Pelanggan Layanan Pengukuran yang menyetujui persyaratan ini (“Pelanggan”) telah menyepakati perjanjian dengan Google atau reseller pihak ketiga (sebagaimana berlaku) untuk penyediaan Layanan Pengukuran (sebagaimana diubah dari waktu ke waktu, “Perjanjian”) yang antarmuka pengguna layanannya digunakan Pelanggan untuk mengaktifkan Setelan Berbagi Data.
Persyaratan Perlindungan Data Pengukuran Google untuk Antar-Pengontrol ini (“Persyaratan Pengontrol”) disepakati oleh Google dan Pelanggan. Jika Perjanjian diadakan antara Pelanggan dan Google, Persyaratan Pengontrol ini melengkapi Perjanjian tersebut. Jika Perjanjian diadakan antara Pelanggan dan reseller pihak ketiga, Persyaratan Pengontrol ini membentuk perjanjian terpisah antara Google dan Pelanggan.
Untuk menegaskan, penyediaan Layanan Pengukuran diatur oleh Perjanjian. Persyaratan Pengontrol ini menetapkan ketentuan perlindungan data yang berkaitan dengan Setelan Berbagi Data saja, tetapi tidak berlaku pada penyediaan Layanan Pengukuran.
Tunduk kepada Pasal 6.2 (Tidak Akan Berpengaruh pada Persyaratan Pemroses), Persyaratan Pengontrol ini akan berlaku, dan menggantikan setiap persyaratan yang sebelumnya berlaku terkait dengan materi pokoknya, sejak Tanggal Mulai Berlaku Persyaratan.
Jika Anda menyetujui Persyaratan Pengontrol ini atas nama Pelanggan, Anda menjamin bahwa: (a) Anda memiliki kewenangan hukum penuh untuk mengikat Pelanggan dengan Persyaratan Pengontrol ini; (b) Anda telah membaca dan memahami Persyaratan Pengontrol ini; dan (c) Anda menyetujui, atas nama Pelanggan, Persyaratan Pengontrol ini. Jika Anda tidak memiliki kewenangan hukum untuk mengikat Pelanggan, jangan menyetujui Persyaratan Pengontrol ini.
Jangan menyetujui Persyaratan Pengontrol ini jika Anda adalah reseller. Persyaratan Pengontrol ini menetapkan hak dan kewajiban yang berlaku antara pengguna Layanan Pengukuran dan Google.
1. Pengantar
Persyaratan Pengontrol ini mencerminkan perjanjian antarpihak terkait pemrosesan Data Pribadi Pengontrol sesuai dengan Setelan Berbagi Data.
2. Definisi dan Penafsiran
2.1
Dalam Persyaratan Pengontrol ini:
“Persyaratan Tambahan" berarti persyaratan tambahan yang disebut dalam Lampiran 1, yang mencerminkan perjanjian antarpihak terkait persyaratan yang mengatur pemrosesan Data Pribadi Pengontrol sehubungan dengan Legislasi Perlindungan Data yang Berlaku tertentu.
"Afiliasi" berarti entitas yang secara langsung atau tidak langsung mengendalikan, dikendalikan oleh, atau berada di bawah kendali yang sama dengan suatu pihak.
“Legislasi Perlindungan Data yang Berlaku” berarti, sebagaimana berlaku untuk pemrosesan Data Pribadi Pengontrol, setiap hukum atau peraturan nasional, federal, Uni Eropa, negara bagian, provinsi, atau hukum atau peraturan privasi, keamanan data, atau perlindungan data lainnya, termasuk Legislasi Perlindungan Data Eropa, LGPD, dan Hukum Privasi Negara Bagian Amerika Serikat.
"Informasi Rahasia" berarti Persyaratan Pengontrol ini.
“Subjek Data Pengontrol” berarti subjek data yang terkait dengan Data Pribadi Pengontrol.
“Data Pribadi Pengontrol” berarti data pribadi yang diproses oleh suatu pihak sesuai dengan Setelan Berbagi Data.
“Setelan Berbagi Data” berarti setelan berbagi data yang telah diaktifkan oleh Pelanggan melalui antarmuka pengguna Layanan Pengukuran dan yang memungkinkan Google dan Afiliasinya menggunakan data pribadi untuk meningkatkan kualitas produk dan layanan Google dan Afiliasinya.
“Pengontrol Akhir” berarti pengontrol akhir atas Data Pribadi Pengontrol untuk masing-masing pihak.
"GDPR Uni Eropa" berarti Peraturan (Uni Eropa) 2016/679 dari Parlemen dan Dewan Eropa tertanggal 27 April 2016 tentang perlindungan individu sehubungan dengan pemrosesan data pribadi dan tentang perpindahan data tersebut secara bebas, dan membatalkan Pedoman 95/46/EC.
“Legislasi Perlindungan Data Eropa” berarti, sebagaimana berlaku: (a) GDPR; dan/atau (b) Swiss FDPA.
“GDPR” berarti, sebagaimana berlaku: (a) GDPR Uni Eropa; dan/atau (b) GDPR Inggris Raya.
“Google” berarti:
- (a) jika suatu Entitas Google adalah pihak dalam Perjanjian, Entitas Google tersebut.
- (b) jika Perjanjian diadakan antara Pelanggan dan reseller pihak ketiga dan:
- (i) reseller pihak ketiga dikelola di Amerika Utara atau di wilayah lain di luar Eropa, Timur Tengah, Afrika, Asia, dan Oseania, Google LLC (sebelumnya dikenal sebagai Google Inc.);
- (ii) reseller pihak ketiga dikelola di Eropa, Timur Tengah, atau Afrika, Google Ireland Limited; atau
- (iii) reseller pihak ketiga didirikan di Asia dan Oseania, Google Asia Pacific Pte. Ltd.
“Entitas Google” berarti Google LLC, Google Ireland Limited, atau Afiliasi Google LLC lainnya.
“LGPD” berarti Hukum Perlindungan Data Umum Brasil (Lei Geral de Proteção de Dados Pessoais).
“Layanan Pengukuran” berarti Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize, atau Google Optimize 360, sebagaimana berlaku pada Setelan Berbagi Data yang terkait dengan persetujuan Persyaratan Pengontrol ini oleh para pihak.
“Kebijakan” berarti Kebijakan Izin Pengguna Akhir Google yang tersedia di https://www.google.com/about/company/user-consent-policy.html.
“Persyaratan Pemroses” berarti:
- (a) jika Google adalah pihak dalam Perjanjian, persyaratan pemroses yang tersedia di https://business.safety.google/adsprocessorterms; atau
- (b) jika Perjanjian diadakan antara Pelanggan dan reseller pihak ketiga, persyaratan yang mencerminkan hubungan pengontrol-pemroses (jika ada) sebagaimana disepakati antara Pelanggan dan reseller pihak ketiga.
"Swiss FDPA" adalah Federal Data Protection Act tertanggal 19 Juni 1992 (Swiss).
“Tanggal Mulai Berlaku Persyaratan” adalah tanggal saat Pelanggan mengklik untuk menyetujui atau para pihak menyetujui Persyaratan Pengontrol ini.
“Data Pribadi Pengontrol Inggris Raya” berarti Data Pribadi Pengontrol dari Subjek Data Pengontrol yang berlokasi di Inggris Raya.
“GDPR Inggris Raya” berarti GDPR Uni Eropa sebagaimana yang telah diubah dan dimasukkan ke dalam hukum Inggris Raya berdasarkan European Union (Withdrawal) Act Inggris Raya tahun 2018, dan legislasi sekunder yang berlaku yang dibuat berdasarkan Act tersebut.
“Hukum Privasi Negara Bagian Amerika Serikat” berarti, sebagaimana berlaku (i) California Consumer Privacy Act tahun 2018 (termasuk sebagaimana yang diamendemen oleh California Privacy Rights Act tahun 2020) bersama dengan semua peraturan yang menerapkan (“CCPA”) (ii) Consumer Data Protection Act, Virginia, Va. Code Ann. § 59.1-571 et seq.; dan (iii) Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 et seq.; (iv) Connecticut’s Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015; dan (v) Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq.
2.2
Istilah “pengontrol”, “subjek data”, “data pribadi”, “pemrosesan”, dan “pemroses” sebagaimana digunakan dalam Persyaratan Pengontrol ini memiliki arti yang diberikan dalam (a) Legislasi Perlindungan Data yang Berlaku; atau (b) GDPR, jika tidak ada arti atau hukum seperti itu.
2.3
Contoh apa pun dalam Persyaratan Pengontrol ini bersifat ilustratif dan bukan satu-satunya contoh untuk konsep tertentu.
2.4
Rujukan apa pun ke kerangka hukum, peraturan, atau pengesahan legislatif lainnya adalah rujukan ke hal tersebut seperti yang diubah atau disahkan kembali dari waktu ke waktu.
2.5
Jika versi terjemahan apa pun dari Perjanjian ini tidak sesuai dengan versi bahasa Inggris, versi bahasa Inggris yang akan berlaku.
2.6
Referensi untuk "Persyaratan Perlindungan Data Google Ads untuk Antar-Pengontrol" di SCC Pengontrol akan dianggap sebagai "Persyaratan Perlindungan Data Pengukuran Google untuk Antar-Pengontrol".
3. Pemberlakuan Persyaratan Pengontrol ini
3.1 Umum
Persyaratan Pengontrol ini hanya akan berlaku pada Setelan Berbagi Data yang terkait dengan persetujuan Persyaratan Pengontrol ini oleh para pihak (misalnya, Setelan Berbagi Data yang terkait dengan persetujuan Persyaratan Pengontrol ini oleh Pelanggan).
3.2 Durasi
Persyaratan Pengontrol ini akan berlaku sejak Tanggal Mulai Berlaku Persyaratan dan berlanjut selama Google atau Pelanggan memproses Data Pribadi Pengontrol, dan setelahnya Persyaratan Pengontrol ini akan berhenti secara otomatis.
4. Peran dan Batasan Pemrosesan
4.1 Pengontrol Independen
Tunduk kepada Pasal 4.4 (Pengontrol Akhir), masing-masing pihak:
- (a) adalah pengontrol independen atas Data Pribadi Pengontrol;
- (b) akan menentukan sendiri tujuan dan cara pemrosesan Data Pribadi Pengontrol olehnya; dan
- (c) akan mematuhi kewajiban yang berlaku padanya berdasarkan Legislasi Perlindungan Data yang Berlaku terkait pemrosesan Data Pribadi Pengontrol.
4.2 Batasan Pemrosesan
Pasal 4.1 (Pengontrol Independen) tidak akan memengaruhi batasan hak masing-masing pihak untuk menggunakan atau memproses Data Pribadi Pengontrol berdasarkan Perjanjian.
4.3 Izin Pengguna Akhir
Pelanggan akan mematuhi Kebijakan yang terkait dengan Data Pribadi Pengontrol yang dibagikan sesuai dengan Setelan Berbagi Data dan setiap saat akan menanggung beban pembuktian dalam menetapkan kepatuhan tersebut.
4.4 Pengontrol Akhir
Tanpa mengurangi kewajiban pihak mana pun berdasarkan Persyaratan Pengontrol ini, setiap pihak mengakui bahwa: (a) Afiliasi atau klien pihak lainnya dapat menjadi Pengontrol Akhir; dan (b) pihak lainnya dapat bertindak sebagai pemroses atas nama Pengontrol Akhirnya. Masing-masing pihak akan memastikan Pengontrol Akhirnya mematuhi Persyaratan Pengontrol.
4.5 Transparansi
Pelanggan mengonfirmasi bahwa Google telah memublikasikan informasi tentang cara Google menggunakan informasi dari situs, aplikasi, atau properti lainnya yang menggunakan layanannya di https://business.safety.google/privacy/. Tanpa mengurangi kewajibannya berdasarkan Pasal 4.1(c), Pelanggan dapat memberikan link ke halaman tersebut untuk memberikan informasi tentang Pemrosesan Data Pribadi Pengontrol Google kepada Subjek Data Pengontrol.
5. Kewajiban
5.1
Jika Google:
- (a) pihak dalam Perjanjian dan Perjanjian diatur oleh hukum:
- (i) negara bagian Amerika Serikat, maka, terlepas dari ketentuan lainnya dalam Perjanjian, kewajiban total satu pihak terhadap pihak lainnya berdasarkan atau sehubungan dengan Persyaratan Pengontrol ini akan terbatas pada jumlah uang atau pembayaran maksimum yang membatasi kewajiban pihak tersebut berdasarkan Perjanjian (sehingga, setiap pengecualian atas klaim perlindungan terhadap kerugian dari batasan kewajiban Perjanjian tidak akan berlaku untuk klaim perlindungan terhadap kerugian dalam Perjanjian yang terkait dengan Legislasi Perlindungan Data yang Berlaku); atau
- (ii) wilayah hukum yang bukan merupakan negara bagian Amerika Serikat, maka kewajiban para pihak berdasarkan atau sehubungan dengan Persyaratan Pengontrol ini akan tunduk pada pengecualian dan batasan kewajiban dalam Perjanjian; atau
- (b) bukan pihak dalam Perjanjian, sejauh diizinkan oleh hukum yang berlaku, Google tidak akan bertanggung jawab atas hilangnya pendapatan atau ganti rugi tidak langsung, ganti rugi khusus, ganti rugi insidental, ganti rugi sebagai akibat, ganti rugi sebagai peringatan, atau ganti rugi penghukuman Pelanggan, meskipun jika Google atau Afiliasinya telah diberi tahu, mengetahui, atau seharusnya mengetahui bahwa ganti rugi tersebut tidak memenuhi syarat upaya hukum. Kewajiban kumulatif total Google (dan Afiliasinya) kepada Pelanggan atau pihak lain mana pun atas kerugian atau ganti rugi yang diakibatkan oleh klaim, ganti rugi, atau tindakan yang timbul dari atau terkait dengan Persyaratan Pengontrol ini tidak akan melebihi $500 (USD).
6. Pengaruh Persyaratan Pengontrol
6.1 Urutan Prioritas
Jika ada pertentangan atau ketidaksesuaian antara Persyaratan Tambahan, bagian lain dalam Persyaratan Pengontrol ini dan/atau bagian lain dalam Perjanjian, tunduk kepada Pasal 4.2 (Batasan Pemrosesan) dan 6.2 (Tidak Akan Berpengaruh pada Persyaratan Pemroses), urutan prioritas berikut akan berlaku: (a) Persyaratan Tambahan (jika berlaku); (b) bagian lain dalam Persyaratan Pengontrol ini; dan (c) bagian lain dalam Perjanjian. Tunduk kepada amendemen dalam Persyaratan Pengontrol ini, Perjanjian antara Google dan Pelanggan tetap berlaku dan memiliki kekuatan hukum penuh.
6.2 Tidak Akan Berpengaruh pada Persyaratan Pemroses
Persyaratan Pengontrol ini tidak akan menggantikan atau memengaruhi Persyaratan Pemroses. Untuk menegaskan, jika Pelanggan adalah pihak dalam Persyaratan Pemroses sehubungan dengan Layanan Pengukuran, Persyaratan Pemroses akan tetap berlaku pada Layanan Pengukuran, meskipun Persyaratan Pengontrol ini berlaku pada Data Pribadi Pengontrol yang diproses sesuai dengan Setelan Berbagi Data.
7. Perubahan pada Persyaratan Pengontrol ini
7.1 Perubahan pada Persyaratan Pengontrol
Google dapat mengubah Persyaratan Pengontrol ini jika perubahan tersebut:
- (a) mencerminkan perubahan nama atau bentuk entitas hukum;
- (b) diwajibkan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah, atau mencerminkan penerapan Solusi Transfer Alternatif oleh Google (sebagaimana didefinisikan dalam Lampiran 1A);
- (c) sebagaimana dijelaskan dalam Pasal 7.2 (Perubahan pada URL) atau
- (d) tidak: (i) berusaha mengubah kategorisasi para pihak sebagai pengontrol untuk Data Pribadi Pengontrol berdasarkan Legislasi Perlindungan Data yang Berlaku; (ii) memperluas cakupan, atau menghapus batasan pada, hak salah satu pihak untuk menggunakan atau memproses Data Pribadi Pengontrol; atau (iii) berdampak negatif secara materiel pada Pelanggan, sebagaimana yang ditentukan secara wajar oleh Google.
7.2 Perubahan pada URL
Dari waktu ke waktu, Google dapat mengubah URL apa pun yang dirujuk dalam Persyaratan Pengontrol ini dan konten di URL tersebut.
7.3 Notifikasi Perubahan
Jika Google bermaksud mengubah Persyaratan Pengontrol ini berdasarkan Pasal 7.1(b) dan perubahan tersebut akan berdampak negatif secara materiel terhadap Pelanggan, sebagaimana yang ditentukan secara wajar oleh Google, maka Google akan melakukan upaya yang wajar secara komersial untuk menginformasikan kepada Pelanggan setidaknya 30 hari (atau dalam jangka waktu lebih singkat sebagaimana yang mungkin diwajibkan untuk mematuhi hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah) sebelum perubahan tersebut akan diterapkan. Jika Pelanggan keberatan dengan perubahan tersebut, Pelanggan dapat menonaktifkan Setelan Berbagi Data.
8. Ketentuan Tambahan
8.1
Pasal 8 ini (Ketentuan Tambahan) hanya akan berlaku jika Google bukan merupakan pihak dalam Perjanjian.
8.2
Masing-masing pihak akan memenuhi kewajibannya berdasarkan Persyaratan Pengontrol ini dengan keahlian dan perhatian yang wajar.
8.3
Masing-masing pihak tidak boleh menggunakan atau mengungkapkan Informasi Rahasia pihak lainnya tanpa izin tertulis sebelumnya dari pihak lainnya kecuali untuk tujuan menggunakan haknya atau menjalankan kewajibannya berdasarkan Persyaratan Pengontrol ini atau jika diwajibkan oleh hukum, peraturan, atau perintah pengadilan. Jika demikian, pihak yang diwajibkan mengungkapkan Informasi Rahasia akan memberi tahu pihak lainnya sesegera mungkin sesuai kewajaran sebelum mengungkapkan Informasi Rahasia tersebut.
8.4
Sejauh diizinkan oleh hukum yang berlaku, kecuali sebagaimana dinyatakan secara tersurat dalam Persyaratan Pengontrol ini, Google tidak memberikan jaminan lainnya dalam bentuk apa pun, baik tersurat, tersirat, berdasarkan hukum, atau lainnya, termasuk, tetapi tidak terbatas pada, jaminan kelayakan untuk diperdagangkan, kesesuaian untuk penggunaan tertentu, dan ketiadaan pelanggaran.
8.5
Tidak ada pihak yang akan bertanggung jawab atas kegagalan atau penundaan dalam pelaksanaan kewajiban selama hal tersebut disebabkan oleh keadaan di luar kendali yang wajar.
8.6
Jika persyaratan apa pun (atau bagian dari persyaratan) dalam Persyaratan Pengontrol ini tidak valid, ilegal, atau tidak memiliki kekuatan hukum, bagian lainnya dalam Persyaratan Pengontrol ini akan tetap berlaku.
8.7
(a) Kecuali sebagaimana ditetapkan dalam pasal (b) di bawah, Persyaratan Pengontrol ini akan diatur oleh dan ditafsirkan berdasarkan hukum negara bagian California tanpa merujuk pada prinsip pertentangan aturan hukumnya. Jika terjadi pertentangan antara hukum, peraturan, dan ketentuan asing dengan hukum, peraturan, dan ketentuan California, maka hukum, peraturan, dan ketentuan California akan digunakan dan berlaku. Masing-masing pihak setuju untuk tunduk pada wilayah hukum pengadilan eksklusif dan pribadi yang berlokasi di Santa Clara County, California. Konvensi PBB tentang Kontrak Penjualan Barang Internasional dan Uniform Computer Information Transactions Act tidak akan berlaku untuk Persyaratan Pengontrol ini.
(b) Jika Perjanjian diadakan antara Pelanggan dan reseller pihak ketiga, dan reseller pihak ketiga tersebut dikelola di Eropa, Timur Tengah, atau Afrika, Persyaratan Pengontrol ini akan diatur oleh hukum Inggris. Masing-masing pihak setuju untuk tunduk pada wilayah hukum eksklusif pengadilan Inggris terkait sengketa apa pun (baik kontraktual maupun non-kontraktual) yang timbul akibat atau sehubungan dengan Persyaratan Pengontrol ini.
(c) Jika SCC Pengontrol berlaku dan menetapkan hukum yang mengatur yang berbeda dengan hukum yang diuraikan dalam pasal (a) dan (b) di atas, hukum yang mengatur yang ditetapkan dalam SCC Pengontrol hanya akan berlaku sehubungan dengan SCC Pengontrol.
(d) Konvensi PBB tentang Kontrak Penjualan Barang Internasional dan Uniform Computer Information Transactions Act tidak akan berlaku untuk Persyaratan Pengontrol ini.
8.8
Semua pemberitahuan mengenai penghentian atau pelanggaran harus dibuat dalam bahasa Inggris, dalam bentuk tertulis, dan ditujukan ke Departemen Hukum pihak lainnya. Alamat untuk pemberitahuan yang ditujukan ke Departemen Hukum Google adalah legal-notices@google.com. Pemberitahuan akan dianggap telah diberikan setelah diterima, sebagaimana diverifikasi oleh tanda terima tertulis atau otomatis atau oleh catatan elektronik (sebagaimana berlaku).
8.9
Tidak ada pihak yang akan dianggap telah melepas haknya jika tidak menggunakan (atau menunda penggunaan) hak apa pun berdasarkan Persyaratan Pengontrol ini. Masing-masing pihak tidak boleh memindahkan hak atas bagian apa pun dalam Persyaratan Pengontrol ini tanpa izin tertulis dari pihak lainnya, kecuali kepada Afiliasi jika: (a) penerima hak telah setuju secara tertulis untuk diikat dengan persyaratan dalam Persyaratan Pengontrol ini; (b) pihak yang memindahkan hak tetap bertanggung jawab atas kewajiban berdasarkan Persyaratan Pengontrol ini jika penerima hak lalai dalam memenuhinya; (c) dalam kasus Pelanggan, pihak yang memindahkan hak telah menyerahkan akun Layanan Pengukurannya kepada penerima hak; dan (d) pihak yang memindahkan hak telah memberi tahu pihak lainnya tentang pemindahan hak tersebut. Upaya apa pun lainnya untuk memindahkan hak dianggap tidak sah.
8.10
Para pihak adalah pihak yang dikontrak secara independen. Persyaratan Pengontrol ini tidak membentuk keagenan, kemitraan, atau usaha bersama apa pun di antara para pihak. Persyaratan Pengontrol ini tidak memberikan manfaat apa pun kepada pihak ketiga kecuali jika Persyaratan Pengontrol ini menyatakan demikian secara tersurat.
8.11
Sejauh diizinkan oleh hukum yang berlaku, Persyaratan Pengontrol ini menyatakan semua persyaratan yang disetujui di antara para pihak. Dalam menyepakati Persyaratan Pengontrol ini, tidak ada pihak yang bergantung pada, dan tidak ada pihak yang akan memiliki hak atau upaya hukum apa pun berdasarkan, keterangan, pernyataan, atau jaminan apa pun (yang dibuat secara lalai atau pun tidak sengaja), kecuali sebagaimana yang dinyatakan secara tersurat dalam Persyaratan Pengontrol ini.
Lampiran 1: Persyaratan Tambahan untuk Legislasi Perlindungan Data yang Berlaku
BAGIAN A - PERSYARATAN TAMBAHAN UNTUK LEGISLASI PERLINDUNGAN DATA EROPA
1. Pengantar
Lampiran 1A ini hanya akan berlaku sejauh Legislasi Perlindungan Data Eropa berlaku untuk pemrosesan Data Pribadi Pengontrol.
2. Definisi
2.1 Dalam Lampiran 1A ini:
“Negara yang Memadai” berarti:
- (a)untuk data yang diproses dengan tunduk pada GDPR Uni Eropa: EEA, atau negara atau wilayah yang diakui menjamin perlindungan data yang memadai berdasarkan GDPR Uni Eropa;
- (b)untuk data yang diproses dengan tunduk pada GDPR Inggris Raya: Inggris Raya atau negara atau wilayah yang diakui menjamin perlindungan yang memadai berdasarkan GDPR Inggris Raya dan Data Protection Act 2018; dan/atau
- (c)untuk data yang diproses dengan tunduk kepada Swiss FDPA: Swiss, atau negara atau wilayah yang (i) disertakan dalam daftar negara bagian yang legislasinya menjamin perlindungan yang memadai sebagaimana dipublikasikan oleh Federal Data Protection and Information Commissioner Swiss, atau (ii) diakui menjamin perlindungan yang memadai oleh Federal Council Swiss berdasarkan Swiss FDPA dan berdasarkan kerangka perlindungan data opsional untuk masing-masing kasus.
“Solusi Transfer Alternatif” berarti solusi, selain SCC Pengontrol, yang memungkinkan transfer data pribadi yang sah ke negara ketiga sesuai dengan Legislasi Perlindungan Data Eropa, misalnya kerangka perlindungan data yang diakui menjamin bahwa entitas yang berpartisipasi memberikan perlindungan yang memadai.
“SCC Pengontrol” berarti persyaratan di business.safety.google/adscontrollerterms/sccs/c2c.
“EEA” berarti Wilayah Ekonomi Eropa.
“Data Pribadi Pengontrol Eropa” berarti Data Pribadi Pengontrol dari Subjek Data Pengontrol yang berada di EEA atau Swiss.
“Hukum Eropa” berarti, sebagaimana berlaku: (a) hukum Uni Eropa atau Negara Anggota Uni Eropa (jika GDPR Uni Eropa berlaku untuk pemrosesan Data Pribadi Pengontrol); (b) hukum Inggris Raya atau bagian dari Inggris Raya (jika GDPR Inggris Raya berlaku untuk pemrosesan Data Pribadi Pengontrol); dan (c) hukum Swiss (jika Swiss FDPA berlaku untuk pemrosesan Data Pribadi Pengontrol).
“Pengontrol Akhir Google” berarti Pengontrol Akhir Data Pribadi Pengontrol yang diproses oleh Google.
“Transfer Eropa yang Diizinkan” berarti pemrosesan Data Pribadi Pengontrol di, atau transfer Data Pribadi Pengontrol ke, Negara yang Memadai.
“Transfer Eropa Terbatas” berarti transfer Data Pribadi Pengontrol yang: (a) tunduk kepada Legislasi Perlindungan Data Eropa; dan (b) bukan Transfer Eropa yang Diizinkan.
“Data Pribadi Pengontrol Inggris Raya” berarti Data Pribadi Pengontrol dari Subjek Data Pengontrol yang berlokasi di Inggris Raya.
2.2 Istilah “pengimpor data” dan “pengekspor data” memiliki arti yang diberikan dalam SCC Pengontrol.
3. Pengontrol Akhir Google
Pengontrol Akhir Google adalah: (i) Google Ireland Limited untuk Data Pribadi Pengontrol Eropa yang diproses oleh Google; dan (ii) Google LLC untuk Data Pribadi Pengontrol Inggris Raya yang diproses oleh Google. Masing-masing pihak akan memastikan Pengontrol Akhirnya mematuhi SCC Pengontrol, jika berlaku.
4. Transfer Data
4.1 Transfer Eropa Terbatas. Pihak mana pun dapat melakukan Transfer Eropa Terbatas jika pihak tersebut mematuhi ketentuan tentang Transfer Eropa Terbatas di Legislasi Perlindungan Data Eropa.
4.2 Solusi Transfer Alternatif.
- (a) Jika Google telah menerapkan Solusi Transfer Alternatif untuk Transfer Eropa Terbatas apa pun, maka: (i) Google akan memastikan bahwa Transfer Eropa Terbatas tersebut dilakukan sesuai dengan Solusi Transfer Alternatif tersebut; dan (ii) paragraf 5 (SCC Pengontrol) dalam Lampiran 1A ini tidak akan berlaku untuk Transfer Eropa Terbatas tersebut.
- (b) Jika Google belum menerapkan, atau memberi tahu Pelanggan bahwa Google tidak lagi menerapkan, Solusi Transfer Alternatif untuk Transfer Eropa Terbatas, maka paragraf 5 (SCC Pengontrol) dalam Lampiran 1A ini akan berlaku untuk Transfer Eropa Terbatas tersebut.
4.3 Ketentuan Transfer Berikutnya.
- (a) Penerapan Paragraf 4.3. Paragraf 4.3(b) (Penggunaan Data Pribadi Penyedia Data) dan 4.3(c) (Perlindungan Data Pribadi Penyedia Data) dalam Lampiran 1A ini hanya akan berlaku sejauh:
- (i) salah satu pihak (“Penerima Data”) memproses Data Pribadi Pengontrol yang disediakan oleh pihak lainnya (“Penyedia Data”) sehubungan dengan Perjanjian (Data Pribadi Pengontrol tersebut, “Data Pribadi Penyedia Data”);
- (ii) Penyedia Data atau Afiliasinya disertifikasi berdasarkan Solusi Transfer Alternatif; dan
- (iii) Penyedia Data memberi tahu Penerima Data tentang sertifikasi Solusi Transfer Alternatif tersebut secara tertulis.
- (b) Penggunaan Data Pribadi Penyedia Data.
- (i) Jika Solusi Transfer Alternatif yang berlaku menyertakan prinsip transfer berikutnya, maka sesuai prinsip transfer berikutnya tersebut berdasarkan Solusi Transfer Alternatif yang relevan, Penerima Data hanya akan menggunakan Data Pribadi Penyedia Data dengan cara yang konsisten dengan izin yang diberikan oleh Subjek Data Pengontrol yang relevan.
- (ii) Jika Penyedia Data gagal mendapatkan izin dari Subjek Data Pengontrol yang relevan sebagaimana diwajibkan berdasarkan Perjanjian, Penerima Data tidak akan melanggar paragraf 4.3(b)(i) jika ia menggunakan Data Pribadi Penyedia Data secara konsisten dengan izin yang diperlukan.
- (c) Perlindungan Data Pribadi Penyedia Data.
- (i) Penerima Data akan memberikan tingkat perlindungan untuk Data Pribadi Penyedia Data yang setidaknya setara dengan perlindungan yang diwajibkan berdasarkan Solusi Transfer Alternatif yang berlaku.
- (ii) Jika Penerima Data memutuskan bahwa ia tidak dapat mematuhi paragraf 4.3(c)(i), ia akan: (A) memberi tahu Penyedia Data secara tertulis; dan (B) berhenti memproses Data Pribadi Penyedia Data atau mengambil langkah-langkah yang wajar dan sesuai untuk mengatasi ketidakpatuhan tersebut.
- (d) Penerapan dan Sertifikasi Solusi Transfer Alternatif. Informasi tentang penerapan, atau sertifikasi berdasarkan, Solusi Transfer Alternatif oleh Google dan/atau Afiliasinya dapat ditemukan di https://policies.google.com/privacy/frameworks. Paragraf 4.3(d) ini merupakan pemberitahuan tertulis tentang sertifikasi saat ini oleh Google dan/atau Afiliasinya per Tanggal Mulai Berlaku Persyaratan untuk tujuan paragraf 4.3(a)(iii).
5. SCC Pengontrol
5.1 Transfer Data Pribadi Pengontrol Eropa kepada Pelanggan. Jika:
- (a) Google mentransfer Data Pribadi Pengontrol Eropa kepada Pelanggan; dan
- (b) transfer adalah Transfer Eropa Terbatas, Pelanggan sebagai pengimpor data akan dianggap telah menyepakati SCC Pengontrol dengan Google Ireland Limited (Pengontrol Akhir Google yang relevan) sebagai pengekspor data dan transfer tersebut akan tunduk pada SCC Pengontrol.
5.2 Transfer Data Pribadi Pengontrol Inggris Raya kepada Pelanggan. Jika:
- (a) Google mentransfer Data Pribadi Pengontrol Inggris Raya kepada Pelanggan; dan
- (b) transfer adalah Transfer Eropa Terbatas, Pelanggan sebagai pengimpor data akan dianggap telah menyepakati SCC Pengontrol dengan Google LLC (Pengontrol Akhir Google yang relevan) sebagai pengekspor data dan transfer tersebut akan tunduk kepada SCC Pengontrol.
5.3 Transfer Data Pribadi Pengontrol Eropa ke Google. Para pihak memahami bahwa jika Pelanggan mentransfer Data Pribadi Pengontrol Eropa ke Google, SCC Pengontrol tidak diperlukan karena alamat Google Ireland Limited (Pengontrol Akhir Google yang relevan) berada di Negara yang Memadai dan transfer tersebut merupakan Transfer Eropa yang Diizinkan. Hal ini tidak memengaruhi kewajiban Google berdasarkan paragraf 4.1 (Transfer Eropa Terbatas) dalam Lampiran 1A ini.
5.4 Transfer Data Pribadi Pengontrol Inggris Raya ke Google. Jika Pelanggan mentransfer Data Pribadi Pengontrol Inggris Raya ke Google, Pelanggan sebagai pengekspor data akan dianggap telah menyepakati SCC Pengontrol dengan Google LLC (Pengontrol Akhir Google yang relevan) sebagai pengimpor data dan transfer tersebut akan tunduk pada SCC Pengontrol, karena alamat Google LLC tidak berada di Negara yang Memadai.
5.5 Menghubungi Google; Informasi Pelanggan.
- (a) Pelanggan dapat menghubungi Google Ireland Limited dan/atau Google LLC sehubungan dengan SCC Pengontrol melalui https://support.google.com/policies/troubleshooter/9009584 atau dengan cara lain yang mungkin disediakan oleh Google dari waktu ke waktu.
- (b) Pelanggan mengonfirmasi bahwa Google diwajibkan, berdasarkan SCC Pengontrol, untuk mencatat informasi tertentu, termasuk: (i) detail identitas dan kontak pengimpor data (termasuk setiap narahubung yang bertanggung jawab atas perlindungan data); dan (ii) tindakan teknis dan organisasi yang diterapkan oleh pengimpor data. Oleh karena itu, Pelanggan akan, jika diminta dan sebagaimana berlaku pada Pelanggan, memberikan informasi tersebut kepada Google melalui cara yang mungkin disediakan oleh Google, dan akan memastikan bahwa semua informasi yang diberikan selalu akurat dan terbaru.
5.6 Menjawab Pertanyaan Subjek Data. Pengimpor data yang relevan akan bertanggung jawab untuk menjawab pertanyaan dari subjek data dan otoritas badan pengawas mengenai pemrosesan Data Pribadi Pengontrol yang relevan oleh pengimpor data.
5.7 Penghapusan Data saat Penghentian. Jika:
- (a) Google LLC bertindak sebagai pengimpor data dan Pelanggan bertindak sebagai pengekspor data berdasarkan SCC Pengontrol; dan
- (b) Pelanggan menghentikan Perjanjian sesuai dengan Klausul 16(c) SCC Pengontrol, lalu untuk tujuan Klausul 16(d) SCC Pengontrol, Pelanggan memerintahkan Google untuk menghapus Data Pribadi Pengontrol, dan, kecuali jika Hukum Eropa mewajibkan penyimpanan, Google akan memfasilitasi penghapusan tersebut secepat yang dapat dilakukan secara wajar, sejauh penghapusan tersebut memungkinkan secara wajar (dengan mempertimbangkan bahwa Google adalah Pengontrol independen atas data tersebut, serta sifat dan fungsi Layanan Pengukuran).
6. Kewajiban jika SCC Pengontrol Diberlakukan.
Jika SCC Pengontrol diberlakukan berdasarkan paragraf 5 (SCC Pengontrol) dalam Lampiran 1A ini, maka gabungan seluruh kewajiban:
- (a) Google, Google LLC, dan Google Ireland Limited terhadap Pelanggan; dan
- (b) Pelanggan terhadap Google, Google LLC, dan Google Ireland Limited, berdasarkan atau sehubungan dengan penggabungan Perjanjian dan SCC Pengontrol akan tunduk pada Pasal 5 (Kewajiban). Klausul 12 SCC Pengontrol tidak akan memengaruhi kalimat sebelumnya.
7. Penerima Pihak Ketiga
Jika Google LLC dan/atau Google Ireland Limited bukan pihak dalam Perjanjian, tetapi merupakan pihak dalam SCC Pengontrol yang berlaku sesuai dengan paragraf 5 (SCC Pengontrol) dalam Lampiran 1A ini, Google LLC dan/atau Google Ireland Limited (sebagaimana berlaku) akan menjadi penerima pihak ketiga terkait Pasal 4.4 (Pengontrol Akhir), paragraf 3 (Pengontrol Akhir Google), 5 (SCC Pengontrol), dan 6 (Kewajiban jika SCC Pengontrol Diberlakukan) dalam Lampiran 1A ini. Jika paragraf 7 (Penerima Pihak Ketiga) ini bertentangan atau tidak konsisten dengan klausul lain dalam Perjanjian, paragraf 7 (Penerima Pihak Ketiga) ini akan berlaku.
8. Prioritas
8.1 Jika ada konflik atau ketidaksesuaian antara SCC Pengontrol, Lampiran 1A ini, bagian lainnya dalam Persyaratan Pengontrol ini, dan/atau bagian lainnya dalam Perjanjian, maka SCC Pengontrol yang akan berlaku.
8.2 Klausul Komersial Tambahan. Tunduk kepada amendemen dalam Persyaratan Pengontrol ini, Perjanjian tetap berlaku dan memiliki kekuatan hukum penuh. Paragraf 5.5 (Menghubungi Google) hingga 5.7 (Penghapusan Data saat Penghentian), dan paragraf 6 (Kewajiban jika SCC Pengontrol Diberlakukan) dalam Lampiran 1A ini adalah klausul komersial tambahan yang terkait dengan SCC Pengontrol sebagaimana diizinkan oleh Klausul 2(a) (Pengaruh dan Ketetapan Klausul) SCC Pengontrol.
8.3 Tidak Ada Perubahan pada SCC Pengontrol. Tidak ada ketentuan dalam Perjanjian (termasuk Persyaratan Pengontrol ini) yang dimaksudkan untuk mengubah atau menentang SCC Pengontrol atau mengesampingkan hak dasar atau kebebasan subjek data berdasarkan Legislasi Perlindungan Data Eropa.
BAGIAN B - PERSYARATAN TAMBAHAN UNTUK HUKUM PRIVASI NEGARA BAGIAN AMERIKA SERIKAT
1. Pengantar
Google dapat menawarkan dan Pelanggan dapat mengaktifkan setelan tertentu, konfigurasi tertentu, atau fungsi lain dalam produk untuk Layanan Pengukuran yang berkaitan dengan pemrosesan data yang dibatasi, sebagaimana dijelaskan dalam dokumentasi pendukung yang tersedia di business.safety.google/rdp, sebagaimana diperbarui dari waktu ke waktu (“Pemrosesan Data yang Dibatasi”). Lampiran 1B ini mencerminkan perjanjian antarpihak terkait pemrosesan Data Pribadi Pelanggan dan Data yang Dideidentifikasi (sebagaimana dijelaskan di bawah) sesuai dengan Perjanjian sehubungan dengan Hukum Privasi Negara Bagian Amerika Serikat, dan hanya berlaku selama setiap Hukum Privasi Negara Bagian Amerika Serikat diterapkan.
2. Definisi dan Penafsiran Tambahan
Dalam Lampiran 1B ini:
- (a) “Data Pribadi Pelanggan” berarti data pribadi yang diproses oleh Google atas nama Pelanggan dalam penyediaan Layanan Pengukuran Google.
- (b) “Data yang Dideidentifikasi” berarti informasi data yang “dideidentifikasi” (sebagaimana istilah tersebut didefinisikan oleh CCPA) dan “data yang dideidentifikasi” (sebagaimana didefinisikan oleh Hukum Privasi Negara Bagian Amerika Serikat lainnya), saat diungkapkan oleh satu pihak kepada pihak lainnya.
- (c) “Petunjuk” berarti, secara kolektif, petunjuk Pelanggan kepada Google untuk memproses Data Pribadi Pelanggan hanya sesuai dengan Hukum Privasi Negara Bagian Amerika Serikat: (a) untuk menyediakan Layanan RDP dan dukungan teknis terkait; (b) sebagaimana ditentukan lebih lanjut melalui penggunaan Layanan RDP oleh Pelanggan (termasuk di setelan dan fungsi lain Layanan RDP tersebut) dan dukungan teknis terkait; (c) sebagaimana didokumentasikan dalam bentuk Perjanjian, termasuk Lampiran 1B ini; (d) sebagaimana didokumentasikan lebih lanjut dalam petunjuk tertulis lainnya yang diberikan oleh Pelanggan dan yang dikonfirmasi oleh Google sebagai petunjuk untuk tujuan dalam Lampiran 1B ini; dan (e) untuk memproses Data Pribadi Pelanggan sebagaimana diizinkan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat untuk penyedia dan pemroses layanan.
- (d) “Layanan RDP” berarti Layanan Pengontrol yang beroperasi berdasarkan Pemrosesan Data yang Dibatasi.
- (e) "Masa Berlaku" adalah periode sejak Tanggal Mulai Berlaku Persyaratan hingga akhir penyediaan Layanan Pengukuran oleh Google berdasarkan Perjanjian.
- (f) istilah “bisnis”, “konsumen”, “informasi pribadi”, “penjualan”, “menjual”, “penyedia layanan”, dan “bagikan” sebagaimana digunakan dalam Lampiran 1B ini memiliki arti yang diberikan dalam Hukum Privasi Negara Bagian Amerika Serikat.
- Pelanggan sepenuhnya bertanggung jawab atas kepatuhannya terhadap setiap Hukum Privasi Negara Bagian Amerika Serikat dalam penggunaan layanan Google, termasuk Pemrosesan Data yang Dibatasi.
3. Persyaratan Hukum Privasi Negara Bagian Amerika Serikat (berdasarkan Pemrosesan Data yang Dibatasi).
3.1 Pemrosesan Data.
3.1.1
- (a) Tanggung Jawab Pemroses dan Pengontrol. Para pihak memahami dan menyetujui bahwa:
- (i) Paragraf 7 (Materi Pokok dan Detail Pemrosesan Data Berdasarkan Hukum Privasi Negara Bagian Amerika Serikat) Lampiran 1B ini menjelaskan materi pokok dan detail pemrosesan Data Pribadi Pelanggan;
- (ii) Google adalah penyedia dan pemroses layanan Data Pribadi Pelanggan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat; dan
- (iii) Pelanggan adalah pengontrol atau pemroses, sebagaimana berlaku, Data Pribadi Pelanggan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat
- (b) Pelanggan Pemroses. Jika Pelanggan adalah pemroses:
- (i) Pelanggan menjamin secara berkelanjutan bahwa pengontrol yang relevan telah memberi otorisasi terkait: (A) Instruksi, (B) Penunjukan Google oleh Pelanggan sebagai pemroses lain, dan (C) Interaksi Google dengan subkontraktor sebagaimana dijelaskan di paragraf 3.6 (Subkontraktor) dalam Lampiran 1B ini;
- (ii) Pelanggan akan segera meneruskan pemberitahuan apa pun dari Google kepada pengontrol yang relevan berdasarkan paragraf 3.3.2(a) (Notifikasi Insiden) dan 3.6 (Subkontraktor); dan
- (iii) Pelanggan dapat memberikan informasi apa pun yang disediakan oleh Google kepada pengontrol yang relevan berdasarkan paragraf 3.3.3(c) (Hak Audit Pelanggan), dan 3.6 (Subkontraktor).
3.1.2 Petunjuk Pelanggan. Dengan menyepakati Lampiran 1B ini, Pelanggan meminta Google untuk memproses Data Pribadi Pelanggan hanya sesuai dengan Petunjuk.
3.1.3 Kepatuhan Google terhadap Petunjuk. Google akan mematuhi Petunjuk kecuali jika dilarang berdasarkan Hukum Privasi Negara Bagian Amerika Serikat.
3.1.4 Produk Tambahan. Jika Pelanggan menggunakan produk, layanan, atau aplikasi yang disediakan oleh Google atau pihak ketiga yang: (a) bukan bagian dari Layanan RDP; dan (b) dapat diakses untuk digunakan dalam antarmuka pengguna Layanan RDP atau diintegrasikan dengan Layanan RDP (“Produk Tambahan”), Layanan RDP dapat mengizinkan Produk Tambahan tersebut mengakses Data Pribadi Pelanggan sebagaimana diperlukan untuk interoperasi Produk Tambahan dengan Layanan RDP. Agar lebih jelas, Lampiran 1B ini tidak berlaku untuk pemrosesan data pribadi terkait dengan penyediaan Produk Tambahan yang digunakan oleh Pelanggan, termasuk data pribadi yang dikirimkan ke atau dari Produk Tambahan tersebut.
3.2. Penghapusan Data saat Masa Berlaku Berakhir. Pelanggan meminta Google untuk menghapus semua Data Pribadi Pelanggan yang tersisa (termasuk salinan yang ada) dari sistem Google pada akhir Masa Berlaku sesuai dengan hukum yang berlaku. Google akan mematuhi petunjuk ini sesegera mungkin secara wajar dan dalam jangka waktu maksimum 180 hari, kecuali jika hukum yang berlaku mewajibkan penyimpanan.
3.3. Keamanan Data.
3.3.1 Prosedur dan Bantuan Keamanan Google.
- (a) Prosedur Keamanan Google. Google akan menerapkan dan mempertahankan prosedur teknis dan organisasi untuk melindungi Data Pribadi Pelanggan terhadap pemusnahan, kehilangan, perubahan yang tidak disengaja atau melanggar hukum, pengungkapan atau akses yang tidak sah (“Prosedur Keamanan”). Prosedur Keamanan mencakup prosedur: (i) untuk mengenkripsi data pribadi; (ii) untuk membantu memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem dan layanan Google yang berkelanjutan; (iii) untuk membantu memulihkan akses yang tepat waktu ke data pribadi setelah terjadi insiden; dan (iv) untuk pengujian efektivitas secara reguler. Google dapat memperbarui atau memodifikasi Prosedur Keamanan dari waktu ke waktu, asalkan pembaruan dan modifikasi tersebut tidak mengakibatkan degradasi keamanan Data Pribadi Pelanggan secara keseluruhan.
- (b) Akses dan Kepatuhan. Google akan memastikan bahwa semua orang yang diberi wewenang untuk memproses Data Pribadi Pelanggan telah berkomitmen untuk menjaga kerahasiaan atau tunduk pada kewajiban hukum yang sesuai terkait kerahasiaan.
- (c) Bantuan Keamanan Google. Google (dengan mempertimbangkan karakteristik pemrosesan Data Pribadi Pelanggan dan informasi yang tersedia untuk Google) akan membantu Pelanggan dalam memenuhi kewajiban Pelanggan (atau, jika Pelanggan adalah pemroses, kewajiban pengontrol yang relevan) sehubungan dengan keamanan data pribadi dan pelanggaran data pribadi, termasuk kewajiban Pelanggan (atau, jika Pelanggan adalah pemroses, kewajiban pengontrol yang relevan) yang terkait dengan keamanan data pribadi dan pelanggaran data pribadi berdasarkan Hukum Privasi Negara Bagian Amerika Serikat, dengan:
- (i) menerapkan dan mempertahankan Prosedur Keamanan sesuai dengan paragraf 3.3.1(a) (Prosedur Keamanan Google);
- (ii) mematuhi persyaratan paragraf 3.3.2 (Insiden Data); dan
- (iii) menyediakan hak yang diberikan berdasarkan paragraf 3.3.3(c) (Hak Audit Pelanggan) kepada Pelanggan.
3.3.2 Insiden Data.
- (a) Notifikasi Insiden. Jika Google mengetahui adanya Insiden Data (sebagaimana didefinisikan di bawah), Google akan: (i) memberi tahu Pelanggan tentang Insiden Data tersebut tanpa penundaan yang tidak semestinya; dan (ii) segera mengambil langkah-langkah yang wajar untuk meminimalkan kerugian dan mengamankan Data Pribadi Pelanggan. Dalam Lampiran 1B ini, “Insiden Data” berarti pelanggaran keamanan Google yang menyebabkan pemusnahan, kehilangan, perubahan yang tidak disengaja atau melanggar hukum, pengungkapan atau akses yang tidak sah ke, Data Pribadi Pelanggan di sistem yang dikelola oleh atau dikontrol oleh Google. “Insiden Data” tidak akan mencakup upaya atau aktivitas gagal yang tidak membahayakan keamanan Data Pribadi Pelanggan, termasuk kegagalan upaya login, ping, pemindaian port, serangan denial-of-service, dan serangan jaringan lain pada firewall atau sistem berjaringan.
- (b) Pengiriman Notifikasi. Google akan mengirimkan notifikasinya tentang Insiden Data ke alamat email yang ditunjuk oleh Pelanggan, melalui antarmuka pengguna Layanan RDP atau cara lain yang disediakan oleh Google, untuk menerima notifikasi tertentu dari Google terkait dengan Lampiran 1B ini (“Alamat Email Notifikasi”) atau, atas diskresi Google (termasuk jika Pelanggan tidak memberikan Alamat Email Notifikasi), dengan komunikasi langsung lainnya (misalnya, panggilan telepon, email, atau pertemuan langsung). Pelanggan sepenuhnya bertanggung jawab untuk memberikan Alamat Email Notifikasi dan memastikan bahwa Alamat Email Notifikasi masih berlaku dan valid.
- (c) Notifikasi Pihak Ketiga. Pelanggan sepenuhnya bertanggung jawab untuk mematuhi hukum notifikasi insiden yang berlaku untuk Pelanggan dan memenuhi setiap kewajiban notifikasi pihak ketiga yang terkait dengan Insiden Data.
- (d) Tidak Ada Pengakuan Kesalahan dari Google. Notifikasi tentang atau respons atas Insiden Data oleh Google berdasarkan paragraf 3.3.2 (Insiden Data) ini tidak akan ditafsirkan sebagai pengakuan dari Google tentang kesalahan atau kewajiban apa pun terkait Insiden Data.
3.3.3 Tanggung Jawab dan Penilaian Keamanan Pelanggan.
- (a) Tanggung Jawab Keamanan Pelanggan. Pelanggan menyetujui bahwa, tanpa mempertimbangkan kewajiban Google berdasarkan paragraf 3.3.1 (Prosedur dan Bantuan Keamanan Google) dan 3.3.2 (Insiden Data):
- (i) Pelanggan bertanggung jawab atas penggunaan Layanan RDP olehnya, termasuk: (1) memanfaatkan Layanan RDP secara semestinya untuk memastikan tingkat keamanan yang sesuai terhadap risiko terkait Data Pribadi Pelanggan; dan (2) mengamankan kredensial autentikasi akun, sistem, dan perangkat yang digunakan Pelanggan untuk mengakses Layanan RDP; dan
- (ii) Google tidak berkewajiban untuk melindungi Data Pribadi Pelanggan yang dipilih Pelanggan untuk disimpan atau ditransfer di luar sistem Google dan subkontraktornya.
- (b) Penilaian Keamanan Pelanggan. Pelanggan mengakui dan menyetujui bahwa Prosedur Keamanan yang diterapkan dan dipertahankan oleh Google sebagaimana ditetapkan di paragraf 3.3.1(a) (Prosedur Keamanan Google) memberikan tingkat keamanan yang sesuai terhadap risiko terkait Data Pribadi Pelanggan, yang mempertimbangkan kecanggihan, biaya penerapan, dan karakteristik, cakupan, konteks, dan tujuan pemrosesan Data Pribadi Pelanggan serta risikonya terhadap individu.
- (c) Hak Audit Pelanggan.
- (i) Pelanggan dapat melakukan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Lampiran 1B ini dengan meminta dan meninjau (1) sertifikat yang dikeluarkan untuk verifikasi keamanan yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga (misalnya, Sertifikasi SOC 2 Tipe II atau ISO/IEC 27001 atau sertifikasi serupa atau sertifikasi keamanan lainnya dari audit yang dilakukan oleh auditor pihak ketiga yang disetujui oleh Pelanggan dan Google) dalam waktu 12 bulan sejak tanggal permintaan Pelanggan dan (2) semua informasi lain yang menurut Google secara wajar diperlukan Pelanggan untuk memverifikasi kepatuhan tersebut.
- (ii) Atau, Google dapat, atas diskresinya sendiri dan sebagai respons atas permintaan Pelanggan, memulai audit dengan auditor pihak ketiga untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Lampiran 1B ini. Selama audit tersebut, Google akan menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan tersebut kepada auditor pihak ketiga. Jika Pelanggan meminta audit semacam itu, Google dapat mengenakan biaya (berdasarkan harga yang wajar dari Google) untuk audit apa pun. Google akan memberikan detail lebih lanjut kepada Pelanggan terkait biaya apa pun yang berlaku, dan dasar penghitungannya, sebelum audit tersebut dilakukan. Pelanggan akan bertanggung jawab atas semua biaya yang dibebankan auditor pihak ketiga yang ditunjuk oleh Pelanggan untuk melaksanakan audit tersebut.
- (iii) Tidak ada ketentuan apa pun dalam Lampiran 1B ini yang akan mewajibkan Google untuk mengungkapkan kepada Pelanggan atau auditor pihak ketiganya, atau mengizinkan Pelanggan atau auditor pihak ketiganya untuk mengakses:
- (1) data apa pun dari pelanggan lain mana pun di Entitas Google;
- (2) informasi keuangan atau akuntansi internal Entitas Google;
- (3) rahasia dagang Entitas Google;
- (4) informasi yang, menurut opini yang wajar dari Google, dapat: (A) membahayakan keamanan sistem atau lokasi Entitas Google; atau (B) menyebabkan Entitas Google melanggar kewajibannya berdasarkan Hukum Privasi Negara Bagian Amerika Serikat atau kewajiban keamanan dan/atau privasinya terhadap Pelanggan atau pihak ketiga; atau
- (5) informasi yang coba diakses oleh Pelanggan atau auditor pihak ketiganya untuk alasan selain niat baik untuk memenuhi kewajiban Pelanggan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat.
3.4 Bantuan terkait Penilaian Dampak. Google (dengan mempertimbangkan karakteristik pemrosesan Data Pribadi Pelanggan dan informasi yang tersedia untuk Google) akan membantu Pelanggan dalam memenuhi kewajiban Pelanggan (atau, jika Pelanggan adalah pemroses, kewajiban pengontrol yang relevan) sehubungan dengan penilaian dampak perlindungan data dan konsultasi peraturan sebelumnya sejauh yang diwajibkan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat dengan:
- (a) memberikan Dokumentasi Keamanan;
- (b) memberikan informasi yang ada dalam Perjanjian (termasuk Lampiran 1B ini); dan
- (c) memberikan atau menyediakan, sesuai dengan praktik standar Google, materi lain yang berkaitan dengan karakteristik Layanan RDP dan pemrosesan Data Pribadi Pelanggan (misalnya, materi pusat bantuan).
3.5. Hak Subjek Data.
3.5.1 Respons terhadap Permintaan Subjek Data. Jika Google menerima permintaan dari subjek data dalam kaitannya dengan Data Pribadi Pelanggan, Pelanggan memberikan otorisasi kepada Google untuk, dan dengan ini Google memberi tahu Pelanggan bahwa Google akan:
- (a) merespons secara langsung permintaan subjek data sesuai dengan fungsi standar alat (jika ada) yang disediakan oleh Entitas Google untuk subjek data yang memungkinkan Google untuk merespons permintaan tertentu dari subjek data secara langsung dan dengan cara yang standar dalam kaitannya dengan Data Pribadi Pelanggan (misalnya, setelan iklan online atau plugin browser ketidakikutsertaan) (“Alat Subjek Data”) (jika permintaan tersebut dibuat melalui Alat Subjek Data); atau
- (b) memberi tahu subjek data untuk mengirimkan permintaannya kepada Pelanggan, dan Pelanggan akan bertanggung jawab untuk merespons permintaan tersebut (jika permintaan tersebut tidak dibuat melalui Alat Subjek Data).
3.5.2 Bantuan Google terkait Permintaan Subjek Data. Google akan membantu Pelanggan dalam memenuhi kewajibannya (atau, jika Pelanggan adalah pemroses, kewajiban pengontrol yang relevan) berdasarkan Hukum Privasi Negara Bagian Amerika Serikat untuk merespons permintaan untuk melaksanakan hak subjek data, yang dalam semua kasus akan mempertimbangkan karakteristik pemrosesan Data Pribadi Pelanggan dan dengan:
- (a) menyediakan fungsi Layanan RDP;
- (b) mematuhi komitmen yang ditetapkan di paragraf 3.5.1 (Respons terhadap Permintaan Subjek Data); dan
- (c) jika relevan dengan Layanan RDP, menyediakan Alat Subjek Data.
3.5.3 Perbaikan. Jika Pelanggan mengetahui bahwa Data Pribadi Pelanggan tidak akurat atau sudah usang, Pelanggan akan bertanggung jawab untuk memperbaiki atau menghapus data tersebut jika diwajibkan oleh Hukum Privasi Negara Bagian Amerika Serikat, termasuk (jika tersedia) dengan menggunakan fungsi Layanan RDP.
3.6. Subkontraktor.
- (a) Pelanggan secara umum akan memberikan otorisasi kepada Google untuk melibatkan entitas lain sebagai subkontraktor dalam kaitannya dengan ketentuan Layanan RDP. Jika melibatkan subkontraktor, Google akan:
- (i) memastikan melalui kontrak tertulis bahwa: (1) subkontraktor hanya mengakses dan menggunakan Data Pribadi Pelanggan sejauh yang diperlukan untuk melakukan kewajiban yang disubkontrakkan kepadanya, dan melakukannya sesuai dengan Perjanjian (termasuk Lampiran 1B ini); dan (2) jika pemrosesan Data Pribadi Pelanggan tunduk pada Hukum Privasi Negara Bagian Amerika Serikat, kewajiban perlindungan data dalam Lampiran 1B ini dibebankan kepada subkontraktor;
- (ii) jika melibatkan subkontraktor baru, menyampaikan pemberitahuan tentang subkontraktor baru tersebut jika diwajibkan oleh Hukum Privasi Negara Bagian Amerika Serikat, dan, jika diwajibkan oleh Hukum Privasi Negara Bagian Amerika Serikat, selanjutnya akan memberikan peluang bagi Pelanggan untuk mengajukan keberatan terhadap subkontraktor tersebut; dan
- (iii) tetap bertanggung jawab sepenuhnya atas semua kewajiban yang disubkontrakkan kepada, dan semua tindakan serta kelalaian dari, subkontraktor tersebut.
- (b) Pelanggan dapat mengajukan keberatan terhadap subkontraktor baru dengan langsung menghentikan Perjanjian melalui pemberitahuan tertulis kepada Google, dengan ketentuan bahwa Pelanggan menyampaikan pemberitahuan tersebut dalam waktu 90 hari sejak diberi tahu tentang keterlibatan subkontraktor baru tersebut sebagaimana dijelaskan di paragraf 3.6(a)(ii) dalam dokumen ini.
3.7 Menghubungi Google. Pelanggan dapat menghubungi Google dalam kaitannya dengan pelaksanaan haknya berdasarkan Lampiran 1B ini melalui metode yang dijelaskan di privacy.google.com/businesses/processorsupport atau melalui cara lain yang mungkin disediakan oleh Google dari waktu ke waktu.
4. Persyaratan Hukum Privasi Negara Bagian Amerika Serikat
4.1 Data yang Dideidentifikasi. Sehubungan dengan Data Pribadi Pelanggan yang diproses dengan atau tanpa mengaktifkan Pemrosesan Data yang Dibatasi, dan jika satu atau beberapa Hukum Privasi Negara Bagian Amerika Serikat berlaku untuk pemrosesan Data Pribadi Pelanggan, setiap pihak akan mematuhi persyaratan untuk memproses Data yang Dideidentifikasi yang ditetapkan dalam Hukum Privasi Negara Bagian Amerika Serikat, sehubungan dengan Data yang Dideidentifikasi yang diterima oleh salah satu pihak dari pihak lain sesuai dengan Perjanjian. Untuk tujuan paragraf 4.1 (Data yang Dideidentifikasi), Data Pribadi Pelanggan berarti setiap data pribadi yang diproses oleh suatu pihak berdasarkan Perjanjian sehubungan dengan penyediaan atau penggunaan Layanan Pengukuran.
5. Kewajiban CCPA Google.
5.1 Sehubungan dengan Data Pribadi Pelanggan yang diproses berdasarkan Pemrosesan Data yang Dibatasi dan jika CCPA berlaku untuk pemrosesan Data Pribadi Pelanggan tersebut, Google akan bertindak sebagai penyedia layanan Pelanggan, dan dengan demikian, kecuali jika diizinkan bagi penyedia layanan berdasarkan CCPA, sebagaimana ditentukan secara wajar oleh Google:
- (a) Google tidak akan menjual atau membagikan Data Pribadi Pelanggan yang diperolehnya dari Pelanggan sehubungan dengan Perjanjian;
- (b) Google tidak akan menyimpan, menggunakan, atau mengungkapkan Data Pribadi Pelanggan (termasuk di luar hubungan bisnis langsung antara Google dan Pelanggan), selain untuk tujuan bisnis berdasarkan CCPA atas nama Pelanggan dan tujuan khusus untuk melakukan Layanan RDP, sebagaimana dijelaskan lebih lanjut dalam dokumen pendukung yang ada di business.safety.google/rdp, sebagaimana diperbarui dari waktu ke waktu;
- (c) Google tidak akan menggabungkan Data Pribadi Pelanggan yang Google terima dari, atau atas nama, Pelanggan dengan (i) informasi pribadi yang Google terima dari, atau atas nama, orang lain atau (ii) informasi pribadi yang dikumpulkan dari interaksi Google sendiri dengan konsumen, sebagaimana dijelaskan lebih lanjut dalam dokumen pendukung di business.safety.google/rdp kecuali jika diizinkan berdasarkan CCPA;
- (d) Google akan memproses Data Pribadi Pelanggan tersebut untuk tujuan khusus melaksanakan Layanan RDP, sebagaimana dijelaskan lebih lanjut dalam Perjanjian dan dokumentasi pendukung (misalnya, artikel pusat bantuan), atau sebagaimana diizinkan berdasarkan CCPA, dan para pihak menyetujui bahwa Pelanggan menyediakan Data Pribadi Pelanggan tersebut kepada Google untuk tujuan tersebut;
- (e) Google akan mengizinkan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Lampiran 1B ini dalam kaitannya dengan paragraf 3.3.3(c) (Hak Audit Pelanggan) dalam dokumen ini;
- (f) Google akan memberi tahu Pelanggan jika Google membuat keputusan bahwa Google tidak dapat lagi memenuhi kewajibannya berdasarkan CCPA. Paragraf 5.1(f) ini tidak mengurangi hak dan kewajiban salah satu pihak di mana pun dalam Perjanjian;
- (g) Jika Pelanggan secara wajar meyakini bahwa Google memproses Data Pribadi Pelanggan secara tidak sah, Pelanggan berhak memberi tahu Google tentang keyakinan tersebut melalui metode yang dijelaskan di privacy.google.com/businesses/processorsupport, dan para pihak akan bekerja sama dengan niat baik untuk memperbaiki aktivitas pemrosesan yang diduga melanggar, jika diperlukan; dan
- (h) Google akan mematuhi kewajiban yang berlaku berdasarkan CCPA dan akan memberikan tingkat perlindungan privasi yang sama sebagaimana diwajibkan oleh CCPA.
5.2 Sehubungan dengan Data Pribadi Pelanggan yang diproses tanpa mengaktifkan Pemrosesan Data yang Dibatasi, dan jika CCPA berlaku untuk pemrosesan Data Pribadi Pelanggan:
- (a) Google akan memproses Data Pribadi Pelanggan tersebut untuk tujuan khusus dalam menjalankan Layanan Pengukuran, sebagaimana berlaku, sebagaimana dijelaskan lebih lanjut dalam Perjanjian dan dokumentasi pendukung (misalnya, artikel pusat bantuan), atau sebagaimana diizinkan berdasarkan CCPA, dan para pihak setuju bahwa Pelanggan menyediakan Data Pribadi Pelanggan tersebut kepada Google untuk tujuan tersebut;
- (b) Google akan mengizinkan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Lampiran 1B ini dalam kaitannya dengan paragraf 3.3.3(c) (Hak Audit Pelanggan) dalam dokumen ini;
- (c) Google akan memberi tahu Pelanggan jika Google membuat keputusan bahwa Google tidak dapat lagi memenuhi kewajibannya berdasarkan CCPA;
- (d) Jika Pelanggan secara wajar meyakini bahwa Google memproses Data Pribadi Pelanggan secara tidak sah, Pelanggan berhak memberi tahu Google tentang keyakinan tersebut melalui metode yang dijelaskan di privacy.google.com/businesses/processorsupport, dan para pihak akan bekerja sama dengan niat baik untuk memperbaiki aktivitas pemrosesan yang diduga melanggar, jika diperlukan; dan
- (e) Google akan mematuhi kewajiban yang berlaku berdasarkan CCPA dan akan memberikan tingkat perlindungan privasi yang sama sebagaimana diwajibkan oleh CCPA.
6. Perubahan pada Lampiran 1B ini.
Selain Pasal 7 dalam Persyaratan Pengontrol (Perubahan pada Persyaratan Pengontrol ini), sebagaimana berlaku, Google dapat mengubah Lampiran 1B ini tanpa pemberitahuan jika perubahan tersebut (a) didasarkan pada hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah atau (b) tidak berdampak negatif secara materiel terhadap Pelanggan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat, sebagaimana ditentukan secara wajar oleh Google.
7. Materi Pokok dan Detail Pemrosesan Data Berdasarkan Materi Pokok Hukum Privasi Negara Bagian Amerika Serikat
Ketentuan Google tentang Layanan RDP dan dukungan teknis yang terkait kepada Pelanggan.
Durasi Pemrosesan
Masa Berlaku ditambah periode sejak akhir Masa Berlaku sampai penghapusan semua Data Pribadi Pelanggan oleh Google sesuai dengan Lampiran 1B.
Karakteristik dan Tujuan Pemrosesan
Google akan memproses (termasuk, sebagaimana berlaku pada Layanan RDP dan Petunjuk untuk mengumpulkan, merekam, mengatur, menata, menyimpan, mengubah, mengambil, menggunakan, mengungkapkan, menggabungkan, menghapus, dan menghancurkan) Data Pribadi Pelanggan untuk tujuan menyediakan Layanan RDP dan dukungan teknis terkait kepada Pelanggan sesuai dengan Lampiran 1B, atau sebagaimana diizinkan oleh pemroses berdasarkan Hukum Privasi Negara Bagian Amerika Serikat.
Jenis Data Pribadi
Data Pribadi Pelanggan dapat mencakup jenis data pribadi yang dijelaskan berdasarkan Hukum Privasi Negara Bagian Amerika Serikat.
Kategori Subjek Data
Data Pribadi Pelanggan relevan dengan kategori subjek data berikut:
- subjek data yang data pribadinya dikumpulkan oleh Google dalam penyediaan Layanan RDP; dan/atau
- subjek data yang data pribadinya ditransfer ke Google dalam kaitannya dengan Layanan RDP oleh, atas arahan dari, atau atas nama Pelanggan.
Tergantung pada karakteristik Layanan RDP, subjek data ini dapat mencakup individu: (a) yang pernah atau akan menjadi target iklan online; (b) yang pernah mengunjungi situs atau aplikasi tertentu yang Layanan RDP-nya disediakan oleh Google; dan/atau (c) yang merupakan pelanggan atau pengguna produk atau layanan Pelanggan.
Persyaratan Perlindungan Data Pengukuran Google untuk Antar-Pengontrol, Versi 4.0
Versi sebelumnya
