De afnemer van meetdiensten die instemt met deze voorwaarden (Klant) heeft een overeenkomst gesloten met Google of een externe reseller (zoals van toepassing) voor de Levering van de meetdiensten (die van tijd tot tijd kan worden gewijzigd, de Overeenkomst) waarvoor de Klant via de gebruikersinterface van die diensten de Instelling voor gegevens delen heeft aangezet.
Deze Voorwaarden van Google voor de gegevensbescherming door de verwerkingsverantwoordelijke van een account voor meetdiensten en Google ('Voorwaarden voor verwerkingsverantwoordelijke') zijn van toepassing op Google en de Klant. Als de Overeenkomst is gesloten tussen de Klant en Google, vullen deze Voorwaarden voor verwerkingsverantwoordelijken de Overeenkomst aan. Als de Overeenkomst is gesloten tussen de Klant en een externe reseller, vormen deze Voorwaarden voor verwerkingsverantwoordelijken een afzonderlijke overeenkomst tussen Google en Klant.
Ter vermijding van elke twijfel: de levering van de Meetdiensten is onderworpen aan de Overeenkomst. Deze Voorwaarden voor verwerkingsverantwoordelijken beschrijven alleen de bepalingen voor gegevensbescherming die betrekking hebben op de Instelling voor gegevens delen, maar zijn op geen enkele andere wijze van toepassing op de levering van de Meetdiensten.
Onder voorbehoud van Artikel 6.2 (Geen invloed op de Voorwaarden voor verwerkers) treden deze Voorwaarden voor verwerkingsverantwoordelijken in werking en vervangen ze alle eerdere toepasselijke voorwaarden met betrekking tot het onderwerp hiervan vanaf de Ingangsdatum van de Voorwaarden.
Als u deze Voorwaarden voor verwerkingsverantwoordelijken namens een Klant accepteert, garandeert u dat: (a) u alle wettelijke bevoegdheid heeft om de Klant aan deze Voorwaarden voor verwerkingsverantwoordelijken te binden, (b) u deze Voorwaarden voor verwerkingsverantwoordelijken heeft gelezen en begrepen en (c) u namens de Klant akkoord gaat met deze Voorwaarden voor verwerkingsverantwoordelijken. Beschikt u niet over de wettelijke bevoegdheid om de Klant aan deze voorwaarden te binden, ga dan niet akkoord met de Voorwaarden voor verwerkingsverantwoordelijken.
Ga niet akkoord met deze Voorwaarden voor verwerkingsverantwoordelijken als u een reseller bent. Deze Voorwaarden voor verwerkingsverantwoordelijken bepalen de rechten en verplichtingen die van toepassing zijn voor gebruikers van de Meetdiensten en Google.
1. Inleiding
Deze Voorwaarden voor verwerkingsverantwoordelijken weerspiegelen de overeenkomst tussen partijen met betrekking tot de behandeling van Persoonsgegevens van de verwerkingsverantwoordelijke op grond van de Instelling voor gegevens delen.
2. Definities en interpretatie
2.1
In deze Voorwaarden voor verwerkingsverantwoordelijken worden de volgende begrippen gehanteerd:
'Aanvullende voorwaarden': de aanvullende voorwaarden waarnaar wordt verwezen in Bijlage 1, die verklaren dat de partijen overeenstemming hebben bereikt over de voorwaarden voor de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke in verband met bepaalde Toepasselijke wetgeving voor gegevensbescherming.
'Aangesloten entiteit': een entiteit die direct dan wel indirect zeggenschap heeft, wordt beheerd door of valt onder algemeen beheer van een partij.
'Toepasselijke wetgeving voor gegevensbescherming': zoals van toepassing op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke, elke nationale, federale, EU-, staats-, provinciale of andere wetgeving of verordening voor privacy, gegevensbeveiliging of gegevensbescherming, waaronder de Europese wetgeving inzake gegevensbescherming, de LGPD en Privacywetgeving van Amerikaanse staten.
'Vertrouwelijke informatie': deze Voorwaarden voor verwerkingsverantwoordelijken.
'Betrokkene van verwerkingsverantwoordelijke': een betrokkene op wie de Persoonsgegevens van de verwerkingsverantwoordelijke betrekking hebben.
'Persoonsgegevens van de verwerkingsverantwoordelijke': persoonsgegevens die een partij verwerkt in overeenstemming met de Instelling voor gegevens delen.
'Instelling voor gegevens delen': de instelling voor het delen van gegevens die de Klant heeft aangezet via de gebruikersinterface van de Meetdiensten en waardoor Google en hun Aangesloten entiteiten persoonsgegevens kunnen gebruiken om de producten en services van Google en hun Aangesloten entiteiten te verbeteren.
'Eindverwerkingsverantwoordelijke': de uiteindelijke verwerkingsverantwoordelijke voor Persoonsgegevens van de verwerkingsverantwoordelijke voor elke partij.
'AVG van de EU': Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 over de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en over het vrije verkeer van die gegevens, waarmee Richtlijn 95/46/EG werd herroepen.
'Europese wetgeving inzake gegevensbescherming': zoals relevant (a) de AVG en/of (b) de Zwitserse FDPA.
'AVG': zoals relevant (a) de AVG van de EU en/of (b) de GDPR van het Verenigd Koninkrijk.
'Google':
- (a) als een Google-entiteit partij is bij de Overeenkomst, die Google-entiteit.
- (b) als de Overeenkomst tussen de Klant en een externe reseller is en:
- (i) de externe reseller is georganiseerd in Noord-Amerika of in een andere regio buiten Europa, het Midden-Oosten, Afrika, Azië en Oceanië, Google LLC (voorheen bekend als Google Inc.),
- (ii) de externe reseller is georganiseerd in Europa, het Midden-Oosten of Afrika, Google Ireland Limited, of
- (iii) de externe reseller is georganiseerd in Azië en Oceanië, Google Asia Pacific Pte. Ltd.
'Google-entiteit': Google LLC, Google Ireland Limited of een andere Aangesloten entiteit van Google LLC.
'LGPD': de Braziliaanse Algemene verordening gegevensbescherming (Lei Geral de Proteção de Dados Pessoais).
'Meetdiensten': Google Analytics, Google Analytics 360, Google Analytics voor Firebase, Google Optimize of Google Optimize 360, zoals van toepassing op de Instelling voor gegevens delen waarvoor de partijen hebben ingestemd met deze Voorwaarden voor verwerkingsverantwoordelijken.
'Beleid': het Beleid voor toestemming van eindgebruikers van Google op https://www.google.com/about/company/user-consent-policy.html.
'Voorwaarden voor verwerkers':
- (a) de voorwaarden voor verwerkers die beschikbaar zijn op https://business.safety.google/adsprocessorterms, als Google partij is bij de Overeenkomst, of
- (b) als de Overeenkomst tussen de Klant en een externe reseller is en deze voorwaarden uitdrukking geven aan een relatie tussen verwerkingsverantwoordelijke en verwerker (indien van toepassing), zoals overeengekomen tussen de Klant en de externe reseller.
'Zwitserse FDPA': de Federal Data Protection Act van 19 juni 1992 (Zwitserland).
'Ingangsdatum van de voorwaarden': de datum waarop de Klant heeft geklikt om akkoord te gaan of partijen anderszins hebben ingestemd met deze Voorwaarden voor verwerkingsverantwoordelijken.
'Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk': Persoonsgegevens van de verwerkingsverantwoordelijke van Betrokkenen van de verwerkingsverantwoordelijke die zich in het Verenigd Koninkrijk bevinden.
'GDPR van het Verenigd Koninkrijk': de AVG van de EU zoals deze is aangepast voor en opgenomen in de wetgeving van het Verenigd Koninkrijk onder de European Union (Withdrawal) Act 2018 van het Verenigd Koninkrijk, en toepasselijke afgeleide wetgeving die is opgesteld op grond van die Act.
'Privacywetgeving van Amerikaanse staten' heeft de betekenis die u hier vindt.
2.2
De begrippen 'verwerkingsverantwoordelijke', 'betrokkene', 'persoonsgegevens', 'verwerking' en 'verwerker', zoals deze worden gebruikt in deze Voorwaarden voor verwerkingsverantwoordelijken, hebben de betekenis zoals vermeld in (a) de toepasselijke wetgeving voor gegevensbescherming, of (b) zonder deze betekenis of wet, de AVG.
2.3
Alle voorbeelden in deze Voorwaarden voor verwerkingsverantwoordelijken zijn illustratief en zijn niet de enige voorbeelden van een bepaald concept.
2.4
Elke verwijzing naar een juridisch kader, wet of andere wettelijke maatregel is een verwijzing hiernaar zoals van tijd tot tijd gewijzigd of opnieuw uitgevaardigd.
2.5
Voor zover een vertaalde versie van deze Overeenkomst niet overeenstemt met de Engelse versie, is de Engelse versie van toepassing.
2.6
Met verwijzingen in de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken naar de 'Voorwaarden voor gegevensbescherming als verwerkingsverantwoordelijke van Google Ads' wordt bedoeld de Voorwaarden van Google voor de gegevensbescherming door de verwerkingsverantwoordelijke van een account voor meetdiensten en Google.
3. Toepassing van deze Voorwaarden voor verwerkingsverantwoordelijken
3.1 Algemeen
Deze Voorwaarden voor verwerkingsverantwoordelijken zijn alleen van toepassing op de Instelling voor gegevens delen waarvoor de partijen instemmen met deze Voorwaarden voor verwerkingsverantwoordelijken (bijvoorbeeld de Instelling voor gegevens delen waarvoor de klant op deze Voorwaarden voor verwerkingsverantwoordelijken heeft geklikt).
3.2 Duur
Deze Voorwaarden voor verwerkingsverantwoordelijken zijn van toepassing vanaf de Ingangsdatum van de Voorwaarden en worden voortgezet terwijl Google of de Klant de Persoonsgegevens van de verwerkingsverantwoordelijke verwerkt, waarna deze Voorwaarden voor verwerkingsverantwoordelijken automatisch worden beëindigd.
4. Rollen en beperkingen inzake verwerking
4.1 Onafhankelijke verwerkingsverantwoordelijken
Onder voorbehoud van het gestelde in Artikel 4.4 (Eindverwerkingsverantwoordelijken) geldt het volgende. Elke partij:
- (a) is een onafhankelijke verwerkingsverantwoordelijke van Persoonsgegevens van de verwerkingsverantwoordelijke,
- (b) bepaalt afzonderlijk de doeleinden en de middelen van hun verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke, en
- (c) voldoet aan de verplichtingen die voor hen gelden volgens de toepasselijke wetgeving voor gegevensbescherming met betrekking tot de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke.
4.2 Beperkingen aan verwerking
Artikel 4.1 (Onafhankelijke verwerkingsverantwoordelijken) heeft geen invloed op de beperkingen van de rechten van een van beide partijen onder de Overeenkomst om Persoonsgegevens van de verwerkingsverantwoordelijke te gebruiken of anderszins te verwerken.
4.3 Toestemming van de eindgebruiker
De Klant zal zich schikken naar het Beleid met betrekking tot de Persoonsgegevens van de verwerkingsverantwoordelijke die worden gedeeld in overeenstemming met de Instelling voor gegevens delen en draagt te allen tijde de bewijslast dat deze naleving tot stand wordt gebracht.
4.4 Eindverwerkingsverantwoordelijken
Zonder enige beperking van de verplichtingen van beide partijen op grond van deze Voorwaarden voor verwerkingsverantwoordelijken erkent elke partij dat: (a) de Aangesloten entiteiten of klanten van de andere partij Eindverwerkingsverantwoordelijken kunnen zijn en (b) de andere partij kan optreden als verwerker namens de Eindverwerkingsverantwoordelijken. Elke partij zorgt dat hun Eindverwerkingsverantwoordelijken zich schikken naar de Voorwaarden voor verwerkingsverantwoordelijken.
4.5 Transparantie
De Klant erkent dat Google op https://business.safety.google/privacy/ informatie heeft gepubliceerd over de manier waarop Google informatie gebruikt van sites, apps of andere property's die gebruikmaken van hun services. Onverminderd hun verplichtingen op grond van Artikel 4.1(c) kan de Klant linken naar die pagina om Betrokkenen van de verwerkingsverantwoordelijke te voorzien van informatie over de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke door Google.
5. Aansprakelijkheid
5.1
Als Google:
- (a) partij is bij de Overeenkomst en de Overeenkomst onderworpen is aan de wetten van:
- (i) een staat van de Verenigde Staten van Amerika, dan is, ongeacht andere bepalingen in de Overeenkomst, de totale aansprakelijkheid van een van beide partijen jegens de andere partij op grond van of in verband met deze Voorwaarden voor verwerkingsverantwoordelijken beperkt tot het maximale bedrag in geld of een op een betaling gebaseerd bedrag waarop de aansprakelijkheid van de partij onder de Overeenkomst is gelimiteerd (en daarom zijn uitsluitingen van schadeloosstellingsclaims van de beperking van de wettelijke aansprakelijkheid onder deze Overeenkomst niet van toepassing op schadeloosstellingsclaims onder deze Overeenkomst die verband houden met de toepasselijke wetgeving voor gegevensbescherming), of
- (ii) een jurisdictie die geen staat is van de Verenigde Staten van Amerika, dan is de aansprakelijkheid van de partijen op grond van of in verband met deze Voorwaarden voor verwerkingsverantwoordelijken afhankelijk van de uitsluitingen en beperkingen van de wettelijke aansprakelijkheid in de Overeenkomst, of
- (b) geen partij is bij de Overeenkomst, voor zover toegestaan door de toepasselijke wetgeving, is Google niet aansprakelijk voor inkomstenverlies van de Klant, of voor door de Klant geleden indirecte, speciale, incidentele of gevolgschade, en morele of hoge schadevergoeding als sanctie, zelfs als Google of bij Google Aangesloten entiteiten op de mogelijkheid van dergelijke schade zijn gewezen of daarmee bekend waren of hadden moeten zijn, en zelfs als dergelijke schade geen genoegdoening biedt. De totale cumulatieve aansprakelijkheid van Google (en die van hun Aangesloten entiteiten) jegens de Klant of een andere partij voor verlies of schade als gevolg van eisen, schade of acties die voortvloeien uit of verband houden met deze Voorwaarden voor verwerkingsverantwoordelijken, zal niet meer bedragen dan $ 500 (USD).
6. Gevolg van de Voorwaarden voor verwerkingsverantwoordelijken
6.1 Toepassingsvolgorde
Als er sprake is van strijdigheid of inconsistentie tussen de Aanvullende voorwaarden, de rest van deze Voorwaarden voor verwerkingsverantwoordelijken en/of de rest van de Overeenkomst, geldt, met inachtneming van Artikel 4.2 (Beperkingen op de verwerking) en 6.2 (Geen invloed op de Voorwaarden voor verwerkers), de volgende toepassingsvolgorde: (a) de Aanvullende voorwaarden (indien van toepassing), (b) de rest van deze Voorwaarden voor verwerkingsverantwoordelijken, en (c) de rest van de Overeenkomst. Met inachtneming van de amendementen in deze Voorwaarden voor verwerkingsverantwoordelijken blijft de Overeenkomst tussen Google en de Klant volledig van kracht.
6.2 Geen invloed op de Voorwaarden voor verwerkers
Deze Voorwaarden voor verwerkingsverantwoordelijken vervangen en beïnvloeden de Voorwaarden voor verwerkers niet. Ter vermijding van elke twijfel: als de Klant partij is bij de Voorwaarden voor verwerkers in verband met de Meetdiensten, blijven de Voorwaarden voor verwerkers van toepassing op de Meetdiensten, ongeacht het feit dat deze Voorwaarden voor verwerkingsverantwoordelijken van toepassing zijn op de Persoonsgegevens van de verwerkingsverantwoordelijken die worden verwerkt in overeenstemming met de Instelling voor gegevens delen.
7. Wijzigingen in deze Voorwaarden voor verwerkingsverantwoordelijken
7.1 Wijzigingen in de Voorwaarden voor verwerkingsverantwoordelijken
Google kan deze Voorwaarden voor verwerkingsverantwoordelijken wijzigen, indien de wijziging:
- (a) uiting geeft aan een wijziging in de naam of vorm van een juridische entiteit,
- (b) vereist is voor naleving van de toepasselijke wetgeving, toepasselijke verordening, een rechterlijk bevel of richtlijnen die zijn uitgevaardigd door een regelgevende instantie of agentschap van de overheid, of uiting geeft aan het gebruik van een Alternatieve overdrachtsoplossing door Google (zoals gedefinieerd in Bijlage 1A),
- (c) is zoals beschreven in Artikel 7.2 (Wijzigingen in URL's) of
- (d) niet: (i) anderszins probeert de categorisatie van de partijen als verwerkingsverantwoordelijke van Persoonsgegevens van de verwerkingsverantwoordelijke te wijzigen op grond van de Toepasselijke wetgeving voor gegevensbescherming, (ii) het toepassingsgebied uitbreidt of beperkingen opheft voor een van beide partijen om de Persoonsgegevens van de verwerkingsverantwoordelijke te gebruiken of anderszins te verwerken, of (iii) een wezenlijke negatieve invloed heeft op de Klant, zoals redelijkerwijs door Google bepaald.
7.2 Wijzigingen in URL's
Google kan van tijd tot tijd URL's wijzigen waarnaar wordt verwezen in deze Voorwaarden voor verwerkingsverantwoordelijken en de content van dergelijke URL's.
7.3 Melding van wijzigingen
Indien Google deze Voorwaarden voor verwerkingsverantwoordelijken wil wijzigen op grond van Artikel 7.1(b) en deze wijziging wezenlijk nadelige gevolgen heeft voor de Klant, zoals door Google redelijkerwijs bepaald, dan zal Google binnen de grenzen van het handelsverkeer aanvaardbare inspanningen verrichten om de Klant daarover ten minste 30 dagen voordat de wijziging wordt aangebracht te informeren (of een kortere periode zoals vereist kan zijn om te voldoen aan toepasselijke wetgeving, toepasselijke regelgeving, een rechterlijk bevel of richtlijnen uitgevaardigd door een toezichthoudende overheidsinstantie). Als de Klant bezwaar heeft tegen een dergelijke wijziging, kan de Klant de Instelling voor gegevens delen uitzetten.
8. Aanvullende bepalingen
8.1
Dit Artikel 8 (Aanvullende bepalingen) is alleen van toepassing als Google geen partij is bij de Overeenkomst.
8.2
Elke partij voldoet met redelijke vakkundigheid en zorgvuldigheid aan hun verplichtingen onder deze Voorwaarden voor verwerkingsverantwoordelijken.
8.3
Geen van de partijen zal de Vertrouwelijke informatie van de wederpartij gebruiken of bekendmaken zonder voorafgaande schriftelijke toestemming van de wederpartij, behalve als dit nodig is om hun verplichtingen uit hoofde van deze Voorwaarden voor verwerkingsverantwoordelijken na te komen, of indien wetgeving, verordeningen of een rechterlijk bevel dit vereisen. Een partij die aldus wordt gedwongen Vertrouwelijke informatie openbaar te maken, stelt de wederpartij, vóór dergelijke informatie openbaar te maken, hiervan zo vroeg als redelijkerwijs mogelijk in kennis.
8.4
Voor zover toegestaan door de toepasselijke wetgeving en tenzij uitdrukkelijk vermeld in deze Voorwaarden voor verwerkingsverantwoordelijken, geeft Google geen enkele vorm van garantie, hetzij expliciet, impliciet, statutair of anderszins, waaronder, zonder enige beperking, garanties voor verhandelbaarheid, geschiktheid voor een bepaald doel en niet-inbreukmakendheid.
8.5
Geen van de partijen is aansprakelijk voor het niet uitvoeren of vertraagd uitvoeren van enige verplichting voor zover dit het gevolg is van omstandigheden die buiten de redelijke controle van de partij liggen.
8.6
Als blijkt dat een bepaling (of deel van een bepaling) van deze Voorwaarden voor verwerkingsverantwoordelijken ongeldig, onwettig of niet afdwingbaar is, blijft de rest van de Voorwaarden voor verwerkingsverantwoordelijken van kracht.
8.7
(a) Behalve zoals uiteengezet in lid (b) hieronder zijn deze Voorwaarden voor verwerkingsverantwoordelijken onderworpen aan de wetgeving van de staat Californië en dienen zo te worden opgevat zonder verwijzing naar collisieregels. In geval van tegenstrijdigheden tussen buitenlandse wetten, regels en verordeningen en die van Californië, gelden de wetten, regels en verordeningen van Californië. Elke partij verklaart zich te onderwerpen aan de exclusieve en persoonlijke jurisdictie van de rechtbanken in Santa Clara County, Californië (VS). Het Verdrag der Verenigde Naties inzake internationale koopovereenkomsten betreffende roerende zaken en de Amerikaanse Uniform Computer Information Transactions Act zijn niet op deze Voorwaarden voor verwerkingsverantwoordelijken van toepassing.
(b) Als de Overeenkomst is gesloten tussen de Klant en een externe reseller, en de externe reseller is gevestigd in Europa, het Midden-Oosten of Afrika, zijn deze Voorwaarden voor verwerkingsverantwoordelijken onderworpen aan de Engelse wetgeving. Elke partij verklaart zich te onderwerpen aan de exclusieve jurisdictie van de Engelse rechtbanken in relatie tot enig geschil (al dan niet contractueel) dat voortkomt uit of in verband staat met deze Voorwaarden voor verwerkingsverantwoordelijken.
(c) Als deze MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing zijn en heersend recht vaststellen dat verschilt van de wetten die zijn beschreven in lid (a) en (b) hierboven, is het heersend recht zoals beschreven in de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken alleen van toepassing met betrekking tot de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken.
(d) Het Verdrag van de Verenigde Naties inzake internationale koopovereenkomsten van roerende zaken en de Amerikaanse Uniform Computer Information Transactions Act zijn niet op deze Voorwaarden voor verwerkingsverantwoordelijken van toepassing.
8.8
Alle kennisgevingen met betrekking tot beëindiging of schending moeten schriftelijk in het Engels worden gericht aan de juridische afdeling van de andere partij. Het adres voor kennisgevingen aan de juridische afdeling van Google is legal-notices@google.com. Kennisgevingen worden behandeld als gegeven op het moment van ontvangst, te verifiëren aan de hand van een geschreven of geautomatiseerd ontvangstbewijs of een elektronisch logboek (zoals van toepassing).
8.9
Geen van de partijen wordt beschouwd alsof deze heeft afgezien van bepaalde rechten vanwege het niet uitoefenen (of wachten met de uitoefening) van eventuele rechten voortkomend uit deze Voorwaarden voor verwerkingsverantwoordelijken. Geen van de partijen mag enig deel van deze Voorwaarden voor verwerkingsverantwoordelijken overdragen zonder de schriftelijke toestemming van de andere partij, behalve aan een Aangesloten entiteit in gevallen waar: (a) de rechtverkrijgende schriftelijk ermee heeft ingestemd gebonden te zijn aan de voorwaarden van deze Voorwaarden voor verwerkingsverantwoordelijken, (b) de overdragende partij aansprakelijk blijft voor verplichtingen onder de Voorwaarden voor verwerkingsverantwoordelijken als de rechtverkrijgende in gebreke blijft met betrekking tot deze verplichtingen, (c) als het de Klant betreft, de overdragende partij de account(s) voor Meetdiensten heeft overgedragen aan de rechtverkrijgende, en (d) de overdragende partij de andere partij op de hoogte heeft gebracht van de overdracht. Elke andere poging tot toewijzing is ongeldig.
8.10
De partijen zijn onafhankelijke contractanten. Deze Voorwaarden voor verwerkingsverantwoordelijken doen geen agentschap, partnerschap of joint venture ontstaan tussen de partijen. Deze Voorwaarden voor verwerkingsverantwoordelijken geven derden geen voordelen, tenzij uitdrukkelijk staat beschreven dat dit wel het geval is.
8.11
Voor zover wettelijk toegestaan vermelden deze Voorwaarden voor verwerkingsverantwoordelijken alle voorwaarden waarover de partijen overeenstemming hebben bereikt. Geen van de partijen heeft zich bij het aangaan van deze Voorwaarden voor verwerkingsverantwoordelijken gebaseerd op (uit onachtzaamheid dan wel te goeder trouw verstrekte) verklaringen of garanties anders dan uitdrukkelijk vermeld in deze Voorwaarden voor verwerkingsverantwoordelijken en geen van de partijen kan rechten of middelen inroepen op basis van zulke verklaringen of garanties.
Bijlage 1: Aanvullende voorwaarden voor toepasselijke wetgeving voor gegevensbescherming
DEEL A - AANVULLENDE VOORWAARDEN VOOR EUROPESE WETGEVING INZAKE GEGEVENSBESCHERMING
1. Inleiding
Deze Bijlage 1A is alleen van toepassing voor zover de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke.
2. Definities
2.1 In deze Bijlage 1A worden de volgende begrippen gehanteerd:
'Land waarop een gelijkwaardigheidsbeschikking van toepassing is':
- (a) voor gegevens die worden verwerkt volgens de AVG van de EU: de EER, of een land of gebied dat wordt erkend als een land of gebied dat adequate gegevensbescherming waarborgt op grond van de AVG van de EU;
- (b) voor gegevens die worden verwerkt volgens de GDPR van het Verenigd Koninkrijk: het Verenigd Koninkrijk, of een land of gebied dat wordt erkend als een land of gebied dat adequate gegevensbescherming waarborgt op grond van de GDPR van het Verenigd Koninkrijk en de Data Protection Act van 2018; en/of
- (c) voor gegevens die worden verwerkt volgens de FDPA van Zwitserland: Zwitserland, of een land of gebied dat (i) is opgenomen in de lijst van staten waarvan de wetgeving adequate gegevensbescherming waarborgt zoals gepubliceerd door de Zwitserse Federale commissaris voor gegevensbescherming en informatie, of (ii) wordt erkend door de Zwitserse Bondsraad onder de Zwitserse FDPA als een land of gebied dat in alle gevallen adequate gegevensbescherming waarborgt naast een optioneel kader voor gegevensbescherming.
'Alternatieve overdrachtsoplossing': een andere oplossing dan de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken die de wettige overdracht van persoonsgegevens toestaat aan een derde land in overeenstemming met de Europese wetgeving inzake gegevensbescherming, bijvoorbeeld een kader voor gegevensbescherming dat wordt erkend als een kader dat deelnemende entiteiten adequate bescherming biedt.
'MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken': de voorwaarden op business.safety.google/adscontrollerterms/sccs/c2c.
'EER': Europese Economische Ruimte.
'Persoonsgegevens van de verwerkingsverantwoordelijke in Europa': Persoonsgegevens van de verwerkingsverantwoordelijke van Betrokkenen van de verwerkingsverantwoordelijke die zijn gevestigd in de EER of Zwitserland.
'Europese wetgeving': zoals relevant: (a) de wetgeving van de EU of een EU-lidstaat (indien de AVG van de EU van toepassing is op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke), (b) de wetgeving van het Verenigd Koninkrijk of een deel van het Verenigd Koninkrijk (indien de GDPR van het Verenigd Koninkrijk van toepassing is op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke) en (c) de wet van Zwitserland (als de Zwitserse FDPA van toepassing is op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke).
'Eindverwerkingsverantwoordelijken van Google': de Eindverwerkingsverantwoordelijken van Persoonsgegevens van de verwerkingsverantwoordelijke die worden verwerkt door Google.
'Toegestane Europese overdrachten': de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke in of een overdracht van Persoonsgegevens van de verwerkingsverantwoordelijke aan een Land waarop een gelijkwaardigheidsbeschikking van toepassing is.
'Beperkte Europese overdracht(en)': de overdracht(en) van Persoonsgegevens van de verwerkingsverantwoordelijke die (a) onder de Europese wetgeving inzake gegevensbescherming vallen en (b) geen Toegestane Europese overdrachten zijn.
'Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk': Persoonsgegevens van de verwerkingsverantwoordelijke van Betrokkenen van de verwerkingsverantwoordelijke die zich in het Verenigd Koninkrijk bevinden.
2.2 De begrippen gegevensimporteur en gegevensexporteur hebben de betekenis zoals vermeld in de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken.
3. Eindverwerkingsverantwoordelijken van Google
De Eindverwerkingsverantwoordelijken van Google zijn: (i) Google Ireland Limited voor Persoonsgegevens van de verwerkingsverantwoordelijke in Europa die worden verwerkt door Google en (ii) Google LLC voor Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk die worden verwerkt door Google. Elke partij zorgt dat hun Eindverwerkingsverantwoordelijken zich schikken naar de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken, indien van toepassing.
4. Gegevensoverdrachten
4.1 Beperkte Europese overdrachten. Beide partijen kunnen Beperkte Europese overdrachten uitvoeren als dit in overeenstemming is met de bepalingen met betrekking tot Beperkte Europese overdrachten in de Europese wetgeving inzake gegevensbescherming.
4.2 Alternatieve overdrachtsoplossing.
- (a) Als Google een Alternatieve overdrachtsoplossing gebruikt voor Beperkte Europese overdrachten, (i) zorgt Google dat dergelijke Beperkte Europese overdrachten worden uitgevoerd in overeenstemming met die Alternatieve overdrachtsoplossing, en (ii) is lid 5 (MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken) van deze Bijlage 1A niet van toepassing op dergelijke Beperkte Europese overdrachten.
- (b) Als Google geen Alternatieve overdrachtsoplossing gebruikt of de Klant laat weten dat Google geen Alternatieve overdrachtsoplossing meer gebruikt voor Beperkte Europese overdrachten, is lid 5 (MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken) van deze Bijlage 1A van toepassing op dergelijke Beperkte Europese overdrachten.
4.3 Bepalingen ten aanzien van doorgifte.
- (a) Toepassing van Artikel 4.3. Artikel 4.3(b) (Gebruik van Persoonsgegevens van Gegevensprovider) en 4.3(c) (Bescherming van Persoonsgegevens van Gegevensprovider) van deze Bijlage 1A zijn alleen van toepassing voor zover:
- (i) een partij (de 'Gegevensontvanger') Persoonsgegevens van de verwerkingsverantwoordelijke verwerkt die beschikbaar worden gesteld door de andere partij (de 'Gegevensprovider') in verband met de Overeenkomst (de Persoonsgegevens van de verwerkingsverantwoordelijke, 'Persoonsgegevens van de Gegevensprovider'),
- (ii) de Gegevensprovider of hun Aangesloten entiteit is gecertificeerd onder een Alternatieve overdrachtsoplossing, en
- (iii) de Gegevensprovider de Gegevensontvanger schriftelijk in kennis stelt van deze certificering voor Alternatieve overdrachtsoplossingen.
- (b) Gebruik van Persoonsgegevens van de Gegevensprovider.
- (i) Voor zover een toepasselijke Alternatieve overdrachtsoplossing principes van doorgifte bevat, zal de Gegevensontvanger volgens deze principes van doorgifte onder de relevante Alternatieve overdrachtsoplossing de Persoonsgegevens van de Gegevensprovider alleen gebruiken op een manier die overeenkomt met de toestemming die is gegeven door de relevante Betrokkenen van de verwerkingsverantwoordelijke.
- (ii) Voor zover de Gegevensprovider geen toestemming verkrijgt van de Betrokkenen van de verwerkingsverantwoordelijke, zoals vereist onder de Overeenkomst, pleegt de Gegevensontvanger geen inbreuk op Artikel 4.3(b)(i) indien de Gegevensontvanger de Persoonsgegevens van de Gegevensprovider gebruikt volgens de vereiste toestemming.
- (c) Bescherming van Persoonsgegevens van de Gegevensprovider.
- (i) De Gegevensontvanger biedt een beschermingsniveau voor Persoonsgegevens van de Gegevensprovider die minimaal equivalent is aan het vereiste niveau volgens de toepasselijke Alternatieve overdrachtsoplossing.
- (ii) Als de Gegevensontvanger vaststelt dat niet aan Artikel 4.3(c)(i) kan worden voldaan, moet die: (A) de Gegevensprovider schriftelijk in kennis stellen en (B) stoppen met de verwerking van Persoonsgegevens van de Gegevensprovider of redelijke en passende stappen ondernemen om dergelijke niet-naleving te verhelpen.
- (d) Gebruik en certificering van Alternatieve overdrachtsoplossingen. Informatie over het gebruik van of de certificering voor Alternatieve overdrachtsoplossingen door Google en/of hun Aangesloten entiteiten is te vinden op https://policies.google.com/privacy/frameworks. Dit Artikel 4.3(d) vestigt een schriftelijke kennisgeving over de huidige certificeringen van Google en/of hun Aangesloten entiteiten op de Ingangsdatum van de Voorwaarden ten behoeve van Artikel 4.3(a)(iii).
5. MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken
5.1 Overdrachten van Persoonsgegevens van de verwerkingsverantwoordelijke in Europa aan de Klant. Voor zover:
- (a) Google de Persoonsgegevens van de verwerkingsverantwoordelijke in Europa overdraagt aan de Klant, en
- (b) de overdracht een Beperkte Europese overdracht is, wordt de Klant als gegevensimporteur geacht de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken te zijn aangegaan met Google Ireland Limited (de toepasselijke Eindverwerkingsverantwoordelijke van Google) als gegevensexporteur en zijn de overdrachten onderworpen aan de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken.
5.2 Overdrachten van Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk aan de Klant. Voor zover:
- (a) Google de Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk overdraagt aan de Klant, en
- (b) de overdracht een Beperkte Europese overdracht is, wordt de Klant als gegevensimporteur geacht de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken te zijn aangegaan met Google LLC (de toepasselijke Eindverwerkingsverantwoordelijke van Google) als gegevensexporteur en zijn de overdrachten onderworpen aan de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken.
5.3 Overdrachten van Persoonsgegevens van de verwerkingsverantwoordelijke in Europa aan Google. De partijen erkennen dat voor zover de Klant de Persoonsgegevens van de verwerkingsverantwoordelijke in Europa aan Google overdraagt, de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken niet zijn vereist omdat het adres van Google Ireland Limited (de toepasselijke Eindverwerkingsverantwoordelijke van Google) zich bevindt in een Land waarop een gelijkwaardigheidsbeschikking van toepassing is en dergelijke overdrachten Toegestane Europese overdrachten zijn. Dit is niet van invloed op de verplichtingen van Google op grond van Artikel 4.1 (Beperkte Europese overdrachten) van deze Bijlage 1A.
5.4 Overdrachten van Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk aan Google. Als de Klant Persoonsgegevens van de verwerkingsverantwoordelijke in het Verenigd Koninkrijk overdraagt aan Google, wordt de Klant als gegevensexporteur geacht de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken te zijn aangegaan met Google LLC (de toepasselijke Eindverwerkingsverantwoordelijke van Google) als gegevensimporteur en zijn op de overdrachten MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing, omdat het adres van Google LLC zich niet bevindt in een Land waarop een gelijkwaardigheidsbeschikking van toepassing is.
5.5 Contact opnemen met Google; klantinformatie.
- (a) De Klant kan contact opnemen met Google Ireland Limited en/of met Google LLC over de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijke op https://support.google.com/policies/troubleshooter/9009584 of via andere middelen die Google van tijd tot tijd beschikbaar stelt.
- (b) De Klant erkent dat Google op grond van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken verplicht is bepaalde informatie vast te leggen, waaronder (i) de identiteit en contactgegevens van de gegevensimporteur (inclusief alle contactpersonen met verantwoordelijkheid voor gegevensbescherming) en (ii) de technische en organisatorische maatregelen die de gegevensimporteur heeft geïmplementeerd. De Klant verstrekt deze informatie, als daarom wordt gevraagd en zoals van toepassing op de Klant, aan Google via de middelen die Google beschikbaar stelt en zorgt dat alle verstrekte informatie correct en up-to-date is.
5.6 Reageren op verzoeken van betrokkenen. De toepasselijke gegevensimporteur is ervoor verantwoordelijk te reageren op verzoeken van betrokkenen en de toezichthoudende autoriteit over de verwerking van de toepasselijke Persoonsgegevens van de verwerkingsverantwoordelijke door de gegevensimporteur.
5.7 Gegevensverwijdering bij beëindiging. Voor zover:
- (a) Google LLC optreedt als gegevensimporteur en de Klant optreedt als gegevensexporteur op grond van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken; en
- (b) de Klant de Overeenkomst beëindigt in overeenstemming met Clausule 16(c) van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken, verplicht de Klant Google om, in de zin van Clausule 16(d) van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken, Persoonsgegevens van de verwerkingsverantwoordelijke te verwijderen en ondersteunt Google deze verwijdering, tenzij de Europese wetgeving opslag vereist, zodra dit redelijkerwijs mogelijk is (rekening houdend met het feit dat Google een onafhankelijke Verwerkingsverantwoordelijke van deze gegevens is, en de aard en functionaliteit van de Meetdiensten).
6. Aansprakelijkheid als MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing zijn
Als er MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing zijn op grond van Artikel 5 (MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken) van deze Bijlage 1A, is de totale gecombineerde aansprakelijkheid van:
- (a) Google, Google LLC en Google Ireland Limited jegens de Klant, en
- (b) de Klant jegens Google, Google LLC en Google Ireland Limited, op grond van of in verband met de Overeenkomst en de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken samen, onderworpen aan Artikel 5 (Aansprakelijkheid). Clausule 12 van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken heeft geen invloed op de vorige zin.
7. Begunstigde derden
Voor zover Google LLC en/of Google Ireland Limited geen partij zijn bij de Overeenkomst, maar wel partij zijn bij de toepasselijke MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken in overeenstemming met lid 5 (MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken) van deze Bijlage 1A, zijn Google LLC en/of Google Ireland Limited (indien van toepassing) begunstigde derden van Artikel 4.4 (Eindverwerkingsverantwoordelijken), lid 3 (Eindverwerkingsverantwoordelijken van Google), lid 5 (MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken) en lid 6 (Aansprakelijkheid als MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing zijn) van deze Bijlage 1A. Als lid 7 (Begunstigde derden) strijdig of inconsistent is met andere clausules in de Overeenkomst, is lid 7 (Begunstigde derden) van toepassing.
8. Prioriteit
8.1 Als er sprake is van strijdigheid of inconsistentie tussen de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken, deze Bijlage 1A, de rest van deze Voorwaarden voor verwerkingsverantwoordelijken en/of de rest van de Overeenkomst, zijn de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing.
8.2 Aanvullende handelsclausules. Met inachtneming van de in deze Voorwaarden voor Verwerkingsverantwoordelijken aangebrachte wijzigingen blijft de Overeenkomst volledig van kracht. Artikel 5.5 (Contact opnemen met Google) tot en met 5.7 (Gegevensverwijdering bij beëindiging) en Artikel 6 (Aansprakelijkheid als MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken van toepassing zijn) van deze Bijlage 1A zijn aanvullende handelsclausules met betrekking tot de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken zoals toegestaan door Clausule 2(a) (Gevolgen en onveranderlijkheid van de clausules) van de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken.
8.3 Geen wijzigingen van MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken. Niets in de Overeenkomst (met inbegrip van deze Voorwaarden voor verwerkingsverantwoordelijken) is bedoeld om de MCB's (modelcontractbepalingen) voor verwerkingsverantwoordelijken te wijzigen of te weerleggen, of afbreuk te doen aan de fundamentele rechten of vrijheden van betrokkenen op grond van de Europese wetgeving inzake gegevensbescherming.
DEEL B - AANVULLENDE VOORWAARDEN VOOR DE PRIVACYWETGEVING IN DE VS
1. Inleiding
Google kan bepaalde instellingen, configuraties of andere functies in de producten bieden voor de Meetdiensten en de Klant kan deze aanzetten, die betrekking hebben op beperkte gegevensverwerking, zoals beschreven in de ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, zoals die van tijd tot tijd wordt geüpdatet ('Beperkte gegevensverwerking'). Deze Bijlage 1B weerspiegelt de overeenkomst tussen de partijen met betrekking tot de verwerking van Persoonsgegevens van klanten en Gedeïdentificeerde gegevens (zoals hieronder gedefinieerd) in overeenstemming met de Overeenkomst in verband met de Privacywetgeving van Amerikaanse staten en is alleen van kracht voor zover elke Privacywetgeving van Amerikaanse staten van toepassing is.
2. Aanvullende definities en interpretatie
In deze Bijlage 1B worden de volgende begrippen gehanteerd:
- (a) 'Persoonsgegevens van de Klant': persoonsgegevens die door Google worden verwerkt namens de Klant tijdens de levering van Google van Meetdiensten.
- (b) 'Gedeïdentificeerde gegevens': gegevensinformatie die is 'gedeïdentificeerd' (zoals die term is gedefinieerd in de CCPA) en 'gedeïdentificeerde gegevens' (zoals gedefinieerd in andere Privacywetgeving van Amerikaanse staten), indien verstrekt door de ene partij aan de andere.
- (c) 'Instructies': gezamenlijk, de instructies van de Klant aan Google om Persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de Privacywetgeving van Amerikaanse staten: (a) om de BGV-services en eventuele gerelateerde technische support te bieden, (b) zoals nader gespecificeerd door het gebruik van de BGV-services door de Klant (waaronder in de instellingen en andere functionaliteit van dergelijke BGV-services) en eventuele gerelateerde technische support, (c) zoals vastgelegd in de vorm van de Overeenkomst, met inbegrip van deze Bijlage 1B, (d) zoals nader vastgelegd in andere schriftelijke instructies van de Klant en erkend door Google als instructies voor de doeleinden van deze Bijlage 1B, en (e) om Persoonsgegevens van de Klant te verwerken zoals toegestaan volgens de Privacywetgeving van Amerikaanse staten voor serviceproviders en verwerkers.
- (d) 'BGV-services': services van de verwerkingsverantwoordelijke die worden beheerd op basis van Beperkte gegevensverwerking (BGV).
- (e) 'Looptijd': de periode vanaf de Ingangsdatum van de Voorwaarden tot het einde van levering door Google van de Meetdiensten uit hoofde van deze Overeenkomst.
- (f) De termen 'zakelijk', 'consument', 'persoonlijke informatie', 'verkoop', 'verkopen', 'serviceprovider' en 'delen', zoals gebruikt in deze Bijlage 1B, hebben de betekenis die is gegeven in de Privacywetgeving van Amerikaanse staten.
- (g) De Klant is zelf verplicht alle Toepasselijke privacywetgeving van de staten na te leven bij het gebruik van Google-services, waaronder Beperkte gegevensverwerking.
3. Voorwaarden van de Privacywetgeving van Amerikaanse staten (onder Beperkte gegevensverwerking)
3.1 Verwerking van gegevens.
3.1.1
- (a) Verantwoordelijkheden van verwerkers en verwerkingsverantwoordelijken. De partijen erkennen en stemmen ermee in dat:
- (i) Artikel 7 (Onderwerp en details van de Gegevensverwerking onder de Privacywetgeving van Amerikaanse staten) van deze Bijlage 1B het onderwerp en de details beschrijft van de verwerking van Persoonsgegevens van de Klant;
- (ii) Google een serviceprovider en verwerker van Persoonsgegevens van de Klant is op grond van de Privacywetgeving van Amerikaanse staten; en
- (iii) de Klant een verwerkingsverantwoordelijke of een verwerker is, zoals van toepassing, van de Persoonsgegevens van de Klant op grond van de Privacywetgeving van Amerikaanse staten.
- (b) Klanten als verwerkers. Als de Klant een verwerker is:
- (i) garandeert de Klant voortdurend dat de relevante verwerkingsverantwoordelijke autorisatie heeft verleend voor het volgende: (A) de instructies, (B) de benoeming van de Klant door Google als een andere verwerker, en (C) de inzet door Google van subcontractanten zoals beschreven in Artikel 3.6 (Subcontractanten) van deze Bijlage 1B;
- (ii) zal de Klant elke kennisgeving die door Google op grond van Artikel 3.3.2(a) (Incidentmelding) en Artikel 3.6 (Subcontractanten) wordt verstrekt, onmiddellijk doorsturen naar de relevante verwerkingsverantwoordelijke; en
- (iii) kan de Klant informatie die beschikbaar wordt gesteld door Google op grond van Artikel 3.3.3(c) (Controlerechten van de Klant) en Artikel 3.6 (Subcontractanten) aan de relevante verwerkingsverantwoordelijke beschikbaar stellen.
3.1.2 Instructies van de Klant. Door akkoord te gaan met deze Bijlage 1B, instrueert de Klant Google om Persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de instructies.
3.1.3 Naleving van de instructies door Google. Google voldoet aan de instructies, tenzij dit op grond van de Privacywetgeving van Amerikaanse staten verboden is.
3.1.4 Aanvullende producten. Als de Klant een product, service of app van Google of een derde gebruikt die: (a) geen deel uitmaakt van de BGV-services, en (b) toegankelijk is voor gebruik binnen de gebruikersinterface van de BGV-services of anderszins is geïntegreerd met de BGV-services (een 'Aanvullend product'), kunnen de BGV-services dat Aanvullende product toegang geven tot Persoonsgegevens van de Klant zoals vereist voor de interoperabiliteit van het Aanvullende product met de BGV-services. Voor alle duidelijkheid: deze Bijlage 1B is niet van toepassing op de verwerking van persoonsgegevens in verband met de levering van een Aanvullend product dat wordt gebruikt door de Klant, met inbegrip van persoonsgegevens die worden overgedragen aan of vanuit dat Aanvullende product.
3.2. Verwijdering van gegevens na het verstrijken van de Looptijd. De Klant geeft Google opdracht om aan het eind van de Looptijd alle resterende Persoonsgegevens van de Klant (waaronder bestaande kopieën) te verwijderen uit de systemen van Google in overeenstemming met de toepasselijke wetgeving. Google voldoet zo snel als redelijkerwijs mogelijk is en uiterlijk binnen 180 dagen aan deze instructie, tenzij opslag vereist is op grond van de toepasselijke wetgeving.
3.3. Gegevensbeveiliging.
3.3.1 Beveiligingsmaatregelen en hulp van Google.
- (a) De Beveiligingsmaatregelen van Google. Google implementeert technische en organisatorische maatregelen om de Persoonsgegevens van de Klant te beschermen tegen onbedoelde of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang ('Beveiligingsmaatregelen'). De Beveiligingsmaatregelen omvatten maatregelen om: (i) persoonsgegevens te versleutelen, (ii) te zorgen voor een voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en services van Google, (iii) te helpen de tijdige toegang tot persoonsgegevens te herstellen na een incident, en (iv) de effectiviteit regelmatig te testen. Google kan de Beveiligingsmaatregelen van tijd tot tijd updaten of aanpassen, op voorwaarde dat dergelijke updates en aanpassingen niet leiden tot een aantasting van de algehele beveiliging van de Persoonsgegevens van de Klant.
- (b) Toegang en naleving. Google zorgt dat alle personen die gemachtigd zijn om de Persoonsgegevens van de Klant te verwerken, zich hebben verbonden aan vertrouwelijkheid of onder de toepasselijke wettelijke verplichting van vertrouwelijkheid vallen.
- (c) De beveiligingshulp van Google. Google (rekening houdend met de aard van de verwerking van Persoonsgegevens van de Klant en de informatie die voor Google beschikbaar is) helpt de Klant om te voldoen aan de verplichtingen van de Klant (of, als de Klant een verwerker is, de verplichtingen van de betreffende verwerkingsverantwoordelijke) met betrekking tot de beveiliging van persoonsgegevens en inbreuken in verband met persoonsgegevens, inclusief de verplichtingen van de Klant (of, indien de Klant een verwerker is, de verplichtingen van de betreffende verwerkingsverantwoordelijke) met betrekking tot de beveiliging van persoonsgegevens en inbreuken in verband met persoonsgegevens op grond van de Privacywetgeving van Amerikaanse staten, door:
- (i) beveiligingsmaatregelen te implementeren en te behouden op grond van Artikel 3.3.1(a) (Beveiligingsmaatregelen van Google),
- (ii) de voorwaarden in Artikel 3.3.2 (Gegevensincidenten) na te leven, en
- (iii) de Klant de rechten te bieden die worden verleend op grond van Artikel 3.3.3(c) (Controlerechten van de Klant).
3.3.2 Gegevensincidenten.
- (a) Incidentmelding. Als Google kennis neemt van een Gegevensincident (zoals hieronder gedefinieerd), (i) stelt Google de Klant onverwijld op de hoogte van het Gegevensincident, en (ii) onderneemt Google onmiddellijk redelijke stappen om schade te beperken en de Persoonsgegevens van de Klant te beveiligen. In deze Bijlage 1B betekent 'Gegevensincident' een schending van de beveiliging van Google die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot Persoonsgegevens van de Klant op systemen die worden beheerd door of anderszins worden gecontroleerd door Google. 'Gegevensincidenten' omvat geen mislukte pogingen of activiteiten die de beveiliging van persoonsgegevens van Klant niet in gevaar brengen, waaronder mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
- (b) Bezorging van de melding. Google verstrekt aan de Klant een melding van een Gegevensincident op het e-mailadres dat is aangewezen door de Klant, via de gebruikersinterface van de BGV-services of op een andere door Google geleverde manier, om bepaalde meldingen van Google met betrekking tot deze Bijlage 1B ('E-mailadres voor meldingen') of, naar eigen goeddunken van Google (waaronder als de Klant geen e-mailadres voor meldingen heeft verstrekt), via andere rechtstreekse communicatie (zoals een telefoongesprek, e-mailadres of persoonlijke afspraak). De Klant is als enige verantwoordelijk voor het verstrekken van een E-mailadres voor meldingen en voor het actueel en geldig houden van het E-mailadres voor meldingen.
- (c) Meldingen van derden. De Klant is als enige verantwoordelijk voor de naleving van wetgeving voor incidentmelding die van toepassing is op de Klant en voor het nakomen van eventuele verplichtingen van derden voor meldingen met betrekking tot Gegevensincidenten.
- (d) Geen erkenning van schuld door Google. De melding van Google over of een reactie van Google op een Gegevensincident op grond van dit Artikel 3.3.2 (Gegevensincidenten) wordt niet opgevat als een erkenning van Google van schuld of aansprakelijkheid met betrekking tot het Gegevensincident.
3.3.3 Verantwoordelijkheden van de Klant voor beveiliging en beoordeling door de Klant van beveiliging.
- (a) Verantwoordelijkheden van de Klant voor beveiliging. De Klant gaat ermee akkoord dat, onverminderd de verplichtingen van Google op grond van Artikel 3.3.1 (Beveiligingsmaatregelen en hulp van Google) en Artikel 3.3.2 (Gegevensincidenten):
- (i) de Klant verantwoordelijk is voor hun gebruik van de BGV-services, waaronder: (1) correct gebruikmaken van de BGV-services om een beveiligingsniveau te waarborgen dat geschikt is voor het risico met betrekking tot Persoonsgegevens van de Klant, en (2) het beveiligen van de inloggegevens, systemen en apparaten voor accountverificatie die de Klant gebruikt voor toegang tot de BGV-services, en
- (ii) Google niet verplicht is om Persoonsgegevens van de Klant te beschermen die de Klant verkiest op te slaan of over te dragen buiten de systemen van Google en hun subcontractanten.
- (b) Beoordeling van de beveiliging door Klant. De Klant erkent en gaat ermee akkoord dat de Beveiligingsmaatregelen die worden geïmplementeerd en onderhouden door Google zoals uiteengezet in Artikel 3.3.1(a) (Beveiligingsmaatregelen van Google), een beveiligingsniveau bieden dat geschikt is voor het risico met betrekking tot Persoonsgegevens van de Klant, rekening houdend met de stand van de techniek, de implementatiekosten en de aard, reikwijdte, context en doeleinden van de verwerking van Persoonsgegevens van de Klant, evenals de risico's voor individuen.
- (c) Controlerechten van de Klant.
- (i) De Klant kan een controle uitvoeren om te verifiëren of Google heeft voldaan aan hun verplichtingen op grond van deze Bijlage 1B door (1) een certificaat aan te vragen en te controleren dat is uitgegeven voor beveiligingsverificatie en dat het resultaat beschrijft van een controle door een externe controleur (bijv. SOC 2 Type II- of ISO/IEC 27001-certificering of een vergelijkbare certificering, of een andere beveiligingscertificering van een controle door een externe controleur die is overeengekomen door de Klant en Google) binnen 12 maanden na de datum van het verzoek van de Klant, en (2) andere informatie aan te vragen en te controleren waarvan Google heeft bepaald dat de Klant deze redelijkerwijs nodig heeft om dergelijke naleving te verifiëren.
- (ii) Als alternatief kan Google naar eigen goeddunken en als reactie op een verzoek van de Klant een controle door een externe partij starten om te verifiëren of Google voldoet aan hun verplichtingen op grond van deze Bijlage 1B. Tijdens een dergelijke controle stelt Google alle informatie beschikbaar aan de externe controleur die nodig is om deze naleving aan te tonen. Als de Klant een dergelijke controle aanvraagt, kan Google voor elke controle kosten in rekening brengen (op basis van redelijke kosten van Google). Voorafgaand aan een eventuele controle verstrekt Google nadere informatie aan de Klant over eventueel toepasselijke kosten en de basis voor de berekening ervan. Eventuele kosten die in rekening worden gebracht door een externe controleur die door de Klant wordt aangewezen om een dergelijke controle uit te voeren, komen voor rekening van de Klant.
- (iii) Niets in deze Bijlage 1B vereist dat Google het volgende verstrekt aan de Klant of een externe controleur, of de Klant of een externe controleur toegang geeft tot:
- (1) gegevens van een andere klant van een Google-entiteit;
- (2) interne boekhoudkundige of financiële gegevens van een Google-entiteit;
- (3) handelsgeheimen van een Google-entiteit;
- (4) informatie die, naar de redelijke mening van Google, (a) de beveiliging van een systeem of bedrijfslocatie van een Google-entiteit in gevaar kan brengen, of (b) ertoe kan leiden dat een Google-entiteit hun verplichtingen op grond van de Privacywetgeving van Amerikaanse staten of hun verplichtingen met betrekking tot beveiliging en/of privacy jegens de Klant of een derde schendt; of
- (5) informatie waartoe de Klant of de externe controleur toegang wil verkrijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van de Klant op grond van de Privacywetgeving van Amerikaanse staten.
3.4 Hulp bij impactbeoordelingen. Google (rekening houdend met de aard van de verwerking en de informatie die beschikbaar is voor Google) helpt de Klant bij de naleving van de verplichtingen van de Klant (of, indien de Klant een verwerker is, de verplichtingen van de betreffende verwerkingsverantwoordelijke) met betrekking tot gegevensbeschermingseffectbeoordelingen en eerder overleg met toezichthouders voor zover die van vereist zijn op grond van de Privacywetgeving van Amerikaanse staten door:
- (a) de Beveiligingsdocumentatie te verstrekken,
- (b) de informatie in de Overeenkomst (waaronder deze Bijlage 1B) te verstrekken, en
- (c) in overeenstemming met de standaardpraktijken van Google andere materialen over de aard van de BGV-services en de verwerking van Persoonsgegevens van de Klant (zoals helpcentrummateriaal) te verstrekken of anderszins beschikbaar te stellen.
3.5. Rechten van betrokkenen.
3.5.1. Reacties op verzoeken van betrokkenen. Als Google een verzoek van een betrokkene krijgt in verband met Persoonsgegevens van de Klant, machtigt de Klant Google om dit te doen en informeert Google de Klant hierbij dat Google:
- (a) rechtstreeks zal reageren op het verzoek van de betrokkene in overeenstemming met de standaardfunctionaliteit van een instrument (indien aanwezig) die beschikbaar wordt gesteld door een Google-entiteit aan betrokkenen waarmee Google rechtstreeks en op gestandaardiseerde manier kan reageren op bepaalde verzoeken van betrokkenen met betrekking tot Persoonsgegevens van de Klant (bijvoorbeeld instellingen voor online adverteren of een browserplug-in voor afmelden) ('Instrument voor betrokkenen') (indien het verzoek wordt ingediend via een Instrument voor betrokkenen), of
- (b) de betrokkene zal adviseren de aanvraag in te dienen bij de Klant, waarbij de Klant verantwoordelijk is voor het reageren op een dergelijk verzoek (als het verzoek niet is ingediend via een Instrument voor Betrokkenen).
3.5.2 Hulp van Google bij verzoeken van betrokkenen. Google helpt de Klant bij de uitvoering van hun verplichtingen (of, wanneer de Klant een verwerker is, de verplichtingen van de betreffende verwerkingsverantwoordelijke) op grond van de Privacywetgeving van Amerikaanse staten om te voldoen aan verzoeken om de rechten van de betrokkene uit te oefenen, in alle gevallen rekening houdend met de aard van de verwerking van Persoonsgegevens van de Klant en door:
- (a) de functionaliteit van de BGV-services aan te bieden,
- (b) te voldoen aan de verplichtingen die zijn uiteengezet in Artikel 3.5.1 (Reacties op verzoeken van betrokkenen), en
- (c) indien van toepassing op de BGV-services, Instrumenten voor betrokkenen beschikbaar te stellen.
3.5.3. Rectificatie. Als de Klant zich ervan bewust wordt dat de Persoonsgegevens van de Klant onjuist of verouderd zijn, is de Klant verantwoordelijk voor rectificatie of verwijdering van die gegevens indien vereist door de Privacywetgeving van Amerikaanse staten, inclusief (indien beschikbaar) met de functionaliteit van de BGV-services.
3.6. Subcontractanten.
- (a) De Klant geeft Google in het algemeen toestemming om andere entiteiten als subcontractanten in te zetten in verband met de levering van de BGV-services. Als een subcontractant wordt ingezet, zal Google:
- (i) via een schriftelijk contract waarborgen dat: (1) de subcontractant alleen Persoonsgegevens van de Klant opent en gebruikt voor zover vereist is om de verplichtingen die aan de subcontractant zijn uitbesteed, uit te voeren in overeenstemming met de Overeenkomst (met inbegrip van deze Bijlage 1B), en (2) als de verwerking van Persoonsgegevens van de Klant onder de Privacywetgeving van Amerikaanse staten valt, ervoor zorgen dat de verplichtingen voor gegevensbescherming in deze Bijlage 1B worden opgelegd aan de subcontractant;
- (ii) bij de aanstelling van nieuwe subcontractanten een kennisgeving over de nieuwe subcontractanten verstrekken voor zover vereist door de Privacywetgeving van Amerikaanse staten, en, indien vereist door de Privacywetgeving van de Amerikaanse staten, de Klant verder de mogelijkheid bieden om bezwaar te maken tegen dergelijke subcontractanten, en
- (iii) volledig aansprakelijk blijven voor alle verplichtingen die zijn uitbesteed aan, en alle handelingen en nalaten van, de subcontractant.
- (b) De Klant kan bezwaar maken tegen een nieuwe subcontractant door de Overeenkomst zonder opgaaf van reden onmiddellijk te beëindigen middels een schriftelijke kennisgeving aan Google, op voorwaarde dat de Klant een dergelijke kennisgeving indient binnen 90 dagen nadat de Klant op de hoogte is gesteld van de betrokkenheid van de nieuwe subcontractant, zoals beschreven in Artikel 3.6(a)(ii).
3.7 Contact opnemen met Google. De Klant kan contact opnemen met Google in verband met de uitoefening van hun rechten op grond van deze Bijlage 1B via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport of via andere middelen die Google van tijd tot tijd beschikbaar stelt.
4. Voorwaarden van de Privacywetgeving van Amerikaanse staten
4.1 Gedeïdentificeerde gegevens. Met betrekking tot de Persoonsgegevens van de Klant die worden verwerkt terwijl Beperkte gegevensverwerking wel of niet is aangezet, en voor zover een of meer bepalingen van de Privacywetgeving van Amerikaanse staten van toepassing is op de verwerking van Persoonsgegevens van de Klant, voldoet elke partij aan de vereisten voor de verwerking van Gedeïdentificeerde gegevens zoals uiteengezet in de Privacywetgeving van Amerikaanse staten met betrekking tot Gedeïdentificeerde gegevens die de partij van de andere partij ontvangt in overeenstemming met de Overeenkomst. In het kader van dit Artikel 4.1 (Gedeïdentificeerde gegevens) betekent Persoonsgegevens van de Klant alle persoonsgegevens die een partij verwerkt in het kader van de Overeenkomst in verband met de levering of het gebruik van de Meetdiensten.
5. CCPA-verplichtingen van Google
5.1 Met betrekking tot de Persoonsgegevens van de Klant die worden verwerkt onder Beperkte gegevensverwerking en voor zover de CCPA van toepassing is op een dergelijke verwerking van Persoonsgegevens van de Klant, treedt Google op als de serviceprovider van de Klant en als zodanig, tenzij anders toegestaan voor serviceproviders volgens de CCPA, zoals redelijkerwijs bepaald door Google, geldt het volgende:
- (a) Google verkoopt of deelt geen Persoonsgegevens van de Klant die Google verkrijgt van de Klant in verband met de Overeenkomst;
- (b) Google zal de Persoonsgegevens van de Klant (inclusief buiten de rechtstreekse zakelijke relatie tussen Google en de Klant) niet bewaren, openbaar maken of gebruiken, behalve voor zakelijke doeleinden volgens de CCPA namens de Klant en voor het specifieke doel van de uitvoering van de BGV-services, zoals nader beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp and die van tijd tot tijd wordt geüpdatet;
- (c) Google combineert geen Persoonsgegevens van de Klant die Google ontvangt van of namens de Klant met (i) persoonlijke informatie die Google ontvangt van of namens een andere persoon of personen of (ii) persoonlijke informatie die is verzameld uit de eigen interactie van Google met een consument, zoals nader beschreven in de ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, behalve voor zover dit is toegestaan door de CCPA;
- (d) Google verwerkt dergelijke Persoonsgegevens van de Klant voor het specifieke doel om de BGV-services uit te voeren, zoals nader beschreven in de Overeenkomst en ondersteunende documentatie (bijv. Helpcentrum-artikelen) of zoals anderszins is toegestaan volgens de CCPA, en de partijen komen overeen dat de Klant dergelijke Persoonsgegevens van de Klant aan Google beschikbaar stelt voor dergelijke doeleinden;
- (e) Google staat toe dat controles worden uitgevoerd om te bepalen of Google voldoet aan de eigen verplichtingen op grond van deze Bijlage 1B in overeenstemming met Artikel 3.3.3(c) (Controlerechten van de Klant);
- (f) Google stelt de Klant op de hoogte als Google vaststelt dat Google niet meer aan zijn verplichtingen op grond van de CCPA kan voldoen. Dit Artikel 5.1(f) vermindert de rechten en verplichtingen van geen van beide partijen ergens anders in de Overeenkomst;
- (g) Als de Klant redelijkerwijs van mening is dat Google de Persoonsgegevens van de Klant op een ongemachtigde manier verwerkt, heeft de Klant het recht om Google op de hoogte te stellen van een dergelijke overtuiging via de methoden die zijn beschreven op privacy.google.com/businesses/processorsupport. De partijen werken indien nodig te goeder trouw samen om problemen met de vermeend ongeoorloofde verwerkingsactiviteiten op te lossen; en
- (h) Google voldoet aan de toepasselijke verplichtingen volgens de CCPA en biedt hetzelfde niveau van privacybescherming als de CCPA vereist.
5.2 Met betrekking tot de Persoonsgegevens van de Klant die worden verwerkt zonder dat Beperkte gegevensverwerking is aangezet in overeenstemming met de Instelling voor gegevens delen en voor zover de CCPA van toepassing is op de verwerking van Persoonsgegevens van de Klant:
- (a) verwerkt Google dergelijke Persoonsgegevens van de Klant voor het specifieke doel om de Meetdiensten uit te voeren, zoals nader beschreven in de Overeenkomst en ondersteunende documentatie (bijv. Helpcentrum-artikelen) of zoals anderszins is toegestaan volgens de CCPA, en de partijen komen overeen dat de Klant dergelijke Persoonsgegevens van de Klant aan Google beschikbaar stelt voor dergelijke doeleinden;
- (b) staat Google toe dat controles worden uitgevoerd om te bepalen of Google voldoet aan zijn verplichtingen op grond van deze Bijlage 1B in overeenstemming met Artikel 3.3.3(c) (Controlerechten van de Klant);
- (c) stelt Google de Klant op de hoogte als Google vaststelt dat Google niet meer aan zijn verplichtingen op grond van de CCPA kan voldoen;
- (d) Als de Klant redelijkerwijs van mening is dat Google de Persoonsgegevens van de Klant op een ongemachtigde manier verwerkt, heeft de Klant het recht om Google op de hoogte te stellen van een dergelijke overtuiging via de methoden die zijn beschreven op privacy.google.com/businesses/processorsupport. De partijen werken indien nodig te goeder trouw samen om problemen met de vermeend ongeoorloofde verwerkingsactiviteiten op te lossen; en
- (e) Google voldoet aan de toepasselijke verplichtingen volgens de CCPA en biedt hetzelfde niveau van privacybescherming als de CCPA vereist.
6. Wijzigingen in deze Bijlage 1B
In aanvulling op Artikel 7 van de Voorwaarden voor verwerkingsverantwoordelijken (Wijzigingen in deze Voorwaarden voor verwerkingsverantwoordelijken), kan Google deze Bijlage 1B zonder kennisgeving wijzigen als de wijziging (a) is gebaseerd op toepasselijke wetgeving, toepasselijke verordeningen, een rechterlijk bevel of richtlijnen van een regelgevende instantie of overheidsinstantie of (b) geen wezenlijke negatieve gevolgen heeft voor de Klant op grond van de Privacywetgeving van Amerikaanse staten, zoals redelijkerwijs bepaald door Google.
7. Onderwerp en details van de Gegevensverwerking onder de Privacywetgeving van Amerikaanse staten
Levering door Google van de BGV-services en daarmee samenhangende technische support aan de Klant.
Duur van de verwerking
De Looptijd plus de periode vanaf het verstrijken van de Looptijd tot het wissen van alle Persoonsgegevens van Klant door Google in overeenstemming met deze Bijlage 1B.
Aard en doel van de verwerking
Google verwerkt (met inbegrip van, zoals van toepassing op de BGV-services en de Instructies met betrekking tot verzamelen, organiseren, structureren, opslaan, aanpassen, ophalen, gebruiken, openbaar maken, combineren, wissen en vernietigen) Persoonsgegevens van de Klant om de BGV-services en alle gerelateerde technische support aan de Klant te leveren in overeenstemming met Bijlage 1B, of zoals anders is toegestaan door verwerkers onder de Privacywetgeving van Amerikaanse staten.
Typen persoonsgegevens
Persoonsgegevens van de Klant kunnen de typen persoonsgegevens omvatten die worden beschreven in de Privacywetgeving van Amerikaanse staten.
Categorieën van betrokkenen
De Persoonsgegevens van de Klant betreffen de volgende categorieën van betrokkenen:
- betrokkenen over wie Google persoonsgegevens verzamelt bij het verstrekken van de BGV-services, en/of
- betrokkenen over wie persoonsgegevens aan Google worden overgedragen in verband met de BGV-services door, op aanwijzing van, of namens de Klant.
Afhankelijk van de aard van de BGV-services kunnen deze betrokkenen individuen omvatten: (a) op wie internetreclame is gericht of zal worden gericht, (b) die specifieke websites of apps hebben bezocht waarvoor Google de BGV-services levert, en/of (c) die klanten of gebruikers zijn van de producten of services van de Klant.
Voorwaarden van Google voor de gegevensbescherming door de verwerkingsverantwoordelijke van een account voor meetdiensten en Google, versie 4.0