Kunden som benytter seg av måletjenestene og samtykker i disse vilkårene («kunden»), har inngått en avtale med enten Google eller en tredjepartsforhandler (alt etter hva som er aktuelt) om levering av måletjenestene («avtalen», som kan endres fra tid til annen), og kunden har aktivert innstillingen for datadeling fra brukergrensesnittet i disse tjenestene.
Både Google og kunden godtar disse Google-vilkårene knyttet til måling og analyse for behandlingsansvarlige hos Google og kontoeier («vilkårene for behandlingsansvarlige»). I tilfeller der avtalen er inngått mellom kunden og Google, skal disse vilkårene for behandlingsansvarlige supplere avtalen. I tilfeller der avtalen er inngått mellom kunden og en tredjepartsforhandler, utgjør disse vilkårene for behandlingsansvarlige en separat avtale mellom Google og kunden.
For å unngå tvil: Leveringen av målingstjenestene reguleres av avtalen. Disse vilkårene for behandlingsansvarlige inneholder bare de bestemmelsene om databeskyttelse og personvern som er relatert til innstillingen for datadeling. Selve leveringen av måletjenestene omfattes ikke av disse vilkårene.
I henhold til del 6.2 (Ingen innvirkning på vilkårene for databehandlere) skal disse vilkårene for behandlingsansvarlige tre i kraft – og erstatte eventuelle vilkår som måtte gjelde for det aktuelle innholdet – fra vilkårenes iverksettelsesdato.
Hvis du godtar disse vilkårene for behandlingsansvarlige på vegne av kunden, garanterer du (a) at du har full juridisk myndighet til å binde kunden til disse vilkårene for behandlingsansvarlige, (b) at du har lest gjennom og forstått disse vilkårene for behandlingsansvarlige, og (c) at du godtar disse vilkårene for behandlingsansvarlige på vegne av kunden. Hvis du ikke har juridisk myndighet til å binde kunden til dette, skal du ikke godta disse vilkårene for behandlingsansvarlige.
Forhandlere skal ikke godta disse vilkårene for behandlingsansvarlige. Disse vilkårene for behandlingsansvarlige beskriver rettighetene og forpliktelsene som etableres mellom Google og de som bruker målingstjenestene.
1. Innledning
Disse vilkårene for behandlingsansvarlige gjenspeiler de aktuelle partenes avtale om behandling av personopplysninger hos behandlingsansvarlige i henhold til innstillingen for datadeling.
2. Definisjoner og tolkning
2.1
Begreper i disse vilkårene for behandlingsansvarlige:
«Tilleggsvilkår» betyr tilleggsvilkårene som er omtalt i tillegg 1, som gjenspeiler avtalen partene har inngått om vilkårene som regulerer behandlingen av personopplysninger hos behandlingsansvarlige, i forbindelse med gjeldende lovgivning om databeskyttelse og personvern.
«Samarbeidspartner» betyr en enhet som direkte eller indirekte kontrollerer, kontrolleres av eller står under felles kontroll med en av partene.
«Gjeldende lovgivning om databeskyttelse og personvern» betyr, i forbindelse med behandling av personopplysninger hos behandlingsansvarlige, og etter hva som er aktuelt, alle lover og forordninger i EU, på nasjonalt eller føderalt nivå eller delstats- eller provinsnivå, som regulerer personvern, datasikkerhet og databeskyttelse, deriblant europeisk lovgivning om databeskyttelse og personvern, LGPD og personvernlovgivning i amerikanske delstater.
«Konfidensiell informasjon» betyr disse vilkårene for behandlingsansvarlige.
«Registrerte personer som behandles av behandlingsansvarlige» betyr de registrerte personene som får personopplysningene sine behandlet av behandlingsansvarlige.
«Personopplysninger hos behandlingsansvarlige» betyr personopplysninger som behandles av en part i tråd med innstillingen for datadeling.
«Innstilling for datadeling» betyr innstillingen for datadeling som kunden har aktivert via brukergrensesnittet i måletjenestene, og som gir Google og selskapets samarbeidspartnere muligheten til å bruke personopplysninger for å gjøre produktene og tjenestene til Google og samarbeidspartnerne bedre.
«Sluttbehandlingsansvarlig» betyr den endelige behandlingsansvarlige for hver av partene for personopplysninger hos behandlingsansvarlige.
«EUs personvernforordning» betyr Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).
«Europeisk lovgivning om databeskyttelse og personvern» betyr (a) personvernforordningen og/eller (b) Swiss FDPA, alt etter hva som er relevant.
«Personvernforordningen» viser til enten a) EUs personvernforordning og/eller b) Storbritannias personvernforordning, alt etter hva som er relevant.
«Google» betyr følgende:
- a) Hvis en Google-enhet er en part i avtalen: den enheten.
- b) Hvis avtalen inngås mellom kunden og en tredjepartsforhandler, og
- (i) hvis denne tredjeparten er organisert i Nord-Amerika eller en annen region utenfor Europa, Midtøsten, Asia, Afrika eller Oseania: Google LLC (tidligere kalt Google Inc.)
- (ii) hvis denne tredjeparten er organisert i Europa, Afrika eller Midtøsten: Google Ireland Limited
- (iii) denne tredjeparten er organisert i Asia eller Oseania, viser det til Google Asia Pacific Pte. Ltd.
«Google-enhet» betyr Google LLC, Google Ireland Limited eller en hvilken som helst av Google LLCs andre samarbeidspartnere.
«LGPD» betyr lovgivningen om databeskyttelse og personvern i Brasil (Lei Geral de Proteção de Dados Pessoais).
«Måletjenester» betyr Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize eller Google Optimize 360, avhengig av for hvilken innstilling for datadeling partene har inngått avtale om å overholde disse vilkårene for behandlingsansvarlige.
«Retningslinjer» betyr Google-retningslinjene for brukersamtykke, som du finner her: https://www.google.com/about/company/user-consent-policy.html.
«Vilkårene for databehandlere» betyr følgende:
- (a) Hvis Google er en av avtalepartene: vilkårene for databehandlere, som finnes på https://business.safety.google/adsprocessorterms
- (b) Hvis avtalen er mellom kunden og en tredjepartsforhandler: vilkårene i avtalen om forholdet mellom behandlingsansvarlig og databehandler (der dette er aktuelt)
«Swiss FDPA» betyr «Federal Data Protection Act» av 19. juni 1992 (Sveits).
«Vilkårenes iverksettelsesdato» betyr datoen da kunden klikket for å godta, eller datoen da partene på annen måte godtok, disse vilkårene for behandlingsansvarlige.
«Britiske personopplysninger hos behandlingsansvarlige» betyr personopplysninger hos behandlingsansvarlige for registrerte personer som bor i Storbritannia.
«Storbritannias personvernforordning» betyr EUs personvernforordning slik den er endret og innlemmet i Storbritannias lov og rett under UK European Union (Withdrawal) Act 2018 («brexit-loven»), samt gjeldende sekundær lovgivning som er underlagt denne loven.
«Personvernlovgivning i amerikanske delstater» betyr, alt etter hva som er aktuelt, (i) California Consumer Privacy Act fra 2018 (inkludert endringer innført med California Privacy Rights Act fra 2020) sammen med alle implementeringsforskrifter («CCPA»), (ii) Virginia Consumer Data Protection Act, Va. Code Ann. § 59.1-571 et seq., (iii) Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 et seq., (iv) Connecticut's Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015 og (v) Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq.
2.2
Begrepene «behandlingsansvarlig», «registrerte personer» (herunder «den registrerte»), «personopplysninger», «databehandling» og «databehandler» som er brukt i disse vilkårene for behandlingsansvarlige, har den samme betydningen som i (a) gjeldende lovgivning om databeskyttelse og personvern eller (b) personvernforordningen dersom slik betydning eller lovgivning ikke finnes.
2.3
Alle eksemplene i disse vilkårene for behandlingsansvarlige er illustrerende og dekker ikke et gitt konsept i sin helhet.
2.4
Alle henvisninger til juridiske rammeverk, forskrifter eller andre lovbestemmelser refererer til de juridiske bestemmelsene slik de foreligger til enhver tid, med eventuelle endringer eller omskrivninger fra tid til annen.
2.5
Hvis en oversatt versjon av denne avtalen ikke stemmer overens med den engelske versjonen, er det den engelske versjonen som skal legges til grunn.
2.6
Henvisninger i de standard personvernbestemmelsene for behandlingsansvarlige til «vilkår knyttet til databeskyttelse og personvern for behandlingsansvarlige hos Google Ads og kontoeier» skal anses som «Googles vilkår knyttet til måling og analyse for behandlingsansvarlige hos Google og kontoeier».
3. Bruksområde for disse vilkårene for behandlingsansvarlige
3.1 Generelt
Disse vilkårene for behandlingsansvarlige gjelder bare for innstillingen for datadeling som partene har godtatt i disse vilkårene (f.eks. innstillingen for datadeling som kunden har klikket på for å godta disse vilkårene).
3.2 Varighet
Disse vilkårene for behandlingsansvarlige trer i kraft på vilkårenes iverksettelsesdato, og de fortsetter å gjelde så lenge Google eller kunden behandler personopplysninger som behandlingsansvarlig. Når dette ikke skjer lenger, slutter vilkårene automatisk å gjelde.
4. Roller og begrensninger for databehandling
4.1 Uavhengige behandlingsansvarlige
I henhold til del 4.4 (Sluttbehandlingsansvarlige) skal hver part
- (a) regnes som uavhengig behandlingsansvarlig for personopplysninger hos behandlingsansvarlige
- (b) selv fastslå formålene og fremgangsmåtene for behandling av personopplysninger hos behandlingsansvarlige
- (c) overholde forpliktelsene de er underlagt i henhold til gjeldende lovgivning om databeskyttelse og personvern for behandlingen av personopplysninger hos behandlingsansvarlige
4.2 Begrensninger for databehandling
Del 4.1 (Uavhengige behandlingsansvarlige) påvirker ikke noen av partenes rettigheter til å bruke eller på annen måte behandle personopplysninger hos behandlingsansvarlige i henhold til avtalen.
4.3 Samtykke fra sluttbruker
Kunden skal overholde retningslinjene for personopplysninger hos behandlingsansvarlige som deles i henhold til innstillingen for datadeling, og kunden skal til enhver tid kunne dokumentere at retningslinjene overholdes.
4.4 Sluttbehandlingsansvarlige
Uten at noen parts forpliktelser i henhold til disse vilkårene for behandlingsansvarlige reduseres, bekrefter hver part at (a) den andre partens kunder eller samarbeidspartnere kan være sluttbehandlingsansvarlige, og at (b) den andre parten kan opptre som databehandler på vegne av sine sluttbehandlingsansvarlige. Hver part skal selv påse at deres sluttbehandlingsansvarlige overholder vilkårene for behandlingsansvarlige.
4.5 Åpenhet
Kunden bekrefter at Google har publisert informasjon på https://business.safety.google/privacy/ om hvordan Google bruker informasjon fra nettsteder, apper eller andre områder som bruker Googles tjenester. Uten innvirkning på kundens forpliktelser i henhold til del 4.1(c) kan kunden opprette linker til denne siden for å gi informasjon til registrerte personer hos behandlingsansvarlig om Googles behandling av personopplysninger som behandlingsansvarlig.
5. Erstatningsansvar
5.1
Hvis Google
- (a) er en av avtalepartene og avtalen styres av lov og rett i
- (i) en delstat i USA, skal det totale erstatningsansvaret noen part kan være skyldig den andre parten i henhold til eller i forbindelse med disse vilkårene for behandlingsansvarlige, uansett hva annet som måtte fremgå av denne avtalen, være det maksimale penge- eller betalingsbaserte beløpet den aktuelle partens erstatningsansvar er begrenset til i henhold til denne avtalen (derfor gjelder eventuell ekskludering av krav om godtgjørelse knyttet til ansvarsbegrensningene i denne avtalen ikke for godtgjørelseskrav knyttet til gjeldende lovgivning om databeskyttelse og personvern som fremsettes i henhold til avtalen)
- (ii) en virkekrets som ikke er en delstat i USA, er partenes erstatningsansvar i henhold til eller i forbindelse med disse vilkårene for behandlingsansvarlige underlagt ekskluderingene og ansvarsbegrensningene i denne avtalen
- b) ikke er en av avtalepartene, skal Google, i den grad det er tillatt i henhold til gjeldende lov og rett, ikke være ansvarlig for inntekter kunden går glipp av, eller indirekte, spesielle eller tilfeldige skader, følgeskader eller krav om straffeerstatninger kunden måtte pådra seg, selv om Google eller selskapets samarbeidspartnere er informert om, kjente til eller burde ha visst at slike skadeserstatninger ikke utgjør tilfredsstillende kompensasjon Det totale samlede erstatningsansvaret Google (og selskapets samarbeidspartnere) har overfor kunden eller andre parter knyttet til krav, skader eller handlinger som oppstår som følge av eller i forbindelse med disse vilkårene for behandlingsansvarlige, skal ikke overstige USD 500.
6. Virkningen av vilkårene for behandlingsansvarlige
6.1 Prioritet for bestemmelsene
I henhold til del 4.2 (Begrensninger for databehandling) og 6.2 (Ingen innvirkning på vilkårene for databehandlere) skal det gis forrang i denne rekkefølgen ved eventuell konflikt eller avvik mellom tilleggsvilkårene, resten av disse vilkårene for behandlingsansvarlige og/eller resten av avtalen: (a) tilleggsvilkårene (hvis dette er aktuelt), (b) resten av disse vilkårene for behandlingsansvarlige og (c) resten av avtalen. Avtalen mellom Google og kunden har fortsatt full kraft og virkning ved endringer i disse vilkårene for behandlingsansvarlige.
6.2 Ingen innvirkning på vilkårene for databehandlere
Disse vilkårene for behandlingsansvarlige skal verken erstatte eller ha noen innvirkning på noen av vilkårene for databehandlere. For å unngå tvil presiserer vi at hvis kunden er part i vilkårene for databehandlere i forbindelse med måletjenestene, gjelder vilkårene for databehandlere fortsatt for måletjenestene, uavhengig av at disse vilkårene for behandlingsansvarlige gjelder for personopplysninger hos behandlingsansvarlige som er behandlet i henhold til innstillingen for datadeling.
7. Endringer i disse vilkårene for behandlingsansvarlige
7.1 Endringer i vilkårene for behandlingsansvarlige
Google kan endre disse vilkårene for behandlingsansvarlige hvis endringen
- (a) gjenspeiler en endring i navnet på eller formen til en juridisk enhet
- (b) er nødvendig for å overholde gjeldende lov og rett, relevante forordninger, rettskjennelser eller føringer fra statlige organer eller reguleringsmyndigheter, eller hvis den gjenspeiler Googles bruk av en alternativ løsning for overføring av personlige data (som definert i tillegg 1A)
- (c) er som beskrevet i del 7.2 (Endringer i nettadresser) eller
- (d) (i) ikke på andre måter har som formål å endre kategoriseringen av partene som behandlingsansvarlige for personopplysninger i henhold til gjeldende lovgivning om databeskyttelse og personvern, (ii) ikke utvider omfanget av eller fjerner begrensningene for noen parts rett til å bruke eller på andre måter behandle personopplysninger som behandlingsansvarlig eller (iii) ikke, etter Googles rimelige skjønn, har vesentlig negativ innvirkning på kunden
7.2 Endringer i nettadresser
Fra tid til annen kan Google endre nettadresser det henvises til i disse vilkårene for behandlingsansvarlige, og innholdet i disse nettadressene.
7.3 Varsel om endringer
Hvis Google har til hensikt å endre disse vilkårene for behandlingsansvarlige i henhold til del 7.1(b) og den aktuelle endringen får vesentlig negativ innvirkning på kunden (etter Googles rimelige skjønn), skal Google – via kommersielt ansvarlige tiltak – informere kunden om dette minst 30 dager før endringen trer i kraft (eller kortere tid hvis dette kreves i henhold til gjeldende lov og rett, relevante forordninger, rettskjennelser eller føringer fra statlige organer eller reguleringsmyndigheter). Hvis kunden motsetter seg slike endringer, kan kunden slå av innstillingen for datadeling.
8. Tilleggsbestemmelser
8.1
Denne delen (del 8, Tilleggsbestemmelser) gjelder bare når Google ikke er part i avtalen.
8.2
Hver part skal overholde forpliktelsene de er pålagt i henhold til disse vilkårene for behandlingsansvarlige, med rimelig faglig forsvarlig handlemåte og aktsomhet.
8.3
Ingen av partene skal bruke eller videreformidle den andre partens konfidensielle informasjon uten skriftlig forhåndssamtykke til dette, unntatt hvis formålet er å utøve rettigheter eller oppfylle forpliktelser parten har i henhold til disse vilkårene for behandlingsansvarlige, eller hvis det kreves for å overholde lov og rett, forordninger eller rettskjennelser. I slike tilfeller skal den parten som pålegges å videreformidle konfidensiell informasjon, varsle den andre parten i så god tid i forveien som praktisk mulig.
8.4
I den grad det er tillatt i henhold til gjeldende lov og rett, unntatt det som er uttrykkelig beskrevet i disse vilkårene for behandlingsansvarlige, gir Google ingen parter noen form for garantier, verken uttrykkelige, underforståtte, lovfestede eller andre garantier, herunder (uten begrensning) garantier om salgbarhet, egnethet for et bestemt formål eller beskyttelse av immaterielle rettigheter.
8.5
Ingen av partene skal holdes ansvarlig for manglende eller forsinket oppfyllelse i den grad det skyldes forhold som er utenfor partens rimelige kontroll.
8.6
Hvis et hvilket som helst vilkår (eller en del av et vilkår) i disse vilkårene for behandlingsansvarlige anses å være ugyldig, ulovlig eller ikke-gjennomførbart, har resten av vilkårene fremdeles full kraft og virkning.
8.7
(a) Med unntak av det som er beskrevet i del (b) nedenfor, skal disse vilkårene for behandlingsansvarlige styres av og fortolkes i tråd med lovgivningen i delstaten California, uten henvisning til delstatens bestemmelser om motstridende lovprinsipper. Hvis det skulle være noen konflikter mellom utenlandske lover, regler og forskrifter og Californias lover, regler og forskrifter, er det Californias lover, regler og forskrifter som skal ha forrang. Begge parter samtykker i å være underlagt den eksklusive domsmyndigheten til domstolene i Santa Clara County i California. FN-konvensjonen om kontrakter for internasjonale løsørekjøp og UCITA-loven («Uniform Computer Information Transactions Act») gjelder ikke for disse vilkårene for behandlingsansvarlige.
(b) Hvis avtalen inngås mellom kunden og en tredjepartsforhandler som er etablert i Europa, Midtøsten eller Afrika, styres disse vilkårene for behandlingsansvarlige av engelsk lov og rett. Begge parter samtykker i å være underlagt de engelske domstolenes eksklusive jurisdiksjon ved eventuelle tvister (knyttet til forhold i eller utenfor avtalen) som følge av eller forbundet med disse vilkårene for behandlingsansvarlige.
(c) Hvis de standard personvernbestemmelsene for behandlingsansvarlige gjelder og indikerer at gjeldende lov som skal følges, ikke er lovene som er angitt i del (a) og (b) ovenfor, gjelder loven som er indikert i de standard personvernbestemmelsene for behandlingsansvarlige, kun for de standard personvernbestemmelsene for behandlingsansvarlige.
(d) FN-konvensjonen om kontrakter for internasjonale løsørekjøp og UCITA-loven («Uniform Computer Information Transactions Act») gjelder ikke for disse vilkårene for behandlingsansvarlige.
8.8
Alle varsler om oppsigelser eller brudd på de avtalemessige vilkårene må være skriftlige og på engelsk, og de skal sendes til den andre partens juridiske avdeling. Adressen for varsler som sendes til Googles juridiske avdeling, er legal-notices@google.com. Det aktuelle varselet skal behandles som meddelt ved mottak, som bekreftet ved skriftlig eller automatisk mottak eller elektronisk loggføring (etter hva som er aktuelt).
8.9
Ingen av partene anses å ha gitt avkall på noen rettigheter ved ikke å utøve (eller ved å utsette utøvelsen av) noen av rettighetene sine i henhold til disse vilkårene for behandlingsansvarlige. Ingen av partene kan overdra ansvaret som følger av disse vilkårene for behandlingsansvarlige, til en annen part uten den aktuelle partens skriftlige samtykke, unntatt til en samarbeidspartner der a) parten som overtar ansvaret, skriftlig har samtykket i å være bundet av disse vilkårene for behandlingsansvarlige, b) parten som overdrar ansvaret, forblir ansvarlig for forpliktelsene i disse vilkårene for behandlingsansvarlige dersom den andre parten misligholder dem, c) (dersom det er snakk om en kunde) parten som overdrar ansvaret, har overført den eller de aktuelle målingstjenestekontoene sine til parten som overtar ansvaret, og d) parten som overdrar ansvaret, har varslet den andre parten om dette. Alle andre forsøk på overdragelse er uten virkning.
8.10
Partene er uavhengige kontraktører. Disse vilkårene for behandlingsansvarlige medfører ikke noe byråsamarbeid, partnerskap eller fellesforetak mellom partene. Disse vilkårene for behandlingsansvarlige gir ingen fordeler til noen tredjepart med mindre dette er uttrykkelig fastsatt.
8.11
I den grad gjeldende lov og rett tillater det, er alle vilkårene de aktuelle partene godtar seg imellom, spesifisert i disse vilkårene for behandlingsansvarlige. Når partene godtar disse vilkårene for behandlingsansvarlige, har ingen av partene basert seg på, og ingen av partene skal gis rettigheter eller kompensasjon basert på, noen uttalelser, erklæringer eller garantier (uansett om de er gitt uaktsomt eller i god tro), med unntak av dem som uttrykkelig nevnes i disse vilkårene for behandlingsansvarlige.
Tillegg 1: Tilleggsvilkår for gjeldende lovgivning om databeskyttelse og personvern
DEL A – TILLEGGSVILKÅR FOR EUROPEISK LOVGIVNING OM DATABESKYTTELSE OG PERSONVERN
1. Innledning
Dette tillegget (tillegg 1A) gjelder bare i den grad den europeiske lovgivningen om databeskyttelse og personvern regulerer behandlingen av personopplysninger hos behandlingsansvarlige.
2. Definisjoner
2.1 Disse definisjonene gjelder for dette tillegget (tillegg 1A):
«Land med tilstrekkelig personvern»:
- (a) For data som behandles i henhold til EUs personvernforordning, betyr dette EØS eller et land eller territorium man anser at har tilstrekkelig databeskyttelse og personvern i henhold til EUs personvernforordning.
- (b) For data som behandles i henhold til Storbritannias personvernforordning, betyr dette Storbritannia eller et land eller territorium man anser at har tilstrekkelig databeskyttelse og personvern i henhold til Storbritannias personvernforordning og loven om databeskyttelse og personvern av 2018.
- (c) For data som behandles i henhold til Swiss FDPA, betyr dette Sveits eller et land eller territorium som (i) er oppført i listen over stater der lovgivningen gir tilstrekkelig databeskyttelse og personvern i tråd med de føderale bestemmelsene i Sveits om databeskyttelse og personvern og kravene som stilles av informasjonskommissæren, eller som (ii) det sveitsiske Forbundsrådet anser at har tilstrekkelig databeskyttelse og personvern i tråd med Swiss FDPA, og som i begge tilfeller ikke er basert på et valgfritt rammeverk for databeskyttelse og personvern.
«Alternativ overføringsløsning» betyr en annen løsning enn den som er angitt i behandlingsansvarliges SCC-er, som gjør det mulig å overføre personopplysninger lovlig til et tredjeland i samsvar med europeisk lovgivning om databeskyttelse og personvern, for eksempel et rammeverk for databeskyttelse og personvern man anser at gir tilstrekkelig beskyttelse til de berørte enhetene.
«Behandlingsansvarliges SCC-er» betyr vilkårene på business.safety.google/adscontrollerterms/sccs/c2c.
«EØS» betyr Det europeiske økonomiske samarbeidsområdet.
«Europeiske personopplysninger hos behandlingsansvarlige» betyr personopplysninger hos behandlingsansvarlige for registrerte personer som er i EØS eller Sveits.
«Europeisk lov og rett» betyr, avhengig av hva som er aktuelt, (a) lov og rett i EU eller EU-medlemsland (hvis EUs personvernforordning gjelder for behandlingen av personopplysninger hos behandlingsansvarlige), (b) lov og rett i Storbritannia eller deler av Storbritannia (hvis Storbritannias personvernforordning gjelder for behandlingen av personopplysninger hos behandlingsansvarlige) eller (c) lov og rett i Sveits (hvis Swiss FDPA gjelder for behandlingen av personopplysninger hos behandlingsansvarlige).
«Sluttbehandlingsansvarlige hos Google» betyr sluttbehandlingsansvarlige for personopplysninger som behandles av Google.
«Tillatt europeisk overføring» betyr behandling av personopplysninger hos behandlingsansvarlige i, eller overføring av personopplysninger til, et land med tilstrekkelig personvern.
«Begrensede europeiske overføringer» betyr overføring av personopplysninger hos behandlingsansvarlige (a) som er underlagt europeisk lovgivning om databeskyttelse, og (b) som ikke er tillatte europeiske overføringer.
«Britiske personopplysninger hos behandlingsansvarlige» betyr personopplysninger hos behandlingsansvarlige for registrerte personer som bor i Storbritannia.
2.2 Begrepene «dataimportør» og «dataeksportør» har betydningene som er fastsatt i behandlingsansvarliges SCC-er.
3. Sluttbehandlingsansvarlige hos Google
Sluttbehandlingsansvarlige hos Google er (i) Google Ireland Limited for europeiske personopplysninger som behandles av Google, og (ii) Google LLC for britiske personopplysninger som behandles av Google. Hver part skal selv påse at deres egne sluttbehandlingsansvarlige overholder behandlingsansvarliges SCC-er, der dette er relevant.
4. Dataoverføringer
4.1 Begrensede europeiske overføringer. Begge parter kan utføre begrensede europeiske overføringer hvis de overholder bestemmelsene om begrensede overføringer i den europeiske lovgivningen om databeskyttelse og personvern.
4.2 Alternativ overføringsløsning
- (a) Hvis Google bruker en alternativ løsning for overføring av personlige data for begrensede europeiske overføringer, gjelder følgende: (i) Google sørger for at slike begrensede europeiske overføringer gjøres i tråd med den aktuelle alternative løsningen for overføring av personlige data, og (ii) del 5 (Behandlingsansvarliges SCC-er) i dette tillegget (tillegg 1A) gjelder ikke for slike begrensede europeiske overføringer.
- (b) Hvis Google ikke har begynt å bruke, eller hvis Google informerer kunden om at Google ikke lenger kommer til å bruke, en alternativ løsning for overføring av personlige data for begrensede europeiske overføringer, skal del 5 («Behandlingsansvarliges SCC-er») i dette tillegget (tillegg 1A) gjelde for slike begrensede europeiske overføringer.
4.3 Bestemmelser om Onward Transfer
- (a) Bruksområde for del 4.3. Del 4.3(b) (Bruk av personopplysninger fra dataleverandøren) og 4.3(c) (Beskyttelse av personopplysninger fra dataleverandøren) i dette tillegget (tillegg 1A) gjelder bare i den grad
- (i) en part («datamottakeren») behandler personopplysninger hos behandlingsansvarlige som gjøres tilgjengelig av den andre parten («dataleverandøren») i forbindelse med avtalen (slike personopplysninger hos behandlingsansvarlige omtales videre som «personopplysninger fra dataleverandøren»)
- (ii) dataleverandøren eller dennes samarbeidspartner er sertifisert i henhold til en alternativ løsning for overføring av personlige data; og
- (iii) dataleverandøren varsler datamottakeren skriftlig om denne alternative løsningen for overføring av personlige data
- (b) Bruk av personopplysninger fra dataleverandøren
- (i) I den grad en aktuell alternativ løsning for overføring av personlige data inkluderer et Onward Transfer-prinsipp, skal datamottakeren, i henhold til Onward Transfer-prinsippene i den relevante alternative løsningen for overføring av personlige data, bare bruke personopplysninger fra dataleverandøren i tråd med samtykket som er gitt av de relevante registrerte personene hos behandlingsansvarlige.
- (ii) I den grad dataleverandøren ikke får samtykke fra de relevante registrerte personene hos behandlingsansvarlige i henhold til kravene i avtalen, bryter datamottakeren ikke del 4.3(b)(i) hvis hen bruker personopplysninger fra dataleverandøren i tråd med samtykket som kreves.
- (c) Beskyttelse av personopplysninger fra dataleverandøren
- (i) Datamottakeren skal sørge for beskyttelse av personopplysninger fra dataleverandøren på et nivå som minst tilsvarer kravet i den aktuelle alternative løsningen for overføring av personlige data.
- (ii) Hvis datamottakeren ikke kan overholde del 4.3(c)(i), skal datamottakeren (A) varsle dataleverandøren skriftlig og (B) enten avslutte behandlingen av personopplysningene fra dataleverandøren eller iverksette rimelige og hensiktsmessige tiltak for å rette opp i forholdet.
- (d) Innføring og sertifisering av en alternativ overføringsløsning. Du finner informasjon om Googles og/eller Googles samarbeidspartneres innføring og sertifisering av en alternativ overføringsløsning på https://policies.google.com/privacy/frameworks. Denne delen (del 4.3(d)) representerer et skriftlig varsel om Googles og/eller deres samarbeidspartneres gjeldende sertifiseringer på vilkårenes iverksettelsesdato med hensyn til del 4.3(a)(iii).
5. Behandlingsansvarliges SCC-er
5.1 Overføring av europeiske personopplysninger hos behandlingsansvarlige til kunden. I den grad
- (a) Google overfører europeiske personopplysninger hos behandlingsansvarlige til kunden og
- (b) overføringen er en begrenset europeisk overføring, skal kunden, som dataimportør, anses å ha inngått en avtale om behandlingsansvarliges SCC-er med Google Ireland Limited (den aktuelle sluttbehandlingsansvarlige hos Google) som dataeksportør, og overføringene skal være underlagt behandlingsansvarliges SCC-er.
5.2 Overføring av britiske personopplysninger hos behandlingsansvarlige til kunden. I den grad
- (a) Google overfører britiske personopplysninger hos behandlingsansvarlige til kunden og
- (b) overføringen er en begrenset europeisk overføring, skal kunden, som dataimportør, anses å ha inngått en avtale om behandlingsansvarliges SCC-er med Google LLC (den aktuelle sluttbehandlingsansvarlige hos Google) som dataeksportør, og overføringene skal være underlagt behandlingsansvarliges SCC-er.
5.3 Overføring av europeiske personopplysninger hos behandlingsansvarlige til Google. Partene bekrefter at i den grad kunden overfører europeiske personopplysninger hos behandlingsansvarlige til Google, kreves ikke behandlingsansvarliges SCC-er, fordi adressen til Google Ireland Limited (den aktuelle sluttbehandlingsansvarlige hos Google) er i et land med tilstrekkelig personvern, og fordi slike overføringer regnes som tillatte europeiske overføringer. Dette har ingen innvirkning på Googles forpliktelser i henhold til del 4.1 (Begrensede europeiske overføringer) i dette tillegget (tillegg 1A).
5.4 Overføring av britiske personopplysninger hos behandlingsansvarlige til Google. I den grad kunden overfører britiske personopplysninger hos behandlingsansvarlige til Google, skal kunden, som dataeksportør, anses å ha inngått en avtale om behandlingsansvarliges SCC-er med Google LLC (den aktuelle sluttbehandlingsansvarlige hos Google) som dataimportør, og overføringene blir underlagt behandlingsansvarliges SCC-er, siden adressen til Google LLC ikke er i et land med tilstrekkelig personvern.
5.5 Kontakt med Google, kundeinformasjon.
- (a) Kunden kan kontakte Google Ireland Limited og/eller Google LLC i forbindelse med behandlingsansvarliges SCC-er på https://support.google.com/policies/troubleshooter/9009584 eller via andre kanaler Google fra tid til annen opplyser om.
- (b) Kunden bekrefter at Google er pålagt å registrere visse opplysninger i henhold til behandlingsansvarliges SCC-er, herunder (i) identiteten og kontaktinformasjonen til dataimportøren (inkludert kontaktpersonen som har ansvar for databeskyttelse og personvern) og (ii) de tekniske eller organisatoriske tiltakene som dataimportøren har implementert. Der det er bedt om det, og i den grad det er aktuelt for kunden, skal kunden derfor oppgi denne informasjonen til Google via kanaler Google opplyser om, og kunden skal påse at all informasjon som sendes inn, er presis og oppdatert.
5.6 Svar på henvendelser fra registrerte personer. Den aktuelle dataimportøren er ansvarlig for å svare på henvendelser fra registrerte personer og tilsynsmyndighetene om behandlingen av de aktuelle personopplysningene som skal behandles av dataimportøren (som behandlingsansvarlig).
5.7 Sletting av data ved oppsigelse. I den grad
- (a) Google LLC fungerer som dataimportør og kunden fungerer som dataeksportør i henhold til behandlingsansvarliges SCC-er, og
- (b) kunden sier opp avtalen i henhold til klausul 16(c) i behandlingsansvarliges SCC-er, ber kunden Google, med formålene i klausul 16(d) i behandlingsansvarliges SCC-er, om å slette personopplysninger hos behandlingsansvarlige, og hvis ikke europeiske lover krever lagring, skal Google så snart som rimelig mulig legge til rette for sletting av disse opplysningene i den grad dette er rimelig mulig (det må tas høyde for at Google er en uavhengig behandlingsansvarlig for slike data, samt for arten av og funksjonaliteten i måletjenestene).
6. Erstatningsansvar hvis behandlingsansvarliges SCC-er gjelder
Hvis behandlingsansvarliges SCC-er gjelder i henhold til del 5 (Behandlingsansvarliges SCC-er) i dette tillegget (tillegg 1A), skal det samlede erstatningsansvaret
- (a) Google, Google LLC og Google Ireland Limited har overfor kunden, og
- (b) kunden har overfor Google, Google LLC og Google Ireland Limited i henhold til eller i forbindelse med avtalen eller behandlingsansvarliges SCC-er, underlagt del 5 (Erstatningsansvar). Klausul 12 under «Behandlingsansvarliges SCC-er» har ingen innvirkning på den foregående setningen.
7. Tredjepartsbegunstigede
Hvis Google LLC og/eller Google Ireland Limited ikke er part i avtalen, men er part i de aktuelle behandlingsansvarliges SCC-er i henhold til del 5 (Behandlingsansvarliges SCC-er) i dette tillegget (tillegg 1A), skal Google LLC og/eller Google Ireland Limited (etter hva som er aktuelt) være tredjepartsbegunstigede i henhold til del 4.4 (Sluttbehandlingsansvarlige), del 3 (Sluttbehandlingsansvarlige hos Google), del 5 (Behandlingsansvarliges SCC-er) og del 6 (Erstatningsansvar hvis behandlingsansvarliges SCC-er gjelder) i dette tillegget (tillegg 1A). I den grad denne delen (del 7, Tredjepartsbegunstigede) er i strid med eller avviker fra noen annen klausul i denne avtalen, gjelder denne delen (del 7, Tredjepartsbegunstigede).
8. Forrang
8.1 Ved konflikt eller avvik mellom behandlingsansvarliges SCC-er, dette tillegget (tillegg 1A), resten av disse vilkårene for behandlingsansvarlige og/eller resten av avtalen, har behandlingsansvarliges SCC-er forrang.
8.2 Kommersielle tilleggsklausuler. Ved endringer i disse vilkårene for behandlingsansvarlige har avtalen fortsatt full kraft og virkning. Del 5.5 (Kontakt med Google) til og med del 5.7 (Sletting av data ved oppsigelse) og del 6 (Erstatningsansvar hvis behandlingsansvarliges SCC-er gjelder) i dette tillegget (tillegg 1A) er kommersielle tilleggsklausuler relatert til behandlingsansvarliges SCC-er i tråd med klausul 2(a) (Effect and invariability of the Clauses) i behandlingsansvarliges SCC-er.
8.3 Ingen endring av behandlingsansvarliges SCC-er. Ingenting i denne avtalen (herunder disse vilkårene for behandlingsansvarlige) har som formål å endre eller være i strid med behandlingsansvarliges SCC-er eller svekke de grunnleggende rettighetene eller frihetene til registrerte personer i henhold til europeisk lovgivning om databeskyttelse og personvern.
DEL B – TILLEGGSVILKÅR FOR PERSONVERNLOVGIVNING I AMERIKANSKE DELSTATER
1. Innledning
Google kan tilby og kunden kan aktivere visse innstillinger, konfigurasjoner eller andre funksjoner knyttet til begrenset databehandling i måletjenester, som beskrevet i tilleggsdokumentasjonen på business.safety.google/rdp, som oppdateres fra tid til annen («begrenset databehandling»). Dette tillegget (tillegg 1B) gjenspeiler partenes avtale om behandling av kunders personopplysninger og avidentifiserte data (slik dette er definert nedenfor) i henhold til avtalen i forbindelse med personvernlovgivning i amerikanske delstater og er bare gyldig i den grad den enkelte lovgivningen i amerikanske delstater gjelder.
2. Flere definisjoner og tolkning
Disse definisjonene gjelder for dette tillegget (tillegg 1B):
- (a) «Kundens personopplysninger» betyr personopplysninger som behandles av Google på vegne av kunden i forbindelse med måletjenestene Google utfører.
- (b) «Avidentifiserte data» er datainformasjon som er «avidentifisert» (definert som «deidentified» i CCPA og «de-identified data» i annen personvernlovgivning i amerikanske delstater) ved formidling av data fra den ene parten den andre.
- (c) «Instrukser» betyr, samlet, kundens instrukser til Google om bare å behandle kundens personopplysninger i samsvar med personvernlovgivning i amerikanske delstater (a) for å tilby begrensede databehandlingstjenester og eventuell relatert teknisk brukerstøtte, (b) som videre spesifisert gjennom kundens bruk av begrensede databehandlingstjenester (deriblant innstillingene og annen funksjonalitet i de aktuelle begrensede databehandlingstjenestene) og eventuell relatert teknisk brukerstøtte, (c) slik det er dokumentert i avtalen, inkludert dette tillegget (tillegg 1B), (d) som videre dokumentert i eventuelle andre skriftlige instrukser gitt av kunden og bekreftet av Google som instrukser i henhold til dette tillegget (tillegg 1B), og (e) for å behandle kundens personopplysninger i tråd med personvernlovgivning i amerikanske delstater for tjenesteleverandører og databehandlere.
- (d) «Begrensede databehandlingstjenester» betyr tjenester underlagt begrenset databehandling hos behandlingsansvarlige.
- (e) «Gyldighetsperiode» betyr perioden fra vilkårenes iverksettelsesdato til tidspunktet når Google slutter å levere måletjenestene i henhold til avtalen.
- (f) Begrepene «bedrift», «forbruker», «personopplysninger», «salg», «selge», «tjenesteleverandør» og «dele» slik de brukes i dette tillegget (tillegg 1B), har betydningen som er fastsatt i personvernlovgivning i amerikanske delstater.
- (g) Kunden har eneansvar for å overholde all personvernlovgivning i amerikanske delstater i bruken av Google-tjenester, inkludert begrenset databehandling.
3. Vilkår i personvernlovgivning i amerikanske delstater (under «Begrenset databehandling»)
3.1 Databehandling
3.1.1
- (a) Ansvaret til databehandler og behandlingsansvarlige. Partene bekrefter og godtar at
- (i) del 7 (Innhold og detaljer i databehandlingen i henhold til personvernlovgivning i amerikanske delstater) i dette tillegget (tillegg 1B) beskriver innholdet og detaljene i behandlingen av kundens personopplysninger
- (ii) Google er tjenesteleverandør og databehandler av kundens personopplysninger i henhold til personvernlovgivning i amerikanske delstater
- (iii) kunden er behandlingsansvarlig eller databehandler, etter hva som er aktuelt, av kundens personopplysninger i henhold til personvernlovgivning i amerikanske delstater
- (b) Kunder som er databehandlere. Hvis kunden er databehandler
- (i) garanterer kunden til enhver tid at den aktuelle behandlingsansvarlige har godkjent (A) instruksene, (B) at kunden har pekt ut Google som annen databehandler, og (C) Googles bruk av underleverandører, slik dette er beskrevet i del 3.6 (Underleverandører) i dette tillegget (tillegg 1B)
- (ii) skal kunden umiddelbart videreformidle alle varsler fra Google i henhold til del 3.3.2(a) (Varsler om hendelser) og 3.6 (Underleverandører) til den aktuelle behandlingsansvarlige
- (iii) skal kunden gjøre all informasjon fra Google i henhold til del 3.3.3(c) (Kundens revisjonsrettigheter) og 3.6 (Underleverandører) tilgjengelig for den aktuelle behandlingsansvarlige
3.1.2 Kundens instrukser. Ved å samtykke i vilkårene i dette tillegget (tillegg 1B) ber kunden Google om å behandle kundens personopplysninger bare i samsvar med instruksene.
3.1.3 Googles overholdelse av instrukser. Google skal følge instruksene med mindre de bryter med personvernlovgivning i amerikanske delstater.
3.1.4 Tilleggsprodukter. Hvis kunder bruker produkter, tjenester eller apper som leveres av Google eller en tredjepart, (a) som ikke inngår i de begrensede databehandlingstjenestene, og (b) som er tilgjengelige for bruk i brukergrensesnittet for de begrensede databehandlingstjenestene eller integrert i disse tjenestene på en annen måte (et «tilleggsprodukt»), kan de begrensede databehandlingstjenestene tillate at det andre produktet får tilgang til kundens personopplysninger i den grad dette kreves for å sikre interaksjon mellom tilleggsproduktet og de begrensede databehandlingstjenestene. Vær oppmerksom på at dette tillegget (tillegg 1B) ikke gjelder for behandling av personopplysninger i forbindelse med levering av tilleggsprodukter kunden bruker, deriblant personopplysninger som overføres til eller fra tilleggsproduktet.
3.2. Sletting av data når gyldighetsperioden utløper. Kunden gir Google instruks om å slette alle gjenværende forekomster av kundens personopplysninger (deriblant kopier) fra Googles systemer ved gyldighetsperiodens utløp i henhold til gjeldende lov og rett. Google skal følge denne instruksen så raskt som praktisk mulig og senest innen 180 dager, med mindre den gjeldende lovgivningen krever at personopplysningene lagres.
3.3. Datasikkerhet
3.3.1 Googles sikkerhetstiltak og bistand
- (a) Googles sikkerhetstiltak. Google skal implementere og videreføre tekniske og organisatoriske tiltak for å beskytte kundens personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap, endring, ulovlig videreformidling og tilgang («sikkerhetstiltak»). Eksempler på slike sikkerhetstiltak er (i) å kryptere personopplysninger, (ii) å sikre kontinuerlig taushetsplikt, integritet, tilgjengelighet og robusthet i Googles systemer og tjenester, (iii) å bidra til å gjenopprette tilgangen til personopplysninger innen rimelig tid etter en hendelse og (iv) å gjennomføre regelmessige effektivitetstester. Google kan fra tid til annen oppdatere eller endre sikkerhetstiltakene så lenge de aktuelle oppdateringene og endringene ikke svekker det generelle beskyttelsesnivået for kundens personopplysninger.
- (b) Tilgang og overholdelse av regler. Google skal sørge for at alle personer som har autorisasjon til å behandle kundens personopplysninger, er underlagt taushetsplikt eller nødvendige lovfestede forpliktelser knyttet til taushetsplikt.
- (c) Bistand fra Google i forbindelse med sikkerhet. Google skal (på grunnlag av arten av behandlingen av kundens personopplysninger og informasjonen Google har tilgang til) hjelpe kunden med å oppfylle kundens (eller hvis kunden er databehandler, den aktuelle behandlingsansvarliges) forpliktelser med hensyn til beskyttelse av personopplysninger og brudd på personopplysningsloven, inkludert kundens (eller hvis kunden er databehandler, den aktuelle behandlingsansvarliges) forpliktelser knyttet til beskyttelse av personopplysninger og brudd på personopplysningsloven i henhold til personvernlovgivning i amerikanske delstater, ved
- (i) å implementere og videreføre sikkerhetstiltakene i henhold til del 3.3.1(a) (Googles sikkerhetstiltak)
- (ii) å overholde vilkårene i del 3.3.2 (Datahendelser)
- (iii) å gi kunden rettighetene i henhold til del 3.3.3(c) (Kundens revisjonsrettigheter)
3.3.2 Datahendelser
- (a) Varsler om hendelser. Hvis Google blir oppmerksom på en datahendelse (slik dette er definert nedenfor), skal Google (i) varsle kunden om datahendelsen uten unødige forsinkelser og (ii) raskt sette i verk rimelige tiltak for å redusere skadene til et minimum og beskytte kundens personopplysninger. I dette tillegget (tillegg 1B) betyr «datahendelse» et sikkerhetsbrudd hos Google som resulterer i utilsiktet eller ulovlig ødeleggelse av, tap av, endring av, uautorisert videreformidling av eller uautorisert tilgang til kundens personopplysninger på systemer Google administrerer eller på andre måter kontrollerer. «Datahendelser» inkluderer ikke forsøk eller aktiviteter som ikke har satt sikkerheten til kundens personopplysninger i fare, deriblant mislykkede påloggingsforsøk, ping, portsøk, tjenestenektangrep (DoS) og andre nettverksangrep på brannmurer eller nettverksbaserte systemer.
- (b) Varsling. Google skal varsle om alle datahendelser til e-postadressen kunden har angitt, via brukergrensesnittet for de begrensede databehandlingstjenestene eller andre metoder Google sørger for, for å motta visse varsler fra Google knyttet til dette tillegget (tillegg 1B) («e-postadresse for varsler»), eller, etter Googles eget skjønn (blant annet hvis kunden ikke har oppgitt en e-postadresse for varsler), gjennom annen direkte kommunikasjon (f.eks. telefonsamtale, e-post eller fysisk møte). Kunden er ene og alene ansvarlig for å oppgi e-postadressen for varsler og sørge for at denne adressen er oppdatert og riktig.
- (c) Varsling av tredjeparter. Kunden er ene og alene ansvarlig for å overholde lovgivning kunden er underlagt om varsling av hendelser og oppfylle eventuelle forpliktelser overfor tredjeparter om varsling knyttet til datahendelser.
- (d) Ingen vedgåelse av feil fra Google. Varsling av eller respons på datahendelser fra Google i henhold til del 3.3.2 (Datahendelser) skal ikke fortolkes som vedgåelse av feil eller erstatningsansvar fra Google med hensyn til datahendelsen.
3.3.3 Kundens sikkerhetsansvar og -vurderinger
- (a) Kundens sikkerhetsansvar. Kunden samtykker i, uten at det virker inn på Googles forpliktelser i henhold til del 3.3.1 (Kundens sikkerhetsansvar og -vurderinger) og 3.3.2 (Datahendelser)
- (i) at kunden har ansvaret for sin bruk av de begrensede databehandlingstjenestene, deriblant (1) å bruke de begrensede databehandlingstjenestene for å sikre tilstrekkelig beskyttelse i forhold til risikoen med hensyn til kundens personopplysninger, og (2) å beskytte legitimasjonen for kontoene, systemene og enhetene kunden bruker for å få tilgang til de begrensede databehandlingstjenestene, og
- (ii) at Google ikke er forpliktet til å beskytte kundens personopplysninger som kunden velger å lagre eller overføre utenfor systemene til Google og Googles underleverandører.
- (b) Kundens sikkerhetsvurderinger. Kunden bekrefter og samtykker i at sikkerhetstiltakene Google implementerer og viderefører, slik det er beskrevet i del 3.3.1(a) (Googles sikkerhetstiltak), er tilstrekkelige for risikoen knyttet til kundens personopplysninger ut fra dagens teknologiske nivå, implementeringskostnadene, behandlingens karakter, omfang, kontekst og formål ved behandling av kundens personopplysninger samt risikoen for enkeltpersoner.
- (c) Kundens revisjonsrettigheter
- (i) Kunden kan gjennomføre en revisjon for å bekrefte at Google overholder forpliktelsene i henhold til dette tillegget (tillegg 1B) ved å be om og å gjennomgå (1) et sertifikat utstedt for sikkerhetsbekreftelse som gjenspeiler utfallet av en revisjon utført av en tredjepartskontrollør (f.eks. SOC 2 type II eller ISO/IEC 27001-sertifisering eller en sammenlignbar sertifisering eller annen sikkerhetssertifisering gitt etter en revisjon utført av en tredjepartskontrollør som både kunden og Google godtar) innen 12 måneder etter datoen kunden ber om det, og (2) eventuell annen informasjon Google fastslår at med rimelighet er nødvendig for at kunden skal kunne bekrefte at lovverket overholdes.
- (ii) Google kan også, etter eget skjønn og på forespørsel fra kunden, iverksette en tredjepartsrevisjon for å bekrefte at Google overholder forpliktelsene i henhold til dette tillegget (tillegg 1B). Under en slik revisjon skal Google gjøre tilgjengelig for tredjepartsrevisoren all informasjon som er nødvendig for å bevise at lovverket overholdes. Hvis kunden ber om en slik gjennomgang, kan Google kreve et gebyr (basert på Googles rimelige kostnader) for enhver revisjon. Google skal gi kunden mer detaljert informasjon om eventuelle gebyrer og grunnlaget for beregningen av gebyrene, før slike revisjoner utføres. Kunden er selv ansvarlig for eventuelle gebyrer som kreves av tredjepartsrevisorer kunden har pekt ut til å gjennomføre slike revisjoner.
- (iii) Ingenting i dette tillegget (tillegg 1B) krever at Google må videreformidle informasjon til kunden eller til tredjepartsrevisoren eller gi kunden eller tredjepartsrevisoren tilgang til
- (1) eventuelle data fra andre kunder av en Google-enhet
- (2) intern regnskapsinformasjon eller økonomisk informasjon fra en Google-enhet
- (3) eventuelle handelshemmeligheter som tilhører en Google-enhet
- (4) informasjon som etter Googles rimelige skjønn kan (A) kompromittere sikkerheten til Google-enheters systemer eller lokaler eller (B) føre til at en Google-enhet bryter sine forpliktelser i henhold til personvernlovgivning i amerikanske delstater eller sikkerhets- og/eller personvernforpliktelser overfor kunden eller en tredjepart, eller
- (5) informasjon som kunden eller kundens tredjepartsrevisor ønsker å få tilgang til av andre årsaker enn bare for å innfri – i god tro – kundens forpliktelser i henhold til personvernlovgivning i amerikanske delstater
3.4 Bistand med sikkerhetsvurderinger. Google skal (på grunnlag av arten av behandlingen av kundens personopplysninger og informasjonen Google har tilgang til) hjelpe kunden med å oppfylle kundens (eller hvis kunden er databehandler, den aktuelle behandlingsansvarliges) forpliktelser med hensyn til vurdering av personvernkonsekvenser og tidligere konsultasjoner med myndighetene i henhold til personvernlovgivning i amerikanske delstater, ved
- (a) å levere sikkerhetsdokumentasjonen
- (b) å levere informasjonen i avtalen, deriblant dette tillegget (tillegg 1B)
- (c) å levere eller på annen måte gjøre tilgjengelig, i tråd med Googles standardrutiner, annet materiale om de begrensede databehandlingstjenestenes art og behandlingen av kundens personopplysninger (f.eks. materiale fra brukerstøtten)
3.5. Registrerte personers rettigheter
3.5.1 Svar på forespørsler fra registrerte personer. Hvis Google mottar en forespørsel fra en registrert person i tilknytning til kundens personopplysninger, gir kunden Google tillatelse til å, og varsler Google med dette kunden om at Google skal
- (a) svare direkte på forespørselen fra den registrerte personen i samsvar med standardfunksjonaliteten i verktøyet (hvis dette er aktuelt) som en Google-enhet gjør tilgjengelig for registrerte personer for at Google skal kunne svare direkte og standardisert på visse forespørsler fra registrerte personer i tilknytning til kundens personopplysninger (f.eks. innstillinger for nettbasert annonsering eller et programtillegg for bortvelging i nettleseren) («verktøy for registrerte personer») (hvis forespørselen gjøres via et verktøy for registrerte personer), eller
- (b) be den registrerte personen om å sende inn forespørselen til kunden, slik at kunden har ansvaret for å svare på denne forespørselen (hvis forespørselen ikke ble gjort via et verktøy for registrerte personer)
3.5.2 Forespørsler om hjelp fra Googles registrerte personer. Google skal hjelpe kunden med å oppfylle kundens (eller, hvis kunden er databehandler, den aktuelle behandlingsansvarliges) forpliktelser i henhold til personvernlovgivning i amerikanske delstater ved å svare på forespørsler om registrerte personer som vil utøve rettighetene sine, ved alltid å ta hensyn til arten av behandlingen av kundens personopplysninger, og ved
- (a) å tilby funksjonaliteten i de begrensede databehandlingstjenestene
- (b) å overholde forpliktelsene som er beskrevet i del 3.5.1 (Svar på forespørsler fra registrerte personer)
- (c) å gjøre tilgjengelig verktøy for registrerte personer, hvis det er aktuelt for de begrensede databehandlingstjenestene
3.5.3 Retting. Hvis kunden blir oppmerksom på at kundens personopplysninger inneholder feil eller er utdaterte, har kunden ansvaret for å rette eller slette disse dataene hvis personvernlovgivning i amerikanske delstater krever dette, blant annet ved hjelp av funksjonaliteten i de begrensede databehandlingstjenestene (der dette er tilgjengelig).
3.6. Underleverandører
- (a) Kunden gir Google generell tillatelse til å bruke andre enheter som underleverandører i tilknytning til leveringen av de begrensede databehandlingstjenestene. Ved bruk av underleverandører skal Google
- (i) sikre gjennom en skriftlig avtale (1) at underleverandørene bare har tilgang til og bruker kundens personopplysninger i det omfang som kreves for å oppfylle underleverandørenes forpliktelser i underkontrakten, og i samsvar med avtalen (deriblant dette tillegget, tillegg 1B), og (2) hvis behandlingen av kundens personopplysninger er underlagt personvernlovgivning i amerikanske delstater, sørge for at underleverandørene pålegges forpliktelsene knyttet til databeskyttelse og personvern i dette tillegget (tillegg 1B)
- (ii) ved bruk av nye underleverandører varsle om disse nye underleverandørene der dette kreves av personvernlovgivning i amerikanske delstater, og, der dette kreves av personvernlovgivning i amerikanske delstater, gi kunden muligheten til å motsette seg bruken av disse underleverandørene
- (iii) fortsatt ha fullt ansvar for alle forpliktelser i underkontrakten med underleverandørene og alle handlinger underleverandørene utfører eller unnlater å utføre i forbindelse med underkontrakten
- (b) Kunden kan motsette seg bruken av en hvilken som helst underleverandør ved å si opp avtalen umiddelbart uten særskilt grunn i et skriftlig varsel til Google, så lenge kunden sender dette varselet senest 90 dager etter at kunden ble informert om engasjementet av den nye underleverandøren, slik dette er beskrevet i del 3.6(a)(ii) i dette tillegget.
3.7 Kontakt med Google. Kunden kan kontakte Google for å utøve rettighetene sine i henhold til dette tillegget (tillegg 1B) ved hjelp av metodene beskrevet på privacy.google.com/businesses/processorsupport eller andre metoder Google fra tid til annen tilbyr.
4. Begreper i personvernlovgivning i amerikanske delstater
4.1 Avidentifiserte data. Med hensyn til kundens personopplysninger som behandles med eller uten begrenset databehandling, og i den grad personvernlovgivning i amerikanske delstater gjelder for behandlingen av kundens personopplysninger, skal hver av partene oppfylle kravene til behandling av avidentifiserte data, slik dette er beskrevet i personvernlovgivning i amerikanske delstater, med hensyn til eventuelle avidentifiserte data parten mottar fra den andre parten i henhold til avtalen. I denne delen (del 4.1, Avidentifiserte data) betyr «kundens personopplysninger» alle personopplysninger som behandles av en part i henhold til avtalen i forbindelse med partens levering eller bruk av måletjenestene.
5. Googles forpliktelser i henhold til CCPA
5.1 Med hensyn til kundens personopplysninger som behandles med begrenset databehandling, og i den grad CCPA gjelder for slik behandling av kundens personopplysninger, skal Google fungere som kundens tjenesteleverandør, og dermed gjelder disse vilkårene etter Googles rimelige skjønn, med mindre noe annet er tillatt for tjenesteleverandører i henhold til CCPA:
- (a) Google skal ikke selge eller videreformidle noen av kundens personopplysninger som Google får fra kunden i tilknytning til avtalen.
- (b) Google skal ikke oppbevare, bruke eller videreformidle kundens personopplysninger (heller ikke utenfor forretningsforholdet direkte mellom Google og kunden) i andre sammenhenger enn for forretningsformålet i henhold til CCPA på vegne av kunden og det spesifikke formålet å levere de begrensede databehandlingstjenestene, slik dette er nærmere beskrevet i støttedokumentasjonen på business.safety.google/rdp, som oppdateres fra tid til annen.
- (c) Google skal ikke slå sammen noen av kundens personopplysninger som Google mottar fra eller på vegne av kunden, med (i) personopplysninger Google mottar fra eller på vegne av en annen person eller andre personer, eller (ii) personopplysninger hentet inn fra Googles egne interaksjoner med forbrukere, slik dette er nærmere beskrevet i støttedokumentasjonen på business.safety.google/rdp, med unntak av det som tillates i henhold til CCPA.
- (d) Google skal behandle kundens personopplysninger for det spesifikke formålet å levere begrensede databehandlingstjenester, slik dette er beskrevet i avtalen og den tilhørende dokumentasjonen (f.eks. brukerstøtteartikler) eller på annen måte er tillatt i henhold til CCPA, og partene samtykker i at kunden gjør kundens personopplysninger tilgjengelige for Google for disse formålene.
- (e) Google skal tillate revisjoner for å bekrefte at Google overholder forpliktelsene i henhold til del 3.3.3(c) (Kundens revisjonsrettigheter) i dette tillegget (tillegg 1B).
- (f) Google skal varsle kunden hvis Google kommer frem til at Google ikke lenger kan oppfylle forpliktelsene sine i henhold til CCPA. Denne delen, del 5.1(f), begrenser ikke rettighetene og forpliktelsene til noen av partene i andre deler av avtalen.
- (g) Hvis kunden har rimelig grunn til å tro at Google behandler kundens personopplysninger på en uautorisert måte, har kunden rett til å varsle Google om dette via metodene som er beskrevet på privacy.google.com/businesses/processorsupport, og partene skal samarbeide i god tro om å løse de angivelig uautoriserte behandlingsaktivitetene, om nødvendig.
- (h) Google skal overholde gjeldende forpliktelser i henhold til CCPA og skal gi det samme nivået av personvern som CCPA krever.
5.2 Med hensyn til kundens personopplysninger som behandles uten begrenset databehandling, og i den grad CCPA gjelder for behandling av kundens personopplysninger, gjelder følgende:
- (a) Google skal behandle kundens personopplysninger for det spesifikke formålet å levere måletjenestene, etter hva som er aktuelt, slik det er beskrevet i avtalen og den tilhørende dokumentasjonen (f.eks. brukerstøtteartikler) eller på annen måte er tillatt i henhold til CCPA, og partene samtykker i at kunden gjør kundens personopplysninger tilgjengelig for Google for disse formålene.
- (b) Google skal tillate revisjoner for å bekrefte at Google overholder forpliktelsene i henhold til del 3.3.3(c) (Kundens revisjonsrettigheter) i dette tillegget (tillegg 1B).
- (c) Google skal varsle kunden hvis Google kommer frem til at Google ikke lenger kan oppfylle forpliktelsene sine i henhold til CCPA.
- (d) Hvis kunden har rimelig grunn til å tro at Google behandler kundens personopplysninger på en uautorisert måte, har kunden rett til å varsle Google om dette via metodene som er beskrevet på privacy.google.com/businesses/processorsupport, og partene skal samarbeide i god tro om å løse de angivelig uautoriserte behandlingsaktivitetene, om nødvendig, og
- (e) Google skal overholde gjeldende forpliktelser i henhold til CCPA og skal gi det samme nivået av personvern som CCPA krever.
6. Endringer i dette tillegget (tillegg 1B)
I tillegg til del 7 av vilkårene for behandlingsansvarlige (Endringer i disse vilkårene for behandlingsansvarlige) kan Google, etter hva som er aktuelt, endre dette tillegget (tillegg 1B) uten varsel dersom (a) endringen er basert på gjeldende lov og rett, gjeldende forordninger, rettskjennelser eller retningslinjer utstedt av en statlig reguleringsmyndighet eller et offentlig organ, eller (b) endringen, etter Googles rimelige skjønn, ikke har noen vesentlig negativ innvirkning på kunden i henhold til personvernlovgivning i amerikanske delstater.
7. Innhold og detaljer i databehandlingen i henhold til personvernlovgivning i amerikanske delstater
Levering av begrensede databehandlingstjenester og eventuell relatert teknisk brukerstøtte fra Google til kunden.
Behandlingens varighet
Gyldighetsperioden pluss perioden fra slutten av gyldighetsperioden og frem til alle kundens personopplysninger er slettet av Google i henhold til tillegg 1B.
Behandlingens art og formål
Google skal behandle (deriblant, etter hva som er aktuelt for de begrensede databehandlingstjenestene og instruksene for innsamling, registrering, organisering, strukturering, lagring, endring, henting, bruk, videreformidling, kombinering, sletting og ødeleggelse) kundens personopplysninger for å oppfylle formålet om å levere begrensede databehandlingstjenester og eventuell relatert teknisk brukerstøtte til kunden, i henhold til tillegg 1B eller slik det ellers er tillatt for databehandlere i henhold til personvernlovgivning i amerikanske delstater.
Typer personopplysninger
Kundens personopplysninger kan inkludere de typene personopplysninger som er beskrevet i personvernlovgivning i amerikanske delstater.
Kategorier av registrerte personer
Kundens personopplysninger omfatter følgende kategorier av registrerte personer:
- registrerte personer Google samler inn personopplysninger om i forbindelse med leveringen av de begrensede databehandlingstjenestene
- registrerte personer som får personopplysningene sine overført til Google i forbindelse med de begrensede databehandlingstjenestene av, etter instruks fra eller på vegne av kunden
Avhengig av de begrensede databehandlingstjenestenes art kan disse registrerte personene inkludere enkeltpersoner (a) som det har vært eller kommer til å bli målrettet nettbasert annonsering mot, (b) som har besøkt bestemte nettsteder eller apper der Google leverer begrensede databehandlingstjenester, og/eller (c) som er kunder eller brukere av kundens produkter eller tjenester.
Googles vilkår knyttet til måling og analyse for behandlingsansvarlige hos Google og kontoeier, versjon 4.0
Tidligere versjoner
