Google en de Klant zijn de Voorwaarden van Google voor de gegevensbescherming door de verwerkingsverantwoordelijke van een account voor meetdiensten en Google (de Voorwaarden voor de verwerkingsverantwoordelijke) aangegaan, die een aanvulling vormen op de Overeenkomst. Dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van Amerikaanse staten (dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten) is aangegaan door Google en de Klant, en vormt een aanvulling op de Overeenkomst. Dit Addendum treedt in werking op 1 januari 2023 of op de datum waarop de Klant klikt om dit Addendum te accepteren of waarop de partijen anderszins akkoord zijn gegaan met dit Addendum.
1. Inleiding.
Google kan bepaalde instellingen, configuraties of andere functies in de producten bieden voor de Meetdiensten, en de Klant kan deze aanzetten, die betrekking hebben op beperkte gegevensverwerking, zoals beschreven in de ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, zoals deze van tijd tot tijd wordt geüpdatet (Beperkte gegevensverwerking). Dit Addendum voor verwerkingsverantwoordelijken voor privacybescherming van staten bevat alleen de bepalingen voor gegevensbescherming die betrekking hebben op de instelling voor gegevens delen (als Beperkte gegevensverwerking niet aanstaat) en is niet anderszins van toepassing op de levering van de Meetdiensten. De Klant is zelf verplicht elk van de Toepasselijke privacywetten van de staten na te leven bij het gebruik van Google-services, waaronder Beperkte gegevensverwerking.
Dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten weerspiegelt de overeenkomst tussen partijen met betrekking tot de verwerking van Persoonsgegevens en Desidentificeerde gegevens van de Klant (zoals hieronder gedefinieerd) in overeenstemming met de Instelling voor gegevens delen in verband met de Toepasselijke privacywetgeving van staten (zoals hieronder gedefinieerd), en is alleen van kracht voor zover elke Toepasselijke privacywet van staten van toepassing is.
2. Definities en interpretatie.
2.1 Toepasselijke privacywetgeving van staten betekent, zoals van toepassing: (a) de CCPA; (b) de Consumer Data Protection Act van Virginia Code Ann. § 59.1-571 en volgende; (c) de Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 en volgende, samen met alle implementatieverordeningen; (d) Act Concerning Data Privacy and Online Monitoring van Connecticut, Pub. Act No. 22015; en (e) de Consumer Privacy Act van Utah Code Ann. § 13-61-101 en volgende.
2.2 CCPA betekent de privacywet voor consumenten in Californië (CCPA) van 2018, zoals gewijzigd door de California Privacy Rights Act van 2020, samen met alle implementatieverordeningen.
2.3 Desidentificeerde gegevens betekent gegevensinformatie die is 'desidentificeerd' (zoals die term is gedefinieerd in de CCPA) en 'desidentificeerde gegevens' (zoals gedefinieerd in andere Toepasselijke privacywetgeving van de staten), indien verstrekt door de ene partij aan de andere.
2.4 De termen bedrijf, consument, verwerkingsverantwoordelijke, persoonsgegevens, persoonlijke informatie, proces, verwerking, uitverkoop en verkopen, zoals gebruikt in dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten, hebben de betekenis die is vermeld in de Toepasselijke privacywetgeving van staten.
2.5 Termen met een hoofdletter die in dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten worden gebruikt, maar niet worden gedefinieerd, hebben de betekenis die is vermeld in de Voorwaarden voor de verwerkingsverantwoordelijke.
3. Voorwaarden van de Toepasselijke privacywetgeving van staten.
3.1 Desidentificeerde gegevens. Elke partij moet voldoen aan de vereisten voor de verwerking van Desidentificeerde gegevens die zijn uiteengezet in de Toepasselijke privacywetgeving van staten met betrekking tot de Desidentificeerde gegevens die de partij van de andere partij krijgt in overeenstemming met de Instelling voor gegevens delen.
3.2 CCPA-verplichtingen van Google. Met betrekking tot de Persoonsgegevens van de Klant die worden verwerkt zonder dat Beperkte gegevensverwerking is aangezet in overeenstemming met de Instelling voor gegevens delen en voor zover de CCPA van toepassing is op de verwerking van Persoonsgegevens van de Klant:
- (a) Google zal dergelijke Persoonsgegevens van de Klant verwerken in overeenstemming met de Instelling voor gegevens delen, zoals nader beschreven in de Overeenkomst en ondersteunende documentatie (bijv. Helpcentrum-artikelen) of zoals anderszins is toegestaan onder de CCPA. De partijen gaan ermee akkoord dat de Klant dergelijke Persoonsgegevens van de Klant aan Google beschikbaar stelt voor dergelijke doeleinden;
- (b) Google staat als volgt toe dat controles worden uitgevoerd om te bepalen of Google voldoet aan zijn verplichtingen op grond van dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten:
- (i) De Klant kan een controle uitvoeren om te verifiëren of Google heeft voldaan aan zijn verplichtingen op grond van dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten door (1) een certificaat aan te vragen en te controleren dat is uitgegeven voor beveiligingsverificatie en dat het resultaat bevat van een controle door een derde controleur (bijv. ISO/IEC 27001-certificering of een vergelijkbare certificering of andere beveiligingscertificering van een controle door een derde controleur die is overeengekomen door de Klant en Google) binnen 12 maanden na de datum van het verzoek van de Klant en (2) andere informatie aan te vragen en te controleren waarvan Google heeft bepaald dat de Klant deze redelijkerwijs nodig heeft om dergelijke naleving te verifiëren.
- (ii) Als alternatief kan Google naar eigen goeddunken en als reactie op een verzoek van de Klant een controle door een derde starten om te verifiëren of Google voldoet aan zijn verplichtingen op grond van dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten. Tijdens een dergelijke controle stelt Google alle informatie beschikbaar voor de derde controleur die nodig is om deze naleving aan te tonen. Als de Klant een dergelijke controle aanvraagt, kan Google voor elke controle kosten in rekening brengen (op basis van redelijke kosten van Google). Voorafgaand aan een eventuele controle verstrekt Google nadere informatie aan de Klant over eventueel toepasselijke kosten en de basis voor de berekening ervan. De Klant is verantwoordelijk voor eventuele kosten die door een derde controleur in rekening worden gebracht om een dergelijke controle uit te voeren.
- (iii) Niets in dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten vereist dat Google het volgende verstrekt aan de Klant of een derde controleur, of de Klant of een derde controleur toegang geeft tot het volgende:
- (1) gegevens van een andere klant van een Google-entiteit;
- (2) interne boekhoudkundige of financiële gegevens van een Google-entiteit;
- (3) handelsgeheimen van een Google-entiteit;
- (4) informatie die, naar de redelijke mening van Google (A) de beveiliging van een systeem of bedrijfslocatie van een Google-entiteit in gevaar kan brengen of (B) ertoe kan leiden dat een Google-entiteit zijn verplichtingen schendt op grond van de Toepasselijke privacywetgeving van staten of hun verplichtingen met betrekking tot beveiliging en/of privacy jegens de Klant of een derde; of
- (5) informatie waartoe de Klant of de derde controleur toegang wil verkrijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van de Klant op grond van de Toepasselijke privacywetgeving van staten;
- (c) Google stelt de Klant op de hoogte als Google vaststelt dat Google niet meer aan zijn verplichtingen op grond van de CCPA kan voldoen;
- (d) Als de Klant redelijkerwijs van mening is dat Google de Persoonsgegevens van de Klant op een ongemachtigde manier verwerkt, heeft de Klant het recht om Google op de hoogte te stellen van een dergelijke overtuiging via de methoden die zijn beschreven op privacy.google.com/businesses/processorsupport. De partijen werken indien nodig te goeder trouw samen om problemen met de vermeend ongeoorloofde verwerkingsactiviteiten op te lossen; en
- (e) Google voldoet aan de toepasselijke verplichtingen volgens de CCPA en biedt hetzelfde niveau van privacybescherming als de CCPA vereist.
4. Wijzigingen in dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten.
In aanvulling op Artikel 9 van de Voorwaarden voor de verwerkingsverantwoordelijke (Wijzigingen in deze Voorwaarden voor de verwerkingsverantwoordelijke) kan Google dit Addendum voor verwerkingsverantwoordelijken voor de privacywetgeving van staten zonder kennisgeving wijzigen als de wijziging (a) is gebaseerd op toepasselijke wetgeving, toepasselijke verordeningen, een rechterlijk bevel of richtlijnen van een regelgevende instantie of overheidsinstantie of (b) geen wezenlijke negatieve gevolgen heeft voor de Klant op grond van de Toepasselijke privacywetgeving van staten, zoals redelijkerwijs bepaald door Google.
1 januari 2023