Googleovi uvjeti za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka

Korisnik usluga za mjerenje koji prihvaća ove uvjete (u daljnjem tekstu: korisnik) sklapa ugovor s Googleom ili prodavačem treće strane (ovisno o slučaju) za pružanje usluga za mjerenje (u daljnjem tekstu: ugovor, koji se povremeno izmjenjuje), a putem čijeg korisničkog sučelja korisnik omogućuje postavku dijeljenja podataka.

Ove Googleove uvjete za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka (u daljnjem tekstu: uvjeti za voditelja obrade) sklapaju Google i korisnik. Ako je ugovor sklopljen između korisnika i Googlea, nadopunjuju ga ovi uvjeti za voditelja obrade. Ako je ugovor sklopljen između korisnika i prodavača treće strane, ovi uvjeti za voditelja obrade čine zaseban ugovor između Googlea i korisnika.

Za izbjegavanje sumnje, na pružanje usluga za mjerenje primjenjuje se ugovor. Ovi uvjeti za voditelja obrade propisuju odredbe o zaštiti podataka samo u vezi s postavkom dijeljenja podataka, ali se ne primjenjuju na druge aspekte pružanja usluga za mjerenje.

U skladu s člankom 6.2. (Nepostojanje učinka na uvjete obrade podataka), ovi uvjeti za voditelja obrade bit će na snazi od datuma njihovog stupanja na snagu te će zamijeniti sve prethodno primjenjive uvjete povezane s njihovim predmetom.

Ako prihvaćate ove uvjete za voditelja obrade u ime korisnika, jamčite sljedeće: (a) imate puno zakonsko ovlaštenje obvezati korisnika na uvjete za voditelja obrade; (b) pročitali ste i razumijete uvjete za voditelja obrade; i (c) u ime korisnika prihvaćate uvjete za voditelja obrade. Ako nemate zakonsko ovlaštenje obvezati korisnika na uvjete za voditelja obrade, nemojte ih prihvatiti.

Ako ste prodavač, nemojte prihvatiti ove uvjete za voditelja obrade. Uvjetima za voditelja obrade utvrđuju se prava i obaveze koje se primjenjuju na Google i korisnike usluga za mjerenje.

Na ovoj stranici

• Uvod
• Definicije i tumačenje
• Primjena uvjeta za voditelja obrade
• Uloge i ograničenja obrade
• Odgovornost
• Učinak uvjeta za voditelja obrade
• Izmjene uvjeta za voditelja obrade
• Dodatne odredbe
• Dodatak 1: Dodatni uvjeti za mjerodavne zakonske propise o zaštiti podataka

---

1. Uvod

Uvjeti za voditelja obrade odražavaju pristanak strana na obradu obrađenih osobnih podataka u skladu s postavkom dijeljenja podataka.

---

2. Definicije i tumačenje

2.1.

U uvjetima za voditelja obrade:

"Dodatni uvjeti" znači dodatni uvjeti navedeni u Dodatku 1, koji odražavaju ugovor između strana o uvjetima koji se primjenjuju na obradu obrađenih osobnih podataka u vezi s određenim mjerodavnim zakonskim propisima o zaštiti podataka.

"Povezano društvo" znači subjekt koji izravno ili neizravno upravlja stranom, kojim strana upravlja ili kojim zajedno s još jednom stranom upravlja treća strana.

"Primjenjivi zakonski propisi o zaštiti podataka" znači, ovisno o tome što je primjenjivo na obradu obrađenih osobnih podataka, bilo koji nacionalni, savezni, EU, državni, pokrajinski ili drugi zakon ili propis o zaštiti privatnosti, sigurnosti podataka ili zaštiti podataka, uključujući europske zakonske propise o zaštiti podataka, Opći zakon o zaštiti osobnih podataka (LGPD) i zakone o zaštiti privatnosti na razini saveznih država SAD-a.

"Povjerljivi podaci" znači ovi uvjeti za voditelja obrade.

"Ispitanik voditelja obrade" znači ispitanik s kojim su povezani obrađeni osobni podaci.

"Obrađeni osobni podaci" znači osobni podaci koje neka od strana obrađuje u skladu s postavkom dijeljenja podataka.

"Postavka dijeljenja podataka" znači postavka dijeljenja podataka koju je korisnik omogućio putem korisničkog sučelja u uslugama za mjerenje te koja Googleu i njegovim povezanim društvima omogućuje upotrebu osobnih podataka radi poboljšanja svojih proizvoda i usluga.

"Krajnji voditelj obrade" znači, za svaku stranu, krajnji voditelj obrade obrađenih osobnih podataka.

"GDPR EU-a" znači Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ.

"Europski zakonski propisi o zaštiti podataka" znači, kako je primjenjivo: (a) GDPR; i/ili (b) Savezni zakon o zaštiti podataka države Švicarske (FDPA).

"GDPR" znači, kako je primjenjivo: (a) GDPR EU-a i/ili (b) GDPR Ujedinjenog Kraljevstva.

"Google" znači:

• (a) ako je Googleov subjekt ugovorna strana, taj Googleov subjekt.
• (b) ako je ugovor sklopljen između korisnika i prodavača treće strane, a:
  • (i) prodavač treće strane organiziran je u Sjevernoj Americi ili nekom drugom području izvan Europe, Bliskog istoka, Afrike, Azije i Oceanije, Google LLC (prethodno poznat kao Google Inc.),
  • (ii) prodavač treće strane organiziran je u Europi, na Bliskom istoku ili u Africi, Google Ireland Limited ili
  • (iii) prodavač treće strane organiziran je u Aziji i Oceaniji, Google Asia Pacific Pte. Ltd.

"Googleov subjekt" znači Google LLC, Google Ireland Limited ili drugo povezano društvo tvrtke Google LLC.

"Opći zakon o zaštiti osobnih podataka (LGPD)" znači brazilski Opći zakon o zaštiti osobnih podataka (Lei Geral de Proteção de Dados Pessoais).

"Usluge za mjerenje" znači Google Analytics, Google Analytics 360, Google Analytics za Firebase, Google Optimize ili Google Optimize 360, ovisno o tome što je primjenjivo na postavku dijeljenja podataka za koju su strane prihvatile ove uvjete za voditelja obrade.

"Pravila" znači Googleova pravila o pristanku krajnjeg korisnika koja su dostupna na https://www.google.com/about/company/user-consent-policy.html.

"Uvjeti obrade podataka" znači:

• (a) ako je Google ugovorna strana, uvjeti obrade podataka dostupni na adresi https://business.safety.google/adsprocessorterms; ili
• (b) ako je ugovor sklopljen između korisnika i prodavača treće strane, uvjeti koji odražavaju odnos voditelja obrade i izvršitelja obrade (ako postoji) prema dogovoru korisnika i prodavača treće strane.

"Savezni zakon o zaštiti podataka države Švicarske" znači Savezni zakon o zaštiti podataka od 19. lipnja 1992. (Švicarska).

"Datum stupanja uvjeta na snagu" znači datum na koji je korisnik kliknuo i prihvatio ove uvjete ili su strane na neki drugi način prihvatile ove uvjete za voditelja obrade.

"Obrađeni osobni podaci u Ujedinjenom Kraljevstvu" znači obrađeni osobni podaci ispitanika koji se nalaze u Ujedinjenom Kraljevstvu.

"GDPR Ujedinjenog Kraljevstva" znači GDPR EU-a s dopunama kako je uvršten u zakonodavstvo Ujedinjenog Kraljevstva u okviru Zakona o povlačenju Ujedinjenog Kraljevstva iz Europske unije iz 2018. i primjenjivih sekundarnih zakona u skladu s tim Zakonom.

"Zakoni o zaštiti privatnosti na razini saveznih država SAD-a imaju značenje koje se nalazi ovdje.

2.2.

Izrazi "voditelj obrade", "ispitanik", "osobni podaci", "obrada" i "izvršitelj obrade" koji se upotrebljavaju u ovim uvjetima za voditelja obrade imaju značenja kako je navedeno u (a) mjerodavnim zakonskim propisima o zaštiti podataka; ili (b) u nedostatku takvog značenja ili zakona, značenje u skladu s GDPR-om.

2.3.

Svi primjeri u ovim uvjetima za voditelja obrade ilustrativni su i ne predstavljaju jedini primjer određenog koncepta.

2.4.

Svako pozivanje na zakonski okvir, statut ili drugi zakonodavni akt upućuje na te propise s povremenim izmjenama i dopunama ili ponovnim stupanjem na snagu.

2.5.

U mjeri u kojoj bilo koja prevedena verzija ovog ugovora nije u skladu s verzijom na engleskom jeziku, primjenjivat će se verzija na engleskom jeziku.

2.6.

Upućivanja u SUK-ovima za voditelje obrade na "Google Ads uvjete za zaštitu podataka voditelja obrade za voditelja obrade podataka" smatraju se "Googleovim uvjetima za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka".

---

3. Primjena uvjeta za voditelja obrade

3.1. Općenito

Ovi uvjeti za voditelja obrade primjenjivat će se samo na postavku dijeljenja podataka za koju su strane pristale na ove uvjete za voditelja obrade (na primjer, postavku dijeljenja podataka u vezi s kojom je korisnik kliknuo i prihvatio ove uvjete za voditelja).

3.2. Trajanje

Ovi uvjeti za voditelja obrade primjenjivat će se od datuma stupanja na snagu i nastavit će se primjenjivati dok Google ili korisnik obrađuju osobne podatke voditelja za obradu, a nakon toga će se uvjeti za voditelja obrade automatski prekinuti.

---

4. Uloge i ograničenja obrade

4.1. Neovisni voditelji obrade

U skladu s člankom 4.4. (Krajnji voditelji obrade), svaka strana:

• (a) neovisan je voditelj obrade osobnih podataka voditelja obrade;
• (b) pojedinačno će odrediti svrhe i načine obrade obrađenih osobnih podataka i
• (c) ispunjavat će obaveze koje se na nju primjenjuju u okviru mjerodavnih zakonskih propisa o zaštiti podataka u pogledu obrade osobnih podataka voditelja obrade.

4.2. Ograničenja obrade

Članak 4.1. (Neovisni voditelji obrade) neće utjecati na ograničenja prava bilo koje strane u vezi s upotrebom ili obradom obrađenih osobnih podataka u skladu s ugovorom.

4.3. Suglasnost krajnjeg korisnika

Korisnik će se pridržavati pravila povezanih s obrađenim osobnim podacima koji se dijele u skladu s postavkom dijeljenja podataka i uvijek će snositi teret dokazivanja ostvarivanja takve usklađenosti.

4.4. Krajnji voditelji obrade

Bez smanjenja obaveza bilo koje strane prema ovim uvjetima za voditelja obrade, svaka strana prihvaća da: (a) povezana društva ili klijenti druge strane mogu biti krajnji voditelji obrade; i (b) druga strana može djelovati kao izvršitelj obrade u ime svojih krajnjih voditelja. Svaka će strana osigurati da njezini krajnji voditelji obrade djeluju u skladu s uvjetima za voditelja obrade.

4.5. Transparentnost

Klijent potvrđuje da je Google objavio informacije o tome kako Google upotrebljava podatke s web-lokacija, iz aplikacija ili s drugih entiteta koji upotrebljavaju njegove usluge na https://business.safety.google/privacy/. Ne dovodeći u pitanje svoje obaveze u skladu s odjeljkom 4.1.(c), korisnik može postaviti vezu na tu stranicu kako bi ispitanicima voditelja obrade pružio informacije o Googleovoj obradi osobnih podataka voditelja obrade.

---

5. Odgovornost

5.1.

Ako Google:

• (a) predstavlja ugovornu stranu, a ugovor se regulira zakonima:
  • (i) savezne države Sjedinjenih Američkih Država, tada će se, bez obzira na bilo što drugo u ugovoru, ukupna odgovornost bilo koje strane prema drugoj strani u okviru ovih uvjeta za voditelja obrade ili u vezi s njima ograničiti na maksimalni novčani iznos ili iznos na temelju plaćanja prema ograničenju iznosa za odgovornost strane koji je određen ugovorom (te se stoga bilo koje izuzimanje odštetnih zahtjeva iz ograničenja odgovornosti ugovora neće primjenjivati na zahtjeve za naknadu štete u okviru ugovora koji se odnose na europske zakonske propise o zaštiti podataka); ili
  • (ii) koji nisu u nadležnosti savezne države Sjedinjenih Američkih Država, tada će se na odgovornost strana u okviru ovih uvjeta za voditelja obrade ili u vezi s njima primjenjivati izuzeća i ograničenja odgovornosti iz ugovora; ili
• (b) nije ugovorna strana u mjeri dopuštenoj mjerodavnim zakonom, Google ne snosi odgovornost za izgubljeni prihod korisnika ni za posebnu, neizravnu, slučajnu, posljedičnu, primjernu i kaznenu štetu, čak i ako su Google ili njegova povezana društva znali ili trebali znati da takva šteta ne ispunjava uvjete za pravni lijek ili su o tome obaviješteni. Ukupna kumulativna odgovornost Googlea (i njegovih povezanih društava) prema korisniku ili drugoj strani za bilo koji gubitak ili štetu nastalu iz potraživanja, štete ili radnji koje su proizašle iz ovih uvjeta za voditelja obrade ili su povezane s njima neće premašivati iznos od 500 USD.

---

6. Učinak uvjeta za voditelja obrade

6.1. Redoslijed prednosti

U slučaju sukoba ili nedosljednosti između dodatnih uvjeta, na ostatak ovih uvjeta za voditelja obrade i/ili ostatak ugovora, u skladu s člancima 4.2. (Ograničenja obrade) i 6.2. (Nepostojanje učinka na uvjete obrade podataka), primjenjuje se sljedeći redoslijed prednosti: (a) dodatni uvjeti (ako je primjenjivo), (b) ostatak ovih uvjeta za voditelja obrade i (c) ostatak ugovora. U skladu s izmjenama i dopunama uvjeta za voditelja obrade, ugovor između Googlea i korisnika ostaje pravovaljan.

6.2. Nepostojanje učinka na uvjete obrade podataka

Uvjeti za voditelja obrade ne zamjenjuju uvjete obrade podataka niti utječu na njih. Za izbjegavanje sumnje, ako je korisnik ugovorna strana uvjeta obrade podataka u vezi s uslugama za mjerenje, uvjeti obrade podataka i dalje će se primjenjivati na usluge za mjerenje, neovisno o tome što se ovi uvjeti za voditelja obrade primjenjuju na obrađene osobne podatke koji su obrađeni u skladu s postavkom dijeljenja podataka.

---

7. Izmjene uvjeta za voditelja obrade

7.1. Izmjene uvjeta za voditelja obrade

Google može izmijeniti ove uvjete za voditelja obrade u sljedećim slučajevima:

• (a) izmjena odražava promjenu naziva ili oblika pravnog subjekta;
• (b) izmjena je potrebna radi usklađivanja s mjerodavnim zakonom, mjerodavnim propisom, sudskim nalogom ili smjernicama koje izdaje državno ovlašteno tijelo ili agencija ili odražava Googleovo usvajanje alternativnog rješenja za prijenos osobnih podataka (kako je definirano u Dodatku 1A);
• (c) izmjena je u skladu s odjeljkom 7.2. (Izmjene URL-ova) ili
• (d) izmjenom se, prema razumnoj odluci Googlea, ne nastoji: (i) na drugi način promijeniti kategorizacija strana kao voditelja obrade osobnih podataka voditelja obrade u okviru mjerodavnih zakonskih propisa o zaštiti podataka, (ii) proširiti područje primjene ili ukloniti bilo kakva ograničenja prava bilo koje strane da upotrebljava ili na drugi način obrađuje osobne podatke voditelja obrade ili (iii) nanijeti relevantna šteta korisniku.

7.2. Promjene URL-ova

Google može povremeno promijeniti URL-ove navedene u ovim uvjetima za voditelja obrade i sadržaj na bilo kojem takvom URL-u.

7.3. Obavijest o izmjenama

Ako Google namjerava izmijeniti ove uvjete za voditelja obrade u skladu s člankom 7.1. točkom (b), pri čemu će ta izmjena, prema razumnoj procjeni Googlea, u bitnome nanijeti štetu korisniku, Google će poduzeti komercijalno utemeljene napore da obavijesti korisnika barem 30 dana (ili u kraćem razdoblju koje može biti potrebno radi usklađivanja s mjerodavnim pravom, propisima, sudskim nalogom ili smjernicama nadležnog regulatornog tijela ili agencije) prije nego što izmjena stupi na snagu. Ako se korisnik protivi bilo kojoj takvoj promjeni, može isključiti postavku dijeljenja podataka.

---

8. Dodatne odredbe

8.1.

Ovaj članak 8. (Dodatne odredbe) primjenjivat će se samo ako Google nije ugovorna strana.

8.2.

Svaka će strana ispunjavati svoje obveze iz ovih uvjeta za voditelja obrade s dužnom pažnjom i stručnošću.

8.3.

Nijedna strana neće upotrebljavati niti otkrivati povjerljive podatke druge strane bez njezinog prethodnog pisanog pristanka, osim radi ostvarivanja svojih prava ili izvršavanja svojih obaveza na temelju ovih uvjeta za voditelja obrade ili ako se to zahtijeva zakonom, propisom ili sudskim nalogom. U tom će slučaju strana koja je dužna otkriti povjerljive podatke o tome obavijestiti drugu stranu što je prije moguće prije njihovog otkrivanja.

8.4.

U najvećoj mjeri dopuštenoj mjerodavnim pravom, osim ako je izričito navedeno drukčije u ovim uvjetima za voditelja obrade, Google ne daje nikakva jamstva, bilo izričita, prešutna, zakonska ili druga, uključujući među ostalim jamstva o primjerenosti za prodaju, prikladnosti za određenu svrhu i nepostojanju kršenja tuđih prava.

8.5.

Strane neće biti odgovorne za neizvršavanje ili kašnjenje u izvršavanju ugovora u mjeri u kojoj je to posljedica okolnosti izvan njihove razumne kontrole.

8.6.

Ako je odredba (ili dio odredbe) ovih uvjeta za voditelja obrade nevažeća, nezakonita ili neprimjenjiva, ostatak uvjeta za voditelja obrade ostaje na snazi.

8.7.

(a) Osim ako je drukčije utvrđeno u točki (b) u nastavku, na ove uvjete za voditelja obrade primjenjivat će se zakoni savezne države Kalifornije, bez pozivanja na njezina načela sukoba zakona, te će se tumačiti u skladu s tim zakonima. Ako postoje neki sukobi između stranih zakona, pravila i propisa te kalifornijskih zakona, pravila i propisa, prevladavaju i primjenjuju se kalifornijski zakoni, pravila i propisi. Strane pristaju na isključivu i osobnu nadležnost sudova u okrugu Santa Clara u Kaliforniji. Konvencija Ujedinjenih naroda o ugovorima o međunarodnoj prodaji robe i Jedinstveni zakon o računalnom prijenosu podataka ne primjenjuju se na ove uvjete za voditelja obrade.

(b) Ako su ugovor sklopili korisnik i prodavač treće strane, a prodavač treće strane ima sjedište u Europi, na Bliskom istoku ili u Africi, na ove uvjete za voditelja primjenjivat će se englesko pravo. Svaka strana pristaje na isključivu nadležnost engleskih sudova u vezi s bilo kojim sporom (bilo ugovornim ili izvanugovornim) koji proizlazi iz ovih uvjeta za voditelja obrade ili je povezan s njima.

(c) U slučaju da se primjenjuju SUK-ovi za voditelje obrade u skladu s mjerodavnim pravom koje se razlikuje od zakona navedenih u gore navedenim odjeljcima (a) i (b), mjerodavno pravo koje je navedeno u SUK-ovima za voditelje obrade primjenjuje se isključivo na SUK-ove za voditelje obrade.

(d) Konvencija Ujedinjenih naroda o ugovorima o međunarodnoj prodaji robe i Jedinstveni zakon o računalnom prijenosu informacija ne primjenjuju se na ove uvjete za voditelja obrade.

8.8.

Sve obavijesti o raskidanju ili kršenju moraju biti na engleskom jeziku, u pisanom obliku i upućene pravnom odjelu druge strane. Adresa za slanje obavijesti Googleovoj pravnoj službi je legal-notices@google.com. Obavijest će se smatrati isporučenom po primitku koji je potvrđen pisanim putem, automatskom obavijesti o primitku ili elektroničkim zapisnikom (ako je primjenjivo).

8.9.

Ni za jednu se stranu neće smatrati da se odrekla bilo kojeg prava u okviru ovih uvjeta za voditelja obrade zato što ga ne ostvaruje (ili zato što odgađa njegovo ostvarivanje). Nijedna strana ne može prenijeti bilo koji dio ovih uvjeta za voditelja obrade bez pisanog odobrenja druge strane, osim na svoje povezano društvo ako su ispunjeni sljedeći uvjeti: (a) primatelj se pisanom izjavom obvezuje na poštovanje odredbi ovih uvjeta za voditelja obrade; (b) prenositelj ostaje odgovoran za izvršavanje obveza prema ovim uvjetima za voditelja obrade ako ih primatelj ne izvrši; (c) u slučaju korisnika, prenositelj prenosi račune za usluge za mjerenje na primatelja; i (d) prenositelj je dužan obavijestiti drugu stranu o prijenosu. Svaki je drugi pokušaj prijenosa ništavan.

8.10.

Strane su vanjski ugovorni suradnici. Ovim uvjetima za voditelja obrade ne nastaje odnos zastupanja, partnerstva ili zajedničkog ulaganja između ugovornih strana. Ovim se uvjetima za voditelja obrade trećim stranama ne dodjeljuju nikakve povlastice, osim ako je to izričito navedeno.

8.11.

U mjeri dopuštenoj mjerodavnim pravom, ovi uvjeti za voditelja obrade sadržavaju sve uvjete koje su strane međusobno dogovorile. Pri sklapanju ovih uvjeta za voditelja obrade nijedna se strana ne oslanja ni na koju tvrdnju, izjavu ili jamstvo (bez obzira na to jesu li dana nemarno ili nenamjerno), osim onih izričito navedenih u ovim uvjetima za voditelja obrade, niti na temelju njih ostvaruje pravo na bilo koji pravni lijek.

---

Dodatak 1: Dodatni uvjeti za mjerodavne zakonske propise o zaštiti podataka

DIO A – DODATNI UVJETI ZA EUROPSKE ZAKONSKE PROPISE O ZAŠTITI PODATAKA

1. Uvod

Ovaj Dodatak 1A primjenjivat će se samo u mjeri u kojoj se europski zakonski propisi o zaštiti podataka primjenjuju na obradu obrađenih osobnih podataka.

2. Definicije

2.1. U ovom Dodatku 1A:

"Prikladna država" znači sljedeće:

• (a) za obrađene podatke koji podliježu GDPR-u EU-a: EGP ili država ili teritorij za koji je utvrđeno da omogućuje odgovarajuću zaštitu podataka u skladu s GDPR-om EU-a;
• (b) za obrađene podatke koji podliježu GDPR-u UK-a: Ujedinjeno Kraljevstvo ili država ili teritorij za koji je utvrđeno da omogućuje odgovarajuću zaštitu u skladu s GDPR-om UK-a i Zakonom o zaštiti podataka iz 2018. godine; i/ili
• (c) za obrađene podatke koji podliježu švicarskom FDPA-u: Švicarska ili država ili teritorij koji je (i) uključen na popis država čiji zakoni osiguravaju odgovarajuću razinu zaštite u skladu s objavom švicarskog saveznog povjerenika za zaštitu podataka i informacija ili (ii) za koji je utvrđeno da omogućuje odgovarajuću zaštitu u skladu sa Saveznim vijećem Švicarske u okviru švicarskog FDPA-a, u oba slučaja, osim na temelju izbornog okvira za zaštitu podataka.

"Alternativno rješenje za prijenos osobnih podataka" znači rješenje koje se ne odnosi na SUK-ove za voditelja obrade, a koje omogućuje zakoniti prijenos osobnih podataka u treću državu u skladu s europskim zakonima o zaštiti podataka, na primjer okvir za zaštitu podataka kojim se osigurava da uključeni subjekti pružaju odgovarajuću zaštitu.

"SUK-ovi za voditelja obrade" znači uvjeti na adresi business.safety.google/adscontrollerterms/sccs/c2c.

"EGP" znači Europski gospodarski prostor.

"Obrađeni osobni podaci unutar EU-a" znači obrađeni osobni podaci ispitanika koji se nalaze u Europskom gospodarskom prostoru ili Švicarskoj.

"Europsko ili nacionalno zakonodavstvo" znači, ovisno o tome što je primjenjivo: (a) zakonodavstvo EU-a ili države članice EU-a (ako se na obradu obrađenih osobnih podataka primjenjuje GDPR EU-a); (b) zakonodavstvo Ujedinjenog Kraljevstva ili dijela Ujedinjenog Kraljevstva (ako se na obradu obrađenih osobnih podataka primjenjuje GDPR Ujedinjenog Kraljevstva); i (c) zakonodavstvo Švicarske (ako se na obradu obrađenih osobnih podataka primjenjuje Savezni zakon o zaštiti podataka države Švicarske).

"Googleovi krajnji voditelji obrade" znači krajnji voditelji obrade osobnih podataka voditelja obrade koje obrađuje Google.

"Dopušteni europski prijenosi" znači obrada obrađenih osobnih podataka u prikladnoj državi ili prijenos obrađenih osobnih podataka u državu koja pruža odgovarajuću zaštitu podataka.

"Ograničeni europski prijenosi" znači prijenosi obrađenih osobnih podataka koji: (a) podliježu europskim zakonskim propisima o zaštiti podataka; i (b) nedopušteni europski prijenosi.

"Obrađeni osobni podaci u Ujedinjenom Kraljevstvu" znači obrađeni osobni podaci ispitanika koji se nalaze u Ujedinjenom Kraljevstvu.

2.2. Pojmovi "uvoznik podataka" i "izvoznik podataka" imaju značenja kako je navedeno u SUK-ovima za voditelja obrade.

3. Googleovi krajnji voditelji obrade

Googleovi su krajnji voditelji obrade: (i) za obrađene osobne podatke unutar EU-a koje obrađuje Google, tvrtka Google Ireland Limited; i (ii) za obrađene osobne podatke u Ujedinjenom Kraljevstvu koje obrađuje Google, tvrtka Google LLC. Svaka će strana osigurati da njezini krajnji voditelji obrade budu usklađeni sa SUK-ovima za voditelja obrade, ako je to primjenjivo.

4. Prijenosi podataka

4.1. Ograničeni europski prijenosi. Obje strane mogu izvršiti ograničene europske prijenose ako je to u skladu s odredbama o ograničenim europskim prijenosima u europskim zakonskim propisima o zaštiti podataka.

4.2. Alternativno rješenje za prijenos osobnih podataka.

• (a) Ako je Google implementirao alternativno rješenje za prijenos osobnih podataka za ograničene europske prijenose, (i) Google će osigurati da se takvi ograničeni europski prijenosi izvršavaju u skladu s tim alternativnim rješenjem za prijenos osobnih podataka; i (ii) članak 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A neće se primjenjivati na te ograničene europske prijenose.
• (b) Ako Google nije usvojio alternativno rješenje za prijenos osobnih podataka za ograničene europske prijenose ili ako obavijesti korisnika da ga više ne usvaja, tada će se na te ograničene europske prijenose primjenjivati članak 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A.

4.3. Odredbe o prijenosu koje se primjenjuju od sad nadalje.

• (a) Primjena članka 4.3. Članak 4.3. točka (b) (Upotreba osobnih podataka davatelja podataka) i članak 4.3. točka (c) (Zaštita osobnih podataka davatelja podataka) ovog Dodatka 1A primjenjivat će se samo u mjeri u kojoj:
  • (i) strana (u daljnjem tekstu: primatelj podataka) obrađuje osobne podatke voditelja obrade koje ustupa druga strana (u daljnjem tekstu: davatelj podataka) u vezi s ugovorom (kao što su osobni podaci voditelja obrade, u daljnjem tekstu: osobni podaci davatelja podataka);
  • (ii) davatelj podataka ili njegovo povezano društvo certificirani su u okviru alternativnog rješenja za prijenos osobnih podataka; i
  • (iii) davatelj podataka u pisanom obliku obavještava primatelja podataka o certifikatu takvog alternativnog rješenja za prijenos osobnih podataka.
• (b) Upotreba osobnih podataka davatelja podataka.
  • (i) U mjeri u kojoj primjenjivo alternativno rješenje za prijenos osobnih podataka uključuje načelo prijenosa, te u skladu s takvim načelima prosljeđivanja u okviru relevantnog alternativnog rješenja za prijenos osobnih podataka, primatelj podataka koristit će samo osobne podatke davatelja podataka na način koji je u skladu s pristankom koji pruže ispitanici relevantnog voditelja obrade.
  • (ii) U mjeri u kojoj davatelj podataka ne uspije dobiti pristanak od ispitanika relevantnog voditelja obrade u skladu s ugovorom, primatelj podataka neće kršiti članak 4.3. točku (b) podtočku (i) ako upotrebljava osobne podatke davatelja podataka u skladu s potrebnim pristankom.
• (c) Zaštita osobnih podataka davatelja podataka.
  • (i) Primatelj podataka pružit će razinu zaštite osobnih podataka davatelja usluga koja je barem jednaka onoj definiranoj u primjenjivom alternativnom rješenju za prijenos osobnih podataka.
  • (ii) Ako primatelj podataka utvrdi da ne može udovoljiti članku 4.3.(c)(i), dužan je: (A) o tome obavijestiti davatelja podataka u pisanom obliku; i (B) prestati obrađivati osobne podatke davatelja podataka ili poduzeti razumne i prikladne korake za uklanjanje takvih neusklađenosti.
• (d) Prihvaćanje i certificiranje zamjenskog rješenja za prijenos. Informacije o implementaciji zamjenskih rješenja za prijenos Googlea i/ili njegovih povezanih društava ili certifikatima u skladu s tim rješenjima možete pronaći na adresi https://policies.google.com/privacy/frameworks. Ovaj članak 4.3.(d) predstavlja obavijest u pisanom obliku u vezi s trenutačnim certifikatima Googlea i/ili njegovih povezanih društava od datuma stupanja na snagu u svrhu članka 4.3.(a)(iii).

5. SUK-ovi za voditelja obrade

5.1. Prijenosi obrađenih osobnih podataka unutar EU-a korisniku. U mjeri u kojoj:

• (a) Google prenosi obrađene osobne podatke unutar EU-a korisniku; i
• (b) prijenos je ograničeni europski prijenos, smatrat će se da korisnik kao uvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google Ireland Limited (primjenjivi Googleov krajnji voditelj obrade) kao izvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade.

5.2. Prijenosi obrađenih osobnih podataka u Ujedinjenom Kraljevstvu korisniku. U mjeri u kojoj:

• (a) Google prenosi obrađene osobne podatke u Ujedinjenom Kraljevstvu korisniku; i
• (b) prijenos je ograničeni europski prijenos, smatrat će se da korisnik kao uvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google LCC (primjenjivi Googleov krajnji voditelj obrade) kao izvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade.

5.3. Prijenosi obrađenih osobnih podataka unutar EU-a Googleu. Strane prihvaćaju da, u mjeri u kojoj korisnik Googleu prenosi obrađene osobne podatke unutar EU-a, SUK-ovi za voditelja obrade nisu potrebni jer je adresa tvrtke Google Ireland Limited (primjenjivi Googleov krajnji voditelj obrade) u državi koja pruža odgovarajuću zaštitu podataka, a takvi su prijenosi dopušteni europski prijenosi. To ne utječe na Googleove obaveze u skladu s člankom 4.1. (Ograničeni europski prijenosi) ovog Dodatka 1A.

5.4. Prijenosi obrađenih osobnih podataka u Ujedinjenom Kraljevstvu Googleu. U mjeri u kojoj korisnik prenosi obrađene osobne podatke u Ujedinjenom Kraljevstvu Googleu smatrat će se da korisnik kao izvoznik podataka podliježe SUK-ovima za voditelja obrade, pri čemu je druga strana Google LLC (primjenjivi Googleov krajnji voditelj obrade) kao uvoznik podataka, a prijenosi će podlijegati SUK-ovima za voditelja obrade jer adresa tvrtke Google LLC nije u državi koja pruža odgovarajuću zaštitu podataka.

5.5. Kontaktiranje Googlea; podaci o klijentu.

• (a) Korisnik može kontaktirati Google Ireland Limited i/ili Google LLC u vezi sa SUK-ovima za voditelja obrade na adresi https://support.google.com/policies/troubleshooter/9009584 ili putem drugih načina koje Google povremeno pruža.
• (b) Korisnik potvrđuje da je Google prema SUK-ovima za voditelja obrade obavezan bilježiti određene podatke, uključujući (i) identitet i podatke za kontakt uvoznika podataka (uključujući sve osobe za kontakt odgovorne za zaštitu podataka) i (ii) tehničke i organizacijske mjere koje primjenjuje uvoznik podataka. U skladu s tim, korisnik će, ako je potrebno i može se primijeniti na korisnika, pružiti takve informacije Googleu na način koji odgovara Googleu i pobrinuti se da svi navedeni podaci budu točni i ažurni.

5.6. Odgovaranje na upite ispitanika. Primjenjivi uvoznik podataka odgovoran je za odgovaranje na upite ispitanika i nadzornih tijela koji se odnose na obradu primjenjivih obrađenih osobnih podataka koju provodi taj uvoznik podataka.

5.7. Brisanje podataka nakon raskida ugovora. U mjeri u kojoj:

• (a) Google LLC djeluje kao uvoznik podataka, a korisnik kao izvoznik podataka prema SUK-ovima za voditelja obrade; i
• (b) korisnik raskine ugovor u skladu s člankom 16. točkom (c) SUK-ova za voditelja obrade, tada u svrhu članka 16. točke (d) SUK-ova za voditelja obrade korisnik upućuje Google da izbriše osobne podatke voditelja obrade, a Google će, osim ako europski zakoni zahtijevaju njihovu pohranu, omogućiti takvo brisanje čim to bude razumno izvedivo, u mjeri u kojoj je to razumno moguće (uzimajući u obzir da je Google neovisni voditelj obrade tih podataka, kao i prirodu i funkcionalnost usluga za mjerenje).

6. Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade.

Ako se SUK-ovi za voditelja obrade primjenjuju u skladu s člankom 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A, ukupna kombinirana odgovornost:

• (a) Googlea, tvrtke Google LLC i Google Ireland Limited prema korisniku; i
• (b) korisnika prema društvima Google, Google LLC i Google Ireland Limited, u skladu ili vezi s ugovorom i SUK-ovima za voditelja obrade podliježe članku 5. (Odgovornost). Klauzula 12. SUK-ova za voditelja obrade neće utjecati na prethodnu rečenicu.

7. Korisnici treće strane

Ako Google LLC nije ugovorna strana, ali jest strana u primjenjivim SUK-ovima za voditelja obrade u skladu s člankom 5. (SUK-ovi za voditelja obrade) ovog Dodatka 1A, tada je Google LLC i/ili Google Ireland Limited (ovisno o tome što je primjenjivo) korisnik treće strane u okviru odjeljka 4.4. (Krajnji voditelji obrade), članaka 3. (Googleovi krajnji voditelji obrade), 5. (SUK-ovi za voditelja obrade) i 6. (Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade) ovog Dodatka 1A. U mjeri u kojoj je ovaj članak 7. (Korisnici treće strane) u sukobu ili nije u skladu s nekom drugom odredbom ugovora, primjenjivat će se ovaj članak 7. (Korisnici treće strane).

8. Prednost

8.1. Ako postoji sukob ili nedosljednost između SUK-ova za voditelja obrade, ovog Dodatka 1A, ostatka ovih uvjeta za voditelja obrade i/ili ostatka ugovora, prednost se daje SUK-ovima za voditelja obrade.

8.2. Dodatne komercijalne odredbe. U skladu s izmjenama i dopunama uvjeta za voditelja obrade, ugovor ostaje pravovaljan. Članci od 5.5. (Kontaktiranje Googlea) do 5.7. (Brisanje podataka nakon raskida ugovora) i članak 6. (Odgovornost ako se primjenjuju SUK-ovi za voditelja obrade) ovog Dodatka 1A dodatne su komercijalne odredbe koje se odnose na SUK-ove za voditelja obrade u skladu s člankom 2. točkom (a) (Učinak i nepromjenjivost odredbi) SUK-ova za voditelja obrade.

8.3. Bez izmjena SUK-ova za voditelja obrade. Ništa u ovom ugovoru (uključujući ove uvjete za voditelja obrade) ne može promijeniti SUK-ove za voditelja obrade ili biti u suprotnosti s njima niti dovoditi u pitanje temeljna prava ili slobode ispitanika u skladu s europskim zakonskim propisima o zaštiti podataka.

DIO B – DODATNI UVJETI ZA ZAKONE O ZAŠTITI PRIVATNOSTI NA RAZINI SAVEZNIH DRŽAVA SAD-A

1. Uvod

Google može ponuditi, a korisnik omogućiti određene postavke, konfiguracije ili druge funkcije unutar proizvoda za usluge za mjerenje koje se odnose na ograničenu obradu podataka, kao što je opisano u popratnoj dokumentaciji dostupnoj na stranici business.safety.google/rdp, koja se može povremeno ažurirati (u daljnjem tekstu: ograničena obrada podataka). Ovaj Dodatak 1B odražava dogovor između strana o obradi osobnih podataka korisnika i deidentificiranih podataka (kao što je definirano u nastavku) u skladu s ugovorom, u vezi sa zakonima saveznih država SAD-a o zaštiti privatnosti, i primjenjuje se isključivo u mjeri u kojoj se primjenjuju ti zakoni.

2. Dodatne definicije i tumačenje.

U ovom dodatku 1B:

• (a) "Osobni podaci korisnika" znači osobni podaci koje Google obrađuje u ime korisnika u okviru Googleovog pružanja usluga za mjerenje.
• (b) "Deidentificirani podaci" znači podaci koji su "deidentificirani" (kako je definirano CCPA-om) i "deidentificirani podaci" (kako je definirano drugim zakonima o zaštiti privatnosti na razini saveznih država SAD-a) kad ih jedna strana otkriva drugoj strani.
• (c) "Upute" zbirno znači korisnikove upute Googleu da obradi osobne podatke korisnika samo u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a: (a) radi pružanja RDP usluga i povezane tehničke podrške; (b) kako je dodatno definirano korisnikovom upotrebom RDP usluga (uključujući u postavkama i drugim funkcijama takvih RDP usluga) i povezane tehničke podrške; (c) kako je dokumentirano u okviru ugovora, uključujući ovaj dodatak 1B; (d) kako je dodatno dokumentirano u svim pisanim uputama koje je korisnik dostavio, a Google prihvatio kao sastavni dio uputa u svrhe ovog dodatka 1B; i (e) radi obrade osobnih podataka korisnika kako je predviđeno zakonima o zaštiti privatnosti na razini saveznih država SAD-a za davatelje usluga i izvršitelje obrade.
• (d) "RDP usluge" znači usluge voditelja obrade koje se pružaju u okviru ograničene obrade podataka.
• (e) "Trajanje" znači razdoblje od datuma stupanja na snagu uvjeta do kraja Googleovog pružanja usluga za mjerenje u skladu s ugovorom.
• (f) Izrazi "tvrtka", "potrošač", "osobni podaci", "prodaja", "prodati", "davatelj usluga" i "dijeliti", kako se upotrebljavaju u ovom Dodatku 1B, imaju značenja kako je navedeno u zakonima o zaštiti privatnosti na razini saveznih država SAD-a.
• (g) Korisnik snosi isključivu odgovornost za usklađenost sa svim zakonima o zaštiti privatnosti na razini saveznih država SAD-a pri upotrebi Googleovih usluga, uključujući ograničenu obradu podataka.

3. Uvjeti zakona o zaštiti privatnosti na razini saveznih država SAD-a (u okviru ograničene obrade podataka).

3.1. Obrada podataka.

3.1.1.

• (a) Odgovornosti izvršitelja obrade i voditelja obrade. Strane prihvaćaju i suglasne su sa sljedećim:
  • (i) članak 7. (Predmet i pojedinosti obrade podataka u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a) ovog Dodatka 1B opisuje predmet i pojedinosti obrade osobnih podataka korisnika;
  • (ii) Google je davatelj usluga i izvršitelj obrade osobnih podataka korisnika u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a; i
  • (iii) Korisnik je voditelj obrade ili izvršitelj obrade, ovisno o tome što je primjenjivo, osobnih podataka korisnika u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a
• (b) Korisnici – izvršitelji obrade. Ako je korisnik izvršitelj obrade:
  • (i) Korisnik u trajnom smislu jamči da je relevantni voditelj obrade autorizirao: (A) upute, (B) korisnikovo imenovanje Googlea kao drugog izvršitelja obrade i (C) Googleov angažman podizvođača kako je opisano u članku 3.6. (podizvođači) ovog dodatka 1B;
  • (ii) Korisnik će relevantnom voditelju obrade odmah proslijediti bilo kakvu obavijest koju Google pošalje u skladu s člancima 3.3.2.(a) (Obavijest o incidentu) i 3.6. (Podizvođači); i
  • (iii) Korisnik može relevantnom voditelju obrade omogućiti pristup bilo kojim podacima koje Google učini dostupnima u skladu s člancima 3.3.3.(c) (Korisnikova prava na reviziju) i 3.6. (Podizvođači).

3.1.2. Korisnikove upute. Prihvaćanjem ovog dodatka 1B korisnik upućuje Google da obradi osobne podatke korisnika samo u skladu s uputama.

3.1.3. Googleova usklađenost s uputama. Google će se pridržavati uputa ako to nije zabranjeno zakonima o zaštiti privatnosti na razini saveznih država SAD-a.

3.1.4. Dodatni proizvodi. Ako korisnik upotrebljava bilo koji proizvod, uslugu ili aplikaciju koju pružaju Google ili treća strana, a koja: (a) nije dio RDP usluga; i (b) dostupna je za upotrebu unutar korisničkog sučelja RDP usluga ili je na drugi način integrirana s RDP uslugama (u daljnjem tekstu: dodatni proizvod), RDP usluge mogu tom dodatnom proizvodu omogućiti pristup osobnim podacima korisnika koji su potrebni za interoperabilnost dodatnog proizvoda s RDP uslugama. Radi jasnoće, ovaj Dodatak 1B ne primjenjuje se na obradu osobnih podataka u vezi s pružanjem bilo kojeg dodatnog proizvoda koji korisnik upotrebljava, uključujući osobne podatke prenesene na taj dodatni proizvod ili iz njega.

3.2. Brisanje podataka nakon isteka roka. Korisnik upućuje Google da na kraju razdoblja izbriše sve preostale osobne podatke korisnika (uključujući postojeće kopije) iz Googleovih sustava u skladu s mjerodavnim zakonom. Google će se pridržavati ove upute čim to bude razumno moguće i u roku od najviše 180 dana, osim ako mjerodavni zakoni zahtijevaju pohranu.

3.3. Sigurnost podataka.

3.3.1. Googleove sigurnosne mjere i pomoć.

• (a) Googleove sigurnosne mjere. Google će implementirati i provoditi tehničke i organizacijske mjere za zaštitu osobnih podataka korisnika od slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa ("sigurnosne mjere"). Sigurnosne mjere uključuju: (i) šifriranje osobnih podataka; (ii) osiguravanje kontinuirane povjerljivosti, integriteta, dostupnosti i otpornosti Googleovih sustava i usluga; (iii) olakšavanje pravovremenog pristupa osobnim podacima nakon incidenta; i (iv) redovito testiranje učinkovitosti. Google može povremeno ažurirati ili izmijeniti sigurnosne mjere, pod uvjetom da takva ažuriranja i izmjene ne uzrokuju degradaciju ukupne sigurnosti osobnih podataka korisnika.
• (b) Pristup i usklađenost. Google će osigurati da su se sve osobe ovlaštene za obradu osobnih podataka korisnika obvezale na povjerljivost ili imaju odgovarajuću zakonsku obavezu povjerljivosti.
• (c) Googleova sigurnosna pomoć. Google će (uzimajući u obzir prirodu obrade osobnih podataka korisnika i podatke dostupne Googleu) pomoći korisniku u ispunjavanju obaveza korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u pogledu sigurnosti osobnih podataka i povreda sigurnosti osobnih podataka, uključujući obaveze korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u pogledu sigurnosti osobnih podataka i povreda sigurnosti osobnih podataka u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a, na sljedeći način:
  • (i) implementacijom i održavanjem sigurnosnih mjera u skladu s člankom 3.3.1.(a) (Googleove sigurnosne mjere);
  • (ii) postupanjem u skladu s uvjetima iz članka 3.3.2. (Incidenti u vezi s podacima); i
  • (iii) osiguravanjem prava korisnika zajamčenih u okviru članka 3.3.3.(c) (Korisnikova prava na reviziju).

3.3.2. Incidenti u vezi s podacima

• (a) Obavijest o incidentu. Ako Google sazna za incident u vezi s podacima (kako je definirano u nastavku), Google će (i) obavijestiti korisnika o incidentu u vezi s podacima bez nepotrebnog odgađanja; i (ii) odmah poduzeti razumne korake za smanjivanje štete i zaštitu osobnih podataka korisnika. U ovom Dodatku 1B "incident u vezi s podacima" znači kršenje Googleove sigurnosti koje vodi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka korisnika ili pristupa tim podacima u sustavima kojima Google upravlja ili ih na drugi način nadzire. "Incidenti u vezi s podacima" neće uključivati neuspješne pokušaje ni aktivnosti koje ne ugrožavaju sigurnost osobnih podataka korisnika, uključujući neuspješne pokušaje prijave, pingove, skeniranja priključka, napade onemogućivanjem pristupa usluzi i druge mrežne napade na vatrozide ili umrežene sustave.
• (b) Slanje obavijesti. Google će obavijest o svim incidentima u vezi s podacima poslati na e-adresu koju je naveo korisnik, bilo putem korisničkog sučelja RDP usluga ili na druge načine koje Google pruža za primanje određenih Googleovih obavijesti u vezi s ovim Dodatkom 1B (u daljnjem tekstu: e-adresa za primanje obavijesti) ili, prema Googleovom vlastitom nahođenju (uključujući ako korisnik nije naveo e-adresu za primanje obavijesti), drugim izravnim komunikacijskim kanalom (npr. telefonskim pozivom, e-porukom ili osobnim sastankom). Korisnik snosi isključivu odgovornost za navođenje e-adrese za primanje obavijesti i osiguravanje da je e-adresa za primanje obavijesti aktualna i važeća.
• (c) Obavijesti treće strane. Korisnik snosi isključivu odgovornost za usklađivanje sa zakonima o obavijestima o incidentima primjenjivim na korisnika te za ispunjavanje svih obaveza u vezi s obavijestima trećih strana povezanih s bilo kojim incidentom u vezi s podacima.
• (d) Google ne preuzima nikakvu odgovornost. Googleova obavijest o incidentu ili odgovor na incident u vezi s podacima u skladu s ovim člankom 3.3.2. (Incidenti u vezi s podacima) neće se tumačiti Googleovim prihvaćanjem bilo kakve pogreške ili odgovornosti u pogledu incidenta u vezi s podacima.

3.3.3. Obaveze i procjena u vezi sa sigurnošću korisnika.

• (a) Korisnikove sigurnosne obaveze. Korisnik se slaže, ne dovodeći u pitanje Googleove obaveze u skladu s člancima 3.3.1. (Googleove sigurnosne mjere i pomoć) i 3.3.2. (Incidenti u vezi s podacima), sa sljedećim:
  • (i) korisnik je odgovoran za svoju upotrebu RDP usluga, uključujući: (1) odgovarajuću upotrebu RDP usluga kako bi se osigurala razina sigurnosti koja odgovara riziku u pogledu osobnih podataka korisnika; i (2) osiguranje vjerodajnica za autentifikaciju računa, sustava i uređaja koje korisnik upotrebljava za pristup RDP uslugama; i
  • (ii) Google nema obavezu zaštite osobnih podataka korisnika koje korisnik odabere pohraniti ili prenijeti izvan Googleovih sustava i sustava podizvođača.
• (b) Procjena sigurnosti korisnika. Korisnik prihvaća i suglasan je da sigurnosne mjere koje implementira i provodi Google kako je definirano u članku 3.3.1.(a) (Googleove sigurnosne mjere) pružaju razinu sigurnosti koja odgovara riziku u vezi s osobnim podacima korisnika, uzimajući u obzir najnoviju verziju, troškove implementacije te prirodu, opseg, kontekst i svrhe obrade osobnih podataka korisnika, kao i rizike za pojedince.
• (c) Korisnikova prava na reviziju.
  • (i) Korisnik može provesti reviziju kako bi provjerio pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B tako da zatraži i pregleda (1) certifikat izdan radi sigurnosne provjere koja odražava ishod revizije koju je proveo revizor treće strane (npr. izvješće SOC 2 vrste II, certifikat ISO/IEC 27001 ili sličan certifikat ili drugi sigurnosni certifikat o reviziji koju je proveo revizor treće strane kojeg su odabrali korisnik i Google) u roku od 12 mjeseci od datuma zahtjeva korisnika i (2) sve druge informacije za koje Google utvrdi da su u razumnoj mjeri potrebne da bi korisnik provjerio usklađenost.
  • (ii) Osim toga, Google može, prema vlastitom nahođenju i kao odgovor na zahtjev korisnika, pokrenuti reviziju treće strane kako bi se provjerilo pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B. Tijekom te revizije Google će revizoru treće strane učiniti dostupnima sve informacije potrebne za dokazivanje usklađenosti. Ako korisnik zatraži tu reviziju, Google može naplatiti naknadu (na temelju razumnih Googleovih troškova) za svaku reviziju. Prije provođenja te revizije Google će korisniku pružiti dodatne pojedinosti o svim primjenjivim naknadama i o osnovi za njihov izračun. Korisnik će podmiriti sve naknade revizora treće strane kojeg je korisnik ovlastio za izvršavanje tih revizija.
  • (iii) Ništa u ovom Dodatku 1B ne zahtijeva da Google korisniku ili revizoru treće strane otkrije ili omogući pristup:
    • 1. podacima bilo kojeg drugog korisnika Googleovog subjekta;
    • 2. internim računovodstvenim ili financijskim podacima bilo kojeg Googleovog subjekta;
    • 3. bilo kojoj poslovnoj tajni Googleovog subjekta;
    • 4. podacima koji bi, prema Googleovom razumnom mišljenju, mogli (A) ugroziti sigurnost sustava ili objekata bilo kojeg Googleovog subjekta; ili (B) dovesti do toga da bilo koji Googleov subjekt prekrši svoje obaveze u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a ili svoje obaveze u pogledu sigurnosti i/ili privatnosti prema korisniku ili bilo kojoj trećoj strani; ili
    • (5) podacima za koje korisnik ili revizor treće strane traži pristup iz bilo kojeg razloga osim radi ispunjavanja obaveza korisnika u dobroj vjeri u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a.

3.4. Pomoć u vezi s procjenama učinka. Google će (uzimajući u obzir prirodu obrade i podatke dostupne Googleu) pomoći korisniku u ispunjavanju obaveza korisnika (ili, ako je korisnik izvršitelj obrade, relevantnog voditelja obrade) u vezi s procjenama učinka na zaštitu podataka i prije regulatornih savjetovanja u mjeri u kojoj to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a:

• (a) pružanjem sigurnosne dokumentacije;
• (b) pružanjem informacija obuhvaćenih ugovorom (uključujući ovaj Dodatak 1B); i
• (c) pružanjem drugih materijala koji se odnose na prirodu RDP usluga i obradu osobnih podataka korisnika (npr. materijali centra za pomoć) ili tako da te materijale na drugi način učini dostupnima, u skladu s Googleovim standardnim postupcima.

3.5. Prava ispitanika.

3.5.1. Odgovori na zahtjeve ispitanika. Ako Google primi zahtjev od ispitanika u vezi s osobnim podacima korisnika, korisnik ovlašćuje Google te Google obavještava korisnika da će:

• (a) izravno odgovoriti na zahtjev ispitanika u skladu sa standardnim funkcijama alata (ako postoje) koji je Googleov subjekt učinio dostupnim ispitanicima, a koji Googleu omogućuje da izravno i na standardizirani način odgovori na određene zahtjeve ispitanika u vezi s osobnim podacima korisnika (npr. postavke za online oglašavanje ili dodatak preglednika za isključivanje) (u daljnjem tekstu: alat za ispitanike) (ako je zahtjev poslan putem alata za ispitanike); ili
• (b) savjetovati ispitanika da pošalje svoj zahtjev korisniku i korisnik će biti odgovoran za odgovaranje na takav zahtjev (ako zahtjev nije upućen putem alata za ispitanike).

3.5.2. Googleova pomoć u vezi sa zahtjevima ispitanika. Google će pomoći korisniku da ispuni svoje obaveze (ili, ako je korisnik izvršitelj obrade, obaveze relevantnog voditelja obrade) u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a kako bi odgovorio na zahtjeve za ostvarivanje prava ispitanika, u svim slučajevima uzimajući u obzir prirodu obrade osobnih podataka korisnika i:

• (a) pružanjem funkcija RDP usluga;
• (b) ispunjavanjem obaveza navedenih u članku 3.5.1. (Odgovori na zahtjeve ispitanika); i
• (c) ako je primjenjivo na RDP usluge, omogućivanjem alata za ispitanike.

3.5.3. Ispravak. Ako korisnik sazna da su neki osobni podaci korisnika netočni ili zastarjeli, bit će odgovoran za ispravljanje ili brisanje tih podataka u slučaju da je to propisano zakonima o zaštiti privatnosti na razini saveznih država SAD-a, uključujući (ako je dostupno) upotrebom funkcija RDP usluga.

3.6. Podizvođači.

• (a) Korisnik općenito ovlašćuje Google da angažira druge subjekte kao podizvođače u vezi s pružanjem RDP usluga. Prilikom angažiranja bilo kojeg podizvođača Google će učiniti sljedeće:
  • (i) pisanim ugovorom osigurat će: (1) da podizvođač pristupa osobnim podacima korisnika i upotrebljava ih samo u mjeri potrebnoj za izvršavanje obaveza podugovora te to čini u skladu s ugovorom (uključujući ovaj Dodatak 1B); i (2) ako se na obradu osobnih podataka korisnika primjenjuju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, osigurat će da se obaveze u vezi sa zaštitom podataka u ovom Dodatku 1B primjenjuju na podizvođača;
  • (ii) prilikom angažiranja novih podizvođača poslat će obavijest o tim novim podizvođačima gdje to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, te, gdje to zahtijevaju zakoni o zaštiti privatnosti na razini saveznih država SAD-a, dodatno pružiti priliku korisniku da uputi prigovor u vezi s tim podizvođačima; i
  • (iii) ostat će u potpunosti odgovoran za sve obaveze podizvođača, kao i sve postupke i propuste podizvođača.
• (b) Korisnik može uložiti prigovor na bilo kojeg novog podizvođača tako da raskine ugovor odmah nakon pisane obavijesti Googleu, pod uvjetom da korisnik pruži takvu obavijest u roku od 90 dana od primitka obavijesti o angažmanu novog podizvođača kako je ovdje opisano u članku 3.6., stavku (a), podstavku (ii).

3.7. Kontaktiranje Googlea. Korisnik se može obratiti Googleu u vezi s ostvarivanjem svojih prava u skladu s ovim Dodatkom 1B na načine opisane na stranici privacy.google.com/businesses/processorsupport ili na druge načine koje Google povremeno pruža.

4. Uvjeti zakona o zaštiti privatnosti na razini saveznih država SAD-a

4.1. Deidentificirani podaci. U pogledu osobnih podataka korisnika koji se obrađuju uz omogućenu ograničenu obradu podataka ili bez nje te u mjeri u kojoj se jedan ili više zakona o zaštiti privatnosti na razini saveznih država SAD-a primjenjuje na obradu osobnih podataka korisnika, svaka će se strana pridržavati zahtjeva za obradu skupa deidentificiranih podataka u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a u pogledu svih deidentificiranih podataka koje primi od druge strane u skladu s ugovorom. U skladu s ovim člankom 4.1. (Deidentificirani podaci), osobni podaci korisnika obuhvaćaju sve osobne podatke koje neka od strana obrađuje u okviru ugovora u vezi s pružanjem ili upotrebom usluga za mjerenje.

5. Googleove obaveze u okviru CCPA-a.

5.1. U pogledu osobnih podataka korisnika koji se obrađuju u okviru ograničene obrade podataka i u mjeri u kojoj se CCPA primjenjuje na tu obradu osobnih podataka korisnika, Google će djelovati kao korisnikov davatelj usluga i, kao takav, osim ako je to na drugi način dopušteno davateljima usluga u okviru CCPA-a, u razumnoj mjeri koju određuje Google:

• (a) Google neće prodavati niti dijeliti osobne podatke korisnika koje dobije od korisnika u vezi s ugovorom;
• (b) Google neće zadržavati, upotrebljavati niti otkrivati osobne podatke korisnika (uključujući izvan izravnog poslovnog odnosa između Googlea i korisnika), osim u poslovne svrhe u skladu s CCPA-om u ime korisnika i u određene svrhe pružanja RDP usluga, kako je dodatno opisano u popratnoj dokumentaciji dostupnoj na adresi business.safety.google/rdp, koja se povremeno ažurira;
• (c) Google neće kombinirati osobne podatke korisnika koje Google prima od korisnika ili u njegovo ime s (i) osobnim podacima koje Google prima od njega ili u ime druge osobe ili osoba ili (ii) osobnim podacima prikupljenim Googleovom vlastitom interakcijom s potrošačem, kako je dodatno opisano u popratnoj dokumentaciji koja je dostupna na adresi business.safety.google/rdp, osim u mjeri dopuštenoj u skladu s CCPA-om;
• (d) Google će te osobne podatke korisnika obrađivati u određenu svrhu pružanja RDP usluga, kako je dodatno opisano u ugovoru i u popratnoj dokumentaciji (npr. u člancima centra za pomoć) ili kako je na drugi način dopušteno u okviru CCPA-a, a strane se slažu da će korisnik takve osobne podatke korisnika učiniti dostupnima Googleu u te svrhe;
• (e) Google će dopustiti revizije kako bi se provjerilo pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B u skladu s ovdje navedenim člankom 3.3.3.(c) (Korisnikova prava na reviziju);
• (f) Google će obavijestiti korisnika ako Google utvrdi da više ne može ispunjavati svoje obaveze u okviru CCPA-a. Ovaj članak 5.1. točka (f) ne umanjuje prava i obaveze bilo koje strane u ugovoru;
• (g) ako korisnik opravdano smatra da Google osobne podatke korisnika obrađuje na neovlašten način, korisnik ima pravo obavijestiti Google o tome na načine opisane na stranici privacy.google.com/businesses/processorsupport, a strane će u dobroj vjeri surađivati kako bi ispravile aktivnosti obrade koje navodno krše pravila, ako je to potrebno; i
• (h) Google će se pridržavati primjenjivih obaveza u okviru CCPA-a i pružiti istu razinu zaštite privatnosti koja je propisana u CCPA-u.

5.2. U pogledu osobnih podataka korisnika koji se obrađuju bez omogućene ograničene obrade podataka i u mjeri u kojoj se CCPA primjenjuje na obradu osobnih podataka korisnika:

• (a) Google će te osobne podatke korisnika obrađivati u određenu svrhu pružanja usluga za mjerenje, ovisno o tome što je primjenjivo, kako je dodatno opisano u ugovoru i u popratnoj dokumentaciji (npr. u člancima centra za pomoć) ili kako je to na drugi način dopušteno u okviru CCPA-a, a strane se slažu da će korisnik te osobne podatke korisnika učiniti dostupnima Googleu u te svrhe;
• (b) Google će dopustiti revizije kako bi se provjerilo pridržava li se Google svojih obaveza u okviru ovog Dodatka 1B u skladu s ovdje navedenim člankom 3.3.3.(c) (Korisnikova prava na reviziju);
• (c) Google će obavijestiti korisnika ako Google utvrdi da više ne može ispunjavati svoje obaveze u okviru CCPA-a;
• (d) ako korisnik opravdano smatra da Google osobne podatke korisnika obrađuje na neovlašten način, korisnik ima pravo obavijestiti Google o tome na načine opisane na stranici privacy.google.com/businesses/processorsupport, a strane će u dobroj vjeri surađivati kako bi ispravile aktivnosti obrade koje navodno krše pravila, ako je to potrebno; i
• (e) Google će se pridržavati primjenjivih obaveza u okviru CCPA-a i pružiti istu razinu zaštite privatnosti koja je propisana u CCPA-u.

6. Izmjene ovog Dodatka 1B.

Osim članka 7. uvjeta za voditelja obrade (Izmjene uvjeta za voditelja obrade), ovisno o slučaju, Google može izmijeniti ovaj Dodatak 1B bez prethodne obavijesti (a) ako se izmjena temelji na primjenjivom zakonu, propisu, sudskom nalogu ili smjernicama koje izdaje nadležno regulatorno tijelo ili agencija ili (b) ako, prema Googleovoj razumnoj procjeni, izmjena u bitnome ne šteti korisniku u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a.

7. Predmet i pojedinosti obrade podataka u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a.

Googleovo pružanje RDP usluga i povezane tehničke podrške korisniku.

Trajanje obrade

Razdoblje trajanja ugovora plus razdoblje od kraja razdoblja do Googleovog brisanja svih osobnih podataka korisnika u skladu s Dodatkom 1B.

Priroda i svrha obrade

Google će obrađivati (uključujući, ovisno o tome što je primjenjivo na RDP usluge i upute na temelju kojih prikuplja, bilježi, organizira, strukturira, pohranjuje, mijenja, dohvaća, koristi, otkriva, kombinira, briše i uništava) osobne podatke korisnika u svrhu pružanja RDP usluga i povezane tehničke podrške korisniku u skladu s Dodatkom 1B ili na drugi način koji dopuštaju izvršitelji obrade u skladu sa zakonima o zaštiti privatnosti na razini saveznih država SAD-a.

Vrste osobnih podataka

Osobni podaci korisnika mogu uključivati vrste osobnih podataka opisane u okviru zakona o zaštiti privatnosti na razini saveznih država SAD-a.

Kategorije ispitanika

Osobni podaci korisnika odnosit će se na sljedeće kategorije ispitanika:

• ispitanike o kojima Google prikuplja osobne podatke pri pružanju RDP usluga; i/ili
• ispitanike čije osobne podatke korisnik prenosi Googleu u vezi s RDP uslugama, koji se Googleu prenose prema uputama korisnika ili u ime korisnika.

Ovisno o prirodi RDP usluga, ispitanici mogu uključivati pojedince: (a) na koje je online oglašavanje usmjereno ili na koje će se usmjeriti (b) koji su posjetili određene web-lokacije ili aplikacije u vezi s kojima Google pruža RDP usluge i/ili (c) koji su klijenti ili korisnici korisnikovih proizvoda ili usluga.

Googleovi uvjeti za zaštitu podataka za voditelja mjerenja – voditelja obrade podataka, verzija 4.0

Prethodne verzije

1. siječnja 2023.

21. rujna 2022.

27. rujna 2021.

16. kolovoza 2020.

12. kolovoza 2020.

4. studenoga 2019.