Kunden af Målingstjenester, som accepterer disse vilkår ("Kunde"), har indgået en aftale enten med Google eller en tredjepartsforhandler (alt efter hvad der er relevant) om levering af de Målingstjenester ("Aftalen", der fra tid til anden kan ændres), via hvis brugerflade Kunden har aktiveret Indstilling for datadeling.
Googles vilkår for beskyttelse af data mellem målingsansvarlig og dataansvarlig ("Vilkår for dataansvarlige") indgås mellem Google og Kunden. Hvor Aftalen indgås mellem Kunden og Google, supplerer disse Vilkår for dataansvarlige Aftalen. Hvor Aftalen indgås mellem Kunden og en tredjepartsforhandler, udgør disse Vilkår for dataansvarlige en separat aftale mellem Google og Kunden.
For at undgå tvivl er levering af Målingstjenester reguleret af Aftalen. Disse Vilkår for dataansvarlige fastsætter kun de leveringer af databeskyttelse, der er relateret til Indstillingen for datadeling, men gælder ikke på anden vis for levering af Målingstjenester.
I henhold til afsnit 6.2 (Ingen indflydelse på Vilkår for databehandlere) vil disse Vilkår for dataansvarlige være gældende og erstatte eventuelle tidligere gældende vilkår, der er relateret til deres indhold, fra Ikrafttrædelsesdatoen for vilkår.
Hvis du accepterer disse Vilkår for dataansvarlige på vegne af Kunden, garanterer du, at: (a) du har fuld juridisk bemyndigelse til at forpligte Kunden til at overholde disse Vilkår for dataansvarlige; (b) du har læst og forstået disse Vilkår for dataansvarlige; og at (c) du, på vegne af Kunden, accepterer disse Vilkår for dataansvarlige. Hvis du ikke har juridisk bemyndigelse til at forpligte Kunden, må du ikke acceptere disse Vilkår for dataansvarlige.
Undlad venligst at acceptere disse Vilkår for dataansvarlige, hvis du er forhandler. Disse Vilkår for dataansvarlige fastsætter de rettigheder og forpligtelser, der gælder mellem brugere af Målingstjenesterne og Google.
1. Indledning
Disse Vilkår for dataansvarlige afspejler parternes aftale om behandling af Dataansvarliges personoplysninger i henhold til Indstillingen for datadeling.
2. Definitioner og fortolkning
2.1
I disse Vilkår for dataansvarlige gælder følgende:
"Yderligere vilkår" betyder de yderligere vilkår, der henvises til i bilag 1, som viser parternes aftale om de vilkår, der gælder for behandling af Dataansvarliges personoplysninger i forbindelse med bestemt Gældende databeskyttelseslovgivning.
"Tilknyttet virksomhed" betyder en enhed, der direkte eller indirekte styrer, styres af eller er under almindelig kontrol hos en part.
"Gældende databeskyttelseslovgivning" betyder i forbindelse med behandling af Dataansvarliges personoplysninger, alle nationale, føderale, EU-, statslige, regionale eller andre privatlivs-, datasikkerheds- eller databeskyttelseslove eller -forordninger, herunder europæisk databeskyttelseslovgivning, LGPD og privatlivsrelaterede love i USA.
"Fortrolige oplysninger" betyder disse Vilkår for dataansvarlige.
"Den registrerede dataansvarlige" betyder en registreret enhed, som Dataansvarliges personoplysninger vedrører.
"Dataansvarliges personoplysninger" betyder alle personlige oplysninger, som behandles af en part i henhold til Indstillingen for datadeling.
"Indstilling for datadeling" er den indstilling for datadeling, som Kunden har aktiveret via brugerfladen i Målingstjenesterne, og som giver Google og deres Tilknyttede virksomheder mulighed for at bruge personoplysninger til at forbedre Googles og deres Tilknyttede virksomheders produkter og tjenester.
"Endelig dataansvarlig" betyder for hver part den endelige dataansvarlige for Dataansvarliges personoplysninger.
"EU GDPR" betyder Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af enkeltpersoner med hensyn til behandling af personoplysninger og om fri bevægelighed af sådanne data, der ophæver direktiv 95/46/EF.
"Den europæiske databeskyttelseslovgivning" betyder følgende: (a) GDPR og/eller (b) Swiss FDPA.
"GDPR" betyder følgende: (a) EU GDPR og/eller (b) UK GDPR.
"Google" betyder:
- (a) hvor en Google-enhed er part i Aftalen, denne Google-enhed.
- (b) hvor Aftalen er mellem Kunden og en tredjepartsforhandler og:
- (i) tredjepartsforhandleren er organiseret i Nordamerika eller i en anden region uden for Europa, Mellemøsten, Afrika, Asien og Oceanien, Google LLC (som tidligere blev betegnet Google Inc.)
- (ii) tredjepartsforhandleren er organiseret i Europa, Mellemøsten eller Afrika, Google Ireland Limited; eller
- (iii) tredjepartsforhandleren er organiseret i Asien og Oceanien, Google Asia Pacific Pte. Ltd.
"Google-enhed" betyder Google LLC, Google Ireland Limited eller en anden Virksomhed, der er tilknyttet Google LLC.
"LGPD" betyder den brasilianske databeskyttelseslov (Lei Geral de Proteção de Dados Pessoais).
"Målingstjenester" betyder Google Analytics, Google Analytics 360, Google Analytics til Firebase, Google Optimize eller Google Optimize 360, afhængigt af den Indstilling for datadeling, som parterne har accepteret disse Vilkår for dataansvarlige for.
"Politikker" betyder den samtykkepolitik for Google-slutbrugere, som findes på https://www.google.com/about/company/user-consent-policy.html.
"Vilkår for databehandlere" betyder:
- (a) hvor Google er part i Aftalen, de vilkår for databehandlere, som findes på https://business.safety.google/adsprocessorterms; eller
- (b) hvor Aftalen er mellem Kunden og en tredjepartsforhandler, afspejler sådanne vilkår en dataansvarlig-databehandler-relation (hvis der er en) som aftalt mellem Kunden og tredjepartsforhandleren.
"Swiss FDPA" betyder Federal Data Protection Act af 19. juni 1992 (Schweiz).
"Ikrafttrædelsesdato for vilkår" betyder den dato, hvor Kunden har klikket for at acceptere, eller parterne på anden måde har accepteret disse Vilkår for dataansvarlige.
"Dataansvarliges personoplysninger (Storbritannien)" betyder Dataansvarliges personoplysninger for Registrerede dataansvarlige, der befinder sig i Storbritannien.
"UK GDPR" henviser til EU GDPR (inklusive ændringer) som inkorporeret i britisk lovgivning i henhold til loven om Storbritanniens udtrædelse af EU (UK European Union (Withdrawal) Act 2018) og gældende sekundær lovgivning i henhold til denne lov.
"Privatlivsrelaterede love i amerikanske delstater" har den betydning, der er defineret her.
2.2
Når udtrykkene "dataansvarlig", "den registrerede", "personoplysninger", "behandling" og "databehandler" anvendes i disse Vilkår for dataansvarlige, har de den betydning, der er angivet i enten (a) Gældende databeskyttelseslovgivning eller, (b) hvis en sådan betydning eller lovgivning ikke findes, GDPR.
2.3
Alle eksempler i disse Vilkår for dataansvarlige er illustrative og ikke de eneste eksempler på et bestemt koncept.
2.4
Alle henvisninger til et lovsystem, en vedtægt eller anden lovgivende forordning er en henvisning til det eller den, som til enhver tid kan ændres eller genindføres.
2.5
Den engelske version er gældende i det omfang, at en oversat version af denne Aftale er i uoverensstemmelse med den engelske version.
2.6
En henvisning til "Vilkår for databeskyttelse mellem dataansvarlige i Google Ads" i SCC'erne for dataansvarlige skal forstås som en henvisning til "Googles vilkår for beskyttelse af data mellem målingsansvarlig og dataansvarlig".
3. Anvendelse af disse Vilkår for dataansvarlige
3.1 Generelt
Disse Vilkår for dataansvarlige gælder kun for den Indstilling for datadeling, som parterne har accepteret disse Vilkår for dataansvarlige for (f.eks. den Indstilling for datadeling, for hvilken Kunden har klikket for at acceptere disse Vilkår for dataansvarlige).
3.2 Varighed
Disse Vilkår for dataansvarlige gælder fra Ikrafttrædelsesdatoen for vilkårene og fortsætter med at gælde, mens Google eller Kunden behandler Dataansvarliges personoplysninger. Derefter ophæves disse Vilkår for dataansvarlige automatisk.
4. Roller og begrænsninger for behandling
4.1 Uafhængige dataansvarlige
I henhold til afsnit 4.4 (Endelige dataansvarlige) gælder følgende for hver enkelt:
- (a) er en uafhængig dataansvarlig for Dataansvarliges personoplysninger,
- (b) fastsætter individuelt formålene og metoderne for dennes behandling af Dataansvarliges personoplysninger; og
- (c) skal overholde de forpligtelser, der gælder for denne i henhold til den Gældende databeskyttelseslovgivning med hensyn til behandling af Dataansvarliges personoplysninger.
4.2 Begrænsninger for behandling
Afsnit 4.1 (Uafhængige dataansvarlige) påvirker ikke nogen af parternes rettigheder til at bruge eller på anden måde behandle Dataansvarliges personoplysninger i henhold til Aftalen.
4.3 Slutbrugers samtykke
Kunden skal overholde Politikkerne i forbindelse med Dataansvarliges personoplysninger, som er delt i overensstemmelse med Indstillingen for datadeling, og bærer til enhver tid bevisbyrden i forbindelse med påvisning af en sådan overholdelse.
4.4 Endelige dataansvarlige
Uden at det reducerer nogen af parternes forpligtelser i henhold til disse Vilkår for dataansvarlige, accepterer begge parter, at: (a) den anden parts Tilknyttede virksomheder eller kunder kan være Endelige dataansvarlige; og (b) den anden part kan fungere som databehandler på vegne af sine Endelige dataansvarlige. Begge parter skal sikre, at deres Endelige dataansvarlige overholder Vilkårene for dataansvarlige.
4.5 Gennemsigtighed
Kunden accepterer, at Google har offentliggjort oplysninger om, hvordan Google bruger oplysninger fra websites, apps eller andre ejendomme, der bruger deres tjenester, på https://business.safety.google/privacy/. Uden at påvirke dennes forpligtelser i henhold til sektion 4.1(c) kan Kunden linke til denne side for at give Registrerede dataansvarlige oplysninger om Googles behandling af Dataansvarliges personoplysninger.
5. Ansvar
5.1
Hvis Google er:
- (a) part i Aftalen, og Aftalen reguleres af lovene i:
- (i) en delstat i USA, vil (uanset andet i Aftalen) begge parters samlede ansvar over for den anden part i henhold til eller i forbindelse med disse Vilkår for dataansvarlige være begrænset til det maksimale penge- eller betalingsbaserede beløb, som den enkelte parts ansvar omfatter i henhold til Aftalen (det betyder, at enhver udelukkelse af skadesløsholdelse fra Aftalens ansvarsbegrænsning ikke vil gælde for krav om skadesløsholdelse i henhold til Aftalen i relation til Den gældende databeskyttelseslovgivning); eller
- (ii) en jurisdiktion, som ikke er en delstat i USA, vil begge parters ansvar i henhold til eller i forbindelse med disse Vilkår for dataansvarlige være underlagt udelukkelserne eller ansvarsbegrænsningerne i Aftalen; eller
- (b) ikke part i Aftalen, er Google i det omfang, det er tilladt i henhold til gældende lovgivning, ikke ansvarlig for Kundens mistede omsætning eller indirekte, særlige, hændelige eller konkrete skader eller pønalerstatning, uanset om Google eller dets Tilknyttede virksomheder havde viden om eller burde have vidst, at en erstatning for sådanne skader ikke udgør en afhjælpning. Googles (og det Tilknyttede virksomheders) samlede ansvar over for Kunden eller en anden part vedrørende tab, skader eller sagsanlæg som følge af eller i forbindelse med disse Vilkår for dataansvarlige kan ikke overstige 500 USD.
6. Effekt af Vilkår for dataansvarlige
6.1 Rangfølge
Hvis der er konflikt eller uoverensstemmelse mellem Yderligere vilkår, resten af disse Vilkår for dataansvarlige og/eller resten af Aftalen, gælder de i henhold til afsnit 4.2 (Begrænsninger for behandling) og 6.2 (Ingen indflydelse på Vilkår for databehandlere) i følgende rangfølge: (a) Yderligere vilkår (hvis det er relevant); (b) resten af disse Vilkår for dataansvarlige og (c) resten af Aftalen. I henhold til ændringerne i disse Vilkår for dataansvarlige vil Aftalen mellem Google og Kunden forblive i kraft og fuldt gældende.
6.2 Ingen indflydelse på Vilkår for databehandlere
Disse Vilkår for dataansvarlige erstatter eller påvirker ikke nogen Vilkår for databehandlere. For at undgå tvivl gælder, at hvis Kunden er part i Vilkår for databehandlere i forbindelse med Målingstjenesterne, gælder Vilkår for databehandlere stadig for Målingstjenesterne, uanset om disse Vilkår for dataansvarlige gælder for Dataansvarliges personoplysninger, som behandles i henhold til Indstillingen for datadeling.
7. Ændringer af disse Vilkår for dataansvarlige
7.1 Ændringer af Vilkår for dataansvarlige
Google kan ændre disse Vilkår for dataansvarlige, hvis ændringen:
- (a) afspejler en ændring i navnet eller formularen for en juridisk enhed
- (b) er påkrævet for at overholde gældende lovgivning, gældende forordninger, retskendelser eller retningslinjer, der er udstedt af en offentlig tilsynsmyndighed eller en offentlig myndighed, eller afspejler Googles indførelse af en Alternativ løsning til overførsel (som defineret i Bilag 1A)
- (c) er som beskrevet i Afsnit 7.2 (Ændringer af webadresser) eller
- (b) ikke: (i) på anden vis forsøger at ændre kategoriseringen af parterne som dataansvarlige for Dataansvarliges personoplysninger i henhold til den Gældende databeskyttelseslovgivning; (ii) udvider omfanget af eller fjerner begrænsninger på nogen af parternes rettigheder til at bruge eller på anden måde behandle Dataansvarliges personoplysninger; eller (iii) har en væsentlig negativ indvirkning på Kunden, efter hvad Google skønner rimeligt.
7.2 Ændringer af webadresser
Google kan til enhver tid ændre alle webadresser, der henvises til i disse Vilkår for dataansvarlige, og indholdet på enhver sådan webadresse.
7.3 Notifikation om ændringer
Hvis Google har til hensigt at ændre disse Vilkår for dataansvarlige under afsnit 7.1(b), og en sådan ændring vil have væsentlig negativ indvirkning på Kunden, efter hvad Google skønner rimeligt, skal Google i den udstrækning, det er kommercielt rimeligt, bestræbe sig på at informere Kunden mindst 30 dage (eller en kortere periode, hvis det kræves for at overholde gældende forordning, gældende bestemmelser, en retskendelse eller vejledning fra en offentlig tilsynsmyndighed eller statslig myndighed) før, ændringen træder i kraft. Hvis Kunden gør indsigelse mod en sådan ændring, kan Kunden slå Indstillingen for datadeling fra.
8. Yderligere bestemmelser
8.1
Dette afsnit 8 (Yderligere bestemmelser) gælder kun, hvis Google ikke er part i Aftalen.
8.2
Alle parter skal overholde deres forpligtelser i henhold til disse Vilkår for dataansvarlige med et rimeligt niveau af omhu og kompetence.
8.3
Ingen af parterne må bruge eller videregive den anden parts Fortrolige oplysninger uden den anden parts skriftlige samtykke bortset fra med det formål at udøve sine rettigheder eller forpligtelser i henhold til disse Vilkår for dataansvarlige, eller hvis det er påkrævet i henhold til love, forordninger eller en retskendelse; i hvilket tilfælde den part, som er nødt til at videregive Fortrolige oplysninger, skal give den anden part besked i så god tid, som det er rimeligt muligt, forud for videregivelsen af Fortrolige oplysninger.
8.4
I det omfang det er tilladt i henhold til gældende lovgivning, medmindre andet udtrykkeligt er angivet i disse Vilkår for dataansvarlige, yder Google ingen yderligere garanti af nogen art, hverken udtrykkeligt, underforstået, lovbefalet eller på anden måde, herunder og uden begrænsning, garantier vedrørende salgbarhed, egnethed til et bestemt formål og ikke-krænkelse af rettigheder.
8.5
Ingen af parterne kan holdes ansvarlig for manglende eller forsinket ydeevne i det omfang, det skyldes omstændigheder, som ligger uden for den pågældende parts kontrol.
8.6
Hvis et vilkår (eller en del af et vilkår) i disse Vilkår for dataansvarlige er ugyldigt, ulovligt eller uden retskraft, forbliver resten af disse Vilkår for dataansvarlige i kraft.
8.7
(a) Bortset fra hvad der er angivet i afsnit (b) herunder, reguleres disse Vilkår for dataansvarlige af og skal fortolkes i overensstemmelse med lovgivningen i den amerikanske delstat Californien uden hensyntagen til eventuel lovkonflikt. I tilfælde af modstrid mellem udenlandske love, regler og bestemmelser og Californiens love, regler og bestemmelser er disse Vilkår for dataansvarlige underlagt Californiens love, regler og bestemmelser. Parterne accepterer domstolene i Santa Clara County i Californien som eksklusiv og personlig jurisdiktion. Disse Vilkår for dataansvarlige er ikke underlagt FN's konvention om aftaler om internationale køb (United Nations Convention on Contracts for the International Sale of Goods) og UCITA (Uniform Computer Information Transactions Act).
(b) Hvor Aftalen indgås mellem Kunden og en tredjepartsforhandler, og tredjepartsforhandleren er organiseret i Europa, Mellemøsten eller Afrika, reguleres disse Vilkår for dataansvarlige af engelsk lovgivning. Parterne accepterer, at enhver tvist (uanset om den er kontraktlig eller ikke-kontraktlig), der måtte opstå som følge af eller i forbindelse med disse Vilkår for dataansvarlige, skal afgøres med de engelske domstole som eksklusiv jurisdiktion.
(c) Hvis bestemmelserne i SCC'erne for dataansvarlige er gældende og der i disse er angivet lovvalg, som ikke er i overensstemmelse med de love, der er angivet i afsnit (a) og (b) ovenfor, gælder det lovvalg, der er angivet i SCC'erne for dataansvarlige, kun med hensyn til SCC'erne for dataansvarlige.
(d) Disse Vilkår for dataansvarlige er ikke underlagt FN's konvention om aftaler om internationale køb (United Nations Convention on Contracts for the International Sale of Goods) og UCITA (Uniform Computer Information Transactions Act).
8.8
Alle opsigelsesvarsler eller meddelelser om brud skal overleveres skriftligt på engelsk og adresseres til den anden parts juridiske afdeling. Adressen for meddelelser til Googles juridiske afdeling er legal-notices@google.com. Meddelelsen anses for at være givet, når den er kommet modtageren i hænde, hvilket kan dokumenteres ved skriftlig eller automatisk fremsendt kvittering for modtagelse eller elektronisk logfil (alt efter hvad der er relevant).
8.9
Ingen af parterne betragtes som at have givet afkald på nogen rettigheder ved ikke at udøve (eller udsætte udøvelsen af) rettigheder i henhold til disse Vilkår for dataansvarlige. Ingen af parterne må overdrage nogen del af disse Vilkår for dataansvarlige uden den anden parts skriftligt samtykke, medmindre overdragelse sker til en Tilknyttet virksomhed, hvor: (a) Erhververen skriftligt accepterer at være bundet af vilkårene i disse Vilkår for dataansvarlige; og (b) den overdragende part forbliver ansvarlig for forpligtelserne i disse Vilkår for dataansvarlige, hvis erhververen misligholder dem; og (c) i Kundens tilfælde, hvis den overdragende part har overdraget sin Målingstjenestekonto eller -konti til erhververen; og (d) den overdragende part har informeret den anden part om overdragelsen. Ethvert andet forsøg på overdragelse er ugyldigt.
8.10
Parterne er uafhængige kontrahenter. Disse Vilkår for dataansvarlige danner ikke grundlag for et agentur, partnerskab eller joint venture mellem parterne. Disse Vilkår for dataansvarlige giver ikke nogen fordele for nogen tredjepart, medmindre det står udtrykkeligt, at de gør.
8.11
I det omfang, det er tilladt ved gældende lov, er alle de vilkår, der er aftalt parterne imellem, angivet i disse Vilkår for dataansvarlige. Ved indgåelse af disse Vilkår for dataansvarlige har ingen af parterne henholdt sig til – og vil heller ikke have rettigheder eller retsmiddel på baggrund af – udtalelser, erklæringer eller garantier (hvad enten disse er foretaget uagtsomt eller i god tro), med undtagelse af dem, der udtrykkeligt er angivet i disse Vilkår for dataansvarlige.
Bilag 1: Yderligere vilkår for gældende lovgivning om databeskyttelse
DEL A – YDERLIGERE VILKÅR FOR EUROPÆISK DATABESKYTTELSESLOVGIVNING
1. Indledning
Dette Bilag 1A gælder kun i det omfang, Den europæiske databeskyttelseslovgivning gælder for behandling af Dataansvarliges personoplysninger.
2. Definitioner
2.1 I dette Bilag 1A:
"Tilstrækkeligt land" betyder:
- (a) for data, der behandles i henhold til EU GDPR: EØS eller et land eller en region, der anses for at sikre et tilstrækkeligt databeskyttelsesniveau i henhold til EU GDPR;
- (b) for data, der behandles i henhold til UK GDPR: Storbritannien eller et land eller en region, der anses for at sikre tilstrækkelig beskyttelse i henhold til UK GDPR og Databeskyttelsesvedtægten af 2018; og/eller
- (c) for data, der behandles i henhold til Swiss FDPA: Schweiz eller et land eller en region, der er (i) på listen over stater, hvis lovgivning sikrer et tilstrækkeligt beskyttelsesniveau som offentliggjort af den føderale databeskyttelses- og informationsmyndighed i Schweiz, eller (ii) anses for at sikre et tilstrækkeligt beskyttelsesniveau af det schweiziske forbundsråd i henhold til Swiss FDPA. I begge tilfælde en anden løsning end baseret på en valgfri databeskyttelsesaftale.
"Alternativ løsning til overførsel" betyder en anden løsning end SCC'erne for dataansvarlige, som muliggør lovlig overførsel af personoplysninger til et tredjeland i overensstemmelse med den europæiske databeskyttelseslovgivning, f.eks. en databeskyttelsesaftale, som sikrer, at de deltagende juridiske enheder yder tilstrækkelig beskyttelse.
"SCC'er for dataansvarlige" henviser til de vilkår, der er angivet på adressen business.safety.google/adscontrollerterms/sccs/c2c.
"EØS" henviser til Det Europæiske Økonomiske Samarbejdsområde.
"Dataansvarliges personoplysninger (Europa)" betyder Dataansvarliges personoplysninger for Registrerede dataansvarlige, der befinder sig i Det Europæiske Økonomiske Samarbejdsområde eller Schweiz.
"Europæisk lovgivning" henviser til følgende: (a) EU-lovgivning eller lovgivning i EU's medlemsstater (hvis EU's GDPR-lovgivning gælder for behandlingen af Dataansvarliges personoplysninger), (b) lovgivningen i Storbritannien eller dele deraf (hvis Storbritanniens GDPR-lovgivning gælder for behandlingen af Dataansvarliges personoplysninger) og (c) lovgivningen i Schweiz (hvis Swiss FDPA gælder for behandlingen af Dataansvarliges personoplysninger).
"Endelige dataansvarlige hos Google" betyder Endelige dataansvarlige for Dataansvarliges personoplysninger, der behandles af Google.
"Tilladte europæiske overførsler" betyder behandling af Dataansvarliges personoplysninger i, eller overførsel af Dataansvarliges personoplysninger til, et Tilstrækkeligt land.
"Begrænsede europæiske overførsler" betyder overførsler af Dataansvarliges personoplysninger, som er: (a) underlagt Den europæiske databeskyttelseslovgivning, og som (b) ikke er Tilladte europæiske overførsler.
"Dataansvarliges personoplysninger (Storbritannien)" betyder Dataansvarliges personoplysninger for Registrerede dataansvarlige, der befinder sig i Storbritannien.
2.2 Udtrykkene "dataimportør" og "dataeksportør" har den betydning, der er angivet i SCC'erne for dataansvarlige.
3. Endelige dataansvarlige hos Google
Endelige dataansvarlige hos Google er: (i) for Dataansvarliges personoplysninger (Europa), som behandles af Google; Google Ireland Limited, og (ii) for Dataansvarliges personoplysninger (Storbritannien), som behandles af Google, Google LLC. Begge parter skal sørge for, at deres Endelige dataansvarlige overholder SCC'erne for dataansvarlige, hvis det er relevant.
4. Dataoverførsler
4.1 Begrænsede europæiske overførsler. Begge parter kan foretage Begrænsede europæiske overførsler, hvis det er i overensstemmelse med bestemmelserne vedrørende Begrænsede europæiske overførsler i Den europæiske databeskyttelseslovgivning.
4.2 Alternativ løsning til overførsel.
- (a) Hvis Google har indført en Alternativ løsning til overførsel for eventuelle Europæiske overførsler, der er underlagt begrænsninger, gælder følgende: (i) Google sikrer, at sådanne Europæiske overførsler, der er underlagt begrænsninger, foretages i overensstemmelse med denne Alternative løsning til overførsel, og (ii) paragraf 5 (SCC'er for dataansvarlige) i dette Bilag 1A gælder ikke for sådanne Europæiske overførsler, der er underlagt begrænsninger.
- (b) Hvis Google ikke har indført en Alternativ løsning til overførsel for eventuelle Europæiske overførsler, der er underlagt begrænsninger, eller informerer Kunden om, at Google ikke længere benytter en sådan løsning, gælder paragraf 5 (SCC'er for dataansvarlige) i dette Bilag 1A for sådanne Europæiske overførsler, der er underlagt begrænsninger.
4.3 Fremtidige bestemmelser for overførsler.
- (a) Anvendelse af afsnit 4.3. Afsnit 4.3(b) (Brug af Dataudbyders personoplysninger) og 4.3(c) (Beskyttelse af Dataudbyders personoplysninger) i dette Bilag 1A gælder kun i det omfang, at:
- (i) En part ("Datamodtageren") behandler Dataansvarliges personoplysninger, som er gjort tilgængelige af den anden part ("Dataudbyderen") i forbindelse med Aftalen (sådanne Dataansvarliges personoplysninger, "Dataudbyders personoplysninger");
- (ii) Dataudbyderen eller dennes Tilknyttede virksomhed er certificeret i henhold til en Alternativ løsning til overførsel og
- (iii) Dataudbyderen underretter Datamodtageren om en sådan certificering af Alternativ løsning til overførsel skriftligt.
- (b) Brug af Dataudbyderens personoplysninger.
- (i) I det omfang en gældende Alternativ løsning til overførsel omfatter et fremtidigt overførselsprincip, må Datamodtageren i henhold til sådanne fremtidige overførselsprincipper under den relevante Alternative løsning til overførsel kun bruge Dataudbyderens personoplysninger med samtykke fra de relevante Dataansvarliges registrerede.
- (ii) I det omfang Dataudbyderen ikke indhenter samtykke fra de relevante Registrerede dataansvarlige som påkrævet i henhold til Aftalen, overtræder Datamodtageren ikke afsnit 4.3(b)(i), hvis denne bruger Dataudbyderens personoplysninger i overensstemmelse med det påkrævede samtykke.
- (c) Beskyttelse af Dataudbyderens personoplysninger.
- (i) Datamodtageren leverer et beskyttelsesniveau for Dataudbyderens personoplysninger, der som minimum svarer til det, der kræves i henhold til den gældende Alternative løsning til overførsel.
- (ii) Hvis Datamodtageren afgør, at det ikke er muligt at overholde paragraf 4.3(c)(i), sørger Datamodtageren for at: (A) underrette Dataudbyderen skriftligt; og (B) enten ophøre med at behandle Dataudbyderens personoplysninger eller træffe rimelige og relevante foranstaltninger for at afhjælpe den manglende overholdelse.
- (d) Indførelse og certificering af Alternativ løsning til overførsel. Oplysninger om Googles og/eller deres Tilknyttede virksomheders indførelse af, eller certificering i henhold til eventuelle Alternative løsninger til overførsel, findes på https://policies.google.com/privacy/frameworks. Dette afsnit 4.3(d) konstituerer en skriftlig meddelelse om Googles og eller deres Tilknyttede virksomheders nuværende certificeringer som på Ikrafttrædelsesdatoen for Vilkårene med henblik på afsnit 4.3(a)(iii).
5. SCC'er for dataansvarlige
5.1 Overførsler af europæiske Dataansvarliges Personoplysninger til Kunden. I det omfang, at:
- (a) Google overfører europæiske Dataansvarliges Personoplysninger til Kunden, og
- (b) overførslen er en Europæisk overførsel, der er underlagt begrænsninger, bliver Kunden som dataimportør anset for at have indgået aftale om SCC'erne for dataansvarlige med Google Ireland Limited (den relevante Endelige dataansvarlige hos Google) som dataeksportør, og overførslerne er i så fald underlagt SCC'erne for dataansvarlige.
5.2 Overførsler af Dataansvarliges personoplysninger (Storbritannien) til Kunden. I det omfang, at:
- (a) Google overfører Dataansvarliges personoplysninger (Storbritannien) til Kunden; og
- (b) overførslen er en Europæisk overførsel, der er underlagt begrænsninger, bliver Kunden som dataimportør anset for at have indgået aftale om SCC'erne for dataansvarlige med Google LLC (den relevante Endelige dataansvarlige hos Google) som dataeksportør, og overførslerne er i så fald underlagt SCC'erne for dataansvarlige.
5.3 Overførsler af Dataansvarliges personoplysninger (Europa) til Google. Parterne accepterer, at SCC'erne for dataansvarlige ikke er påkrævede, hvis Kunden overfører Dataansvarliges personoplysninger (Europa) til Google, da adressen på Google Ireland Limited (den gældende Endelige dataansvarlige hos Google) er i et Tilstrækkeligt land og sådanne overførsler er Tilladte europæiske overførsler. Dette påvirker ikke Googles forpligtelser i henhold til afsnit 4.1 (Begrænsede europæiske overførsler) i dette Bilag 1A.
5.4 Overførsler af Dataansvarliges personoplysninger (Storbritannien) til Google. Hvis Kunden overfører Dataansvarliges personoplysninger (Storbritannien), bliver Kunden som dataeksportør anset for at have indgået aftale om SCC'erne for dataansvarlige med Google LLC (den gældende Endelige dataansvarlige hos Google) som dataimportør, og overførslerne er i så fald underlagt SCC'erne for dataansvarlige, da Google LLC's adresse ikke er i et Tilstrækkeligt land.
5.5 Kontakt til Google; Kundeoplysninger.
- (a) Kunden kan kontakte Google Ireland Limited og/eller Google LLC i forbindelse med SCC'erne for dataansvarlige på adressen https://support.google.com/policies/troubleshooter/9009584 eller via en eventuel anden metode, som Google måtte stille til rådighed fra tid til anden.
- (b) Kunden accepterer, at Google i henhold til SCC'erne for dataansvarlige er forpligtet til at registrere visse oplysninger, herunder (i) dataimportørens identitet og kontaktoplysninger (herunder en eventuel kontaktperson med ansvar for databeskyttelse) og (ii) oplysninger om de tekniske og organisatoriske foranstaltninger, som dataimportøren har implementeret. Det betyder, at Kunden skal, hvor der anmodes om det, og det gælder for Kunden, angive sådanne oplysninger til Google via sådanne metoder, som Google kan levere. Og Kunden skal sikre, at alle de angivne oplysninger forbliver nøjagtige og opdaterede.
5.6 Svar på forespørgsler fra de registrerede. Den gældende dataimportør er ansvarlig for at svare på forespørgsler fra de registrerede og tilsynsmyndighederne vedrørende dataimportørens behandling af relevante Dataansvarliges personoplysninger.
5.7 Sletning af data ved ophør. I det omfang, at:
- (a) Google LLC fungerer som dataimportør, og Kunden fungerer som dataeksportør i henhold til SCC'erne for dataansvarlige, og
- (b) Kunden opsiger Aftalen i henhold til Bestemmelse 16(c) i SCC'erne for dataansvarlige, giver Kunden med henblik på formålene i bestemmelse 16(d) i SCC'erne for dataansvarlige Google ordre om at slette Dataansvarliges personoplysninger, og medmindre der i henhold til Europæisk lovgivning stilles krav om opbevaring af disse data, foretager Google en sådan sletning, så snart og i det omfang det er muligt inden for rimelighedens grænser (under hensyntagen til, at Google er en uafhængig Dataansvarlig for sådanne data, samt Målingstjenesternes art og funktionalitet).
6. Ansvar, hvis SCC'er for dataansvarlige er gældende
Hvis SCC'er for dataansvarlige er gældende i henhold til afsnit 5 (SCC'er for dataansvarlige) i dette Bilag 1A, er det samlede kombinerede ansvar for:
- (a) Google, Google LLC og Google Ireland Limited over for Kunden; og
- (b) Kunden over for Google, Google LLC og Google Ireland Limited i henhold til eller i forbindelse med Aftalen kombineret med SCC'erne for dataansvarlige underlagt Afsnit 5 (Ansvar). Bestemmelse 12 i SCC'erne for dataansvarlige har ingen indvirkning på den forrige sætning.
7. Begunstigede tredjeparter
Hvis Google LLC og/eller Google Ireland Limited ikke er part i Aftalen, men i de gældende SCC'er for dataansvarlige i henhold til paragraf 5 (SCC'er for dataansvarlige) i dette Bilag 1A, er Google LLC og/eller Google Ireland Limited (alt efter hvad der er relevant) en begunstiget tredjepart i henhold til Afsnit 4.4 (Endelige dataansvarlige) samt paragraf 3 (Endelige dataansvarlige hos Google), 5 (SCC'er for dataansvarlige) og 6 (Ansvar, hvis SCC'er for dataansvarlige er gældende) i dette Bilag 1A. I det omfang dette afsnit 7 (Begunstigede tredjeparter) er i modstrid eller uoverensstemmelse med andre bestemmelser i Aftalen, gælder dette afsnit 7 (Begunstigede tredjeparter).
8. Forrang
8.1 Hvis der er uoverensstemmelse mellem SCC'erne for dataansvarlige, dette Bilag 1A, den resterende del af disse Vilkår for dataansvarlige og/eller den resterende del af Aftalen, har SCC'erne for dataansvarlige forrang.
8.2 Yderligere kommercielle bestemmelser. I henhold til ændringerne i disse Vilkår for dataansvarlige forbliver Aftalen mellem Google og Kunden i kraft og fuldt gældende. Paragraf 5.5 (Kontakt til Google) til 5.7 (Sletning af data ved ophør) og paragraf 6 (Ansvar, hvis SCC'er for dataansvarlige er gældende) i dette Bilag 1A er yderligere kommercielle bestemmelser med relation til SCC'erne for dataansvarlige som tilladt i henhold til bestemmelse 2(a) (Bestemmelsernes effekt og uforanderlighed) i SCC'erne for dataansvarlige.
8.3 Ingen ændring af SCC'er for dataansvarlige. Intet i Aftalen (herunder disse Vilkår for dataansvarlige) har til formål at ændre eller modsige nogen SCC'er for dataansvarlige eller begrænse de registreredes grundlæggende rettigheder eller frihed i henhold til Den europæiske databeskyttelseslovgivning.
DEL B – YDERLIGERE VILKÅR FOR PRIVATLIVSRELATEREDE LOVE I USA
1. Indledning
Google kan tilbyde, og Kunden kan aktivere visse indstillinger, konfigurationer eller anden funktionalitet for de Målingstjenester, der er relateret til begrænset databehandling, som er beskrevet i den tilhørende dokumentation, som findes på business.safety.google/rdp, og som opdateres fra tid til anden ("Begrænset databehandling"). Dette Bilag 1B afspejler parternes aftale om behandling af Kundepersonoplysninger og Anonymiserede data (som defineret nedenfor) i overensstemmelse med Aftalen i forbindelse med gældende privatlivsrelaterede love i amerikanske stater og gælder udelukkende i det omfang, hver af de privatlivsrelaterede love i amerikanske stater gælder.
2. Yderligere definitioner og fortolkning.
I dette Bilag 1B:
- (a) "Kundepersonoplysninger" betyder personoplysninger, som behandles af Google på vegne af Kunden i forbindelse med Googles levering af Målingstjenester.
- (b) "Anonymiserede data" betyder oplysninger, der er "anonymiserede" (som denne term defineres i henhold til CCPA) og "ikke-personhenførbare data" (som defineret af andre privatlivsrelaterede love i amerikanske stater), når de videregives fra den ene part til den anden.
- (c) "Instruktioner" betyder samlet Kundens instruktioner til Google om kun at behandle Kundepersonoplysninger i overensstemmelse med Privatlivsrelaterede love i amerikanske stater: (a) For at levere RDP-tjenesterne og eventuel relateret teknisk support; (b) som yderligere specificeret via Kundens brug af RDP-tjenesterne (herunder i indstillingerne og anden funktionalitet i sådanne RDP-tjenester) og eventuel relateret teknisk support (c) som dokumenteret i form af Aftalen, herunder dette Bilag 1B (d) som yderligere dokumenteret i eventuelle andre skriftlige instruktioner fra Kunden, som er accepteret af Google som konstituerende instruktioner med henblik på dette Bilag 1B; og(e) til at behandle Kundepersonoplysninger som tilladt i henhold til Privatlivsrelaterede love i amerikanske stater for tjenesteudbydere og databehandlere.
- (d) "RDP-tjenester" betyder Tjenester for dataansvarlige, der drives i henhold til Begrænset databehandling.
- (e) "Periode" betyder perioden fra Ikrafttrædelsesdatoen for vilkårene til slutningen af Googles provisionering af Målingstjenesterne i henhold til Aftalen.
- (f) Termerne "virksomhed", "forbruger", "personlige oplysninger", "salg", "sælge", "tjenesteudbyder" og "dele", som de anvendes i dette bilag 1B, har den betydning, der er angivet i de privatlivsrelaterede love i amerikanske stater.
- (g) Kunden er eneansvarlig for overholdelsen af hver af de privatlivsrelaterede love i amerikanske stater i forbindelse med Kundens brug af Google-tjenester, herunder Begrænset databehandling.
3. Vilkår for privatlivsrelaterede love i USA (under Begrænset databehandling).
3.1 Behandling af data.
3.1.1
- (a) Databehandlers og Dataansvarliges ansvar. Parterne anerkender og accepterer, at:
- (i) Afsnit 7 (Indhold og oplysninger om Databehandling i henhold til Privatlivsrelaterede love i amerikanske stater) i dette bilag 1B beskriver indholdet og oplysningerne i behandlingen af Kundepersonoplysninger.
- (ii) Google er tjenesteudbyder og databehandler af Kundepersonoplysninger i henhold til de privatlivsrelaterede love i amerikanske stater, og
- (iii) Kunden er dataansvarlig eller databehandler (alt efter hvad der er relevant) for Kundepersonoplysninger i henhold til de privatlivsrelaterede love i amerikanske stater.
- (b) Databehandlerkunder. Hvis Kunden er databehandler:
- (i) Kunden garanterer løbende, at den relevante dataansvarlige har godkendt: (A) Instruktionerne, (B) Kundens udnævnelse af Google som en anden databehandler og (C) Googles engagement af underleverandører som beskrevet i afsnit 3.6 (Underleverandører) i dette bilag 1B.
- (ii) Kunden skal straks videresende enhver underretning fra Google i henhold til afsnit 3.3.2(a) (Hændelsesunderretning) og 3.6 (Underleverandører) til den relevante dataansvarlige og
- (iii) Kunden kan gøre alle oplysninger, som Google har gjort tilgængelige i henhold til afsnit 3.3.3(c) (Kundens revisionsrettigheder) og 3.6 (Underleverandører), tilgængelige for den relevante dataansvarlige.
3.1.2 Kundens instruktioner. Ved at indgå dette Bilag 1B pålægger Kunden Google kun at behandle Kundepersonoplysninger i overensstemmelse med Instruktionerne.
3.1.3 Googles overholdelse af Instruktioner. Google skal overholde Instruktionerne, medmindre det er forbudt i henhold til de privatlivsrelaterede love i amerikanske stater.
3.1.4 Yderligere produkter. Hvis Kunden bruger et produkt, en tjeneste eller en app, der er leveret af Google eller en tredjepart, der: (a) ikke er en del af RDP-tjenesterne, og som (b) er tilgængelige til brug i RDP-tjenesternes brugerflade eller på anden måde er integreret med RDP-tjenesterne (et "Yderligere produkt"), kan RDP-tjenesterne give dette Yderligere produkt adgang til Kundepersonoplysninger, som er nødvendige for interoperabiliteten mellem det Yderligere produkt og RDP-tjenesterne. Det skal understreges, at dette Bilag 1B ikke gælder for behandling af personoplysninger i forbindelse med leveringen af et Yderligere produkt, som bruges af Kunden, herunder personoplysninger til eller fra dette Yderligere produkt.
3.2. Sletning af data ved udløb af gyldighedsperioden. Kunden pålægger Google at slette alle tilbageværende Kundepersonoplysninger (herunder eksisterende kopier) fra Googles systemer ved gyldighedsperiodens slutning i overensstemmelse med gældende lov. Google skal overholde denne instruktion, så snart det med rimelighed er muligt og inden for en periode på maksimalt 180 dage, medmindre gældende love kræver opbevaring.
3.3. Datasikkerhed.
3.3.1 Googles sikkerhedsforanstaltninger og -hjælp.
- (a) Googles Sikkerhedsforanstaltninger. Google vil implementere og vedligeholde tekniske og organisatoriske foranstaltninger for at beskytte Kundepersonoplysninger mod utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse eller adgang ("Sikkerhedsforanstaltninger"). Sikkerhedsforanstaltningerne omfatter foranstaltninger: (i) til at kryptere personoplysninger, (ii) til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed for Googles systemer og tjenester, (iii) til at hjælpe med at gendanne rettidig adgang til personoplysninger efter en hændelse og (iv) til jævnlig test af effektiviteten. Google kan til enhver tid opdatere eller ændre Sikkerhedsforanstaltningerne, forudsat at sådanne opdateringer og ændringer ikke medfører en forringelse af den generelle sikkerhed for Kundepersonoplysninger.
- (b) Adgang og overholdelse. Google sikrer, at alle personer, der er autoriseret til at behandle Kundepersonoplysninger, har forpligtet sig til at opretholde fortroligheden eller er underlagt en passende lovpligtig forpligtelse til fortrolighedsforpligtelse.
- (c) Googles Sikkerhedshjælp. Google vil (under hensyntagen til arten af behandling af Kundepersonoplysninger og de oplysninger, der er tilgængelige for Google) hjælpe Kunden med at opfylde Kundens (eller i tilfælde, hvor Kunden er databehandler, de relevante dataansvarlige) forpligtelser med hensyn til sikkerhed for personoplysninger og brud på persondatasikkerheden, herunder Kundens (eller i tilfælde, hvor Kunden er databehandler, de relevante dataansvarlige) forpligtelser vedrørende sikkerhed for personoplysninger og brud på persondatasikkerheden i henhold til Privatlivsrelaterede love i amerikanske stater ved at:
- (i) Implementere og vedligeholde Sikkerhedsforanstaltningerne i overensstemmelse med afsnit 3.3.1(a) (Googles sikkerhedsforanstaltninger);
- (ii) Overholde vilkårene i afsnit 3.3.2 (Datahændelser) og
- (iii) Give Kunden de rettigheder, der er tildelt i henhold til afsnit 3.3.3(c) (Kundens revisionsrettigheder).
3.3.2 Datahændelser
- (a) Hændelsesunderretning. Hvis Google bliver opmærksom på en Datahændelse (som defineret nedenfor), skal Google: (i) Underrette Kunden om Datahændelsen uden unødig forsinkelse og (ii) øjeblikkeligt træffe rimelige foranstaltninger for at minimere skaden og sikre Kundepersonoplysningerne. I dette Bilag 1B betyder "Datahændelse" et brud på Googles sikkerhed, der medfører utilsigtet eller ulovlig destruktion, tab, ændring, uautoriseret videregivelse af eller adgang til Kundepersonoplysninger på systemer, der administreres eller på anden måde styres af Google. "Datahændelser" omfatter ikke mislykkede forsøg eller aktiviteter, der ikke kompromitterer sikkerheden for Kundepersonoplysninger, herunder mislykkede loginforsøg, pings, portscanninger, denial-of-service-angreb og andre netværksangreb på firewalls eller netværkssystemer.
- (b) Levering af notifikation. Google skal levere sin notifikation om Datahændelser til den mailadresse, der er angivet af Kunden, via brugerfladen i RDP-tjenesterne eller via andre metoder, som er angivet af Google, til modtagelse af visse notifikationer fra Google vedrørende dette Bilag 1B ("Notifikationsmailadresse") eller, efter Googles skøn (herunder hvis Kunden ikke har angivet en Notifikationsmailadresse), via anden direkte kommunikation (f.eks. telefonopkald, mail eller et fysisk møde). Kunden er eneansvarlig for at angive Notifikationsmailadressen og sørge for, at Notifikationsmailadressen er aktuel og gyldig.
- (c) Tredjepartsnotifikationer. Kunden er eneansvarlig for at overholde love vedrørende hændelsesnotifikationer, som er gældende for Kunden og opfylder eventuelle forpligtelser vedrørende tredjepartsnotifikationer, som er relateret til en Datahændelse.
- (d) Ingen erkendelse af fejl fra Googles side Googles notifikation om eller reaktion på en Datahændelse i henhold til dette afsnit 3.3.2 (Datahændelser) vil ikke blive fortolket som Googles erkendelse af nogen fejl eller noget ansvar med hensyn til Datahændelsen.
3.3.3 Kundens sikkerhedsansvar og -vurdering.
- (a) Kundens sikkerhedsansvar. Kunden accepterer, at uden betydning for Googles forpligtelser i henhold til afsnit 3.3.1 (Googles Sikkerhedsforanstaltninger og -hjælp) og 3.3.2 (Datahændelser):
- (i) Kunden er ansvarlig for sin brug af RDP-tjenester, herunder at: (1) gøre passende brug af RDP-tjenesterne for at sikre et sikkerhedsniveau, der er passende i forhold til risikoen med hensyn til Kundepersonoplysninger, og (2) sikre de kontogodkendelsesoplysninger, -systemer og enheder, som Kunden bruger til at få adgang til RDP-tjenesterne, og
- (ii) Google har ingen forpligtelser til at beskytte Kundepersonoplysninger, som Kunden vælger at gemme eller overføre uden for Googles og deres underleverandørers systemer.
- (b) Kundens sikkerhedsvurdering. Kunden anerkender og accepterer, at de Sikkerhedsforanstaltninger, der implementeres og vedligeholdes af Google som beskrevet i paragraf 3.3.1(a) (Googles Sikkerhedsforanstaltninger), giver et sikkerhedsniveau, der er passende i forhold til risikoen med hensyn til Kundens Personoplysninger, når der tages højde for det aktuelle teknologiske niveau, omkostningerne til implementering samt arten og omfanget af, konteksten for og formålene med behandlingen af Kundens Personoplysninger og risikoen for enkeltpersoner.
- (c) Kundens Revisionsrettigheder.
- (i) Kunden må foretage en audit for at verificere, at Google overholder sine forpligtelser i henhold til dette Bilag 1B, ved at anmode om og gennemgå (1) et certifikat, der er udstedt til sikkerhedsgodkendelse og afspejler resultatet af en audit, der er foretaget af en revisor fra tredjepart (f.eks. SOC 2 Type II eller ISO/IEC 27001-certificering, en tilsvarende certificering eller en anden sikkerhedscertificering af en audit, der er foretaget af en tredjepartsrevisor, som er godkendt af Kunden og Google) inden for 12 måneder fra datoen for Kundens anmodning og (2) eventuelle andre oplysninger, som Google afgør er rimeligt nødvendige for, at Kunden kan verificere Googles overholdelse af forpligtelserne.
- (ii) Alternativt kan Google efter eget skøn og som reaktion på en anmodning fra Kunden indlede en tredjepartsrevision for at verificere Googles overholdelse af sine forpligtelser i henhold til dette Bilag 1B. Under en sådan audit skal Google stille alle oplysninger, som er nødvendige for at demonstrere overholdelsen, til rådighed for revisoren fra tredjepart. I tilfælde hvor Kunden anmoder om en sådan audit, kan Google opkræve et gebyr (baseret på Googles rimelige omkostninger) for en audit. Google skal give Kunden yderligere oplysninger om ethvert eventuelt gældende gebyr (og udgangspunktet for beregningen af dette) forud for en sådan audit. Kunden er ansvarlig for eventuelle gebyrer, der opkræves af en revisor fra tredjepart, som er udpeget af Google, for at foretage en sådan audit.
- (iii) Intet i dette Bilag 1B vil kræve, at Google enten videregiver følgende til Kunden eller dennes revisor fra tredjepart eller giver Kunden eller dennes revisor fra tredjepart adgang til følgende:
- (1) Data om en anden kunde af en Google-enhed.
- (2) En Google-enheds interne regnskab eller finansielle oplysninger.
- (3) Nogen Google-enheds forretningshemmeligheder.
- (4) Oplysninger, som (efter Googles rimelige opfattelse) kunne: (A) kompromittere sikkerheden i nogen Google-enheds systemer eller regioner eller (B) medføre, at en Google-enhed misligholder sine forpligtelser i henhold til Privatlivsrelaterede love i amerikanske stater eller deres sikkerheds- og/eller privatlivsforpligtelser over for Kunden eller en tredjepart eller
- (5) Oplysninger, som Kunden eller dennes revisor fra tredjepart forsøger at få adgang til med noget andet formål end i god tro at fuldføre Kundens forpligtelser i overensstemmelse med Privatlivsrelaterede love i amerikanske stater.
3.4 Hjælp til konsekvensanalyse. Google vil (under hensyntagen til arten af behandlingen og de oplysninger, der er tilgængelige for Google) hjælpe Kunden med at opfylde Kundens (eller i tilfælde, hvor Kunden er databehandler, de relevante dataansvarlige) forpligtelser med hensyn til konsekvensanalyse for databeskyttelse og forudgående lovgivningsmæssig rådgivning i det omfang, der er påkrævet i henhold til Privatlivsrelaterede love i amerikanske stater ved at:
- (a) Levere sikkerhedsdokumentationen.
- (b) Levere de oplysninger, der er indeholdt i Aftalen (herunder dette Bilag 1B) og
- (c) Levere, eller på anden måde gøre tilgængeligt i overensstemmelse med Googles standardpraksisser, andet materiale vedrørende arten af RDP-tjenesterne og behandlingen af Kundepersonoplysninger (f.eks. materiale i Hjælp).
3.5. Den registreredes rettigheder.
3.5.1 Svar på anmodninger fra den registrerede. Hvis Google modtager en anmodning fra en registreret vedrørende Kundepersonoplysninger, autoriserer Kunden Google til, og Google underretter hermed Kunden om, at de vil:
- (a) svare direkte på den registreredes anmodning i overensstemmelse med standardfunktionaliteten for et værktøj (hvis der er nogen), som en Google-enhed har gjort tilgængelig for de registrerede, og som giver Google mulighed for at svare direkte på en standardiseret måde på visse anmodninger vedrørende Kundepersonoplysninger (f.eks. indstillinger for onlineannoncering eller en browserplugin til afmelding) ("Den registreredes værktøj") (hvis anmodningen er foretaget via Den registreredes værktøj) eller
- (b) råde den registrerede til at sende sin anmodning til Kunden, og Kunden vil være ansvarlig for at svare på en sådan anmodning (hvis anmodningen ikke er foretaget via Den registreredes værktøj).
3.5.2 Googles hjælp til anmodninger fra de registrerede. Google vil hjælpe Kunden med at opfylde sine (eller i tilfælde, hvor Kunden er databehandler, de relevante dataansvarlige) forpligtelser i henhold til Privatlivsrelaterede love i amerikanske stater til at besvare anmodninger om udøvelse af de registreredes rettigheder (i alle tilfælde tages der højde for arten af behandlingen af Kundepersonoplysninger) og ved at:
- (a) levere funktionaliteten i RDP-tjenesterne;
- (b) overholde de forpligtelser, der er beskrevet i afsnit 3.5.1 (Svar på anmodninger fra den registrerede) og
- (c) hvis det er relevant for RDP-tjenesterne, gøre de registreredes værktøjer tilgængelige.
3.5.3 Berigtigelse. Hvis Kunden bliver opmærksom på, at Kundepersonoplysninger er unøjagtige eller forældede, er Kunden ansvarlig for at berigtige eller slette disse data, hvis det er påkrævet i henhold til Privatlivsrelaterede love i amerikanske stater, herunder (hvor det er relevant) ved at bruge funktionaliteten i RDP-tjenesterne.
3.6. Underleverandører.
- (a) Kunden autoriserer generelt Google til at engagere andre enheder som underleverandører i forbindelse med leveringen af RDP-tjenesterne. Når Google interagerer med underleverandører, vil de:
- (i) sikre via en skriftlig kontrakt, at: (1) underleverandøren kun får adgang til og bruger Kundepersonoplysninger i det omfang, det er nødvendigt for at opfylde de forpligtelser, som er outsourcet til dem, og at Underleverandøren gør dette i overensstemmelse med Aftalen (herunder dette Bilag 1B); og (2) hvis behandlingen af Kundepersonoplysninger er underlagt Privatlivsrelaterede lov i amerikanske stater, sikre, at databeskyttelsesforpligtelserne i dette Bilag 1B pålægges underleverandøren.
- (ii) når de engagerer nye underleverandører underrette om sådanne nye underleverandører, når det er påkrævet i henhold til Privatlivsrelaterede love i amerikanske stater, og hvor det er påkrævet i henhold til Privatlivsrelaterede love i amerikanske stater, give Kunden en mulighed for at gøre indsigelse mod sådanne underleverandører og
- (iii) forblive fuldt ansvarlige for alle forpligtelser, som er outsourcet til underleverandøren, og alle handlinger og forsømmelser fra underleverandørens side.
- (b) Kunden kan gøre indsigelse mod enhver ny underleverandør ved at opsige Aftalen af praktiske hensyn øjeblikkeligt efter skriftligt varsel til Google på betingelse af, at Kunden giver et sådant varsel inden for 90 dage, efter de er blevet informeret om involveringen af den nye underleverandør som beskrevet i paragraf 3.6(a)(ii) heri.
3.7 Kontakt til Google. Kunden kan kontakte Google vedrørende udøvelsen af sine rettigheder i henhold til dette Bilag 1B via de metoder, der er beskrevet på privacy.google.com/businesses/processorsupport eller via andre metoder, som Google til enhver tid kan angive.
4. Vilkår for Privatlivsrelaterede love i amerikanske stater
4.1 Anonymiserede data. I forbindelse med Kundepersonoplysninger, som behandles med eller uden Begrænset databehandling aktiveret, og i det omfang en eller flere af de Privatlivsrelaterede love i amerikanske stater gælder for behandlingen af Kundepersonoplysninger, skal hver part kun overholde de krav til behandling af Anonymiserede data, som er beskrevet i Privatlivsrelaterede love i amerikanske stater, med hensyn til eventuelle Anonymiserede data, de modtager fra den anden part, i henhold til Aftalen. I forbindelse med dette afsnit 4.1 (Anonymiserede data), betyder Kundepersonoplysninger alle personoplysninger, som behandles af en part i henhold til Aftalen i forbindelse med leveringen eller brugen af Målingstjenesterne.
5. Googles CCPA-forpligtelser.
5.1 Med hensyn til Kundepersonoplysninger, der behandles i henhold til Begrænset databehandling og i det omfang, CCPA gælder for en sådan behandling af Kundepersonoplysninger, vil Google fungere som Kundens tjenesteudbyder og som sådan, medmindre andet er tilladt for tjenesteudbydere i henhold til CCPA, efter hvad Google skønner rimeligt.
- (a) Google vil ikke sælge eller dele nogen Kundepersonoplysninger, som de indhenter fra Kunden i forbindelse med Aftalen.
- (b) Google vil ikke opbevare, bruge eller videregive Kundepersonoplysninger (herunder uden for den direkte forretningsrelation mellem Google og Kunden) ud over til et forretningsformål i henhold til CCPA på vegne af Kunden og det specifikke formål at udføre RDP-tjenesterne, som det er yderligere beskrevet i tilhørende dokumentation, som er tilgængelig på business.safety.google/rdp, og som til enhver tid kan opdateres.
- (c) Google vil ikke kombinere Kundepersonoplysninger, som Google modtager fra, eller på vegne af, Kunden, med (i) personlige oplysninger, som Google modtager fra, eller på vegne af, en anden person eller andre personer eller (ii) personlige oplysninger, som indsamles fra Googles egen interaktion med en forbruger, som det er yderligere beskrevet i tilhørende dokumentation, som er tilgængelig på business.safety.google/rdp, bortset fra i det omfang det er tilladt i henhold til CCPA;
- (d) Google vil behandle sådanne Kundepersonoplysninger til det specifikke formål at udføre RDP-tjenesterne, som det er yderligere beskrevet i Aftalen og tilhørende dokumentation (f.eks. artikler i Hjælp), eller som det på anden måde er tilladt i henhold til CCPA, og parterne accepterer, at Kunden gør sådanne Kundepersonoplysninger tilgængelige for Google til sådanne formål.
- (e) Google tillader audits for at verificere Googles overholdelse af sine forpligtelser i henhold til dette Bilag 1B i overensstemmelse med afsnit 3.3.3(c) (Kundens revisionsrettigheder) heri.
- (f) Google skal informere Kunden, hvis Google træffer en afgørelse om, at de ikke længere kan opfylde deres forpligtelser i henhold til CCPA. Denne paragraf 5.1(f) reducerer ikke nogen af parternes rettigheder og forpligtelser andre steder i Aftalen;
- (g) Hvis Kunden med rimelighed mener, at Google behandler Kundepersonoplysninger på en uautoriseret måde, har Kunden ret til at informere Google om en sådan mening via de metoder, der er beskrevet på privacy.google.com/businesses/processorsupport, og parterne skal om nødvendigt samarbejde i god tro for at afhjælpe de behandlingsaktiviteter, der hævdes at være i strid med loven, og
- (h) Google skal overholde gældende forpligtelser i henhold til CCPA og skal levere det samme niveau af privatlivsbeskyttelse, som kræves af CCPA.
5.2 I forbindelse med Kundepersonoplysninger, som behandles, uden at Begrænset databehandling er aktiveret, og i det omfang CCPA er gældende for behandling af Kundepersonoplysninger:
- (a) Google vil behandle sådanne Kundepersonoplysninger til det specifikke formål at udføre Målingstjenesterne, som det er yderligere beskrevet i Aftalen og tilhørende dokumentation (f.eks. artikler i Hjælp), eller som det på anden måde er tilladt i henhold til CCPA, og parterne accepterer, at Kunden gør sådanne Kundepersonoplysninger tilgængelige for Google til sådanne formål.
- (b) Google tillader audits for at verificere Googles overholdelse af sine forpligtelser i henhold til dette Bilag 1B i overensstemmelse med afsnit 3.3.3(c) (Kundens revisionsrettigheder) heri.
- (c) Google skal informere Kunden, hvis Google træffer en afgørelse om, at de ikke længere kan opfylde deres forpligtelser i henhold til CCPA;
- (d) Hvis Kunden med rimelighed mener, at Google behandler Kundepersonoplysninger på en uautoriseret måde, har Kunden ret til at informere Google om en sådan mening via de metoder, der er beskrevet på privacy.google.com/businesses/processorsupport, og parterne skal om nødvendigt samarbejde i god tro for at afhjælpe de behandlingsaktiviteter, der hævdes at være i strid med loven, og
- (e) Google skal overholde gældende forpligtelser i henhold til CCPA og skal levere det samme niveau af privatlivsbeskyttelse, som kræves af CCPA.
6. Ændringer af dette Bilag 1B.
Ud over afsnit 7 i Vilkår for dataansvarlige (Ændringer af disse Vilkår for dataansvarlige) kan Google, hvis det er relevant, ændre dette Bilag 1B uden forudgående varsel, hvis ændringen (a) er baseret på gældende lovgivning, gældende bestemmelser, en retskendelse eller vejledning fra en offentlig tilsynsmyndighed eller statslig myndighed eller (b) ikke har en væsentlig negativ indvirkning på Kunden i henhold til Privatlivsrelaterede love i amerikanske stater, efter hvad Google skønner rimeligt.
7. Indhold og oplysninger om Databehandling i henhold til indholdet i Privatlivsrelaterede love i amerikanske stater
Googles levering af RDP-tjenesterne og anden relateret teknisk support til Kunden.
Behandlingens varighed
Gyldighedsperioden plus perioden fra slutningen af Gyldighedsperioden til Google har slettet alle Kundepersonoplysningerne i overensstemmelse med Bilag 1B.
Behandlingens karakter og formål
Google vil behandle (herunder, hvis det er relevant for RDP-tjenesterne og Instruktionerne, indsamle, registrere, organisere, strukturere, opbevare, indhente, bruge, videregive, kombinere, rydde og destruere) Kundepersonoplysninger med henblik på at levere RDP-tjenesterne og eventuel relateret teknisk support til Kunden i overensstemmelse med Bilag 1B, eller som det på anden måde er tilladt af databehandlerne i henhold til Privatlivsrelaterede love i amerikanske stater.
Typer af personoplysninger
Kundepersonoplysninger kan omfatte de typer personoplysninger, der er beskrevet i henhold til Privatlivsrelaterede love i amerikanske stater.
Kategorier af registrerede
Kundepersonoplysninger vil vedrøre følgende kategorier af registrerede:
- De registrerede, hvis personoplysninger Google indsamler i forbindelse med deres levering af RDP-tjenesterne, og/eller
- De registrerede, hvis personoplysninger overføres til Google i forbindelse med RDP-tjenesterne af Kunden, efter dennes skøn eller på vegne af denne.
Afhængigt af arten af RDP-tjenesterne kan disse registrerede omfatte enkeltpersoner: (a) Som onlineannoncering er blevet eller vil blive rettet mod, (b) som har besøgt specifikke websites eller apps, som Google leverer RDP-tjenesterne i forbindelse med, og/eller (c) som er kunder til eller brugere af Kundens produkter eller tjenester.
Googles vilkår for beskyttelse af data mellem målingsansvarlig og dataansvarlig, version 4.0