., telefono skambučiu, el. paštu ar asmeniniu susitikimu). Klientas yra atsakingas tik už pranešimo el. pašto adreso pateikimą ir užtikrinimą, kad pranešimo el. pašto adresas yra galiojantis ir tinkamas.
- c) Trečiosios šalies pranešimai. Klientas atsako už jam taikomų pranešimų apie incidentus įstatymų laikymąsi ir bet kokių trečiosios šalies pranešimų, susijusių su bet kokiu duomenų incidentu, prievolių vykdymą.
- d) „Google“ kaltės nepripažinimas. „Google“ pranešimas apie Duomenų incidentą arba atsakymas į jį pagal 3.3.2 skirsnį („Duomenų incidentai“) nebus laikomas „Google“ patvirtinimu dėl bet kokio gedimo ar atsakomybės dėl Duomenų incidento.
3.3.3 Kliento saugos įsipareigojimai ir įvertinimas.
- a) Kliento saugos įsipareigojimai. Klientas sutinka, kad nepažeidžiant „Google“ įsipareigojimų pagal 3.3.1 skirsnį („Google“ saugos priemonės ir pagalba) ir 3.3.2 („Duomenų incidentai“)
- i) Klientas įsipareigoja naudoti RDA paslaugas, įskaitant: 1) tinkamą RDA paslaugų naudojimą siekiant užtikrinti saugos lygį, atitinkantį Kliento asmens duomenų riziką; ir 2) paskyros autentifikavimo prisijungimo duomenų, sistemų ir įrenginių, kuriuos Klientas naudoja RDA paslaugoms pasiekti apsaugą; ir
- ii) „Google“ neįsipareigoja apsaugoti Kliento asmens duomenų, kuriuos Klientas pasirenka saugoti ar perkelti už „Google“ ir jos subrangovų sistemų ribų.
- b) Kliento saugos įvertinimas. Klientas pripažįsta ir sutinka, kad Saugos priemonės, kurias „Google“ įgyvendino ir prižiūri, kaip nurodyta 3.3.1 a) skirsnyje („Google“ saugos priemonės) užtikrina saugos lygį, atitinkantį Kliento asmens duomenų riziką, atsižvelgiant į naujausius pasiekimu, diegimo išlaidas ir Kliento asmens duomenų apdorojimo pobūdį, apimtį, kontekstą ir tikslus bei riziką asmenims.
- c) Kliento audito teisės.
- i) Klientas gali atlikti auditą, norėdamas patikrinti, ar „Google“ laikosi savo įsipareigojimų pagal šį 1B priedą, prašydamas peržiūrėti (1) saugumo patikrinimui išduotą sertifikatą, atspindintį trečiosios šalies auditoriaus atlikto audito rezultatus (pvz., „SOC 2 Type II“ ar ISO/IEC 27001 sertifikatą arba panašų sertifikatą ar kitą trečiosios šalies auditoriaus atlikto audito, dėl kurio susitarė Klientas ir „Google“, saugumo sertifikatą) per dvylika mėnesių nuo Kliento užklausos datos ir 2) bet kokią kitą informaciją, kuri, „Google“ nuomone, yra pagrįstai reikalinga Klientui patikrinti tokią atitiktį.
- ii) Be to, „Google“ savo nuožiūra, gavusi Kliento prašymą, gali inicijuoti trečiosios šalies auditą, kad patikrintų, ar „Google“ laikosi savo įsipareigojimų pagal šį 1B priedą. Tokio audito metu „Google“ suteiks galimybę trečiosios šalies auditoriui susipažinti su visa informacija, reikalinga tokiai atitikčiai įrodyti. Jei Klientas prašo atlikti tokį auditą, „Google“ gali apmokestinti (atsižvelgdama į pagrįstus „Google“ mokesčius) bet kokį auditą. „Google“ prieš auditą pateiks Klientui išsamią informaciją apie bet kokį taikomą mokestį ir jo apskaičiavimą. Klientas bus atsakingas už bet kokius Kliento paskirto trečiosios šalies auditoriaus taikomus mokesčius už tokio audito vykdymą.
- iii) Jokia šio 1B priedo nuostata nereikalauja, kad „Google“ atskleistų informaciją Klientui ar jo trečiosios šalies auditoriui arba leistų Klientui ar jo trečiosios šalies auditoriui pasiekti:
- (1) bet kokius kitus bet kokio „Google“ subjekto kliento duomenis;
- (2) bet kokią „Google“ subjekto vidinę apskaitos ar finansinę informaciją;
- (3) bet kokią „Google“ subjekto komercinę paslaptį;
- (4) bet kokią informaciją, kuri, pagrįsta „Google“ nuomone, gali: (A) pažeisti bet kokių „Google“ subjekto sistemų ar patalpų saugumą; arba (B) priversti bet kurį „Google“ subjektą pažeisti savo įsipareigojimus pagal JAV privatumo įstatymus arba saugumo ir (arba) privatumo įsipareigojimus Klientui ar bet kuriai trečiajai šaliai; arba
- 5) bet kokią informaciją, kurią Klientas ar jo trečiosios šalies auditorius ketina pasiekti dėl bet kokios kitos priežasties, išskyrus garbingą Kliento įsipareigojimų vykdymą pagal JAV privatumo įstatymus.
3.4 Pagalba dėl poveikio vertinimo. „Google“ (atsižvelgdama į duomenų tvarkymo pobūdį ir „Google“ turimą informaciją) padės Klientui vykdyti Kliento (arba, jei Klientas yra duomenų tvarkytojas, atitinkamo duomenų valdytojo) įsipareigojimus, susijusius su duomenų apsaugos poveikio vertinimu ir išankstinėmis konsultacijomis su reguliavimo institucijomis, kiek to reikalaujama pagal JAV valstijos privatumo įstatymus:
- a) pateikdama Saugumo dokumentus;
- b) pateikdama Sutartyje (įskaitant šį 1B priedą) pateiktą informaciją; ir
- c) pagal „Google“ standartinę praktiką pateikdama ar kitaip padarydama prieinamą kitą medžiagą, susijusią su RDP paslaugų pobūdžiu ir Kliento asmens duomenų tvarkymu (pvz., pagalbos centro medžiagą).
3.5. Duomenų subjekto teisės.
3.5.1 Atsakymai į Duomenų subjekto užklausas. Jei „Google“ iš Duomenų subjekto gauna užklausą dėl Kliento asmens duomenų, Klientas suteikia leidimą „Google“ ir „Google“ tokiu būdu praneša Klientui, kad ji:
- a) tiesiogiai atsakė į duomenų subjekto užklausą pagal „Google“ subjekto duomenų subjektams pateikto įrankio (jei toks yra) standartinį funkcionalumą, kuris leidžia „Google“ tiesiogiai ir standartizuotu būdu atsakyti į tam tikras duomenų subjektų užklausas, susijusias su kliento asmens duomenimis (pavyzdžiui, internetinės reklamos nustatymais arba atsisakymo naršyklės įskiepiu) (toliau – Duomenų subjekto įrankis) (jei užklausa pateikiama per Duomenų subjekto įrankį); arba
- b) pataria duomenų subjektui pateikti užklausą Klientui ir Klientas bus atsakingas už atsakymą į tokią užklausą (jei užklausa pateikta ne naudojant duomenų subjekto įrankį).
3.5.2 Pagalba dėl „Google“ duomenų subjekto užklausos. „Google“ padės Klientui (arba, jei Klientas yra duomenų tvarkytojas, atitinkamam duomenų valdytojui) vykdyti įsipareigojimus pagal JAV privatumo įstatymus, atsakyti į užklausas dėl duomenų subjekto teisių naudojimo, visais atvejais atsižvelgiant į Kliento asmens duomenų apdorojimą ir:
- (a) užtikrinant RDP paslaugų funkcionalumą;
- (b) laikantis 3.5.1 punkte („Atsakymai į Duomenų subjekto užklausas“) nustatytų įsipareigojimų; ir
- (c) jei taikoma RDP paslaugoms, Duomenų subjekto įrankių prieinamumą.
3.5.3 Duomenų ištaisymas. Jei Klientas sužino, kad bet kokie Kliento asmens duomenys yra netikslūs arba pasenę, jis bus atsakingas už šių duomenų ištaisymą arba ištrynimą, jei to reikalauja JAV valstijos privatumo įstatymai, įskaitant (jei įmanoma) naudojimąsi RDP paslaugų funkcijomis.
3.6. Subrangovai.
- a) Klientas paprastai suteikia leidimą „Google“ įtraukti kitus subjektus kaip subrangovus, susijusius su RDA paslaugų teikimu. Bendradarbiaudama su bet kuriuo subrangovu, „Google“:
- i) rašytine sutartimi užtikrina, kad: 1) subrangovas prieina prie Kliento asmens duomenų ir juos naudoja tik tiek, kiek tai būtina jam pavestiems įsipareigojimams vykdyti, ir tai daro pagal Sutartį (įskaitant šį 1B priedą); ir 2) jei Kliento asmens duomenų tvarkymui taikomi JAV valstijos privatumo įstatymai, užtikrina, kad subrangovui būtų nustatyti šiame 1B priede nurodyti duomenų apsaugos įsipareigojimai;
- ii) pasitelkdama bet kokius naujus subrangovus, pateikia pranešimą apie juos, jei to reikalaujama pagal JAV valstijos privatumo įstatymus, ir, jei to reikalaujama pagal JAV valstijos privatumo įstatymus, suteikia Klientui galimybę prieštarauti šių subrangovų pasitelkimui; ir
- iii) lieka visiškai atsakinga už visus subrangovui perduotus įsipareigojimus ir visus subrangovo veiksmus bei neveikimą.
- b) Klientas gali prieštarauti bet kuriam naujam subrangovui, nutraukdamas Sutartį dėl patogumo, iš karto pranešęs „Google“ raštu, su sąlyga, kad Klientas pateikia tokį pranešimą per 90 dienų nuo jo informavimo apie naujo subrangovo įtraukimą, kaip aprašyta 3.6 a punkte (ii).
3.7 Susisiekimas su „Google“. Klientas gali susisiekti su „Google“ dėl savo teisių pagal šį 1B priedą naudodamas metodus, aprašytus adresu privacy.google.com/businesses/processorsupport, arba kitomis priemonėmis, kurias „Google“ gali retkarčiais pateikti.
4. JAV privatumo apsaugos įstatymo terminai
4.1 Neidentifikuojami duomenys. Kliento asmens duomenų, tvarkomų įjungus riboto duomenų apdorojimo funkciją arba jos neįjungus, atžvilgiu ir tiek, kiek Kliento asmens duomenų tvarkymui taikomas vienas ar keli JAV valstijos privatumo įstatymai, kiekviena šalis laikysis JAV valstijos privatumo įstatymuose nustatytų neidentifikuojamų duomenų tvarkymo reikalavimų, susijusių su bet kokiais neidentifikuojamais duomenimis, kuriuos ji gauna iš kitos šalies pagal Sutartį. Pagal šią 4.1 pastraipą („Neidentifikuoti duomenys“) Kliento asmens duomenys reiškia bet kokius asmens duomenis, kuriuos šalis tvarko pagal Sutartį, teikdama arba naudodamasi vertinimo paslaugomis.
5. „Google“ KVPA įsipareigojimai.
5.1. Kliento asmens duomenų, tvarkomų taikant riboto duomenų apdorojimo funkciją, atžvilgiu ir tiek, kiek Kliento asmens duomenų tvarkymui taikomas KVPA, „Google“ veiks kaip Kliento paslaugų teikėjas ir, išskyrus atvejus, kai paslaugų teikėjams pagal KVPA leidžiama kitaip, kaip pagrįstai nustatys „Google“:
- a) „Google“ neparduos ir nesidalins jokiais Kliento asmens duomenimis, kuriuos gauna iš Kliento pagal Sutartį;
- b) „Google“ nesaugos, nenaudos ir neatskleis Kliento asmens duomenų (įskaitant už tiesioginių verslo santykių tarp „Google“ ir Kliento ribų), išskyrus verslo tikslais pagal KVPA Kliento vardu ir konkrečiu RDP paslaugų teikimo tikslu, kaip išsamiau aprašyta papildomuose dokumentuose, kuriuos galima rasti adresu business.safety.google/rdp, kurie retkarčiais atnaujinami;
- c) „Google“ nederins iš Kliento ar jo vardu gautų Kliento asmens duomenų su i) asmens informacija, kurią „Google“ gauna iš kito asmens ar asmenų arba jų vardu, arba ii) asmens informacija, surinkta pačiai „Google“ bendraujant su vartotoju, kaip išsamiau aprašyta papildomuose dokumentuose, kuriuos galima rasti adresu business.safety.google/rdp, išskyrus atvejus, kai tai leidžiama pagal KVPA;
- d) „Google“ tvarkys tokius Kliento asmens duomenis konkrečiu RDP paslaugų teikimo tikslu, kaip išsamiau aprašyta Sutartyje ir papildomuose dokumentuose (pvz., pagalbos centro straipsniuose), arba kaip kitaip leidžiama pagal KVPA, ir šalys susitaria, kad Klientas pateiks šiuos Kliento asmens duomenis „Google“ šiais tikslais;
- e) „Google“ leis atlikti auditą, kad patikrintų, kaip „Google“ laikosi savo įsipareigojimų pagal šį 1B priedą, kaip nurodyta šio priedo 3.3.3 punkto c papunktyje („Kliento teisė atlikti auditą“);
- f) „Google“ praneš Klientui, jei „Google“ nustatys, kad ji nebegali laikytis savo įsipareigojimų pagal KVPA. Šis 5.1. punkto f papunktis nesumažina nė vienos iš šalių teisių ir pareigų, nustatytų kituose Sutarties punktuose;
- g) Jei Klientas pagrįstai mano, kad „Google“ neteisėtai apdoroja Kliento asmens duomenis, Klientas turi teisę pranešti „Google“ apie tokį įsitikinimą naudodamas metodus, aprašytus adresu privacy.google.com/businesses/processorsupport. Tokiu atveju, šalys, jei reikia, sąžiningai bendradarbiauja ieškodamos tariamai pažeidžiančios apdorojimo veiklos; ir
- h) „Google“ laikysis pagal KVPA galiojančių įsipareigojimų ir teiks tokio pat lygio privatumo apsaugą, kaip reikalauja KVPA.
5.2. Dėl Kliento asmens duomenų, kurie tvarkomi neįjungus Riboto duomenų apdorojimo, ir tokiu mastu, kokiu Kliento asmens duomenų tvarkymui taikomas KVPA:
- a) „Google“ tvarkys tokius Kliento asmens duomenis konkrečiu Vertinimo paslaugų teikimo tikslu, kaip išsamiau aprašyta Sutartyje ir papildomuose dokumentuose (pvz., pagalbos centro straipsniuose), arba kaip kitaip leidžiama pagal KVPA, ir šalys susitaria, kad Klientas pateiks šiuos Kliento asmens duomenis „Google“ šiais tikslais;
- b) „Google“ leis atlikti auditą, kad patikrintų, kaip „Google“ laikosi savo įsipareigojimų pagal šį 1B priedą, kaip nurodyta šio priedo 3.3.3 punkto c papunktyje („Kliento teisė atlikti auditą“);
- c) „Google“ praneš Klientui, jei „Google“ nustatys, kad ji nebegali laikytis savo įsipareigojimų pagal KVPA;
- d) Jei Klientas pagrįstai mano, kad „Google“ neteisėtai apdoroja Kliento asmens duomenis, Klientas turi teisę pranešti „Google“ apie tokį įsitikinimą naudodamas metodus, aprašytus adresu privacy.google.com/businesses/processorsupport. Tokiu atveju, šalys, jei reikia, sąžiningai bendradarbiauja ieškodamos tariamai pažeidžiančios apdorojimo veiklos; ir
- e) „Google“ laikysis pagal KVPA galiojančių įsipareigojimų ir teiks tokio pat lygio privatumo apsaugą, kaip reikalauja KVPA.
6. Šio 1B priedo pakeitimai.
Be Duomenų valdytojo sąlygų 7 skirsnio (šių Duomenų valdytojo sąlygų pakeitimų), jei taikoma, „Google“ gali be įspėjimo pakeisti šį 1B priedą, jei a) pakeitimas taikomas pagal galiojančius įstatymus, taikomus teisės aktus, teismo įsakymą ar gautus vyriausybės reguliavimo institucijos ar agentūros nurodymus arba b) neturi esminio neigiamo poveikio Klientui pagal JAV privatumo įstatymus, kaip pagrįstai nustatė „Google“.
7. Objektas ir išsami duomenų apdorojimo informacija pagal JAV privatumo įstatymo objektą
„Google“ teikia RDA paslaugas ir bet kokį susijusį techninį palaikymą Klientui.
Apdorojimo trukmė
Terminas ir laikotarpis nuo Termino pabaigos, kol „Google“ ištrins visus Kliento asmens duomenis pagal 1B priedą.
Apdorojimo pobūdis ir tikslas
„Google“ apdoros (įskaitant, jei taikoma, RDA paslaugas ir instrukcijas, kaip rinkti, įrašyti, tvarkyti, struktūrizuoti, saugoti, keisti, nuskaityti, naudoti, atskleisti, sujungti, ištrinti ir sunaikinti) Kliento asmens duomenis, siekiant teikti RDA paslaugas ir bet kokį susijusį techninį palaikymą Klientui pagal 1B priedą arba jei kitaip leidžia duomenų tvarkytojai pagal JAV privatumo įstatymus.
Asmens duomenų tipai
Kliento asmens duomenys gali apimti asmens duomenų tipus, aprašytus JAV privatumo įstatymuose.
Duomenų subjektų kategorijos
Kliento asmens duomenys bus susiję su toliau nurodytomis duomenų subjektų kategorijomis:
- duomenų subjektai, apie kuriuos „Google“ renka asmens duomenis teikdama RDP paslaugas; ir (arba)
- duomenų subjektai, kurių asmens duomenis, susijusius su RDP paslaugomis, „Google“ perduoda Klientas, Kliento nurodymu arba jo vardu.
Atsižvelgiant į RDP paslaugų pobūdį, šie duomenų subjektai gali būti asmenys: a) kuriems buvo arba bus skirta internetinė reklama; b) kurie lankėsi konkrečiose svetainėse arba programose, kurioms „Google“ teikia RDP paslaugas; ir (arba) c) kurie yra Kliento produktų arba paslaugų klientai arba naudotojai.
„Google“ vieno duomenų valdytojo kitam perduodamų duomenų vertinimo apsaugos sąlygos, 4.0 versija
Ankstesnės versijos
