Korisnik usluga za mjerenje koji prihvaća ove uvjete (u daljnjem tekstu: korisnik) sklopio je ugovor s Googleom ili prodavačem treće strane (ovisno o tome što je primjenjivo) za pružanje usluga za mjerenje (u daljnjem tekstu:ugovor koji se povremeno dopunjava) putem kojih je korisnik korisničkog sučelja omogućio postavku dijeljenja podataka.
Ove Googleove uvjete za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka (u daljnjem tekstu: uvjeti za voditelja obrade) prihvaćaju Google i korisnik. Ako su ugovor sklopili korisnik i Google, nadopunjuju ga ovi uvjeti za voditelja obrade. Ako su ugovor sklopili korisnik i prodavač treće strane, ovi uvjeti za voditelja obrade čine zaseban ugovor između Googlea i korisnika.
Za izbjegavanje sumnje, pružanje usluga za mjerenje regulira se ugovorom. Ovi uvjeti za voditelja obrade propisuju odredbe za zaštitu podataka samo u vezi s postavkom dijeljenja podataka, ali se ne primjenjuju na druge aspekte pružanja usluga za mjerenje.
U skladu s odjeljkom 6.2. (Bez utjecaja na uvjete obrade podataka), ovi uvjeti za voditelja obrade bit će na snazi od datuma stupanja uvjeta na snagu te će zamijeniti sve prethodno mjerodavne uvjete povezane s njihovim predmetom.
Ako prihvaćate ove uvjete za voditelja obrade u ime korisnika, jamčite sljedeće: (a) imate važeće pravno ovlaštenje za prihvaćanje uvjeta za voditelja obrade u ime korisnika, (b) pročitali ste i razumijete uvjete za voditelja obrade i (c) u ime korisnika prihvaćate uvjete za voditelja obrade. Ako nemate pravno ovlaštenje za prihvaćanje uvjeta za voditelja obrade u ime korisnika, nemojte ih prihvatiti.
Ako ste prodavač, nemojte prihvatiti ove uvjete za voditelja obrade. Uvjeti za voditelja obrade propisuju prava i obaveze koje se primjenjuju na Google i korisnike usluga za mjerenje.
1. Uvod
Uvjeti za voditelja obrade odražavaju pristanak strana na obradu obrađenih osobnih podataka u skladu s postavkom dijeljenja podataka.
2. Definicije i tumačenje
2.1.
U uvjetima za voditelja obrade:
"Dodatni uvjeti" znači dodatni uvjeti navedeni u Dodatku 1, koji odražavaju ugovor između strana o uvjetima koji se primjenjuju na obradu obrađenih osobnih podataka u vezi s određenim mjerodavnim zakonskim propisima o zaštiti podataka.
"Povezano društvo" znači subjekt koji izravno ili neizravno upravlja stranom, kojim strana upravlja ili kojim zajedno s još jednom stranom upravlja treća strana.
"Mjerodavni zakonski propisi o zaštiti podataka" znači, ovisno o tome što je mjerodavno za obradu obrađenih osobnih podataka, bilo koji nacionalni, savezni, EU, državni, pokrajinski ili drugi zakon ili propis o zaštiti privatnosti, sigurnosti podataka ili zaštiti podataka, uključujući europsko zakonodavstvo o zaštiti podataka, Opći zakon o zaštiti osobnih podataka (LGPD) i zakone o zaštiti privatnosti na razini saveznih država SAD-a.
"Povjerljivi podaci" znači ovi uvjeti za voditelja obrade.
"Ispitanik voditelja obrade" znači ispitanik s kojim su povezani obrađeni osobni podaci.
"Obrađeni osobni podaci" znači osobni podaci koje neka od strana obrađuje u skladu s postavkom dijeljenja podataka.
"Postavka dijeljenja podataka" znači postavka dijeljenja podataka koju je korisnik omogućio putem korisničkog sučelja u uslugama za mjerenje te koja Googleu i njegovim povezanim društvima omogućuje upotrebu osobnih podataka radi poboljšanja svojih proizvoda i usluga.
"Krajnji voditelj obrade" znači, za svaku stranu, krajnji voditelj obrade obrađenih osobnih podataka.
"GDPR EU-a" znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.
"Europsko zakonodavstvo o zaštiti podataka" znači, kako je mjerodavno: (a) GDPR; i/ili (b) Savezni zakon o zaštiti podataka države Švicarske.
"GDPR" znači, kako je mjerodavno: (a) GDPR EU-a i/ili (b) GDPR UK-a.
"Google" znači:
- (a) ako je Googleov subjekt ugovorna strana, taj Googleov subjekt.
- (b) ako je ugovor sklopljen između korisnika i prodavača treće strane, a:
- (i) prodavač treće strane organiziran je u Sjevernoj Americi ili nekom drugom području izvan Europe, Bliskog istoka, Afrike, Azije i Oceanije, Google LLC (prethodno poznat kao Google Inc.),
- (ii) prodavač treće strane organiziran je u Europi, na Bliskom istoku ili u Africi, Google Ireland Limited ili
- (iii) prodavač treće strane organiziran je u Aziji i Oceaniji, Google Asia Pacific Pte. Ltd.
"Googleov subjekt" znači Google LLC, Google Ireland Limited ili drugo povezano društvo tvrtke Google LLC.
"Opći zakon o zaštiti osobnih podataka (LGPD)" znači Brazilski opći zakon o zaštiti podataka (Lei Geral de Proteção de Dados Pessoais).
"Usluge za mjerenje" znači Google Analytics, Google Analytics 360, Google Analytics za Firebase, Google Optimize ili Google Optimize 360, ovisno o tome što je primjenjivo na postavku dijeljenja podataka za koju su strane prihvatile ove uvjete za voditelja obrade.
"Pravila" znači Googleova pravila o pristanku krajnjeg korisnika koja su dostupna na https://www.google.com/about/company/user-consent-policy.html.
"Uvjeti obrade podataka" znači:
- (a) ako je Google ugovorna strana, uvjeti obrade podataka dostupni na adresi https://business.safety.google/adsprocessorterms; ili
- (b) ako su korisnik i prodavač treće strane ugovorne strane, uvjeti koji odražavaju odnos voditelja obrade i izvršitelja obrade (ako postoji) prema dogovoru korisnika i prodavača treće strane.
"Švicarski FDPA" znači Savezni zakon o zaštiti podataka od 19. lipnja 1992. (Švicarska).
"Datum stupanja uvjeta na snagu" znači datum na koji je korisnik kliknuo i prihvatio ove uvjete ili su strane na neki drugi način prihvatile ove uvjete za voditelja obrade.
"Obrađeni osobni podaci u Ujedinjenom Kraljevstvu" znači obrađeni osobni podaci ispitanika koji se nalaze u Ujedinjenom Kraljevstvu.
"GDPR UK-a" znači GDPR EU-a s dopunama kako je uvršten u zakonodavstvo Ujedinjenog Kraljevstva u okviru Zakona o izlasku Ujedinjenog Kraljevstva iz Europske unije iz 2018. i mjerodavnih sekundarnih zakonskih propisa u skladu s tim Zakonom.
"Zakoni o zaštiti privatnosti na razini saveznih država SAD-a" znači, ovisno o tome što je mjerodavno, (i) Kalifornijski zakon o privatnosti potrošača (CCPA) iz 2018. (s izmjenama i dopunama Kalifornijskog zakona o pravima na privatnost iz 2020.), uz sve provedbene propise ("CCPA") (ii) Zakon o zaštiti podataka potrošača za Virginiju, Anotirani zakon Virginije, čl. 59.1 – 571 i sljedeći; i (iii) Zakon o privatnosti države Kolorado, Izmijenjeni statut Kolorada, čl. 6-1-1301 i sljedeći; (iv) Zakon o zaštiti privatnosti podataka i mrežnom nadzoru za Connecticut, Javni zakon br. 22015; i (v) Zakon o privatnosti potrošača države Utah, Anotirani zakon države Utah, čl. 13-61-101 i sljedeći.
2.2.
Pojmovi "voditelj obrade", "ispitanik", "osobni podaci", "obrada" i "izvršitelj obrade" koji se upotrebljavaju u ovim uvjetima za voditelja obrade imaju značenja koja su navedena (a) mjerodavnim zakonskim propisima o zaštiti podataka; ili (b) u nedostatku takvog značenja ili zakona, značenje u skladu s GDPR-om.
2.3.
Svi primjeri u ovim uvjetima za voditelja obrade ilustrativni su i ne predstavljaju jedini primjer određenog koncepta.
2.4.
Svako pozivanje na zakonski okvir, statut ili drugi zakonodavni akt upućuje na te propise s povremenim izmjenama i dopunama ili ponovnim stupanjem na snagu.
2.5.
U mjeri u kojoj bilo koja prevedena verzija ovog ugovora nije u skladu s verzijom na engleskom jeziku, primjenjivat će se verzija na engleskom jeziku.
2.6.
Upućivanja u SUK-ovima za voditelje obrade na "Google Ads uvjete za zaštitu podataka voditelja obrade za voditelja obrade podataka" smatraju se "Googleovim uvjetima za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka".
3. Primjena uvjeta za voditelja obrade
3.1. Općenito
Ovi uvjeti za voditelja obrade primjenjivat će se samo na postavku dijeljenja podataka u okviru koje su strane pristale na ove uvjete za voditelja obrade (na primjer postavku dijeljenja podataka radi koje je korisnik kliknuo i prihvatio ove uvjete za voditelja obrade).
3.2. Trajanje
Ovi uvjeti za voditelja obrade primjenjivat će se od datuma stupanja na snagu te će se nastaviti dok Google ili korisnik obrađuju obrađene osobne podatke, a nakon toga će se uvjeti za voditelja obrade automatski prekinuti.
4. Uloge i ograničenja obrade
4.1. Neovisni voditelji obrade
U skladu s odjeljkom 4.4. (Krajnji voditelji obrade), svaka strana:
- (a) neovisan je voditelj obrade obrađenih osobnih podataka;
- (b) pojedinačno će odrediti svrhe i načine obrade obrađenih osobnih podataka i
- (c) ispunjavat će obaveze koje se na nju primjenjuju u okviru mjerodavnih zakonskih propisa o zaštiti podataka u pogledu obrade obrađenih osobnih podataka.
4.2. Ograničenja obrade
Odjeljak 4.1. (Neovisni voditelji obrade) neće utjecati na ograničenja prava bilo koje strane u vezi s upotrebom ili obradom obrađenih osobnih podataka u skladu s ugovorom.
4.3. Suglasnost krajnjeg korisnika
Korisnik će se pridržavati pravila povezanih s obrađenim osobnim podacima koji se dijele u skladu s postavkom dijeljenja podataka i uvijek će snositi teret dokazivanja ostvarivanja takve usklađenosti.
4.4. Krajnji voditelji obrade
Bez smanjenja obaveza bilo koje strane prema ovim uvjetima za voditelja obrade, svaka strana prihvaća sljedeće: (a) povezana društva ili klijenti druge strane mogu biti krajnji voditelji obrade; i (b) druga strana može djelovati kao izvršitelj obrade u ime svojih krajnjih voditelja. Svaka će strana osigurati da njezini krajnji voditelji obrade budu usklađeni s uvjetima za voditelja obrade.
4.5. Transparentnost
Klijent potvrđuje da je Google objavio informacije o tome kako Google upotrebljava podatke s web-lokacija, iz aplikacija ili drugih entiteta koji upotrebljavaju njegove usluge na https://business.safety.google/privacy/. Ne dovodeći u pitanje svoje obaveze u skladu s odjeljkom 4.1.(c), korisnik može postaviti vezu na tu stranicu kako bi ispitanicima voditelja obrade pružio informacije o Googleovoj obradi obrađenih osobnih podataka.
5. Odgovornost
5.1
Ako Google:
- (a) predstavlja ugovornu stranu, a ugovor se regulira zakonima:
- (i) države Sjedinjenih Američkih Država, tada će se, bez obzira na bilo što drugo u ugovoru, ukupna odgovornost bilo koje strane prema drugoj strani u okviru ovih uvjeta za voditelja obrade ili u vezi s njima ograničiti na maksimalni novčani iznos ili iznos na temelju plaćanja prema ograničenju iznosa za odgovornost strane koji je određen ugovorom (te se stoga bilo koje izuzimanje odštetnih zahtjeva iz ograničenja odgovornosti ugovora neće primjenjivati na zahtjeve za odštetu u okviru ugovora koji se odnose na europske zakonske propise o zaštiti podataka) ili
- (ii) koji nisu u nadležnosti države Sjedinjenih Američkih Država, tada će odgovornost strana u okviru ovih uvjeta za voditelja obrade ili u vezi s njima podlijegati izuzećima i ograničenjima odgovornosti iz ugovora ili
- (b) nije ugovorna strana, Google u mjeri dopuštenoj mjerodavnim zakonom ne snosi odgovornost za izgubljeni prihod korisnika ni za posebnu, posrednu, slučajnu, posljedičnu, primjernu ili kaznenu štetu, čak i ako su Google ili njegova povezana društva znali ili trebali znati da takva šteta ne ispunjava uvjete za pravni lijek ili su o tome obaviješteni. Ukupna kumulativna odgovornost Googlea (i njegovih povezanih društava) prema korisniku ili bilo kojoj drugoj strani za bilo kakav gubitak ili štetu nastalu iz potraživanja, štete ili radnji koje su proizašle iz ovih uvjeta za voditelja obrade ili su povezane s njima neće premašivati iznos od 500 USD.
6. Učinak uvjeta za voditelja obrade
6.1. Redoslijed prednosti
U slučaju bilo kakvog sukoba ili nedosljednosti između dodatnih uvjeta, na ostatak ovih uvjeta za voditelja obrade i/ili ostatak ugovora, u skladu s odjeljcima 4.2. (Ograničenja obrade) i 6.2. (Bez utjecaja na uvjete obrade podataka), primjenjuje se sljedeći redoslijed prednosti: (a) dodatni uvjeti (ovisno o tome što je mjerodavno) (b) ostatak ovih uvjeta za voditelja obrade; i (c) ostatak ugovora. U skladu s izmjenama i dopunama ovih uvjeta za voditelja obrade, ugovor između Googlea i korisnika ostaje pravovaljan.
6.2. Bez utjecaja na uvjete obrade podataka
Uvjeti za voditelja obrade ne zamjenjuju uvjete za izvršitelja obrade niti utječu na njih. Za izbjegavanje sumnje, ako je korisnik ugovorna strana uvjeta obrade podataka u vezi s uslugama za mjerenje, uvjeti obrade podataka i dalje će se primjenjivati na usluge za mjerenje, neovisno o tome što se ovi uvjeti za voditelja obrade primjenjuju na osobne podatke obrađene u skladu s postavkom dijeljenja podataka.
7. Izmjene uvjeta za voditelja obrade
7.1. Izmjene uvjeta za voditelja obrade
Google može izmijeniti ove uvjete za voditelja obrade u sljedećim slučajevima:
- (a) izmjena odražava promjenu naziva ili oblika pravnog subjekta;
- (b) izmjena je potrebna radi usklađivanja s mjerodavnim zakonom, mjerodavnim propisom, sudskim nalogom ili smjernicama koje izdaje državno regulatorno tijelo ili agencija ili odražava Googleovo usvajanje alternativnog rješenja za prijenos osobnih podataka (kao što je definirano u Dodatku 1A);
- (c) izmjena je u skladu s odjeljkom 7.2. (Izmjene URL-ova) ili
- (d) izmjenom se, prema razumnoj odluci Googlea, ne nastoji: (i) na drugi način promijeniti kategorizacija strana kao voditelja obrade obrađenih osobnih podataka na temelju mjerodavnih zakonskih propisa o zaštiti podataka, (ii) proširiti područje primjene ili ukloniti bilo kakva ograničenja prava bilo koje strane da upotrebljava ili na drugi način obrađuje obrađene osobne podatke ili (iii) nanijeti relevantna šteta korisniku.
7.2. Promjene URL-ova
Google može povremeno promijeniti URL-ove navedene u ovim uvjetima za voditelja obrade i sadržaj na bilo kojem takvom URL-u.
7.3. Obavijest o izmjenama
Ako Google namjerava izmijeniti ove uvjete za voditelja obrade u skladu s odjeljkom 7.1.(b), a ta će izmjena, prema razumnoj odluci Googlea, nanijeti relevantnu štetu korisniku, tada će Google poduzeti komercijalno utemeljene napore da obavijesti korisnika barem 30 dana (ili u sličnom kraćem razdoblju koje može biti potrebno za usklađivanje s mjerodavnim pravom, propisima, sudskim nalogom ili smjernicama koje izdaje nadležno državno tijelo ili agencija) prije nego što izmjena stupi na snagu. Ako se korisnik protivi bilo kojoj takvoj promjeni, može isključiti postavku dijeljenja podataka.
8. Dodatne odredbe
8.1.
Ovaj odjeljak 8. (Dodatne odredbe) primjenjivat će se samo ako Google nije ugovorna strana.
8.2.
Svaka će se strana pridržavati svojih obaveza na temelju ovih uvjeta za voditelja obrade uz vještinu i pažnju koja se u razumnoj mjeri očekuje.
8.3.
Nijedna strana neće koristiti niti otkriti povjerljive podatke druge strane bez prethodnog pisanog pristanka, osim u svrhu ostvarivanja svojih prava ili izvršavanja svojih obaveza na temelju ovih uvjeta za voditelja obrade ili ako se to zahtijeva zakonom, propisom ili sudskim nalogom. U tom će slučaju strana koja je prisiljena otkriti povjerljive podatke u razumnom roku prije otkrivanja povjerljivih podataka o tome obavijestiti drugu stranu.
8.4.
U najvećoj mjeri dopuštenoj mjerodavnim pravom, osim kako je izričito navedeno u ovim uvjetima za voditelja obrade, Google ne daje nikakva jamstva, bilo izričita, podrazumijevana, propisana zakonom ili na neki drugi način, uključujući, bez ograničenja, jamstva u vezi primjerenosti za prodaju, prilagođenosti za određenu upotrebu i nekršenja tuđih prava.
8.5.
Nijedna strana neće biti odgovorna za neuspjelu ili zakašnjelu izvedbu u onoj mjeri u kojoj je to uzrokovano okolnostima izvan razumne mogućnosti nadzora.
8.6.
Ako je odredba (ili dio odredbe) ovih uvjeta za voditelja obrade nevažeća, nezakonita ili neprimjenjiva, ostatak uvjeta za voditelja obrade ostaje na snazi.
8.7.
(a) Osim kako je navedeno u odjeljku (b) u nastavku, ovi uvjeti za voditelja obrade regulirat će se i tumačiti u skladu sa zakonima države Kalifornije bez pozivanja na sukob pravnih načela. Ako postoje neki sukobi između stranih zakona, pravila i propisa te kalifornijskih zakona, pravila i propisa, prevladavaju i primjenjuju se kalifornijski zakoni, pravila i propisi. Strane pristaju na isključivu i osobnu nadležnost sudova u okrugu Santa Clara u Kaliforniji. Konvencije Ujedinjenih naroda o ugovorima o međunarodnoj prodaji robe i Jedinstveni zakon o računalnom prijenosu podataka ne primjenjuju se na ove uvjete za voditelja obrade.
(b) Ako su korisnik i prodavač treće strane ugovorne strane, a prodavač treće strane organiziran je u Europi, na Bliskom istoku ili u Africi, ove uvjete za voditelja obrade regulirat će englesko zakonodavstvo. Svaka strana pristaje na isključivu nadležnost engleskih sudova u vezi s bilo kojim sporom (bilo ugovornim ili neugovornim) koji proizlazi iz ovih uvjeta za voditelja obrade ili je povezan s njima.
(c) U slučaju da se primjenjuju SUK-ovi za voditelje obrade u skladu s mjerodavnim pravom koje se razlikuje od zakona navedenih u gore navedenim odjeljcima (a) i (b), mjerodavno pravo koje je navedeno u SUK-ovima za voditelje obrade primjenjuje se isključivo na SUK-ove za voditelje obrade.
(d) Konvencije Ujedinjenih naroda o ugovorima o međunarodnoj prodaji robe i Jedinstveni zakon o računalnom prijenosu podataka ne primjenjuju se na ove uvjete za voditelja obrade.
8.8.
Sve obavijesti o raskidanju ili kršenju moraju biti na engleskom jeziku, u pisanom obliku i upućene pravnom odjelu druge strane. Adresa za slanje obavijesti Googleovoj pravnoj službi jest legal-notices@google.com. Obavijest će se smatrati isporučenom po primitku koji je potvrđen pisanim putem, automatskom obavijesti o primitku ili elektroničkim zapisnikom (ako je primjenjivo).
8.9.
Ni za jednu se stranu neće smatrati da se odrekla bilo kojeg prava u okviru ovih uvjeta za voditelja obrade time što ga nije ostvarila (ili je odgodila njegovo ostvarivanje). Nijedna strana ne može prenijeti nijedan dio ovih uvjeta za voditelja obrade bez pisanog odobrenja druge strane, osim na povezano društvo u sljedećim slučajevima: (a) opunomoćenik se pisano obavezao na odredbe ovih uvjeta za voditelja obrade, (b) strana koja prenosi prava ostaje odgovorna za obaveze prema ovim uvjetima za voditelja obrade ako ih opunomoćenik ne izvrši, (c) u slučaju korisnika, strana koja prenosi prava prenijela je račune za usluge za mjerenje na opunomoćenika i (d) strana koja prenosi prava obavijestila je drugu stranu o prijenosu. Svaki je drugi pokušaj prijenosa ništavan.
8.10.
Strane su vanjski ugovorni suradnici. Ovi uvjeti za voditelja obrade ne stvaraju odnos agencije, partnerstva ili zajedničkog ulaganja među stranama. Uvjetima za voditelja obrade ne dodjeljuju se povlastice trećoj strani, osim ako se u uvjetima za voditelja obrade to izričito navodi.
8.11.
U mjeri dopuštenoj mjerodavnim pravom ovi uvjeti za voditelja obrade navode sve odredbe koje su strane dogovorile. Prilikom sklapanja ovih uvjeta za voditelja obrade nijedna se strana ne oslanja niti će imati pravo na pravni lijek na temelju izjave, navoda ili jamstva (neovisno o tome jesu li proizašli iz nemara ili bez loše namjere), osim onih izričito navedenih u ovim uvjetima za voditelja obrade.
Dodatak 1: Dodatni uvjeti za mjerodavne zakonske propise o zaštiti podataka
DIO A – DODATNI UVJETI ZA EUROPSKO ZAKONODAVSTVO O ZAŠTITI PODATAKA
1. Uvod
Ovaj Dodatak 1A primjenjivat će se samo u mjeri u kojoj se europsko zakonodavstvo o zaštiti podataka primjenjuje na obradu obrađenih osobnih podataka.
2. Definicije
2.1. U ovom Dodatku 1A:
"Država koja pruža odgovarajuću zaštitu podataka" znači sljedeće:
- (a) za obrađene podatke koji podliježu GDPR-u EU-a: EGP ili država ili teritorij za koji je utvrđeno da omogućuje odgovarajuću zaštitu podataka u skladu s GDPR-om EU-a;
- (b) za obrađene podatke koji podliježu GDPR-u UK-a: Ujedinjeno Kraljevstvo ili država ili teritorij za koji je utvrđeno da omogućuje odgovarajuću zaštitu u skladu s GDPR-om UK-a i Zakonom o zaštiti podataka iz 2018. godine; i/ili
- (c) za obrađene podatke koji podliježu Saveznom zakonu o zaštiti podataka države Švicarske: Švicarska ili država ili teritorij koji je (i) uključen na popis država čiji zakonski propisi osiguravaju odgovarajuću razinu zaštite u skladu s objavom švicarskog saveznog povjerenika za zaštitu podataka i informacija ili (ii) za koji je utvrđeno da omogućuje odgovarajuću zaštitu u skladu sa Saveznim vijećem Švicarske u okviru Saveznog zakona o zaštiti podataka države Švicarske, u oba slučaja, osim na temelju izbornog okvira za zaštitu podataka.
"Alternativno rješenje za prijenos osobnih podataka" znači rješenje koje se ne odnosi na SUK-ove za voditelja obrade, a koje omogućuje zakoniti prijenos osobnih podataka u treću državu u skladu s europskim zakonodavstvom o zaštiti podataka, na primjer okvir za zaštitu podataka kojim se osigurava da uključeni subjekti pružaju odgovarajuću zaštitu.
"SUK-ovi za voditelja obrade" znači uvjeti na adresi business.safety.google/adscontrollerterms/sccs/c2c.
"EGP" znači Europski gospodarski prostor.
"Obrađeni osobni podaci unutar EU-a" znači obrađeni osobni podaci ispitanika voditelja obrade koji se nalaze u Europskom gospodarskom prostoru ili Švicarskoj.
"Europsko ili nacionalno zakonodavstvo" znači, ovisno o tome što je mjerodavno: (a) zakonodavstvo EU-a ili države članice EU (ako se GDPR EU-a primjenjuje na obradu obrađenih osobnih podataka); (b) zakonodavstvo Ujedinjenog Kraljevstva ili dijela Ujedinjenog Kraljevstva (ako se GDPR UK-a primjenjuje na obradu obrađenih osobnih podataka); i (c) zakonodavstvo Švicarske (ako se Savezni zakon o zaštiti podataka države Švicarske primjenjuje na obradu obrađenih osobnih podataka).
"Googleovi krajnji voditelji obrade" znači krajnji voditelji obrade obrađenih osobnih podataka koje obrađuje Google.
"Dopušteni europski prijenosi" znači obrada obrađenih osobnih podataka u državi koja pruža odgovarajuću zaštitu podataka ili prijenos obrađenih osobnih podataka u državu koja pruža odgovarajuću zaštitu podataka.
"Ograničeni europski prijenosi" znači prijenosi obrađenih osobnih podataka koji: (a) podliježu europskom zakonodavstvu o zaštiti podataka; i (b) nisu dopušteni europski prijenosi.
"Obrađeni osobni podaci u Ujedinjenom Kraljevstvu" znači obrađeni osobni podaci ispitanika koji se nalaze u Ujedinjenom Kraljevstvu.
2.2. Pojmovi "uvoznik podataka" i "izvoznik podataka" imaju značenja kako je navedeno u SUK-ovima za voditelja obrade.
3. Googleovi krajnji voditelji obrade
Googleovi su krajnji voditelji obrade: (i) za obrađene osobne podatke unutar EU-a koje obrađuje Google, tvrtka Google Ireland Limited; i (ii) za obrađene osobne podatke u Ujedinjenom Kraljevstvu koje obrađuje Google, tvrtka Google LLC. Svaka će strana osigurati da njezini krajnji voditelji obrade budu usklađeni sa SUK-ovima za voditelja obrade, ako je to primjenjivo.
4. Prijenosi podataka
4.1. Ograničeni europski prijenosi. Obje strane mogu izvršiti ograničene europske prijenose ako je to u skladu s odredbama o ograničenim europskim prijenosima u europskom zakonodavstvu o zaštiti podataka.
4.2. Alternativno rješenje za prijenos osobnih podataka.
- (a) Ako je Google implementirao alternativno rješenje za prijenos osobnih podataka za ograničene europske prijenose, (i) Google će osigurati da se takvi ograničeni europski prijenosi izvršavaju u skladu s tim alternativnim rješenjem za prijenos osobnih podataka; i (ii) članak 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A neće se primjenjivati na takve ograničene europske prijenose.
- (b) Ako Google nije usvojio ili ako obavijesti korisnika da više ne usvaja alternativno rješenje za prijenos osobnih podataka za ograničene europske prijenose, tada će se na te ograničene europske prijenose primjenjivati odjeljak 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A.
4.3. Odredbe o prijenosu od sad nadalje
- (a) Primjena članka 4.3. Odjeljci 4.3.(b) (Upotreba osobnih podataka davatelja podataka) i 4.3.(c) (Zaštita osobnih podataka davatelja usluga) ovog Dodatka 1A primjenjivat će se samo u mjeri u kojoj:
- (i) strana (u daljnjem tekstu: primatelj podataka) obrađuje obrađene osobne podatke koje ustupa druga strana (u daljnjem tekstu: davatelj podataka) u vezi s ugovorom (kao što su obrađeni osobni podaci, u daljnjem tekstu: osobni podaci davatelja usluga);
- (ii) davatelj podataka ili njegovo povezano društvo certificirani su u okviru alternativnog rješenja za prijenos osobnih podataka; i
- (iii) davatelj podataka u pisanom obliku obavještava primatelja podataka o certifikatu takvog alternativnog rješenja za prijenos osobnih podataka.
- (b) Upotreba osobnih podataka davatelja podataka.
- (i) U mjeri u kojoj mjerodavno alternativno rješenje za prijenos osobnih podataka uključuje načelo prijenosa, te u skladu s takvim načelima prosljeđivanja u okviru relevantnog alternativnog rješenja za prijenos osobnih podataka, primatelj podataka koristit će samo osobne podatke davatelja podataka na način koji je u skladu s pristankom koji pruže ispitanici relevantnog voditelja obrade.
- (ii) U mjeri u kojoj davatelj podataka ne dobije pristanak od ispitanika relevantnog voditelja obrade u skladu s ugovorom, primatelj podataka neće kršiti članak 4.3.(b)(i) ako upotrebljava osobne podatke davatelja podataka u skladu s potrebnim pristankom.
- (c) Zaštita osobnih podataka davatelja podataka.
- (i) Primatelj podataka pružit će razinu zaštite osobnih podataka davatelja usluga koja je barem jednaka onoj definiranoj u mjerodavnom alternativnom rješenju za prijenos osobnih podataka.
- (ii) Ako primatelj podataka utvrdi da ne može udovoljiti članku 4.3.(c)(i), dužan je: (A) o tome obavijestiti davatelja podataka u pisanom obliku; i (B) prestati obrađivati osobne podatke davatelja podataka ili poduzeti razumne i prikladne korake za uklanjanje takvih neusklađenosti.
- (d) Prihvaćanje i certificiranje alternativnog rješenja za prijenos osobnih podataka. Informacije o implementaciji alternativnog rješenja za prijenos osobnih podataka od strane Googlea i/ili njegovih povezanih društava ili s njihovim certifikatom možete pronaći na adresi https://policies.google.com/privacy/frameworks. Ovaj članak 4.3.(d) predstavlja obavijest u pisanom obliku u vezi s trenutačnim certifikatima Googlea i/ili njegovih povezanih društava od datuma stupanja na snagu u svrhu članka 4.3.(a)(iii).
5. SUK-ovi za voditelja obrade
5.1. Prijenosi obrađenih osobnih podataka unutar EU-a korisniku. U mjeri u kojoj:
- (a) Google korisniku prenosi obrađene osobne podatke unutar EU-a; i
- (b) prijenos je ograničeni europski prijenos, smatrat će se da korisnik kao uvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google Ireland Limited (primjenjivi Googleov krajnji voditelj obrade) kao izvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade.
5.2. Prijenosi obrađenih osobnih podataka u Ujedinjenom Kraljevstvu korisniku. U mjeri u kojoj:
- (a) Google prenosi obrađene osobne podatke u Ujedinjenom Kraljevstvu korisniku; i
- (b) prijenos je ograničeni europski prijenos, smatrat će se da korisnik kao uvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google LCC (mjerodavni Googleov krajnji voditelj obrade) kao izvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade.
5.3. Prijenosi obrađenih osobnih podataka unutar EU-a Googleu. Strane prihvaćaju da, u mjeri u kojoj korisnik Googleu prenosi obrađene osobne podatke unutar EU-a, SUK-ovi za voditelja obrade nisu potrebni jer je adresa tvrtke Google Ireland Limited (primjenjivi Googleov krajnji voditelj obrade) u državi koja pruža odgovarajuću zaštitu podataka, a takvi su prijenosi dopušteni europski prijenosi. To ne utječe na Googleove obaveze u skladu s člankom 4.1. (Ograničeni europski prijenosi) ovog Dodatka 1A.
5.4. Prijenosi obrađenih osobnih podataka u Ujedinjenom Kraljevstvu Googleu. U mjeri u kojoj korisnik prenosi obrađene osobne podatke u Ujedinjenom Kraljevstvu Googleu smatrat će se da korisnik kao izvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google LLC (primjenjivi Googleov krajnji voditelj obrade) kao uvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade jer adresa tvrtke Google LLC nije u državi koja pruža odgovarajuću zaštitu podataka.
5.5. Kontaktiranje s Googleom; podaci o klijentu.
- (a) Korisnik može kontaktirati Google Ireland Limited i/ili Google LLC u vezi sa SUK-ovima za voditelje obrade na adresi https://support.google.com/policies/troubleshooter/9009584 ili putem drugih načina koje Google povremeno pruža.
- (b) Korisnik potvrđuje da je Google prema SUK-ovima za voditelje obrade obavezan bilježiti određene podatke, uključujući (i) identitet i podatke za kontakt uvoznika podataka (uključujući svaku osobu za kontakt odgovornu za zaštitu podataka) i (ii) tehničke i organizacijske mjere koje primjenjuje uvoznik podataka. U skladu s tim, korisnik će, ako je potrebno i može se primijeniti na korisnika, pružiti takve informacije Googleu na način koji odgovara Googleu i pobrinuti se da svi navedeni podaci budu točni i ažurni.
5.6. Odgovaranje na upite ispitanika. Primjenjivi uvoznik podataka odgovoran je za odgovaranje na upite ispitanika i nadzornih tijela koji se odnose na obradu primjenjivih obrađenih osobnih podataka koju provodi taj uvoznik podataka.
5.7. Brisanje podataka nakon raskida ugovora. U mjeri u kojoj:
- (a) Google LLC djeluje kao uvoznik podataka, a korisnik kao izvoznik podataka prema SUK-ovima za voditelje obrade; i
- (b) korisnik raskine ugovor u skladu s odredbom 16.(c) SUK-ova za voditelja obrade, u svrhe odredbe 16.(d) SUK-ova za voditelja obrade, korisnik upućuje Google da izbriše obrađene osobne podatke, a osim ako europski zakoni zahtijevaju pohranu, Google će omogućiti takvo brisanje čim ono postane razumno provedivo, u mjeri u kojoj je to brisanje razumno moguće (uzimajući u obzir da je Google neovisni voditelj obrade tih podataka, kao i prirodu i funkcije usluga za mjerenje).
6. Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade.
Ako se SUK-ovi za voditelja obrade primjenjuju u skladu s člankom 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A, ukupna kombinirana odgovornost:
- (a) Googlea, tvrtke Google LLC i Google Ireland Limited prema korisniku; i
- (b) korisnika prema društvima Google, Google LLC i Google Ireland Limited; u skladu ili vezi s ovim uvjetima za voditelja obrade i SUK-ovima za voditelja obrade podliježe odjeljku 5. (Odgovornost). Odredba 12. SUK-ova za voditelje obrade neće utjecati na prethodnu rečenicu.
7. Korisnici treće strane
Ako Google LLC i/ili Google Ireland Limited nisu ugovorna strana, ali jesu strana u mjerodavnim SUK-ovima za voditelja obrade u skladu s člankom 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A, tada je Google LLC i/ili Google Ireland Limited (ovisno o tome što je mjerodavno) korisnik treće strane u okviru odjeljka 4.4. (Krajnji voditelji obrade), članaka 3. (Googleovi krajnji voditelji obrade), 5. (SUK-ovi za voditelja obrade) i 6. (Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade) ovog Dodatka 1A. U mjeri u kojoj je ovaj članak 7. (Korisnici treće strane) u sukobu ili nije u skladu s nekom drugom odredbom ugovora, primjenjivat će se ovaj članak 7. (Korisnici treće strane).
8. Prednost
8.1. Ako postoji bilo kakav sukob ili nedosljednost između SUK-ova za voditelja obrade, ovog Dodatka 1A, ostatka ovih uvjeta za voditelja obrade i/ili ostatka ugovora, prednost se daje SUK-ovima za voditelja obrade.
8.2. Dodatne komercijalne odredbe. U skladu s izmjenama i dopunama uvjeta za voditelja obrade, ugovor u cijelosti ostaje pravovaljan. Članci od 5.5. (Kontaktiranje s Googleom) do 5.7. (Brisanje podataka nakon raskida ugovora) i članak 6. (Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade) ovog Dodatka 1A dodatne su komercijalne odredbe koje se odnose na SUK-ove za voditelja obrade u skladu s odredbom 2.(a) (Učinak i nepromjenjivost klauzula) SUK-ova za voditelja obrade.
8.3. Bez izmjena SUK-ova za voditelja obrade. Ništa u ovom ugovoru (uključujući ove uvjete za voditelja obrade) ne bi trebalo mijenjati SUK-ove za voditelja obrade ili biti u suprotnosti s njima niti dovoditi u pitanje temeljna prava ili slobode ispitanika u skladu s europskim zakonodavstvom o zaštiti podataka.
DIO B – DODATNI UVJETI ZA ZAKONE O ZAŠTITI PRIVATNOSTI NA RAZINI SAVEZNIH DRŽAVA SAD-A
1. Uvod
Google može ponuditi, a korisnik može omogućiti određene postavke, konfiguracije ili druge funkcije unutar proizvoda za usluge za mjerenje povezane s ograničenom obradom podataka, kao što je opisano u popratnoj dokumentaciji dostupnoj na stranici business.safety.google/rdp, koja se može povremeno ažurirati ("Ograničena obrada podataka"). Ovaj Dodatak 1B odražava ugovor između strana o obradi osobnih podataka korisnika i deidentificiranih podataka (kao što je definirano u nastavku) u skladu s ugovorom u vezi sa zakonima SAD-a o zaštiti privatnosti na razini saveznih država SAD-a i stupa na snagu isključivo u mjeri u kojoj se primjenjuje svaki zakon o zaštiti privatnosti saveznih država SAD-a.
2. Dodatne definicije i tumačenje.
U ovom Dodatku 1B:
- (a) "Osobni podaci korisnika" znači osobni podaci koje Google obrađuje u ime korisnika u Googleovom pružanju usluga za mjerenje.
- (b) "Deidentificirani podaci" znači podaci koji su "deidentificirani" (kao što je definirano u CCPA-u) i "deidentificirani podaci" (kao što je definirano drugim zakonima o zaštiti privatnosti na razini saveznih država SAD-a) kad ih jedna strana otkriva drugoj strani.
- (c) "Upute" zbirno znači korisnikove upute Googleu da obradi osobne podatke korisnika samo u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a: (a) radi pružanja RDP usluga i povezane tehničke podrške; (b) kao što je dodatno navedeno putem klijentove upotrebe RDP usluga (uključujući u postavkama i drugim funkcijama takvih RDP usluga) i povezane tehničke podrške; (c) kako je dokumentirano u obliku ugovora, uključujući ovaj dodatak 1B; (d) kako je dodatno dokumentirano u bilo kojim pisanim uputama koje je naveo korisnik, a Google prihvatio kao sastavni dio uputa u svrhe ovog dodatka 1B; i (e) za obradu osobnih podataka korisnika u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a za davatelje usluga i izvršitelje obrade.
- (d) "RDP usluge" znači usluge voditelja obrade koje se pružaju u okviru ograničene obrade podataka.
- (e) "Trajanje" znači razdoblje od datuma stupanja na snagu uvjeta do kraja Googleovog pružanja usluga za mjerenje u skladu s ugovorom.
- (f) Izrazi "tvrtka ,"potrošač, "osobni podaci, "prodaja, "prodati, "davatelj usluga" i "dijeliti", kako se upotrebljavaju u ovom Dodatku 1B, imaju značenja kako je navedeno u zakonima o zaštiti privatnosti na razini saveznih država SAD-a.
- (g) Korisnik snosi isključivu odgovornost za usklađenost sa svim zakonima o zaštiti privatnosti za svaku saveznu državu pri upotrebi Googleovih usluga, uključujući ograničenu obradu podataka.
3. Uvjeti zakona o zaštiti privatnosti na razini saveznih država SAD-a (u okviru ograničene obrade podataka).
3.1. Obrada podataka.
3.1.1.
- (a) Odgovornosti izvršitelja obrade i voditelja obrade. Strane prihvaćaju i suglasne su sa sljedećim:
- (i) članak 7. (Predmet i pojedinosti obrade podataka u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a) ovog Dodatka 1B opisuje predmet i pojedinosti obrade osobnih podataka korisnika;
- (ii) Google je davatelj usluga i izvršitelj obrade osobnih podataka korisnika u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a; i
- (iii) Korisnik je voditelj obrade ili izvršitelj obrade, ako je to primjenjivo, osobnih podataka korisnika u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a
- (b) Korisnici – izvršitelji obrade. Ako je korisnik izvršitelj obrade:
- (i) Korisnik u trajnom smislu jamči da je relevantni voditelj obrade autorizirao: (A) upute, (B) korisnikovo imenovanje Googlea kao drugog izvršitelja obrade i (C) Googleov angažman podizvođača kako je opisano u članku 3.6. (podizvođači) ovog dodatka 1B;
- (ii) Korisnik će relevantnom voditelju obrade odmah proslijediti bilo kakvu obavijest koju Google pošalje u skladu s člancima 3.3.2.(a) (Obavijest o incidentu) i 3.6. (Podizvođači); i
- (iii) korisnik može relevantnom voditelju obrade učiniti dostupnima bilo kakve informacije dostupne Googleu u skladu s člancima 3.3.3.(c) (Korisnikova prava na reviziju) i 3.6. (Podizvođači).
3.1.2. Korisnikove upute. Prihvaćanjem ovog dodatka 1B korisnik upućuje Google da obradi osobne podatke korisnika samo u skladu s uputama.
3.1.3. Googleova usklađenost s uputama. Google će se pridržavati uputa ako to nije zabranjeno zakonima o zaštiti privatnosti na razini saveznih država SAD-a.
3.1.4. Dodatni proizvodi. Ako korisnik upotrebljava bilo koji proizvod, uslugu ili aplikaciju koju pružaju Google ili treća strana, a koja: (a) nije dio RDP usluga; i (b) dostupna je za upotrebu unutar korisničkog sučelja RDP usluga ili je na drugi način integrirana s RDP uslugama ("dodatni proizvod"), RDP usluge mogu tom dodatnom proizvodu omogućiti pristup osobnim podacima korisnika koji su potrebni za interoperabilnost dodatnog proizvoda s RDP uslugama. Radi jasnoće, ovaj Dodatak 1B ne primjenjuje se na obradu osobnih podataka u vezi s pružanjem bilo kojeg dodatnog proizvoda koji korisnik upotrebljava, uključujući osobne podatke prenesene na taj dodatni proizvod ili iz njega.
3.2. Brisanje podataka nakon isteka roka. Korisnik upućuje Google da na kraju razdoblja izbriše sve preostale osobne podatke korisnika (uključujući postojeće kopije) iz Googleovih sustava u skladu s mjerodavnim zakonom. Google će se pridržavati ove upute čim to bude razumno moguće i u roku od najviše 180 dana, osim ako mjerodavni zakoni zahtijevaju pohranu.
3.3. Sigurnost podataka.
3.3.1. Googleove sigurnosne mjere i pomoć.
- (a) Googleove sigurnosne mjere. Google će implementirati i održavati tehničke i organizacijske mjere za zaštitu osobnih podataka korisnika od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ("sigurnosne mjere"). Sigurnosne mjere uključuju sljedeće: (i) šifriranje osobnih podataka; (ii) osiguravanje kontinuirane povjerljivosti, integriteta, dostupnosti i otpornosti Googleovih sustava i usluga; (iii) olakšavanje pravovremenog pristupa osobnim podacima nakon incidenta; i (iv) redovito testiranje učinkovitosti. Google može povremeno ažurirati ili izmijeniti sigurnosne mjere, pod uvjetom da takva ažuriranja i izmjene ne uzrokuju degradaciju ukupne sigurnosti osobnih podataka korisnika.
- (b) Pristup i usklađenost. Google će osigurati da su se sve osobe ovlaštene za obradu osobnih podataka korisnika obvezale na povjerljivost ili imaju odgovarajuću zakonsku obavezu povjerljivosti.
- (c) Googleova sigurnosna pomoć. Google će (uzimajući u obzir prirodu obrade osobnih podataka korisnika i podatke dostupne Googleu) pomoći korisniku u ispunjavanju obaveza korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u pogledu sigurnosti osobnih podataka i povreda sigurnosti osobnih podataka, uključujući obaveze korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u pogledu sigurnosti osobnih podataka i povreda sigurnosti osobnih podataka u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a, na sljedeći način:
- (i) implementacijom i održavanjem sigurnosnih mjera u skladu s člankom 3.3.1.(a) (Googleove sigurnosne mjere);
- (ii) postupanjem u skladu s uvjetima iz članka 3.3.2. (Incidenti u vezi s podacima); i
- (iii) osiguravanjem prava korisnika zajamčenih u okviru članka 3.3.3.(c) (Korisnikova prava na reviziju).
3.3.2. Incidenti u vezi s podacima
- (a) Obavijest o incidentu. Ako Google sazna za incident u vezi s podacima (kao što je definirano u nastavku), Google će (i) obavijestiti korisnika o incidentu u vezi s podacima bez nepotrebnog odgađanja; i (ii) odmah poduzeti razumne korake za smanjivanje štete i zaštitu osobnih podataka korisnika. U ovom Dodatku 1B "incident u vezi s podacima" znači kršenje Googleove sigurnosti koje vodi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka korisnika ili pristupa tim podacima u sustavima kojima upravlja Google ili ih na drugi način nadzire. "Incidenti u vezi s podacima" neće uključivati neuspješne pokušaje ni aktivnosti koje ne ugrožavaju sigurnost osobnih podataka korisnika, uključujući neuspješne pokušaje prijave, pingove, skeniranja priključka, napade onemogućivanjem pristupa usluzi i druge mrežne napade na vatrozide ili umrežene sustave.
- (b) Slanje obavijesti. Google će obavijest o bilo kakvom incidentu u vezi s podacima poslati na e-adresu koju je naveo korisnik putem korisničkog sučelja RDP usluga ili na druge načine koje Google pruža za primanje određenih Googleovih obavijesti u vezi s ovim Dodatkom 1B (u daljnjem tekstu: e-adresa za obavijesti) ili, prema Googleovom vlastitom nahođenju (uključujući ako korisnik nije naveo e-adresu za obavijesti), drugim izravnim komunikacijskim putem (npr. telefonskim pozivom, e-porukom ili osobnim sastankom). Korisnik snosi isključivu odgovornost za navođenje e-adrese za obavijesti i osiguravanje da je e-adresa za obavijesti aktualna i važeća.
- (c) Obavijesti treće strane. Korisnik snosi isključivu odgovornost za usklađivanje sa zakonima o obavijestima o incidentima primjenjivim na korisnike te za ispunjenje svih obaveza u vezi s obavijestima trećih strana u vezi s bilo kojim incidentom s podacima.
- (d) Google ne preuzima nikakvu odgovornost. Googleova obavijest o incidentu ili odgovor na incident u vezi s podacima u skladu s ovim člankom 3.3.2. (Incidenti u vezi s podacima) neće se tumačiti Googleovim prihvaćanjem bilo kakve pogreške ili odgovornosti u pogledu incidenta u vezi s podacima.
3.3.3. Obaveze i ocjenjivanje u vezi sa sigurnošću korisnika.
- (a) Korisnikove sigurnosne obaveze. Korisnik se slaže, ne dovodeći u pitanje Googleove obaveze u skladu sa člancima 3.3.1. (Googleove sigurnosne mjere i pomoć) i 3.3.2. (Incidenti u vezi s podacima), sa sljedećim:
- (i) korisnik je odgovoran za svoju upotrebu RDP usluga, uključujući: (1) pružanje odgovarajuće upotrebe RDP usluga kako bi se osigurala razina sigurnosti koja odgovara riziku u pogledu osobnih podataka korisnika; i (2) osiguranje vjerodajnica za autentifikaciju računa, sustava i uređaja koje korisnik upotrebljava za pristup RDP uslugama; i
- (ii) Google nema obavezu zaštite osobnih podataka korisnika koje korisnik odabere za pohranu ili prijenos izvan Googleovih sustava i sustava podizvođača.
- (b) Procjena sigurnosti korisnika. Korisnik prihvaća i suglasan je da sigurnosne mjere koje provodi i održava Google kao što je navedeno u članku 3.3.1.(a) (Googleove sigurnosne mjere) pružaju razinu sigurnosti koja odgovara riziku u vezi s osobnim podacima korisnika, uzimajući u obzir najnoviju verziju, troškove implementacije te prirodu, opseg, kontekst i svrhe obrade osobnih podataka korisnika, kao i rizike za pojedince.
- (c) Korisnikova prava na reviziju.
- (i) Korisnik može provesti reviziju kako bi provjerio pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B tako da zatraži i pregleda (1) certifikat izdan radi sigurnosne provjere koja odražava ishod revizije koju je proveo revizor treće strane (npr. izvješće SOC 2 vrste II, certifikat ISO/IEC 27001 ili sličan certifikat, ili drugi sigurnosni certifikat o reviziji koju je proveo revizor treće strane kojeg su odabrali korisnik i Google) u roku od 12 mjeseci od datuma zahtjeva korisnika i (2) sve druge informacije za koje Google utvrdi da su u razumnoj mjeri potrebne da bi korisnik provjerio usklađenost.
- (ii) Osim toga, Google može, prema vlastitom nahođenju i na zahtjev korisnika, pokrenuti reviziju treće strane kako bi provjerio pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B. Tijekom te revizije Google će revizoru treće strane učiniti dostupnima sve informacije potrebne za dokazivanje usklađenosti. Ako korisnik zatraži tu reviziju, Google može naplatiti naknadu (na temelju razumnih Googleovih troškova) za svaku reviziju. Prije provođenja te revizije Google će korisniku pružiti dodatne pojedinosti o svim primjenjivim naknadama i o osnovi za njihov izračun. Korisnik će podmiriti sve naknade revizora treće strane kojeg je korisnik ovlastio za izvršavanje tih revizija.
- (iii) Ništa u ovom Dodatku 1B ne zahtijeva da Google korisniku ili revizoru treće strane otkrije ili omogući pristup:
- 1. podacima bilo kojeg drugog korisnika Googleovog subjekta;
- 2. internim računovodstvenim ili financijskim podacima bilo kojeg Googleovog subjekta;
- 3. bilo kojoj trgovačkoj tajni Googleovog subjekta;
- 4. podacima koji bi, prema Googleovom razumnom mišljenju, mogli (A) ugroziti sigurnost sustava ili objekata bilo kojeg Googleovog subjekta; ili (B) dovesti do toga da bilo koji Googleov subjekt prekrši svoje obaveze u okviru zakona o zaštiti privatnosti na razini saveznih država ili svoje obaveze u pogledu sigurnosti i/ili privatnosti prema korisniku ili bilo kojoj trećoj strani; ili
- (5) podacima za koje korisnik ili revizor treće strane traži pristup iz bilo kojeg razloga osim ispunjavanja obaveza korisnika u dobroj vjeri, a u skladu sa zakonima o zaštiti privatnosti na razini saveznih država.
3.4. Pomoć s procjenama učinka. Google će (uzimajući u obzir prirodu obrade i podatke dostupne Googleu) pomoći korisniku u ispunjavanju obaveza korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u vezi s procjenama učinka na zaštitu podataka i prije regulatornih savjetovanja u mjeri u kojoj to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a:
- (a) pružanjem sigurnosne dokumentacije;
- (b) pružanjem informacija sadržanih u ugovoru (uključujući ovaj Dodatak 1B); i
- (c) pružanjem drugih materijala koji se odnose na prirodu RDP usluga i obradu osobnih podataka korisnika (npr. materijali centra za pomoć) ili tako da te materijale na drugi način učini dostupnima, u skladu s Googleovim standardnim postupcima.
3.5. Prava ispitanika.
3.5.1. Odgovori na zahtjeve ispitanika. Ako Google primi zahtjev od ispitanika u vezi s osobnim podacima korisnika, korisnik ovlašćuje Google te Google obavještava korisnika da će:
- (a) izravno odgovoriti na zahtjev ispitanika u skladu sa standardnim funkcijama alata (ako postoje) koji je Googleov subjekt učinio dostupnim ispitanicima, a koji Googleu omogućuje da izravno i na standardizirani način odgovori na određene zahtjeve ispitanika u vezi s osobnim podacima korisnika (npr. postavke za online oglašavanje ili dodatak preglednika za isključivanje) ("alat za ispitanike") (ako je zahtjev poslan putem alata za ispitanike); ili
- (b) savjetovati ispitaniku da pošalje svoj zahtjev korisniku i korisnik će biti odgovoran za odgovaranje na takav zahtjev (ako zahtjev nije upućen putem alata za ispitanike).
3.5.2 Googleova pomoć u vezi sa zahtjevima ispitanika. Google će pomoći korisniku da ispuni svoje obaveze (ili, ako je korisnik izvršitelj obrade, obaveze relevantnog voditelja obrade) u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a kako bi odgovorio na zahtjeve za ostvarivanje prava ispitanika, u svim slučajevima uzimajući u obzir prirodu obrade osobnih podataka korisnika i:
- (a) pružanjem funkcija RDP usluga;
- (b) ispunjavanjem obaveza navedenih u članku 3.5.1. (Odgovori na zahtjeve ispitanika); i
- (c) ako je primjenjivo na RDP usluge, omogućivanjem alata za ispitanike.
3.5.3. Ispravak. Ako korisnik sazna da su neki osobni podaci korisnika netočni ili zastarjeli, bit će odgovoran za ispravljanje ili brisanje tih podataka ako to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, uključujući (ako je dostupno) upotrebom funkcija RDP usluga.
3.6. Podizvođači.
- (a) Korisnik općenito ovlašćuje Google da angažira druge subjekte kao podizvođače u vezi s pružanjem RDP usluga. Prilikom angažiranja bilo kojeg podizvođača Google će učiniti sljedeće:
- (i) pisanim ugovorom osigurat će sljedeće: (1) podizvođač pristupa osobnim podacima korisnika i upotrebljava ih samo u mjeri potrebnoj za izvršavanje obaveza podugovora te to čini u skladu s ugovorom (uključujući ovaj Dodatak 1B); i (2) ako se na obradu osobnih podataka korisnika primjenjuju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, osigurati da se obaveze u vezi sa zaštitom podataka u ovom Dodatku 1B primjenjuju na podizvođača;
- (ii) prilikom angažiranja novih podizvođača poslat će obavijest o tim novim podizvođačima ako to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, te, ako je to potrebno u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a, dodatno pružiti priliku korisniku da se uputi prigovor u vezi s tim podizvođačima; i
- (iii) ostati u potpunosti odgovoran za sve obaveze podizvođača i sve postupke i propuste podizvođača.
- (b) Korisnik može uložiti prigovor na bilo kojeg novog podizvođača tako da raskine ugovor odmah nakon pisane obavijesti Googleu, pod uvjetom da korisnik pruži takvu obavijest u roku od 90 dana od primitka obavijesti o angažmanu novog podizvođača kako je ovdje opisano u odjeljku 3.6.(a) (ii).
3.7. Kontaktiranje Googlea. Korisnik se može obratiti Googleu u vezi s ostvarivanjem svojih prava u skladu s ovim Dodatkom 1B na načine opisane na stranici privacy.google.com/businesses/processorsupport ili na druge načine koje Google povremeno pruža.
4. Uvjeti zakona o zaštiti privatnosti na razini saveznih država SAD-a
4.1. Deidentificirani podaci. U pogledu osobnih podataka korisnika koji se obrađuju uz omogućenu ograničenu obradu podataka ili bez nje te u mjeri u kojoj se jedan ili više zakona o zaštiti privatnosti na razini saveznih država SAD-a primjenjuje na obradu osobnih podataka korisnika, svaka će se strana pridržavati zahtjeva za obradu skupa deidentificiranih podataka u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a u pogledu svih deidentificiranih podataka koje primi od druge strane u skladu s ugovorom. U skladu s ovim člankom 4.1. (Deidentificirani podaci), osobni podaci korisnika obuhvaćaju sve osobne podatke koje neka od strana obrađuje u okviru ugovora u vezi s pružanjem ili upotrebom usluga za mjerenje.
5. Googleove obaveze u okviru CCPA-a.
5.1. U pogledu osobnih podataka korisnika koji se obrađuju u okviru ograničene obrade podataka i u mjeri u kojoj se CCPA primjenjuje na tu obradu osobnih podataka korisnika, Google će djelovati kao korisnikov davatelj usluga i, kao takav, osim ako je to na drugi način dopušteno davateljima usluga u okviru CCPA-a, u razumnoj mjeri koju određuje Google:
- (a) Google neće prodavati niti dijeliti osobne podatke korisnika koje dobije od korisnika u vezi s ugovorom;
- (b) Google neće zadržavati, upotrebljavati niti otkrivati osobne podatke korisnika (uključujući izvan izravnog poslovnog odnosa između Googlea i korisnika), osim u poslovne svrhe u skladu s CCPA-om u ime korisnika i u određene svrhe pružanja RDP usluga, kao što je dodatno opisano u popratnoj dokumentaciji dostupnoj na adresi business.safety.google/rdp, koja se povremeno ažurira;
- (c) Google neće kombinirati osobne podatke korisnika koje Google prima od korisnika ili u njegovo ime s (i) osobnim podacima koje Google prima od druge osobe ili u ime druge osobe ili osoba ili (ii) osobnim podacima prikupljenim Googleovom vlastitom interakcijom s potrošačem, kako je dodatno opisano u popratnoj dokumentaciji koja je dostupna na adresi business.safety.google/rdp, osim u mjeri dopuštenoj u skladu s CCPA-om;
- (d) Google će te osobne podatke korisnika obrađivati u određenu svrhu pružanja RDP usluga, kako je dodatno opisano u ugovoru i u popratnoj dokumentaciji (npr. u člancima centra za pomoć) ili kako je to na drugi način dopušteno u okviru CCPA-a, a strane se slažu da će korisnik takve osobne podatke korisnika učiniti dostupnima Googleu u te svrhe;
- (e) Google će dopustiti revizije kako bi se provjerilo pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B u skladu s ovdje navedenim člankom 3.3.3.(c) (Korisnikova prava na reviziju);
- (f) Google će obavijestiti korisnika ako Google utvrdi da više ne može ispunjavati svoje obaveze u okviru CCPA-a. Ovaj odjeljak 5.1.(f) ne smanjuje prava i obaveze bilo koje strane u ovom ugovoru;
- (g) ako korisnik opravdano smatra da Google osobne podatke korisnika obrađuje na neovlašten način, korisnik ima pravo obavijestiti Google o tome na načine opisane na stranici privacy.google.com/businesses/processorsupport, a strane će u dobroj vjeri surađivati kako bi ispravile aktivnosti obrade koje navodno krše pravila, ako je to potrebno; i
- (h) Google će se pridržavati primjenjivih obaveza u okviru CCPA-a i pružiti istu razinu zaštite privatnosti koja je propisana u CCPA-u.
5.2. U pogledu osobnih podataka korisnika koji se obrađuju bez omogućene ograničene obrade podataka i u mjeri u kojoj se CCPA primjenjuje na obradu osobnih podataka korisnika:
- (a) Google će te osobne podatke korisnika obrađivati u određenu svrhu pružanja usluga za mjerenje, ovisno o tome što je primjenjivo, kako je dodatno opisano u ugovoru i u popratnoj dokumentaciji (npr. u člancima centra za pomoć) ili kako je to na drugi način dopušteno u okviru CCPA-a, a strane se slažu da će korisnik te osobne podatke korisnika učiniti dostupnima Googleu u te svrhe;
- (b) Google će dopustiti revizije kako bi se provjerilo pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B u skladu s ovdje navedenim člankom 3.3.3.(c) (Korisnikova prava na reviziju);
- (c) Google će obavijestiti korisnika ako Google utvrdi da više ne može ispunjavati svoje obaveze u okviru CCPA-a;
- (d) ako korisnik opravdano smatra da Google osobne podatke korisnika obrađuje na neovlašten način, korisnik ima pravo obavijestiti Google o tome na načine opisane na stranici privacy.google.com/businesses/processorsupport, a strane će u dobroj vjeri surađivati kako bi ispravile aktivnosti obrade koje navodno krše pravila, ako je to potrebno; i
- (e) Google će se pridržavati primjenjivih obaveza u okviru CCPA-a i pružiti istu razinu zaštite privatnosti koja je propisana u CCPA-u.
6. Izmjene ovog Dodatka 1B.
Osim odjeljka 7. uvjeta za voditelja obrade (izmjene ovih uvjeta za voditelja obrade), ovisno o tome što je primjenjivo, Google može, prema razumnoj odluci, izmijeniti ovaj Dodatak 1B bez prethodne obavijesti ako se izmjena (a) temelji na mjerodavnom zakonu, mjerodavnom propisu, sudskom nalogu ili smjernicama koje izdaje nadležno državno tijelo ili agencija, ili (b) ne nanosi materijalnu štetu korisniku u okviru zakona o zaštiti privatnosti na razini saveznih država.
7. Predmet i pojedinosti obrade podataka u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a
Googleovo pružanje RDP usluga i povezana tehnička podrška korisniku.
Trajanje obrade
Razdoblje plus razdoblje od kraja razdoblja do Googleovog brisanja svih osobnih podataka korisnika u skladu s Dodatkom 1B.
Priroda i svrha obrade
Google će obrađivati (uključujući, ovisno o tome što je primjenjivo na usluge RDP-a i upute na temelju kojih prikuplja, bilježi, organizira, strukturira, mijenja, dohvaća, koristi, otkriva, kombinira, briše i uništava) osobne podatke korisnika u svrhu pružanja RDP usluga i povezane tehničke podrške korisniku u skladu s Dodatkom 1B ili na drugi način koji dopuštaju izvršitelji obrade u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a.
Vrste osobnih podataka
Osobni podaci korisnika mogu uključivati vrste osobnih podataka opisane u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a.
Kategorije ispitanika
Osobni podaci korisnika odnosit će se na sljedeće kategorije ispitanika:
- ispitanike o kojima Google prikuplja osobne podatke pri pružanju RDP usluga; i/ili
- ispitanike čije osobne podatke korisnik prenosi Googleu u vezi s RDP uslugama, koji se Googleu prenose prema uputama korisnika ili u ime korisnika.
Ovisno o prirodi RDP usluga, ispitanici mogu uključivati pojedince: (a) na koje je online oglašavanje usmjereno ili na koje će se usmjeriti (b) koji su posjetili određene web-lokacije ili aplikacije u vezi s kojima Google pruža RDP usluge i/ili (c) koji su klijenti ili korisnici korisnikovih proizvoda ili usluga.
Googleovi uvjeti za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka, verzija 4.0
Prethodne verzije
