Компанія Google і Клієнт прийняли Умови Google щодо захисту даних під час взаємодії між контролерами даних (далі – Умови для контролерів даних), які доповнюють Угоду. Ці Додаткові положення для контролерів даних, відповідальних за дотримання законів США про конфіденційність, доповнюють Угоду та приймаються компанією Google і Клієнтом. Ці Додаткові положення набудуть чинності з 1 січня 2023 року або з дати, коли Клієнт натисне кнопку "Прийняти" чи сторони приймуть їх іншим способом.
1. Вступ.
Google може запропонувати Клієнту ввімкнути певні налаштування, конфігурації або інші функції Аналітичних сервісів, пов’язані з обмеженням обробки даних, як описано в супровідній документації на сторінці "Обмеження обробки даних" за адресою business.safety.google/rdp (інформація на цій сторінці час від часу оновлюється). Ці Додаткові положення для контролерів даних, відповідальних за дотримання законів США про конфіденційність, стосуються лише Налаштувань спільного доступу до даних (якщо обмеження обробки даних не ввімкнено), а не надання Аналітичних сервісів. Клієнт несе повну відповідальність за дотримання всіх відповідних законів США про конфіденційність, які стосуються використання сервісів Google, зокрема режиму обмеження обробки даних.
Ці Додаткові положення для контролерів даних, відповідальних за дотримання законів США про конфіденційність, відображають угоду між сторонами про обробку Персональних даних Клієнта й Анонімізованих даних (як визначено нижче) відповідно до Налаштувань спільного доступу до даних, що регулюються застосовними законами США про конфіденційність (див. визначення нижче), та діють лише в межах законів США про конфіденційність.
2. Визначення та тлумачення.
2.1 "Закони США про конфіденційність" – це термін, під яким залежно від обставин можуть матися на увазі: (a) Закон Каліфорнії "Про захист персональних даних споживачів" (CCPA); (b) Закон Вірджинії "Про захист даних споживачів" (Анотований кодекс Вірджинії, § 59.1–571 і далі); (c) Закон Колорадо "Про захист конфіденційності" (Переглянуті статути Колорадо, § 6-1–1301 і далі) та всі підзаконні акти; (d) Закон Коннектикута "Про захист і моніторинг даних в Інтернеті" (Громадський акт № 22015); (e) Закон Юти "Про захист персональних даних споживачів" (Кодекс Юти, § 13-61–101 і далі).
2.2 "CCPA" – це Закон Каліфорнії "Про захист персональних даних споживачів" від 2018 року з поправками Закону Каліфорнії "Про захист конфіденційності" від 2020 року, а також усі підзаконні акти.
2.3 "Анонімізовані дані" – це дані, для яких виключається персоналізація під час їх розкриття між сторонами (див. визначення в Законі CCPA та інших законах США про конфіденційність).
2.4 Терміни "компанія", "споживач", "контролер", "персональні дані", "особиста інформація", "процедура", "обробка", "продажі" та "продавати" в цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність, мають такі самі визначення, що й у застосовних законах США про конфіденційність.
2.5 Терміни з великої літери, що використовуються, але не визначені в цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність, мають такі самі визначення, що й в Умовах для контролерів даних.
3. Терміни в застосовних законах США про конфіденційність.
3.1 Анонімізовані дані. Кожна сторона зобов’язується дотримуватися вимог щодо обробки Анонімізованих даних, як визначено в застосовних законах США про конфіденційність, для будь-яких Анонімізованих даних, які вона отримує від іншої сторони відповідно до Налаштувань спільного доступу до даних.
3.2 Зобов’язання Google відповідно до Закону CCPA. Якщо Персональні дані Клієнта обробляються без обмежень, відповідно до Налаштувань спільного доступу до даних і вимог Закону CCPA:
- (a) Google оброблятиме такі Персональні дані відповідно до Налаштувань спільного доступу до даних, як описано в Угоді й супровідних документах (наприклад, у статтях Довідкового центру), або в інший спосіб, дозволений Законом CCPA, і сторони погоджуються, що Клієнт надає компанії Google доступ до таких Персональних даних для відповідних цілей.
- (b) Ми дозволимо перевіряти, чи дотримується Google зобов’язань, викладених у цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність.
- (i) Клієнт може провести перевірку, щоб підтвердити, що компанія Google дотримується зобов’язань, викладених у цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність, попередньо надіславши відповідний запит, а тоді переглянувши (1) сертифікат для підтвердження безпеки з результатом перевірки, проведеної стороннім аудитором (наприклад, це може бути сертифікат ISO/IEC 27001 або аналогічний чи інший сертифікат про перевірку безпеки, проведену стороннім аудитором, схваленим Клієнтом і компанією Google), протягом 12 місяців із дати надсилання запиту Клієнтом та (2) будь-яку іншу інформацію, що Google визнає необхідною для підтвердження дотримання вимог Клієнта.
- (ii) Компанія Google також може на власний розсуд або на запит Клієнта ініціювати перевірку, яка проводиться незалежним аудитором, щоб підтвердити дотримання компанією своїх зобов’язань у межах цих Додаткових положень для контролерів даних, відповідальних за дотримання законів США про конфіденційність. Під час перевірки Google надаватиме сторонньому аудитору всю інформацію, потрібну для підтвердження відповідності вимогам. Коли Клієнт надсилає запит на таку перевірку, Google може стягувати комісію (на основі власних обґрунтованих витрат). Компанія Google зобов’язується надавати Клієнту докладну інформацію про всі комісії та підстави для їх стягнення до проведення такої перевірки. Клієнт несе відповідальність за будь-які стягнення з боку стороннього аудитора.
- (iii) Жодна умова в цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність, не зобов’язує компанію Google розкривати інформацію Клієнту або сторонньому аудитору чи надавати їм доступ до:
- (1) даних будь-якого іншого клієнта організації Google;
- (2) внутрішньої бухгалтерської або фінансової інформації компанії Google;
- (3) комерційної таємниці організації Google;
- (4) будь-якої інформації, що, на думку компанії Google, може: (a) загрожувати безпеці систем або приміщень організації Google; (б) змусити будь-яку організацію Google порушити зобов’язання, передбачені застосовними законами США про конфіденційність, чи зобов’язання щодо безпеки та/або конфіденційності перед Клієнтом і будь-якими третіми сторонами;
- (5) інформації, до якої Клієнт або сторонній аудитор прагне отримати доступ із метою, не пов’язаною з добросовісним виконанням зобов’язань Клієнта відповідно до застосовних законів США про конфіденційність.
- (c) Компанія Google зобов’язується сповістити Клієнта, якщо виявить, що більше не може виконувати свої зобов’язання відповідно до Закону CCPA.
- (d) Якщо Клієнт обґрунтовано вважає, що Google обробляє його Персональні дані неналежним чином, то має право сповістити про це компанію Google способами, описаними на сторінці privacy.google.com/businesses/processorsupport, і сторони зобов’язуються добросовісно співпрацювати, щоб усунути порушення правил (якщо є).
- (e) Компанія Google зобов’язується дотримуватися своїх зобов’язань відповідно до Закону CCPA і забезпечувати відповідний рівень захисту конфіденційності.
4. Зміни в цих Додаткових положеннях для контролерів даних, відповідальних за дотримання законів США про конфіденційність.
Крім розділу 9 Умов для контролерів даних, де йдеться про зміни в них, компанія Google залишає за собою право без попередження вносити зміни в ці Додаткові положення для контролерів даних, відповідальних за дотримання законів США про конфіденційність, якщо вони: ґрунтуються на застосовному законі, нормативному акті чи ухвалі суду або наказі державного органа чи агентства; (b) не мають істотного негативного впливу на Клієнта відповідно до застосовних законів США про конфіденційність (на думку компанії Google).
1 січня 2023 року
