Zákazník služeb měření, který tyto podmínky přijal (dále jen „zákazník“), uzavřel se společností Google nebo s externím distributorem (podle toho, co platí) smlouvu o poskytování služeb měření (v průběžně pozměňovaném znění, dále jen „smlouva“). Prostřednictvím uživatelského rozhraní těchto služeb zákazník aktivoval nastavení sdílení údajů.
Tyto podmínky ochrany dat mezi správci pro měření Google (dále jen „smluvní podmínky správce údajů“) se uzavírají mezi společností Google a zákazníkem. Pokud byla smlouva uzavřena mezi zákazníkem a společností Google, tyto smluvní podmínky správce údajů ji doplňují. Pokud byla smlouva uzavřena mezi zákazníkem a externím distributorem, představují tyto smluvní podmínky správce údajů samostatnou smlouvu mezi společností Google a zákazníkem.
Abychom zamezili případným pochybnostem, uvádíme, že poskytování služeb měření se řídí touto smlouvou. Tyto smluvní podmínky správce údajů obsahují ustanovení o ochraně dat vztahující se pouze k nastavení sdílení údajů. Jinak se na poskytování služeb měření nevztahují.
S výhradou ujednání oddílu 6.2 (Vyloučení vlivu na podmínky pro zpracovatele) budou tyto smluvní podmínky správce údajů platné od data účinnosti těchto podmínek, od kterého také nahradí veškeré dříve platné podmínky související s jejich předmětem.
Pokud tyto smluvní podmínky správce údajů přijímáte jménem zákazníka, ručíte za to, že (a) máte plnou zákonnou pravomoc zákazníka těmito smluvními podmínkami správce údajů vázat, (b) přečetli jste si tyto smluvní podmínky správce údajů a rozumíte jim a (c) s těmito smluvními podmínkami správce údajů jménem zákazníka souhlasíte. Pokud zákonnou pravomoc zavázat zákazníka těmito smluvními podmínkami správce údajů nemáte, nepřijímejte je.
Nepřijímejte tyto smluvní podmínky správce údajů, pokud jste distributor. Tyto smluvní podmínky správce údajů stanoví práva a povinnosti mezi uživateli služeb měření a společností Google.
1. Úvodní ustanovení
Tyto smluvní podmínky správce údajů odrážejí dohodu stran na zpracování spravovaných osobních údajů podle nastavení sdílení údajů.
2. Definice a výklad
2.1
V těchto smluvních podmínkách správce údajů:
„Další podmínky“ znamenají další podmínky zmiňované v příloze 1, které odrážejí dohodu zúčastněných stran ohledně podmínek, kterými se řídí zpracování spravovaných osobních údajů v souvislosti s některými platnými právními předpisy o ochraně údajů.
„Spřízněný subjekt“ znamená subjekt, který smluvní stranu přímo či nepřímo řídí, nebo je naopak stranou řízen či je s ní pod společným řízením.
„Platnými právními předpisy o ochraně údajů“ se v kontextu zpracování spravovaných osobních údajů rozumí všechny národní, federální, evropské, státní, provinční a jiné právní předpisy a nařízení týkající se ochrany soukromí, bezpečnosti dat nebo ochrany údajů včetně evropských právních předpisů o ochraně údajů, zákona LGPD a právních předpisů o ochraně soukromí na úrovni jednotlivých států USA.
„Důvěrné informace“ znamenají tyto smluvní podmínky správce údajů.
„Subjekt údajů v držení správce“ znamená subjekt údajů, kterého se týkají spravované osobní údaje.
„Spravované osobní údaje“ znamenají osobní údaje, které jedna ze stran zpracovává na základě nastavení sdílení údajů.
„Nastavení sdílení údajů“ znamená nastavení sdílení údajů, které zákazník aktivoval prostřednictvím uživatelského rozhraní služeb měření a které společnosti Google a jejím přidruženým společnostem umožňuje používat osobní údaje k vylepšování produktů a služeb společnosti Google a jejích přidružených společností.
„Koncový správce“ znamená u každé strany hlavního (konečného) správce spravovaných osobních údajů.
„GDPR EU“ znamená nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
„Evropské právní předpisy o ochraně údajů“ znamenají (podle okolností): a) GDPR a/nebo b) švýcarský zákon DSG.
„GDPR“ znamená (podle okolností): (a) nařízení GDPR platné v EU, a/nebo (b) nařízení GDPR platné ve Velké Británii.
„Google” znamená:
- (a) pokud je jednou ze stran smlouvy subjekt Google – tento subjekt Google.
- (b) pokud byla smlouva uzavřena mezi zákazníkem a externím distributorem a:
- (i) externí distributor je zřízen v Severní Americe nebo v jiném regionu mimo Evropu, Střední východ, Afriku, Asii a Oceánii – společnost Google LLC (dříve Google Inc.),
- (ii) externí distributor je zřízen v Evropě, na Středním východě nebo v Africe – Google Ireland Limited, nebo
- (iii) externí distributor byl zřízen v Asii a Oceánii – Google Asia Pacific Pte. Ltd.
„Subjekt Google” znamená společnosti Google LLC, Google Ireland Limited nebo jakýkoli jiný subjekt spřízněný se společností Google LLC.
„LGPD“ je brazilský zákon o ochraně údajů (Lei Geral de Proteção de Dados Pessoais).
„Služby měření“ znamenají Google Analytics, Google Analytics 360, Google Analytics pro Firebase, Optimalizaci Google nebo Optimalizaci Google 360, podle konkrétního nastavení sdílení údajů, pro které se strany na těchto smluvních podmínkách správce údajů dohodly.
„Zásady” znamenají Zásady pro souhlas koncového uživatele Google dostupné na adrese https://www.google.com/about/company/user-consent-policy.html.
„Podmínky pro zpracovatele” znamenají:
- (a) v případě, že je jednou ze stran smlouvy společnost Google – podmínky pro zpracovatele dostupné na adrese https://business.safety.google/adsprocessorterms, nebo
- (b) v případě, že jde o smlouvu mezi zákazníkem a externím distributorem – takové podmínky upravující vztah mezi správcem a zpracovatelem (pokud existuje), které byly mezi zákazníkem a externím distributorem dohodnuty.
„Švýcarský zákon DSG“ znamená švýcarský federální zákon o ochraně údajů z 19. června 1992.
„Datum účinnosti podmínek“ je datum, kdy zákazník tyto smluvní podmínky správce údajů kliknutím přijal, respektive datum, kdy je smluvní strany jiným způsobem odsouhlasily.
„Spravované britské osobní údaje“ jsou spravované osobní údaje týkající se subjektů údajů nacházejících se ve Spojeném království.
„Nařízení GDPR platné ve Spojeném království“ znamená aktualizovanou podobu původního nařízení GDPR platného v EU, která je platná ve Spojeném království jako součást zákona Spojeného království o vystoupení z Evropské unie z roku 2018, a příslušné sekundární právní předpisy v rámci tohoto zákona.
„Právní předpisy o ochraně soukromí na úrovni států USA“ znamenají (podle toho, co je relevantní): (i) zákon o ochraně soukromí spotřebitelů v Kalifornii z roku 2018 (včetně novelizací provedených kalifornským zákonem na ochranu soukromí z roku 2020) spolu se všemi prováděcími nařízeními (dále jen „zákon CCPA“), (ii) zákon o ochraně osobních údajů spotřebitelů ve Virginii, § 59.1–571 a násl. sbírky zákonů státu Virginia, (iii) zákon o ochraně osobních údajů v Coloradu (CPA), § 6-1–1301 a násl. revidované sbírky zákonů státu Colorado, (iv) zákon o ochraně osobních údajů a sledování na internetu v Connecticutu (zákon č. 22015), nebo (v) zákon o ochraně osobních údajů spotřebitelů v Utahu (UCPA), § 13-61–101 a násl. komentované sbírky zákonů státu Utah.
2.2
Pojmy „správce“, „subjekt údajů“, „osobní údaje“, „zpracování“ a „zpracovatel“ používané v těchto smluvních podmínkách správce údajů mají význam definovaný buď (a) příslušnými právními předpisy o ochraně údajů, nebo (b) nařízením GDPR (pokud příslušné předpisy neexistují, nebo v nich příslušný význam obsažen není).
2.3
Veškeré příklady uvedené v těchto smluvních podmínkách správce údajů jsou ilustrativní a nejde o výhradní příklady příslušného konceptu.
2.4
Veškeré odkazy na právní rámec, zákon nebo jiný právní předpis jsou odkazem na jeho aktuálně platné znění nebo nově přijaté znění.
2.5
Pokud je nějaká přeložená verze této smlouvy nekonzistentní s anglickou verzí, platí anglická verze.
2.6
Veškeré reference ve standardních smluvních doložkách pro správce údajů na „podmínky ochrany dat mezi správci Google Ads“ jsou považovány za „podmínky ochrany dat mezi správci pro měření Google“.
3. Použití těchto smluvních podmínek správce údajů
3.1 Obecná ustanovení
Tyto smluvní podmínky správce údajů se vztahují pouze na taková nastavení sdílení údajů, u kterých se strany na těchto smluvních podmínkách správce údajů dohodly (například nastavení sdílení údajů, u kterých zákazník svým kliknutím tyto smluvní podmínky správce údajů přijal).
3.2 Délka platnosti
Tyto smluvní podmínky správce údajů vstupují v platnost datem účinnosti a platí po dobu, po kterou Google nebo zákazník zpracovávají spravované osobní údaje. Poté platnost těchto smluvních podmínek správce údajů automaticky končí.
4. Role a omezení zpracování
4.1 Nezávislí správci
S výhradou oddílu 4.4 (Koncoví správci) platí, že každá ze stran:
- (a) je nezávislým správcem spravovaných osobních údajů,
- (b) sama stanoví účely a způsoby jí prováděného zpracování spravovaných osobních údajů,
- c) bude plnit povinnosti, které má v oblasti zpracování spravovaných osobních údajů podle příslušných právních předpisů o ochraně údajů.
4.2 Omezení zpracování
Oddíl 4.1 (Nezávislí správci) nebude mít vliv na žádná omezení práv kterékoli ze stran používat nebo jinak zpracovávat spravované osobní údaje v souladu s touto smlouvou.
4.3 Souhlas koncového uživatele
Zákazník je povinen dodržovat zásady vztahující se na spravované osobní údaje, které jsou sdíleny na základě nastavení sdílení údajů. Navíc je povinen kdykoli prokázat, že zmíněné zásady dodržuje.
4.4 Koncoví správci
Aniž by byly omezeny povinnosti kterékoli ze stran vyplývající z těchto smluvních podmínek správce údajů, berou obě strany na vědomí, že: (a) spřízněné subjekty nebo klienti druhé strany mohou být koncovými správci a že (b) druhá strana může jménem svých koncových správců jednat jako zpracovatel. Každá ze stran zajistí, aby její koncoví správci dodržovali smluvní podmínky správce údajů.
4.5 Transparentnost
Zákazník bere na vědomí, že společnost Google zveřejnila na adrese https://business.safety.google/privacy/ informace o tom, jak používá informace z webů, aplikací a dalších služeb, kde jsou její služby využívány. Aniž by byly dotčeny jeho povinnosti uvedené v oddílu 4.1(c), může zákazník na výše uvedenou adresu odkazovat, aby subjektům údajů poskytl informace o tom, jak společnost Google spravované osobní údaje zpracovává.
5. Odpovědnost
5.1
Pokud společnost Google:
- (a) je stranou této smlouvy a tato smlouva se řídí zákony:
- (i) některého ze států Spojených států amerických, pak bez ohledu na cokoli jiného uvedeného v této smlouvě bude celková výše odpovědnosti vůči druhé straně vyplývající z těchto smluvních podmínek správce údajů (nebo s nimi související) omezena maximální peněžní nebo na platbách založenou částkou, kterou je odpovědnost dotyčné strany omezena podle této smlouvy (a tedy jakékoli vyloučení nároků na odškodnění na základě omezené odpovědnosti stanovené touto smlouvou se nebude vztahovat na nároky na odškodnění podle této smlouvy týkající se příslušných právních předpisů o ochraně údajů), nebo, pokud se smlouva řídí zákony
- (ii) jurisdikce, která není jurisdikcí státu Spojených států amerických, pak bude odpovědnost stran vyplývající z těchto smluvních podmínek správce údajů (nebo s nimi související) podléhat vyloučením a omezením odpovědnosti uvedeným v této smlouvě, nebo pokud Google
- (b) není stranou této smlouvy, pak v rozsahu povoleném příslušným právem nebude společnost Google odpovídat za zákazníkovy ušlé příjmy ani nepřímé, zvláštní, vedlejší, následné, exemplární náhrady či náhrady škody s funkcí trestu, a to i v případě, že byla společnost Google či její přidružené subjekty upozorněny, věděly nebo měly vědět, že řečené náhrady nejsou dostačujícím nápravným prostředkem. Celková souhrnná odpovědnost společnosti Google (a jejích přidružených subjektů) vůči zákazníkovi nebo jakékoli jiné straně za jakoukoli ztrátu či náhrady plynoucí z nároků, odškodnění nebo činů vzešlých z těchto smluvních podmínek správce údajů nebo souvisejících s nimi nepřekročí 500 USD.
6. Dopad smluvních podmínek správce údajů
6.1 Pořadí uplatnění
Pokud dojde k rozporu nebo nesrovnalostem mezi doplňujícími smluvními podmínkami, ostatními částmi těchto smluvních podmínek správce údajů a/nebo ostatními částmi smlouvy, pak platí za dodržení oddílů 4.2 (Omezení zpracování) a 6.2 (Vyloučení vlivu na podmínky pro zpracovatele) toto pořadí uplatnění: (a) dodatečné podmínky (pokud jsou relevantní), (b) ostatní části těchto smluvních podmínek správce údajů a (c) ostatní části smlouvy. S výhradou dodatků k těmto smluvním podmínkám správce údajů zůstává smlouva mezi společností Google a zákazníkem plně platná a účinná.
6.2 Vyloučení vlivu na podmínky pro zpracovatele
Tyto smluvní podmínky správce údajů nenahrazují ani neovlivňují žádnou část podmínek pro zpracovatele. Pro vyloučení pochybností uvádíme, že pokud je zákazník v souvislosti se službami měření jednou ze stran podmínek pro zpracovatele, budou se řečené podmínky pro zpracovatele na tyto služby měření nadále vztahovat, bez ohledu na to, že se na spravované osobní údaje zpracovávané na základě nastavení sdílení údajů vztahují tyto smluvní podmínky správce údajů.
7. Změny těchto smluvních podmínek správce údajů
7.1 Změny smluvních podmínek správce údajů
Společnost Google může tyto smluvní podmínky správce údajů změnit, jestliže příslušná změna:
- (a) odráží změnu názvu nebo formy právního subjektu,
- (b) je nezbytná k zajištění souladu s příslušnými zákony, nařízeními, soudním příkazem nebo směrnicí vydanými vládním regulačním orgánem nebo vládní organizací, případně odráží využití alternativního řešení předávání údajů společností Google (jak je definováno v příloze 1A),
- (c) spočívá ve změnách popsaných v oddílu 7.2 (Změny adres URL) nebo
- (d) (i) se nesnaží jiným způsobem změnit označení stran jako správců spravovaných osobních údajů ve smyslu příslušných právních předpisů o ochraně údajů, (ii) nerozšiřuje rozsah práv ani neodstraňuje žádná omezení práv kterékoli ze stran používat nebo jinak zpracovávat osobní údaje v držení správce a (iii) nemá na základě opodstatněného rozhodnutí společnosti Google závažný negativní dopad na zákazníka.
7.2 Změny v adresách URL
Společnost Google může čas od času změnit jakoukoli adresu URL uvedenou v těchto smluvních podmínkách správce údajů. Kromě toho může změnit i obsah, který se na stránce s danou adresou URL nachází.
7.3 Oznámení o změnách
Jestliže společnost Google zamýšlí v souladu s ujednáními v oddílu 7.1(b) tyto smluvní podmínky správce údajů změnit a tato změna by na základě opodstatněného rozhodnutí společnosti Google měla závažný negativní dopad na zákazníka, vynaloží společnost Google obchodně přiměřené úsilí, aby zákazníka o změně informovala, a to alespoň 30 dní předtím, než daná změna vstoupí v platnost (nebo v takové kratší lhůtě, která je případně vyžadována platnými zákony, nařízeními, soudními příkazy nebo doporučeními vydanými státním regulačním orgánem nebo úřadem). Pokud má zákazník proti takové změně námitky, může nastavení sdílení údajů deaktivovat.
8. Další ustanovení
8.1
Tento oddíl 8 (Další ustanovení) platí pouze v případě, že společnost Google není stranou smlouvy.
8.2
Každá ze stran bude ke splnění svých závazků podle těchto smluvních podmínek správce údajů vynakládat přiměřenou péči a využívat přiměřené dovednosti.
8.3
Žádná ze stran nepoužije ani nezveřejní důvěrné informace druhé strany bez předchozího písemného souhlasu druhé strany, vyjma účelu daného uplatňováním svých práv nebo plněním závazků v rámci těchto smluvních podmínek správce údajů nebo požadavku daného zákonem, nařízením či soudním příkazem. V takovém případě strana, která musí důvěrné informace prozradit, před jejich prozrazením druhou stranu na tuto skutečnost v přiměřeném předstihu upozorní.
8.4
Pokud v těchto smluvních podmínkách správce údajů není výslovně uvedeno jinak, neposkytuje společnost Google záruky žádného druhu, ať již výslovné, implicitní, zákonné, či jiné (včetně mimo jiné záruk obchodovatelnosti, vhodnosti pro konkrétní účel a neporušení vlastnických práv), a to do té míry, do jaké to umožňují příslušné právní předpisy.
8.5
Žádná ze smluvních stran neodpovídá za neplnění ani prodlevu v plnění, pokud byly způsobeny okolnostmi, které nemohla přiměřeně ovlivnit.
8.6
V případě neplatnosti, protiprávnosti nebo nevymahatelnosti kteréhokoli ujednání těchto smluvních podmínek správce údajů (nebo jejich části) zůstávají ostatní ujednání smluvních podmínek správce údajů v platnosti.
8.7
(a) S výjimkou případů uvedených v odstavci (b) níže se tyto smluvní podmínky správce údajů řídí zákony státu Kalifornie a podle těchto zákonů se vykládají. Principy týkající se mezinárodního práva soukromého, které jsou v těchto zákonech zakotveny, nebudou při tomto výkladu zohledňovány. Pokud nastane rozpor mezi cizími zákony, pravidly a předpisy a zákony, pravidly a předpisy státu Kalifornie, budou platit zákony, pravidla a předpisy státu Kalifornie. Všechny smluvní strany souhlasí s výhradní a osobní jurisdikci soudů se sídlem v okrese Santa Clara v Kalifornii. Úmluva Organizace spojených národů o smlouvách o mezinárodní koupi zboží ani zákon Uniform Computer Information Transactions Act se na tyto smluvní podmínky správce údajů nevztahují.
(b) V případě, že jde o smlouvu mezi zákazníkem a externím distributorem a externí distributor je zřízen v Evropě, na Blízkém východě nebo v Africe, řídí se tyto smluvní podmínky správce údajů anglickým právem. Pokud jde o jakýkoli spor (ať už smluvní, či jiný), který vznikne v důsledku těchto smluvních podmínek správce údajů nebo v souvislosti s nimi, souhlasí smluvní strany s výhradní jurisdikci anglických soudů.
(c) V případě, že budou platit standardní smluvní doložky pro správce údajů a definují jiné rozhodné právo, než je uvedeno v odstavcích (a) a (b) výše, uplatní se rozhodné právo stanovené ve standardních smluvních doložkách pro správce údajů pouze na standardní smluvní doložky pro správce údajů.
(d) Úmluva Organizace spojených národů o smlouvách o mezinárodní koupi zboží ani zákon Uniform Computer Information Transactions Act se na tyto smluvní podmínky správce údajů nevztahují.
8.8
Veškerá sdělení o ukončení nebo porušení musejí být provedena písemně v angličtině a musejí být adresována právnímu oddělení druhé strany. Oznámení právnímu oddělení společnosti Google je třeba zasílat na adresu legal-notices@google.com. Oznámení bude považováno za podané okamžikem převzetí, které bude doloženo písemným či automaticky vytvořeným potvrzením, případně elektronickým záznamem (v závislosti na konkrétní situaci).
8.9
Pokud kterákoli ze stran práva vyplývající z těchto smluvních podmínek správce údajů neuplatňuje (nebo jejich uplatnění odkládá), nemá se za to, že by se těchto práv vzdala. Žádná ze stran nesmí žádnou část těchto smluvních podmínek správce údajů bez písemného souhlasu druhé strany postoupit třetí straně. Výjimkou je postoupení spřízněnému subjektu, jestliže: (a) postupník písemně vyjádřil souhlas s tím, že bude vázán těmito smluvními podmínkami správce údajů, (b) postupitel ponese i nadále odpovědnost za závazky vyplývající z těchto smluvních podmínek správce údajů, pokud je postupník nedodrží, (c) v případě zákazníka postupitel převedl na postupníka svůj účet nebo účty ve službě měření, (d) postupitel o daném postoupení informuje druhou smluvní stranu. Každý jiný pokus o postoupení smlouvy je neplatný.
8.10
Smluvní strany těchto podmínek jsou nezávislými smluvními partnery. Tyto smluvní podmínky správce údajů nevytvářejí mezi smluvními stranami žádný vztah obchodního zastoupení, partnerství ani joint venture (společný podnik). Pokud v nich není výslovně uvedeno jinak, nezajišťují tyto smluvní podmínky správce údajů prospěch žádným třetím stranám.
8.11
V míře povolené příslušnými zákony obsahují tyto smluvní podmínky správce údajů veškeré podmínky dohodnuté mezi smluvními stranami. Žádná ze smluvních stran se při přijímání těchto smluvních podmínek správce údajů neopírala o tvrzení, záruky ani prohlášení (ať už učiněné z nedbalosti, nebo neznalosti), které nejsou v těchto smluvních podmínkách správce údajů výslovně uvedeny. Zároveň platí, že z takových tvrzení, záruk a prohlášení nevyplývají žádná práva ani nárok na nápravná opatření.
Příloha 1: Další podmínky týkající se příslušných právních předpisů o ochraně údajů
ČÁST A – DOPLŇUJÍCÍ PODMÍNKY TÝKAJÍCÍ SE EVROPSKÝCH PRÁVNÍCH PŘEDPISŮ O OCHRANĚ ÚDAJŮ
1. Úvodní ustanovení
Tato příloha 1A se uplatňuje pouze v tom rozsahu, v jakém se na zpracování spravovaných osobních údajů vztahují evropské právní předpisy o ochraně údajů.
2. Definice
2.1 V této příloze 1A:
„Země s odpovídající ochranou“ znamená:
- (a) v případě zpracovávaných údajů, na které se vztahuje nařízení GDPR EU: Země EHP, případně země či oblast, o níž je známo, že zajišťuje dostatečnou ochranu údajů podle nařízení GDPR,
- (b) v případě zpracovávaných údajů, na které se vztahuje nařízení GDPR platné ve Spojeném království: Spojené království, případně země či oblast, o níž je známo, že zajišťuje dostatečnou ochranu podle nařízení GDPR platného ve Spojeném království a zákona o ochraně dat z roku 2018, a/nebo
- c) v případě zpracovávaných údajů, na které se vztahuje švýcarský zákon DSG: Švýcarsko, případně země či oblast, (i) která je uvedena na seznamu států, jejichž právní předpisy zajišťují adekvátní úroveň ochrany, vydaném švýcarským federálním komisařem pro ochranu údajů a informací, nebo taková, (ii) jejíž úroveň ochrany je švýcarskou Spolkovou radou považována za adekvátní a odpovídající švýcarskému zákonu DSG, a to v každém případě zvlášť a bez ohledu na nepovinný systém ochrany údajů.
„Alternativní řešení předávání dat“ je řešení odlišné od standardních smluvních doložek pro správce údajů, které umožňuje zákonné předávání osobních údajů do třetích zemí v souladu s evropskými právními předpisy o ochraně údajů. Jde například o systém ochrany údajů, o němž je známo, že zajišťuje, aby zúčastněné subjekty poskytovaly adekvátní úroveň ochrany.
„Standardními smluvními doložkami pro správce údajů“ se rozumí smluvní podmínky na adrese business.safety.google/adscontrollerterms/sccs/c2c.
„EHP“ je Evropský hospodářský prostor.
„Spravované evropské osobní údaje“ jsou spravované osobní údaje týkající se subjektů údajů nacházejících se v zemích EHP nebo ve Švýcarsku.
„Evropské právní předpisy“ znamenají (podle okolností): (a) právní předpisy EU nebo členského státu EU (v případě, že se na zpracování spravovaných osobních údajů vztahuje nařízení GDPR platné v EU), (b) právní předpisy Spojeného království nebo jeho části (v případě, že se na zpracování spravovaných osobních údajů vztahuje nařízení GDPR platné ve Spojeném království) a (c) právní předpisy Švýcarska (pokud se na zpracování spravovaných osobních údajů vztahuje švýcarský zákon DSG).
„Koncovými správci Google“ se rozumí koneční správci spravovaných osobních údajů zpracovávaných společností Google.
„Povolené zpracování nebo předávání dat v rámci Evropy“ je zpracování spravovaných osobních údajů v zemi s odpovídající ochranou, případně předávání spravovaných osobních údajů do takové země.
„Omezené předávání dat v rámci Evropy“ je takové zpracování nebo předávání spravovaných osobních údajů, které: (a) podléhá evropským právním předpisům o ochraně údajů a (b) není povoleným zpracováním nebo předáváním dat v rámci Evropy.
„Spravované britské osobní údaje“ jsou spravované osobní údaje týkající se subjektů údajů nacházejících se ve Spojeném království.
2.2 Pojmy „importér údajů“ a „exportér údajů“ mají význam definovaný ve standardních smluvních doložkách pro správce údajů.
3. Koncoví správci Google
Koncovými správci Google jsou: (i) firma Google Ireland Limited – pro spravované evropské osobní údaje zpracovávané společností Google, a (ii) firma Google LLC – pro spravované britské osobní údaje zpracovávané společností Google. Každá ze stran zajistí, aby její koncoví správci v příslušných případech dodržovali standardní smluvní doložky pro správce údajů.
4. Předávání dat
4.1 Omezené předávání dat v rámci Evropy. Kterákoli ze stran může provádět omezené zpracování nebo předávání údajů v rámci Evropy, pokud je toto zpracování či předávání v souladu s příslušnými ustanoveními evropských právních předpisů o ochraně údajů, které zpracování a předávání dat v rámci Evropy upravují.
4.2 Alternativní řešení předávání dat
- (a) Pokud společnost Google pro omezené zpracování nebo předávání dat v rámci Evropy využívá alternativní řešení, pak: (i) společnost Google zajistí, aby takovéto omezené zpracování nebo předávání dat probíhalo v souladu s alternativním řešením předávání dat a (ii) na toto omezené zpracování nebo předávání dat v rámci Evropy se nebude vztahovat odstavec 5 (Standardní smluvní doložky pro správce údajů) této přílohy 1A.
- (b) Jestliže společnost Google pro omezená zpracování nebo předávání dat v rámci Evropy alternativní řešení předávání dat nevyužívá nebo zákazníka informovala, že již k tomuto využívání z její strany nedochází, pak se odstavec 5 (Standardní smluvní doložky pro správce údajů) této přílohy 1A na taková omezená zpracování nebo předávání dat v rámci Evropy vztahovat bude.
4.3 Ujednání o dalším předávání dat.
- (a) Platnost odstavce 4.3. Odstavce 4.3(b) (Používání osobních údajů poskytovatele dat) a 4.3(c) (Ochrana osobních údajů poskytovatele dat) této přílohy 1A se uplatní pouze v případech, kdy:
- (i) jedna ze stran (dále jen „příjemce dat“) zpracovává spravované osobní údaje, které jsou druhou stranou („poskytovatelem dat“) předávány v souvislosti se smlouvou (tyto spravované osobní údaje dále označujeme jako „osobní údaje poskytovatele dat“),
- (ii) poskytovatel dat nebo jeho spřízněný subjekt je certifikován v rámci alternativního řešení předávání dat, a
- (iii) poskytovatel dat o své certifikaci pro alternativní řešení předávání dat příjemce dat písemně uvědomí.
- (b) Použití osobních údajů poskytovatele dat
- (i) Pokud příslušné alternativní řešení předávání dat zahrnuje principy dalšího předávání dat, bude příjemce dat v souladu s těmito principy v rámci příslušného alternativního řešení používat osobní údaje poskytovatele dat pouze způsobem, který odpovídá souhlasu udělenému subjekty údajů příslušného správce.
- (ii) Jestliže se poskytovateli dat souhlas vyžadovaný smlouvou od některých subjektů údajů získat nepodaří a příjemce dat bude osobní údaje poskytovatele dat využívat pouze v rozsahu odpovídajícím vyžadovanému souhlasu, nebude toto využívání ze strany příjemce dat považováno za porušení odstavce 4.3(b)(i).
- (c) Ochrana osobních údajů poskytovatele dat
- (i) Příjemce dat zajistí alespoň takovou úroveň ochrany osobních údajů poskytovatele dat, která odpovídá úrovni ochrany vyžadované příslušným alternativním řešením předávání dat.
- (ii) Pokud příjemce dat zjistí, že není schopen ujednání v odstavci 4.3(c)(i) dodržet, je povinen (A) poskytovatele dat na tuto skutečnost písemně upozornit a (B) přestat osobní údaje poskytovatele dat zpracovávat, nebo podniknout přiměřené a odpovídající kroky k nápravě.
- (d) Zavedení a certifikace alternativního řešení předávání dat. Informace o tom, zda společnost Google nebo její spřízněné subjekty zavedly nějaká alternativní řešení předávání dat, a o příslušné certifikaci, najdete na adrese https://policies.google.com/privacy/frameworks. Tento odstavec 4.3(d) představuje písemné oznámení o aktuálních certifikacích společnosti Google či jejích spřízněných subjektů k datu účinnosti těchto podmínek pro účely odstavce 4.3(a)(iii).
5. Standardní smluvní doložky pro správce údajů
5.1 Předávání spravovaných evropských osobních údajů zákazníkovi. V rozsahu, v němž:
- (a) společnost Google předává zákazníkovi spravované evropské osobní údaje a
- (b) takové předávání údajů představuje omezené předávání dat v rámci Evropy, se bude mít za to, že zákazník jakožto importér údajů sjednal standardní smluvní doložky pro správce se společností Google Ireland Limited (tedy s příslušným koncovým správcem Google) jakožto exportérem údajů a že dotyčná předávání dat budou těmto standardním smluvním doložkám pro správce údajů podléhat.
5.2 Předávání spravovaných britských osobních údajů zákazníkovi. V rozsahu, v němž:
- (a) společnost Google předává zákazníkovi spravované britské osobní údaje a
- (b) takové předávání údajů představuje omezené předávání dat v rámci Evropy, se bude mít za to, že zákazník jakožto importér údajů sjednal standardní smluvní doložky pro správce se společností Google LLC (tedy s příslušným koncovým správcem Google) jakožto exportérem údajů a že dotyčná předávání dat budou těmto standardním smluvním doložkám pro správce podléhat.
5.3 Předávání spravovaných evropských osobních údajů společnosti Google. Smluvní strany berou na vědomí, že v rozsahu, v jakém zákazník předává společnosti Google spravované evropské osobní údaje, nejsou standardní smluvní doložky pro správce údajů vyžadovány, protože adresa společnosti Google Ireland Limited (příslušného koncového správce Google) se nachází v zemi s odpovídající ochranou a takové předávání tedy představuje povolené zpracování nebo předávání dat v rámci Evropy. Tato skutečnost nemá vliv na povinnosti společnosti Google uvedené v odstavci 4.1 (Omezené předávání dat v rámci Evropy) této přílohy 1A.
5.4 Předávání spravovaných britských osobních údajů společnosti Google. Pokud zákazník předává společnosti Google spravované britské osobní údaje, bude se u zákazníka jakožto exportéra údajů mít za to, že sjednal standardní smluvní doložky pro správce údajů se společností Google LLC (s příslušným koncovým správcem Google) jakožto importérem údajů, a dotyčná předávání dat budou těmto standardním smluvním doložkám pro správce údajů podléhat, protože společnost Google LLC nesídlí v zemi s odpovídající ochranou.
5.5 Kontaktování společnosti Google, údaje o zákazníkovi.
- (a) Zákazník může společnost Google Ireland Limited a/nebo Google LLC v souvislosti se standardními smluvními doložkami pro správce údajů kontaktovat na adrese https://support.google.com/policies/troubleshooter/9009584 nebo jinými způsoby, které může společnost Google průběžně zveřejňovat.
- (b) zákazník bere na vědomí, že společnost Google je podle standardních smluvních doložek pro správce údajů povinna zaznamenávat určité informace, včetně (i) identity a kontaktních údajů importéra údajů (včetně libovolné kontaktní osoby odpovědné za ochranu údajů), a (ii) technických a organizačních opatření implementovaných importérem údajů. Zákazník na vyžádání a v míře, do jaké se ho to týká, předá tyto informace společnosti Google prostřednictvím takových prostředků, které společnost Google poskytne, a zajistí, aby všechny sdělené informace byly přesné a aktuální.
5.6 Odpovědi na dotazy subjektů údajů. Příslušný importér údajů bude odpovídat za reakce na dotazy subjektů údajů a dozorčího úřadu týkající se zpracování příslušných spravovaných osobních údajů importérem údajů.
5.7 Smazání dat při ukončení smlouvy. V rozsahu, v němž:
- (a) společnost Google LLC působí jako importér údajů a zákazník jako exportér údajů podle standardních smluvních doložek pro správce údajů a
- (b) zákazník ukončí tuto smlouvu v souladu s odstavcem 16(c) standardních smluvních doložek pro správce údajů, a dále, pro účely odstavce 16(d) standardních smluvních doložek pro správce údajů zákazník vyzve společnost Google, aby smazala spravované osobní údaje a, pokud evropské právní předpisy nevyžadují jejich uchovávání, společnost Google řečené údaje co nejdříve smaže v rozsahu, v jakém je takové smazání rozumně možné (s ohledem na povahu a funkčnost služeb měření a na to, že je společnost Google nezávislým správcem těchto údajů).
6. Odpovědnost v případě, že platí standardní smluvní doložky pro správce údajů
Pokud platí standardní smluvní doložky pro správce údajů podle odstavce 5 (Standardní smluvní doložky pro správce údajů) této přílohy 1A, pak se celková kombinovaná odpovědnost:
- (a) společností Google, Google LLC a Google Ireland Limited vůči zákazníkovi a
- (b) zákazníka vůči společnostem Google, Google LLC a Google Ireland Limited v souvislosti s touto smlouvou a standardními smluvními doložkami pro správce údajů řídí odstavcem 5 (Odpovědnost). Doložka 12 standardních smluvních doložek pro správce údajů nebude mít na předchozí větu vliv.
7. Oprávněné třetí strany
Pokud společnosti Google LLC a/nebo Google Ireland Limited nejsou smluvní stranou smlouvy, ale jsou smluvní stranou příslušných standardních smluvních doložek pro správce údajů v souladu s odstavcem 5 (Standardní smluvní doložky pro správce) této přílohy 1A, jsou společnosti Google LLC a/nebo Google Ireland Limited (podle okolností) oprávněnými třetími stranami podle oddílu 4.4 (Koncoví správci), a podle odstavců 3 (Koncoví správci Google), 5 (Standardní smluvní doložky pro správce údajů) a 6 (Odpovědnost v případě, že platí standardní smluvní doložky pro správce údajů) této přílohy 1A. V případě, že tento odstavec 7 (Oprávněné třetí strany) odporuje jakémukoli jinému ujednání této smlouvy nebo je s ním nekonzistentní, bude platit tento odstavec 7 (Oprávněné třetí strany).
8. Priorita při uplatňování
8.1 V případě rozporu nebo nesouladu mezi standardními smluvními doložkami pro správce údajů, touto přílohou 1A, ostatními částmi těchto podmínek pro správce údajů a/nebo ostatními částmi smlouvy mají přednost standardní smluvní doložky pro správce údajů.
8.2 Dodatečná obchodní ujednání Při dodržení příloh těchto smluvních podmínek správce údajů zůstává smlouva plně platná a účinná. Odstavce 5.5 (Kontaktování společnosti Google) až 5.7 (Smazání dat při ukončení smlouvy) a odstavec 6 (Odpovědnost v případě, že platí standardní smluvní doložky pro správce údajů) této přílohy 1A představují dodatečná obchodní ujednání související se standardními smluvními doložkami pro správce údajů, v souladu s odstavcem 2(a) (Dopad a neměnnost doložek) standardních smluvních doložek pro správce údajů.
8.3 Neměnnost standardních smluvních doložek pro správce údajů. Žádná část této smlouvy (včetně těchto smluvních podmínek správce údajů) nemá za cíl měnit nebo rozporovat standardní smluvní doložky pro správce údajů ani jakkoli narušovat základní práva a svobody subjektů údajů vyplývající z evropských právních předpisů o ochraně údajů.
ČÁST B – DOPLŇUJÍCÍ PODMÍNKY TÝKAJÍCÍ SE PRÁVNÍCH PŘEDPISŮ NA OCHRANU SOUKROMÍ V JEDNOTLIVÝCH STÁTECH USA
1. Úvodní ustanovení
Společnost Google může nabídnout a zákazník může aktivovat určitá nastavení ve službě, konfigurace a další funkce služeb měření související s omezeným zpracováním dat, jak je popsáno v související dokumentaci na webu business.safety.google/rdp v aktuálním znění (dále jen „omezené zpracování dat“). Tato příloha 1B odráží dohodu smluvních stran o zpracování osobních údajů zákazníka a deidentifikovaných údajů (jak je definováno níže) v souladu s touto smlouvou a v souvislosti s právními předpisy na ochranu soukromí v jednotlivých státech USA. Je účinná pouze v tom rozsahu, v jakém se tyto právní předpisy na ochranu soukromí uplatňují.
2. Další definice a výklady
V této příloze 1B:
- (a) „Osobní údaje zákazníka“ jsou osobní údaje, které společnost Google zpracovává jménem zákazníka v rámci poskytování služeb měření společností Google.
- (b) „Deidentifikované údaje“ jsou údaje, které byly „deidentifikovány“ (jak je definováno v zákoně CCPA). Jde také o „deidentifikované údaje“ (definované v jiných příslušných právních předpisech na ochranu soukromí v jednotlivých státech USA) v rámci předávání dat mezi stranami.
- (c) Jako „Pokyny“ se souhrnně označují pokyny zákazníka určené společnosti Google, které se týkají zpracování osobních údajů zákazníků pouze v souladu s právními předpisy na ochranu soukromí v jednotlivých státech USA. Jde o: (a) pokyny týkající se poskytování služeb v režimu RDP a související technické podpory, (b) pokyny specifikované během používání služeb v režimu RDP zákazníkem (například v nastaveních a v dalších funkcích těchto služeb v režimu RDP) a prostřednictvím související technické podpory, (c) pokyny uvedené ve smlouvě, včetně tohoto dodatku 1B, (d) pokyny uvedené v jakýchkoli jiných písemných instrukcích poskytnutých zákazníkem, u nichž společnost Google potvrdila, že jde o pokyny pro účely této přílohy 1B, a (e) pokyny ke zpracování osobních údajů zákazníka pro potřeby poskytovatelů služeb a zpracovatelů, v souladu s právními předpisy na ochranu soukromí v jednotlivých státech USA.
- (d) „Službami v režimu RDP“ se rozumí služby správců dat fungující v režimu omezeného zpracování dat.
- (e) „Doba platnosti“ znamená období od data účinnosti smluvních podmínek do konce poskytování služeb měření společností Google podle této smlouvy.
- (f) Výrazy „firma“, „spotřebitel“, „osobní údaje“, „prodej(e)“, „prodávat“, „poskytovatel služeb“ a „sdílení“, používané v této příloze 1B, mají význam uvedený v právních předpisech na ochranu soukromí jednotlivých států USA.
- (g) Při používání služeb Google, včetně služeb v režimu omezeného zpracování dat, nese zákazník výhradní odpovědnost za dodržování právních předpisů na ochranu soukromí jednotlivých států USA.
3. Právní předpisy na ochranu soukromí v jednotlivých státech USA (v rámci omezeného zpracování dat)
3.1 Zpracování dat
3.1.1
- (a) Povinnosti zpracovatele a správce. Strany berou na vědomí a souhlasí s tím, že:
- (i) odstavec 7 (Předmět a podrobnosti zpracování dat podle právních předpisů na ochranu soukromí v jednotlivých státech USA) v této příloze 1B popisuje předmět a podrobnosti zpracování osobních údajů zákazníka,
- (ii) společnost Google je poskytovatelem služeb a zpracovatelem osobních údajů zákazníků podle právních předpisů na ochranu soukromí v jednotlivých státech USA a
- (iii) zákazník je správcem nebo zpracovatelem osobních údajů zákazníka podle právních předpisů na ochranu soukromí v jednotlivých státech USA.
- (b) Zákazníci, kteří jsou zpracovateli. Pokud je zákazník zpracovatelem údajů:
- (i) zákazník průběžně zaručuje, že příslušný správce schválil: (A) pokyny, (B) zákazníkovo jmenování společnosti Google dalším zpracovatelem a (C) zapojení subdodavatelů společností Google, jak je popsáno v odstavci 3.6 (Subdodavatelé) této přílohy 1B,
- (ii) zákazník neprodleně předá příslušnému správci všechna oznámení, která mu společnost Google zašle na základě ujednání v odstavcích 3.3.2(a) (Oznámení o incidentech) a 3.6 (Subdodavatelé) a
- (iii) zákazník může příslušnému správci poskytnout veškeré informace zpřístupněné společností Google na základě ujednání v odstavcích 3.3.3(c) (Práva zákazníka na audit) a 3.6 (Subdodavatelé).
3.1.2 Zákazníkovy pokyny. Přijetím této přílohy 1B dává zákazník společnosti Google na vědomí, že má osobní údaje zákazníků zpracovávat pouze v souladu s pokyny.
3.1.3 Dodržování pokynů ze strany společnosti Google. Společnost Google bude pokyny dodržovat v případě, že nejsou v rozporu s právními předpisy na ochranu soukromí v jednotlivých státech USA.
3.1.4 Doplňkové služby. Pokud zákazník používá jakékoli produkty, služby nebo aplikace poskytnuté společností Google nebo třetí stranou, které (a) nejsou součástí služeb v režimu RDP a které (b) lze používat prostřednictvím uživatelského rozhraní služeb v režimu RDP nebo jsou s těmito službami jiným způsobem integrovány (dále jen „Doplňková služba“), mohou služby v režimu RDP umožnit, aby tato doplňková služba měla přístup k osobním údajům zákazníka, jestliže je to nezbytné ke spolupráci této doplňkové služby se službami v režimu RDP. Pro vyloučení pochybností: Tato příloha 1B se nevztahuje na zpracování osobních údajů v souvislosti s poskytováním jakýchkoli doplňkových služeb používaných zákazníkem, a to včetně osobních údajů přenášených do této doplňkové služby nebo z ní.
3.2. Smazání dat po vypršení doby platnosti. Zákazník dává společnosti Google pokyn, aby po vypršení doby platnosti v souladu s platnými právními předpisy ze svých systémů odstranila všechny zbývající osobní údaje zákazníka (včetně všech kopií). Společnost Google tento pokyn splní v nejbližším rozumně možném termínu, nejpozději však do 180 dní, s výjimkou případu, kdy uchování osobních údajů vyžadují příslušné právní předpisy.
3.3. Zabezpečení dat
3.3.1 Bezpečnostní opatření a asistence společnosti Google
- (a) Bezpečnostní opatření společnosti Google. Společnost Google zavede a bude udržovat technická a organizační opatření na ochranu osobních údajů zákazníků před náhodným nebo nezákonným zničením, ztrátou, pozměněním, neoprávněným zveřejněním či neoprávněným přístupem (dále jen „bezpečnostní opatření“). Tato bezpečnostní opatření zahrnují: (i) šifrování osobních údajů, (ii) zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb společnosti Google, (iii) pomoc s rychlým obnovením přístupu k osobním údajům po incidentu a (iv) pravidelné testování účinnosti těchto opatření. Společnost Google může bezpečnostní opatření průběžně aktualizovat nebo upravovat za předpokladu, že tyto aktualizace a úpravy nepovedou ke zhoršení celkového zabezpečení osobních údajů zákazníka.
- (b) Přístup a dodržování předpisů. Společnost Google zajistí, aby se všechny osoby oprávněné zpracovávat osobní údaje zákazníků zavázaly k zachování důvěrnosti nebo se na ně vztahovala příslušná zákonná povinnost mlčenlivosti.
- (c) Bezpečnostní asistence společnosti Google. Společnost Google (s ohledem na povahu zpracovávání osobních údajů zákazníka a informace, které má společnost Google k dispozici) bude zákazníkovi pomáhat se splněním jeho povinností (nebo povinností příslušného správce v případech, kdy je zákazník zpracovatelem) v oblasti zabezpečení osobních údajů i v případech narušení tohoto zabezpečení, a to včetně povinností zákazníka (nebo příslušného správce v případech, kdy je zákazník zpracovatelem) týkajících se zabezpečení osobních údajů podle právních předpisů na ochranu soukromí v jednotlivých státech USA i v případech porušení tohoto zabezpečení, a to tím, že:
- (i) zavede a bude udržovat bezpečnostní opatření v souladu s odstavcem 3.3.1(a) (Bezpečnostní opatření společnosti Google),
- (ii) bude dodržovat podmínky uvedené v odstavci 3.3.2 (Datové incidenty) a
- (iii) poskytne zákazníkovi práva udělená podle odstavce 3.3.3(c) (Práva zákazníka na audit).
3.3.2 Datové incidenty
- (a) Oznámení o incidentech. Pokud se společnost Google dozví o datovém incidentu (jak je definován níže), musí (i) o tomto incidentu bez zbytečného prodlení informovat zákazníka a (ii) neprodleně podniknout přiměřené kroky k minimalizaci škod a zabezpečení osobních údajů zákazníků. „Datový incident“ ve smyslu této přílohy 1B označuje narušení zabezpečení u společnosti Google, které vede k neúmyslnému nebo nezákonnému zničení osobních údajů zákazníka, případně k jejich ztrátě, pozměnění, neoprávněnému zveřejnění nebo neoprávněnému přístupu k nim v systémech spravovaných nebo jinak ovládaných společností Google. Mezi „datové incidenty“ nepatří neúspěšné pokusy ani aktivity, které neohrožují bezpečnost osobních údajů zákazníka, a to včetně neúspěšných pokusů o přihlášení, pingů, skenování portů, útoků typu odepření služby (DoS) a dalších síťových útoků na brány firewall nebo síťové systémy.
- (b) Doručení oznámení. Oznámení o jakémkoli datovém incidentu zašle společnost Google na e-mailovou adresu, kterou zákazník určil (ať už prostřednictvím uživatelského rozhraní služeb v režimu RDP, nebo jinými způsoby poskytnutými společností Google) jako adresu k přijímání určitých oznámení společnosti Google vztahujících se k této příloze 1B (dále jen „e-mailová adresa pro oznámení“), nebo, podle uvážení společnosti Google (například tehdy, když zákazník žádnou e-mailovou adresu pro oznámení neposkytl), jinými způsoby přímé komunikace (například telefonicky, e-mailem nebo osobně). Za poskytnutí e-mailové adresy pro oznámení a její aktuálnost a funkčnost je zodpovědný výhradně zákazník.
- (c) Oznámení třetích stran. Za dodržování právních předpisů ohledně ohlašování incidentů a plnění případných závazků informovat v souvislosti s datovým incidentem třetí stranu je zodpovědný výhradně zákazník.
- (d) Vyloučení vlastního zavinění ze strany společnosti Google. Oznámení společnosti Google o datovém incidentu ani její reakci na něj podle tohoto odstavce 3.3.2 (Datové incidenty) nelze vykládat tak, že společnost Google v souvislosti s řečeným incidentem uznává své zavinění nebo odpovědnost.
3.3.3 Povinnosti zákazníka v oblasti zabezpečení a jeho posouzení zákazníkem
- (a) Povinnosti zákazníka v oblasti zabezpečení. Zákazník souhlasí s tím, že, aniž by byly dotčeny povinnosti společnosti Google uvedené v odstavcích 3.3.1 (Bezpečnostní opatření a asistence společnosti Google) a 3.3.2 (Datové incidenty):
- (i) zákazník odpovídá za své používání služeb v režimu RDP, včetně: (1) používání služeb v režimu RDP přiměřeným způsobem tak, aby byla zajištěna úroveň zabezpečení odpovídající riziku ve vztahu k osobním údajům zákazníka, a (2) zabezpečení identifikačních údajů k účtu, systémům a zařízením, které zákazník k přístupu ke službám v režimu RDP používá, a
- (ii) společnost Google není povinna chránit osobní údaje zákazníka, které zákazník uloží nebo přenese mimo systémy společnosti Google a jejích subdodavatelů.
- (b) Posouzení zabezpečení zákazníkem. Zákazník bere na vědomí a souhlasí s tím, že bezpečnostní opatření zavedená a spravovaná společností Google podle odstavce 3.3.1(a) (Bezpečnostní opatření společnosti Google) zajišťují úroveň zabezpečení odpovídající riziku ve vztahu k osobním údajům zákazníka s ohledem na aktuální na stav techniky, implementační náklady, a povahu, rozsah, kontext a účely zpracování osobních údajů zákazníka, jakož i rizika pro jednotlivce.
- (c) Práva zákazníka na audit
- (i) Zákazník může provést audit za účelem ověření plnění povinností ze strany společnosti Google podle této přílohy 1B tím, že si ke kontrole vyžádá (1) osvědčení vystavené za účelem ověření bezpečnosti a odrážející výsledek auditu provedeného externím auditorem (např. certifikaci SOC 2 Typ II, ISO/IEC 27001 nebo srovnatelnou certifikaci, případně jiný certifikát o auditu zabezpečení provedeném externím auditorem, na němž se zákazník a společnost Google dohodnou), a to do 12 měsíců od data žádosti zákazníka, a (2) jakékoli další informace, které společnost Google považuje za přiměřené, aby mohl zákazník takové dodržování povinností ověřit.
- (ii) Společnost Google může v reakci na žádost zákazníka dle svého uvážení sama požádat o externí audit k ověření toho, zda Google své povinnosti vyplývající z této přílohy 1B plní. V průběhu tohoto auditu poskytne společnost Google externímu auditorovi všechny údaje potřebné k prokázání dodržování povinností. Pokud si zákazník takový audit vyžádá, může mu společnost Google účtovat poplatek (na základě jejích přiměřeně vynaložených nákladů). Společnost Google před takovým auditem sdělí zákazníkovi veškeré podrobnosti o případném poplatku a o tom, jak probíhá jeho výpočet. Zákazník bude odpovídat za veškeré poplatky účtované jakýmkoli externím auditorem, kterého zákazník provedením auditu pověří.
- (iii) Žádné ujednání v této příloze 1B nevyžaduje, aby společnost Google zákazníkovi nebo jeho externímu auditorovi předala nebo zpřístupnila:
- (1) údaje o jiných zákaznících subjektu společnosti Google,
- (2) interní účetní nebo finanční údaje subjektu společnosti Google,
- (3) obchodní tajemství subjektu společnosti Google,
- (4) informace, které podle opodstatněného názoru společnosti Google mohou: (A) ohrozit bezpečnost systémů nebo prostor subjektu společnosti Google nebo (B) způsobit, že nějaký subjekt společnosti Google poruší své povinnosti vyplývající z právních předpisů na ochranu soukromí v jednotlivých státech USA, případně své povinnosti v oblasti zabezpečení a ochrany soukromí vůči zákazníkovi nebo jakékoli třetí straně, nebo
- (5) informace, o které zákazník nebo jeho externí auditor usiluje z jiných důvodů než proto, aby v dobré víře naplnil povinnosti zákazníka vyplývající z příslušných právních předpisů na ochranu soukromí v jednotlivých státech USA.
3.4 Pomoc s posouzením dopadu. Společnost Google (s ohledem na povahu zpracovávání údajů a informace, které má Google k dispozici) bude pomáhat zákazníkovi se splněním povinností zákazníka (nebo příslušného správce v případech, kdy je zákazník zpracovatelem) v oblasti posouzení vlivu na ochranu osobních údajů a předchozích konzultací s regulačními orgány v rozsahu, v jakém to vyžadují právní předpisy na ochranu osobních údajů v jednotlivých státech USA, a to tak, že mu:
- (a) poskytne dokumentaci o zabezpečení,
- (b) poskytne informace obsažené ve smlouvě (včetně této přílohy 1B) a
- (c) poskytne nebo jinak zpřístupní v souladu se standardními postupy společnosti Google další materiály týkající se povahy služeb v režimu RDP a zpracování osobních údajů zákazníka (například materiály centra nápovědy).
3.5. Práva subjektu údajů
3.5.1 Odpovědi na žádosti subjektů údajů. Pokud společnost Google obdrží žádost od subjektu údajů v souvislosti s osobními údaji zákazníka, opravňuje zákazník společnost Google, a společnost Google tímto informuje zákazníka, že bude:
- (a) reagovat přímo na žádost subjektu údajů v souladu se standardními funkcemi nástroje (pokud existuje), který subjekt Google zpřístupnil subjektům údajů a který společnosti Google umožňuje přímo a standardizovaným způsobem reagovat na určité žádosti subjektů údajů týkající se osobních údajů zákazníka (například nastavení online inzerce nebo plugin prohlížeče umožňující odhlášení) (dále jen „nástroj pro subjekty údajů“) (pokud je žádost odeslána prostřednictvím nástroje pro subjekty údajů), nebo
- (b) poradí subjektu údajů, aby svou žádost odeslal zákazníkovi, přičemž za reagování na takovou žádost pak bude zodpovědný zákazník (pokud žádost nebyla odeslána prostřednictvím nástroje pro subjekty údajů).
3.5.2 Pomoc se žádostmi subjektu údajů ze strany společnosti Google. Společnost Google bude zákazníkovi (nebo příslušnému správci, pokud je zákazník zpracovatelem) pomáhat s plněním jeho povinností týkajících se reakce na žádosti o uplatnění práv subjektu údajů podle příslušných právních předpisů na ochranu soukromí v jednotlivých státech USA, vždy s ohledem na povahu zpracování osobních údajů zákazníka, a to tím, že:
- (a) bude poskytovat funkce služeb v režimu RDP,
- (b) bude plnit závazky uvedené v odstavci 3.5.1 (Odpovědi na žádosti subjektů údajů) a
- (c) v případě, že je to u dotyčných služeb v režimu RDP relevantní, zpřístupní nástroje pro subjekty údajů.
3.5.3 Opravy údajů. Pokud se zákazník dozví, že jsou osobní údaje zákazníka nepřesné nebo zastaralé, je povinen tyto údaje opravit nebo smazat (pokud to právní předpisy na ochranu soukromí v jednotlivých státech USA vyžadují. Za tímto účelem může využít i funkce služeb v režimu RDP (pokud jsou k dispozici).
3.6. Subdodavatelé
- (a) Zákazník v souvislosti s poskytováním služeb v režimu RDP společnost Google obecně zmocňuje k zapojení jiných subjektů v roli subdodavatelů. V rámci spolupráce s veškerými subdodavateli společnost Google:
- (i) zajistí formou písemné smlouvy, aby: (1) subdodavatel přistupoval k osobním údajům zákazníka pouze v tom rozsahu a používal je pouze v tom rozsahu, jaký je nezbytný k plnění závazků, které mu byly formou dílčí smlouvy svěřeny, a to v souladu s touto smlouvou (včetně této přílohy 1B), a (2) pokud zpracování osobních údajů zákazníka podléhá právním předpisům na ochranu soukromí v jednotlivých státech USA, zajistí, aby subdodavateli byly uloženy povinnosti ochrany údajů podle této přílohy 1B,
- (ii) v případě, že se jedná o nové subdodavatele, bude o těchto nových subdodavatelích informovat, jestliže to právní předpisy na ochranu soukromí v jednotlivých státech USA vyžadují, a dále tam, kde to řečené právní předpisy vyžadují, poskytne zákazníkovi možnost proti těmto subdodavatelům vznést námitky a
- (iii) zůstává plně odpovědná za všechny závazky subdodavatele a za všechny jeho činy a opomenutí.
- (b) Proti jakémukoli novému subdodavateli může zákazník vznést námitku ukončením této smlouvy, a to ihned po písemném vyrozumění společnosti Google. Podmínkou je, že zákazník takové vyrozumění předá během 90 dnů od okamžiku, kdy byl o zapojení nového subdodavatele podle odstavce 3.6(a)(ii) této smlouvy informován.
3.7 Kontaktování společnosti Google. V souvislosti s uplatňováním svých práv vyplývajících z této přílohy 1B může zákazník společnost Google kontaktovat způsoby uvedenými na adrese privacy.google.com/businesses/processorsupport, případně jinými způsoby, které Google může průběžně zveřejňovat.
4. Podmínky právních předpisů na ochranu soukromí v jednotlivých státech USA
4.1 Deidentifikované údaje. V souvislosti se zpracovávanými osobními údaji zákazníka, ať už s aktivovaným omezeným zpracováním dat, nebo bez něj, a v tom rozsahu, v němž se na řečené zpracování osobních údajů zákazníka vztahuje jeden či více právních předpisů na ochranu soukromí jednotlivých států USA, budou všechny strany dodržovat požadavky na zpracování deidentifikovaných souborů dat, které jsou v řečených právních předpisech na ochranu soukromí ve státech USA stanoveny, a to ve vztahu k veškerým deidentifikovaným datům obdrženým podle této smlouvy od druhé strany. Pro účely tohoto odstavce 4.1 (Deidentifikované údaje) se za osobní údaje zákazníka považují jakékoli osobní údaje, které jedna ze smluvních stran zpracovává podle této smlouvy v souvislosti s poskytováním nebo využíváním služeb měření.
5. Povinnosti společnosti Google vyplývající ze zákona CCPA
5.1 V souvislosti s osobními údaji zákazníka zpracovávanými v rámci omezeného zpracování dat a v rozsahu, v jakém se na takové zpracování osobních údajů zákazníka vztahuje zákon CCPA, bude Google vystupovat jako zákazníkův poskytovatel služeb. Jako takový, pokud na základě vlastního opodstatněného rozhodnutí neusoudí, že je to poskytovatelům služeb zákonem CCPA povoleno,
- (a) nebude prodávat ani sdílet žádné osobní údaje zákazníka, které od zákazníka získá v souvislosti se smlouvou,
- (b) nebude osobní údaje zákazníka uchovávat, používat ani zveřejňovat (a to ani mimo přímý obchodní vztah mezi společností Google a zákazníkem), s výjimkou případů, kdy tak činí jménem zákazníka za obchodním účelem podle zákona CCPA, nebo za konkrétním účelem provozování služeb v režimu RDP, jak je dále popsáno v související dokumentaci v průběžně aktualizovaném znění, která je dostupná na adrese business.safety.google/rdp,
- (c) nebude (s výjimkou rozsahu povoleného zákonem CCPA) osobní údaje zákazníků, které od zákazníka nebo jeho jménem obdrží, slučovat s (i) osobními údaji, které obdrží od jiné osoby či osob (nebo jejich jménem) ani s (ii) osobními údaji shromážděnými v rámci vlastní interakce společnosti Google se spotřebiteli, jak je dále popsáno v související dokumentaci dostupné na adrese business.safety.google/rdp,
- a naopak (d) bude takové osobní údaje zákazníků zpracovávat pro konkrétní účel poskytování služeb v režimu RDP, jak je dále popsáno ve smlouvě a v související dokumentaci (např. v článcích centra nápovědy), případně jiným způsobem povoleným zákonem CCPA, přičemž smluvní strany souhlasí, že zákazník společnosti Google pro tyto účely osobní údaje zákazníků zpřístupní,
- (e) umožní provedení auditů ověřujících, zda společnost Google plní své povinnosti podle této přílohy 1B v souladu s odstavcem 3.3.3(c) (Práva zákazníka na audit) této smlouvy,
- (f) v případě, že společnost Google dojde k závěru, že již nadále nemůže plnit své povinnosti vyplývající ze zákona CCPA, vyrozumí o této skutečnosti zákazníka. Tento odstavec 5.1(f) neomezuje práva ani povinnosti žádné ze stran uvedené jinde ve smlouvě,
- (g) jestliže se zákazník důvodně domnívá, že společnost Google zpracovává osobní údaje zákazníka neoprávněným způsobem, má právo společnost Google o tomto svém názoru informovat prostřednictvím metod uvedených na adrese privacy.google.com/businesses/processorsupport. Strany poté budou společně v dobré víře usilovat o nápravu aktivit zpracování, kterými jsou povinnosti údajně porušovány, a
- (h) společnost Google bude plnit příslušné povinnosti vyplývající ze zákona CCPA a bude poskytovat stejnou úroveň ochrany soukromí, jakou vyžaduje zákon CCPA.
5.2 V souvislosti se zpracovávanými osobními údaji zákazníka bez aktivovaného omezeného zpracování dat a v rozsahu, v jakém se zákon CCPA vztahuje na zpracování osobních údajů zákazníka:
- (a) bude společnost Google takové osobní údaje zákazníka zpracovávat pro konkrétní účel poskytování služeb měření (podle okolností), jak je dále popsáno ve smlouvě a v související dokumentaci (např. v článcích centra nápovědy), nebo jiným způsobem povoleným zákonem CCPA. Strany souhlasí, že zákazník společnosti Google pro tyto účely osobní údaje zákazníků zpřístupní,
- (b) umožní provedení auditů ověřujících, zda společnost Google plní své povinnosti podle této přílohy 1B v souladu s odstavcem 3.3.3(c) (Práva zákazníka na audit) této smlouvy,
- (c) v případě, že společnost Google dojde k závěru, že nadále nemůže své povinnosti vyplývající ze zákona CCPA plnit, vyrozumí o této skutečnosti zákazníka,
- (d) jestliže se zákazník důvodně domnívá, že společnost Google zpracovává osobní údaje zákazníka neoprávněným způsobem, má právo informovat společnost Google o takovémto svém přesvědčení prostřednictvím metod popsaných na adrese privacy.google.com/businesses/processorsupport a strany budou v případě potřeby v dobré víře usilovat o nápravu aktivit zpracování, které povinnosti údajně porušují; a
- (e) společnost Google bude plnit příslušné povinnosti vyplývající ze zákona CCPA a bude poskytovat stejnou úroveň ochrany soukromí, jakou zákon CCPA vyžaduje.
6. Změny této přílohy 1B
Kromě případů uvedených v oddílu 7 smluvních podmínek správce údajů (Změny těchto smluvních podmínek správce údajů) může společnost Google tuto přílohu 1B změnit bez předchozího upozornění, pokud změna (a) vychází z platných právních předpisů či nařízení, soudního příkazu nebo pokynů vydaných státním regulačním orgánem nebo úřadem, nebo (b) nemá podle opodstatněného rozhodnutí společností Google závažný negativní dopad na zákazníka v souvislosti s právními předpisy na ochranu soukromí v jednotlivých státech USA.
7. Předmět a podrobnosti zpracování dat podle právních předpisů na ochranu soukromí v jednotlivých státech USA
Poskytování služeb v režimu RDP a veškeré související technické podpory společností Google zákazníkovi.
Doba zpracování
Doba platnosti smlouvy plus období od konce smluvního období do smazání všech osobních údajů zákazníka společností Google v souladu s přílohou 1B.
Povaha a účel zpracování
Google bude zpracovávat osobní údaje zákazníků (včetně shromažďování, zaznamenávání, uspořádání, strukturování, ukládání, změn, získávání, používání, zveřejňování, kombinování, mazání a zničení v rozsahu, v jakém se to týká služeb v režimu RDP a pokynů) za účelem poskytování služeb v režimu RDP a veškeré související technické podpory zákazníkovi podle přílohy 1B, případně za jinými účely povolenými zpracovateli podle právních předpisů na ochranu soukromí jednotlivých států USA.
Typy osobních údajů
Osobní údaje zákazníků mohou zahrnovat typy osobních údajů popsané v právních předpisech na ochranu soukromí v jednotlivých státech USA.
Kategorie subjektů údajů
Osobní údaje zákazníků se budou týkat níže uvedených kategorií subjektů údajů:
- subjekty údajů, o nichž společnost Google shromažďuje osobní údaje v rámci poskytování služeb v režimu RDP a/nebo
- subjekty údajů, jejichž osobní údaje jsou společnosti Google v souvislosti se službami v režimu RDP předány zákazníkem, jménem zákazníka, nebo na jeho pokyn.
V závislosti na povaze služeb v režimu RDP mohou tyto subjekty údajů zahrnovat osoby: (a) na které byla (nebo bude) zacílena online inzerce, (b) které navštívily konkrétní webové stránky nebo aplikace, v souvislosti s nimiž Google poskytuje služby v režimu RDP, a/nebo (c) které jsou zákazníky či uživateli produktů nebo služeb zákazníka.
Podmínky ochrany dat mezi správci pro měření Google, verze 4.0
Předchozí verze
