Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów

Wyrażenie zgody na te warunki przez klienta korzystającego z usług pomiarowych („Klient”) oznacza, że zawarł on z Google lub sprzedawcą zewnętrznym (w stosownych przypadkach) umowę na świadczenie Usług pomiarowych („Umowa”, wraz z wprowadzanymi w niej co jakiś czas zmianami), przez których interfejs Klient włączył Ustawienie udostępniania danych.

Te Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów („Warunki dotyczące administratorów”) zostały przyjęte przez Google i Klienta. Jeśli Klient zawarł Umowę z Google, te Warunki dotyczące administratorów stanowią uzupełnienie jej zapisów. Jeśli Klient zawarł Umowę ze sprzedawcą zewnętrznym, te Warunki dotyczące administratorów stanowią odrębną umowę między Google a Klientem.

W celu uniknięcia jakichkolwiek wątpliwości: świadczenie Usług pomiarowych podlega postanowieniom Umowy. Niniejsze Warunki dotyczące administratorów wyznaczają zasady ochrony danych tylko w odniesieniu do Ustawienia udostępniania danych, ale nie mają zastosowania do świadczenia Usług pomiarowych.

Zgodnie z art. 6.2 (Brak wpływu na Warunki dotyczące przetwarzania danych) te Warunki dotyczące administratorów będą obowiązywać i zastąpią od Daty wejścia warunków w życie wszystkie obowiązujące wcześniej warunki związane z ich przedmiotem.

Jeśli użytkownik akceptuje niniejsze Warunki dotyczące administratorów w imieniu Klienta, zapewnia, że: (a) jest w pełni uprawniony do podjęcia w imieniu Klienta zobowiązań wynikających z tych Warunków dotyczących administratorów, (b) zapoznał się z tymi Warunkami dotyczącymi administratorów oraz je zrozumiał, a także (c) w imieniu Klienta zgadza się na postanowienia tych Warunków dotyczących administratorów. Jeśli użytkownik nie ma pełnomocnictwa do przyjmowania zobowiązań w imieniu Klienta, nie powinien akceptować tych Warunków dotyczących administratorów.

Także sprzedawcy nie powinni akceptować tych Warunków dotyczących administratorów. Te Warunki dotyczące administratorów wyznaczają prawa i obowiązki użytkowników Usług pomiarowych oraz Google.

Na tej stronie

• Wprowadzenie
• Definicje i ich interpretacja
• Zakres obowiązywania tych Warunków dotyczących administratorów
• Role i ograniczenia związane z przetwarzaniem
• Odpowiedzialność
• Oddziaływanie Warunków dotyczących administratorów
• Zmiany w tych Warunkach dotyczących administratorów
• Postanowienia dodatkowe
• Dodatek 1. Dodatkowe warunki związane z Obowiązującym ustawodawstwem dotyczącym ochrony danych

---

1. Wprowadzenie

Te Warunki dotyczące administratorów odzwierciedlają zawartą między stronami Umowę na przetwarzanie Danych osobowych przez administratora zgodnie z Ustawieniem udostępniania danych.

---

2. Definicje i ich interpretacja

2.1

W tych Warunkach dotyczących administratorów:

„Warunki dodatkowe” to dodatkowe warunki wymienione w Dodatku 1, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania Danych osobowych przez administratora w związku z określonymi przepisami Obowiązującego ustawodawstwa dotyczącego ochrony danych.

„Podmiot stowarzyszony” to dowolny podmiot pośrednio lub bezpośrednio kontrolowany przez stronę, kontrolujący stronę lub pozostający pod wspólną kontrolą z daną stroną.

„Obowiązujące ustawodawstwo dotyczące ochrony danych” to, w odniesieniu do przetwarzania Danych osobowych przez administratora, wszelkie krajowe, federalne, unijne, stanowe, prowincjonalne lub inne przepisy lub regulacje dotyczące prywatności, bezpieczeństwa danych lub ochrony danych, w tym Europejskie przepisy dotyczące ochrony danych, Brazylijska ustawa LGPD i Amerykańskie przepisy stanowe o ochronie danych osobowych.

„Informacje poufne” to niniejsze Warunki dotyczące administratorów.

„Osoba, której dotyczą dane przetwarzane przez administratora” to osoba, której Dane osobowe są przetwarzane przez administratora.

„Dane osobowe przetwarzane przez administratora” to wszelkie dane osobowe, które są przetwarzane przez stronę zgodnie z Ustawieniem udostępniania danych.

„Ustawienie udostępniania danych” to ustawienie udostępniania danych, które Klient włączył w interfejsie Usług pomiarowych i które umożliwia firmie Google i jej Podmiotom stowarzyszonym używanie danych osobowych do doskonalenia produktów i usług firmy Google oraz jej Podmiotów stowarzyszonych.

„Administrator końcowy” to – dla każdej ze stron – ostateczny administrator przetwarzanych Danych osobowych.

„RODO (UE)” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

„Europejskie przepisy dotyczące ochrony danych” to, stosownie do przypadku: (a) rozporządzenie RODO lub (b) Szwajcarska ustawa FDPA.

„RODO” to, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).

„Google” to:

• (a) Podmiot Google będący stroną Umowy;
• (b) jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym oraz:
  • (i) sprzedawca zewnętrzny prowadzi działalność w Ameryce Północnej lub w innym regionie poza Europą, Bliskim Wschodem, Afryką, Azją i Oceanią – Google to firma Google LLC (wcześniej Google Inc.);
  • (ii) sprzedawca zewnętrzny prowadzi działalność w Europie, Afryce lub na Bliskim Wschodzie – Google to firma Google Ireland Limited;
  • (iii) sprzedawca zewnętrzny prowadzi działalność w Azji i Oceanii – Google to firma Google Asia Pacific Pte. Ltd.

„Podmiot Google” to firma Google LLC lub Google Ireland Limited albo dowolny inny Podmiot stowarzyszony firmy Google LLC.

„Brazylijska ustawa LGPD” to brazylijska ogólna ustawa o ochronie danych (Lei Geral de Proteção de Dados Pessoais).

„Usługi pomiarowe” to Google Analytics, Google Analytics 360, Google Analytics dla Firebase, Google Optimize lub Google Optimize 360, zależnie od Ustawienia udostępniania danych, w którego przypadku strony zaakceptowały te Warunki dotyczące administratorów.

„Zasady” to Polityka Google w zakresie zgody użytkownika z UE dostępna na stronie https://www.google.com/about/company/user-consent-policy.html.

„Warunki dotyczące przetwarzania danych” to:

• (a) jeśli stroną Umowy jest Google, Warunki dotyczące przetwarzania danych podane na stronie https://business.safety.google/adsprocessorterms;
• (b) jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym, warunki odzwierciedlające relacje między administratorem a podmiotem przetwarzającym (o ile występują) oraz uzgodnione przez Klienta i sprzedawcę zewnętrznego.

„Szwajcarska ustawa FDPA” oznacza szwajcarską federalną ustawę o ochronie danych z 19 czerwca 1992 r.

„Data wejścia warunków w życie” to dzień, w którym Klient kliknął przycisk akceptacji tych Warunków dotyczących administratorów lub strony w inny sposób zaakceptowały te warunki.

„Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratora” to dane osobowe osób mieszkających w Wielkiej Brytanii, których dotyczą Dane przetwarzane przez administratora.

„RODO (Wielka Brytania)” to RODO (UE) w formie zmienionej i włączonej do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 r. oraz obowiązujące przepisy dodatkowe wydane na mocy tej ustawy.

„Amerykańskie przepisy stanowe o ochronie danych osobowych” zostały wyjaśnione tutaj.

2.2

Terminy „administrator”, „osoba, której dotyczą dane”, „dane osobowe”, „przetwarzanie” i „podmiot przetwarzający” użyte w tych Warunkach dotyczących administratorów mają znaczenie określone w: (a) Obowiązującym ustawodawstwie dotyczącym ochrony danych albo (b) w RODO, jeśli nie istnieje takie ustawodawstwo albo odpowiednia definicja.

2.3

Wszelkie przykłady podane w tych Warunkach dotyczących administratorów mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.

2.4

Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.

2.5

Jeśli przetłumaczona wersja tej Umowy jest niezgodna z wersją angielską, obowiązuje wersja angielska.

2.6

Odniesienia w Standardowych klauzulach umownych dotyczących administratorów do „Warunków współpracy w zakresie ochrony danych między Google i klientami korzystającymi z Google Ads występującymi w roli administratorów” oznaczają „Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów”.

---

3. Zakres obowiązywania tych Warunków dotyczących administratorów

3.1 Informacje ogólne

Te Warunki dotyczące administratorów będą mieć zastosowanie tylko do tego Ustawienia udostępniania danych, w przypadku którego strony zaakceptowały te Warunki dotyczące administratorów (np. Ustawienia udostępniania danych, w przypadku którego Klient kliknął przycisk akceptacji tych Warunków dotyczących administratorów).

3.2 Czas trwania

Te Warunki dotyczące administratorów będą obowiązywały od Daty wejścia warunków w życie przez okres przetwarzania przez Google lub Klienta Danych osobowych przetwarzanych przez administratora, a po jego upływie automatycznie wygasną.

---

4. Role i ograniczenia związane z przetwarzaniem

4.1 Niezależni administratorzy

Zgodnie z art. 4.4 (Administratorzy końcowi) każda strona:

• (a) jest niezależnym administratorem Danych osobowych przetwarzanych przez administratora,
• (b) będzie indywidualnie dobierać cele i środki przetwarzania Danych osobowych przetwarzanych przez administratora,
• (c) będzie się wywiązywać z obowiązków nakładanych na nią przez Obowiązujące ustawodawstwo dotyczące ochrony danych w odniesieniu do przetwarzania Danych osobowych przetwarzanych przez administratora.

4.2 Ograniczenia przetwarzania danych

Artykuł 4.1 (Niezależni administratorzy) nie nakłada żadnych ograniczeń na prawo żadnej ze stron do używania lub przetwarzania w inny sposób Danych osobowych przetwarzanych przez administratora w ramach tej Umowy.

4.3 Zgoda użytkownika

Klient będzie przestrzegać Zasad w odniesieniu do Danych osobowych przetwarzanych przez administratora, których dotyczy Ustawienie udostępniania danych, i zawsze będzie spoczywać na nim ciężar udowodnienia tego, że ich przestrzega.

4.4 Administratorzy końcowi

Bez ograniczenia zobowiązań którejkolwiek ze stron wynikających z tych Warunków dotyczących administratorów strony przyjmują do wiadomości, że: (a) Podmioty stowarzyszone lub klienci drugiej strony mogą być Administratorami końcowymi oraz że (b) druga strona może działać jako podmiot przetwarzający w imieniu swoich Administratorów końcowych. Każda ze stron zadba o to, aby jej Administratorzy końcowi przestrzegali Warunków dotyczących administratorów.

4.5 Przejrzystość

Klient przyjmuje do wiadomości, że firma Google opublikowała na stronie https://business.safety.google/privacy/ informacje o tym, jak wykorzystuje informacje z witryn, aplikacji i innych usług korzystających z usług Google. Bez uszczerbku dla zobowiązań wynikających z art. 4.1(c) Klient może udostępniać link do tej strony osobom, których dotyczą Dane osobowe przetwarzane przez administratora, aby przekazać im informacje o przetwarzaniu tych danych przez Google.

---

5. Odpowiedzialność

5.1

Jeśli Google:

• (a) jest stroną Umowy, a Umowa podlega przepisom:
  • (i) jednego ze stanów w Stanach Zjednoczonych Ameryki, to niezależnie od pozostałych zapisów Umowy całkowita odpowiedzialność jednej strony wobec drugiej strony w ramach tych Warunków dotyczących administratorów lub w związku z nimi będzie ograniczona do maksymalnej kwoty pieniężnej (w gotówce lub w formie płatności) określonej w Umowie (w związku z czym żadne wykluczenia roszczeń o odszkodowanie na podstawie ograniczenia odpowiedzialności określonego w Umowie nie będą mieć zastosowania do roszczeń o odszkodowanie kierowanych w ramach Umowy zgodnie z Obowiązującym ustawodawstwem dotyczącym ochrony danych); lub
  • (ii) jurysdykcji, która nie jest stanem w Stanach Zjednoczonych Ameryki, to odpowiedzialność stron w ramach tych Warunków dotyczących administratorów lub w powiązaniu z nimi będzie podlegać wykluczeniom i ograniczeniom odpowiedzialności określonym w Umowie; lub
• (b) nie jest stroną Umowy, to w maksymalnym zakresie dozwolonym przez obowiązujące prawo Google nie ponosi odpowiedzialności wobec Klienta za jego utracone przychody, za żadne szkody pośrednie, szczególne, przypadkowe, wtórne i moralne ani za odszkodowania retorsyjne nawet wtedy, gdy firma Google albo jej Podmioty stowarzyszone zostały poinformowane o możliwości wystąpienia takich szkód, wiedziały o nich lub powinny o nich wiedzieć, i nawet wtedy, gdy odszkodowanie nie jest wystarczającym zadośćuczynieniem. Łączna odpowiedzialność firmy Google (oraz jej Podmiotów stowarzyszonych) wobec Klienta lub jakiejkolwiek innej strony z tytułu straty lub szkód wynikająca z wszelkich roszczeń, odszkodowań bądź postępowań w ramach tych Warunków dotyczących administratorów lub w związku z nimi nie przekroczy kwoty 500 USD (pięciuset dolarów amerykańskich).

---

6. Oddziaływanie Warunków dotyczących administratorów

6.1 Porządek pierwszeństwa

Jeśli występują sprzeczności lub niespójności między Warunkami dodatkowymi a pozostałymi postanowieniami tych Warunków dotyczących administratorów lub pozostałymi zapisami Umowy, to zgodnie z art. 4.2 (Ograniczenia przetwarzania) i 6.2 (Brak wpływu na Warunki dotyczące przetwarzania danych) pierwszeństwo będą miały kolejno: (a) Warunki dodatkowe (w stosownych przypadkach), (b) pozostałe postanowienia tych Warunków dotyczących administratorów oraz (c) pozostałe zapisy Umowy. Z wyjątkiem zmian wprowadzanych w tych Warunkach dotyczących administratorów Umowa między Google a Klientem pozostaje w mocy.

6.2 Brak wpływu na Warunki dotyczące przetwarzania danych

Niniejsze Warunki dotyczące administratorów nie zastępują ani nie modyfikują postanowień Warunków dotyczących przetwarzania danych. W celu uniknięcia jakichkolwiek wątpliwości: jeśli Klient jest stroną Warunków dotyczących przetwarzania danych w związku z Usługami pomiarowymi, Warunki dotyczące przetwarzania danych będą nadal mieć zastosowanie do Usług pomiarowych niezależnie od Warunków dotyczących administratorów obowiązujących w przypadku Danych osobowych przetwarzanych przez administratora, które podlegają Ustawieniu udostępniania danych.

---

7. Zmiany w tych Warunkach dotyczących administratorów

7.1 Zmiany w Warunkach dotyczących administratorów

Google może zmienić te Warunki dotyczące administratorów, jeśli zmiana:

• (a) wynika ze zmiany nazwy lub formy osoby prawnej;
• (b) jest niezbędna do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez rządowy organ regulacyjny lub agencję rządową albo wynika z przyjęcia przez firmę Google Alternatywnego rozwiązania w zakresie przesyłania danych (zgodnie z definicją w Dodatku 1A);
• (c) jest zgodna z zapisami w art. 7.2 (Zmiany dotyczące adresów URL) lub
• (d) nie prowadzi do: (i) zmiany roli stron jako administratorów Danych osobowych przetwarzanych przez administratora w ramach Obowiązującego ustawodawstwa dotyczącego ochrony danych, (ii) poszerzenia zakresu ani zniesienia jakichkolwiek ograniczeń praw którejkolwiek ze stron do używania lub przetwarzania w inny sposób Danych osobowych przetwarzanych przez administratora lub (iii) wywarcia istotnego negatywnego wpływu na Klienta, zgodnie z ustaleniami Google.

7.2 Zmiany dotyczące adresów URL

Google może okresowo zmieniać adresy URL wymienione w tych Warunkach dotyczących administratorów oraz treści znajdujące się pod tymi adresami URL.

7.3 Powiadamianie o zmianach

Jeśli Google będzie planować zmianę w tych Warunkach dotyczących administratorów zgodnie z art. 7.1(b), a taka zmiana zgodnie z ustaleniami Google będzie mieć istotny negatywny wpływ na Klienta, Google podejmie uzasadnione ekonomicznie starania, aby poinformować Klienta na co najmniej 30 dni (lub na tyle wcześnie, na ile jest to niezbędne do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez rządowy organ regulacyjny lub agencję rządową) przed wejściem zmiany w życie. Jeśli Klient sprzeciwia się takiej zmianie, może wyłączyć Ustawienie udostępniania danych.

---

8. Postanowienia dodatkowe

8.1

Ten art. 8 (Postanowienia dodatkowe) ma zastosowanie tylko wtedy, gdy Google nie jest stroną Umowy.

8.2

Każda ze stron będzie przestrzegać swoich zobowiązań wynikających z tych Warunków dotyczących administratorów z właściwą dbałością i starannością.

8.3

Żadna ze stron nie może korzystać z Informacji poufnych drugiej strony ani ich ujawniać bez uzyskania uprzedniej pisemnej zgody, chyba że ma to na celu korzystanie z przysługujących jej praw lub wykonanie zobowiązań wynikających z tych Warunków dotyczących administratorów lub jeśli jest to wymagane na podstawie przepisów ustawowych, wykonawczych lub orzeczenia sądowego. Strona zmuszona w ten sposób do ujawnienia Informacji poufnych przed ich ujawnieniem zawiadomi o tym drugą stronę z maksymalnie dużym wyprzedzeniem.

8.4

W maksymalnym zakresie dozwolonym przez obowiązujące prawo, z wyjątkiem przypadków wyraźnie określonych w tych Warunkach dotyczących administratorów, Google nie udziela żadnej wyraźnej, dorozumianej, ustawowej ani też innej gwarancji, w tym w stopniu nieograniczonym gwarancji wartości handlowej, przydatności do określonego celu i nienaruszania praw.

8.5

Żadna ze stron nie ponosi odpowiedzialności za brak lub opóźnienie wykonania postanowień Umowy, jeśli wynika to z okoliczności pozostających poza jej uzasadnioną kontrolą.

8.6

Jeśli którekolwiek postanowienie tych Warunków dotyczących administratorów (lub jego część) jest nieprawidłowe, niezgodne z prawem lub niewykonalne, pozostałe zapisy Warunków dotyczących administratorów pozostają w mocy.

8.7

(a) Z wyjątkiem sytuacji opisanych w punkcie (b) poniżej, te Warunki dotyczące administratorów podlegają prawu stanu Kalifornia i będą interpretowane zgodnie z nim, bez uwzględnienia norm kolizyjnych zawartych w tychże przepisach. W przypadku jakichkolwiek niezgodności między przepisami ustawowymi i wykonawczymi oraz regulacjami prawa zagranicznego a przepisami ustawowymi i wykonawczymi oraz regulacjami prawa stanu Kalifornia zastosowanie będą miały przepisy ustawowe i wykonawcze oraz regulacje prawa stanu Kalifornia. Strony wyrażają zgodę, by poddać się wyłącznej i właściwej jurysdykcji sądów okręgu Santa Clara w stanie Kalifornia. Konwencja ONZ o umowach międzynarodowej sprzedaży towarów oraz amerykańska Jednolita ustawa o transakcjach z zakresu informatyki (UCITA) nie mają zastosowania do tych Warunków dotyczących administratorów.

(b) Jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym, a sprzedawca zewnętrzny prowadzi działalność w Europie, na Bliskim Wschodzie lub w Afryce, te Warunki dotyczące administratorów podlegają prawu angielskiemu. Strony wyrażają zgodę na poddanie się wyłącznej jurysdykcji sądów angielskich w odniesieniu do wszelkich sporów (umownych lub pozaumownych) wynikających z tych Warunków dotyczących administratorów lub z nimi związanych.

(c) W przypadku, w którym obowiązują Standardowe klauzule umowne dotyczące administratorów i zezwalają na stosowanie przepisów prawa właściwego różniących się od przepisów opisanych w punktach (a) i (b) powyżej, prawo właściwe określone w Standardowych klauzulach umownych dotyczących administratorów będzie obowiązywać wyłącznie w odniesieniu do Standardowych klauzul umownych dotyczących administratorów.

(d) Konwencja ONZ o umowach międzynarodowej sprzedaży towarów oraz amerykańska Jednolita ustawa o transakcjach z zakresu informatyki (UCITA) nie mają zastosowania do tych Warunków dotyczących administratorów.

8.8

Wszystkie powiadomienia o rozwiązaniu lub naruszeniu Umowy muszą mieć formę pisemną, być sporządzone w języku angielskim i zostać zaadresowane do działu prawnego drugiej strony. Adres, na który należy przesyłać powiadomienia do Działu prawnego Google, to legal-notices@google.com. Powiadomienie uznaje się za dostarczone za potwierdzeniem odbioru, jeśli potwierdzenie jest sformułowane na piśmie, automatyczne lub zawarte w dzienniku elektronicznym.

8.9

Nieskorzystanie (lub opóźnione korzystanie) z praw wynikających z tych Warunków dotyczących administratorów przez dowolną ze stron nie będzie traktowane jako zrzeczenie się jakichkolwiek praw wynikających z tych Warunków dotyczących administratorów. Żadna ze stron nie może scedować żadnej części tych Warunków dotyczących administratorów bez pisemnej zgody drugiej strony z wyjątkiem przypadku cesji na Podmiot stowarzyszony, gdy spełnione są te kryteria: (a) cesjonariusz na piśmie zgodził się przestrzegać postanowień tych Warunków dotyczących administratorów; (b) strona dokonująca cesji pozostanie odpowiedzialna za zobowiązania wynikające z tych Warunków dotyczących administratorów, jeśli cesjonariusz się z nich nie wywiąże; (c) w przypadku Klienta strona dokonująca cesji przekazała swoje konta Usług pomiarowych cesjonariuszowi oraz (d) strona dokonująca cesji powiadomiła drugą stronę o cesji. Każda inna próba cesji zostanie uznana za nieważną.

8.10

Strony są niezależnymi kontrahentami. Postanowienia tych Warunków dotyczących administratorów nie oznaczają powstania między stronami przedstawicielstwa, spółki osobowej ani spółki joint venture. O ile treść tych Warunków dotyczących administratorów wyraźnie nie stanowi inaczej, nie zapewniają one żadnych korzyści osobom trzecim.

8.11

W zakresie dopuszczalnym przez obowiązujące prawo te Warunki dotyczące administratorów obejmują wszystkie warunki uzgodnione przez strony. Zgadzając się na te Warunki dotyczące administratorów, żadna ze stron nie opierała się na żadnych oświadczeniach, zobowiązaniach lub gwarancjach (w tym udzielonych przez zaniedbanie lub nieświadomie), które nie zostały jednoznacznie zawarte w tych Warunkach dotyczących administratorów, i nie przysługują jej żadne wynikające z nich prawa ani świadczenia.

---

Dodatek 1. Dodatkowe warunki związane z Obowiązującym ustawodawstwem dotyczącym ochrony danych

CZĘŚĆ A – DODATKOWE WARUNKI ZWIĄZANE Z EUROPEJSKIMI PRZEPISAMI DOTYCZĄCYMI OCHRONY DANYCH

1. Wprowadzenie

Ten Dodatek 1A będzie mieć zastosowanie tylko w zakresie, w jakim Europejskie przepisy dotyczące ochrony danych obowiązuje w przypadku przetwarzania Danych osobowych przez administratora.

2. Definicje

2.1 W tym Dodatku 1A:

„Kraj zapewniający odpowiednią ochronę danych” to:

• (a) w przypadku danych przetwarzanych zgodnie z RODO (UE): EOG albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (UE);
• (b) w przypadku danych przetwarzanych zgodnie z RODO (Wielka Brytania): Wielka Brytania albo kraj lub region uznany za zapewniający odpowiednią ochronę w ramach RODO (Wielka Brytania) i Ustawy o ochronie danych osobowych z 2018 r. lub
• (c) w przypadku danych przetwarzanych zgodnie ze Szwajcarską ustawą FDPA: Szwajcaria albo kraj lub region (i) znajdujący się na liście państw, których ustawodawstwo zapewnia odpowiednią ochronę, opublikowanej przez szwajcarskiego federalnego komisarza ds. ochrony danych i informacji; lub (ii) uznany przez szwajcarską Radę Federalną, zgodnie ze Szwajcarską ustawą FDPA, za zapewniający odpowiednią ochronę. W obu przypadkach decyzja zostaje podjęta na podstawie innej niż opcjonalne przepisy ochrony danych.

„Alternatywne rozwiązanie w zakresie przesyłania danych” to rozwiązanie inne niż Standardowe klauzule umowne dotyczące administratorów, które umożliwia legalne przekazywanie danych osobowych do kraju trzeciego, zgodnie z Europejskimi przepisami dotyczącymi ochrony danych, np. przepisy ochrony danych uznane za zapewniające tym uczestniczącym podmiotom odpowiednią ochronę.

„Standardowe klauzule umowne dotyczące administratorów” to warunki podane na stronie business.safety.google/adscontrollerterms/sccs/c2c.

„EOG” to Europejski Obszar Gospodarczy.

„Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratora” to dane osobowe osób mieszkających w EOG lub Szwajcarii, których dotyczą Dane przetwarzane przez administratora.

„Prawo europejskie” oznacza, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeśli unijne rozporządzenie RODO ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora) lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli rozporządzenie RODO (Wielka Brytania) ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora) oraz (c) przepisy obowiązujące w Szwajcarii (jeśli Szwajcarska ustawa FDPA ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora).

„Administratorzy końcowi Google” to Administratorzy końcowi danych osobowych przetwarzanych przez administratora, którym jest firma Google.

„Dozwolone przesyłanie danych w Europie” oznacza przetwarzanie Danych osobowych przetwarzanych przez administratora w Kraju zapewniającym odpowiednią ochronę danych lub ich przekazanie do takiego kraju.

„Ograniczone przesyłanie danych w Europie” oznacza przekazywanie Danych osobowych przetwarzanych przez administratora, które: (a) podlega Europejskim przepisom dotyczącym ochrony danych i (b) nie stanowi Dozwolonego przesyłania danych w Europie.

„Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratora” to dane osobowe osób mieszkających w Wielkiej Brytanii, których dotyczą Dane przetwarzane przez administratora.

2.2 Terminy „importer danych” i „eksporter danych” mają znaczenie określone w Standardowych klauzulach umownych dotyczących administratorów.

3. Administratorzy końcowi Google

Administratorzy końcowi Google to: (i) w przypadku Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora, którym jest Google – Google Ireland Limited, a (ii) w przypadku Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratora, którym jest Google – Google LLC. Każda ze stron zadba o to, aby jej Administratorzy końcowi przestrzegali Standardowych klauzul umownych dotyczących administratorów w stosownych przypadkach.

4. Przesyłanie danych

4.1 Ograniczone przesyłanie danych w Europie. Każda ze stron może dokonać Ograniczonego przesyłania danych w Europie, o ile będzie przestrzegać zasad Ograniczonego przesyłania danych w Europie określonych w Europejskich przepisach dotyczących ochrony danych.

4.2 Alternatywne rozwiązanie w zakresie przesyłania danych.

• (a) Jeśli Google przyjmie Alternatywne rozwiązanie w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie, to (i) zapewni, że takie przesyłanie danych będzie wykonywane zgodnie z tym rozwiązaniem, a (ii) art. 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A nie będzie miał zastosowania do takiego Ograniczonego przesyłania danych w Europie.
• (b) Jeśli Google nie wdroży Alternatywnego rozwiązania w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie lub poinformuje Klienta o rezygnacji z jego dalszego stosowania, w odniesieniu do Ograniczonego przesyłania danych w Europie zastosowanie ma art. 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A.

4.3 Postanowienia związane z dalszym przekazywaniem danych.

• (a) Zakres obowiązywania postanowień art. 4.3. Art. 4.3(b) (Wykorzystanie Danych osobowych Dostawcy danych) i 4.3(c) (Ochrona Danych osobowych Dostawcy danych) tego Dodatku 1A będą stosowane tylko wtedy, gdy:
  • (i) strona („Odbiorca danych”) przetwarza Dane osobowe przetwarzane przez administratora, które zostały udostępnione przez drugą stronę („Dostawca danych”) w ramach niniejszej Umowy (np. Dane osobowe przetwarzane przez administratora, „Dane osobowe Dostawcy danych”);
  • (ii) Dostawca danych lub jego Podmiot stowarzyszony ma certyfikat w ramach Alternatywnego rozwiązania w zakresie przesyłania danych oraz
  • (iii) Dostawca danych powiadomi Odbiorcę danych o certyfikacie w ramach Alternatywnego rozwiązania w zakresie przesyłania danych na piśmie.
• (b) Wykorzystanie Danych osobowych Dostawcy danych.
  • (i) W zakresie, w jakim odpowiednie Alternatywne rozwiązanie w zakresie przesyłania danych obejmuje postanowienie związane z dalszym przekazywaniem danych, zgodnie z postanowieniami związanymi z dalszym przekazywaniem danych w ramach odpowiedniego Alternatywnego rozwiązania w zakresie przesyłania danych Odbiorca danych będzie wykorzystywać Dane osobowe Dostawcy danych tylko w sposób zgodny ze zgodą udzieloną przez Osoby, których dotyczą dane przetwarzane przez administratora.
  • (ii) W zakresie, w jakim Dostawca danych nie uzyska zgody od odpowiednich osób, których dotyczą dane przetwarzane przez administratora, zgodnie z Umową Odbiorca danych nie naruszy postanowień art. 4.3(b)(i), jeśli będzie korzystać z Danych osobowych Dostawców danych zgodnie z wymaganą zgodą.
• (c) Ochrona Danych osobowych Dostawcy danych.
  • (i) Odbiorca danych zapewni ochronę Danych osobowych Dostawcy danych na poziomie co najmniej równym poziomowi wymaganemu w ramach Alternatywnego rozwiązania w zakresie przesyłania danych.
  • (ii) Jeśli Odbiorca danych stwierdzi, że nie może spełnić wymagań art. 4.3(c)(i), wówczas: (A) powiadomi o tym Dostawcę danych na piśmie oraz (B) zaprzestanie przetwarzania Danych osobowych Dostawcy danych albo podejmie uzasadnione, odpowiednie kroki, aby dostosować się do tych wymagań.
• (d) Przyjęcie Alternatywnego rozwiązania w zakresie przesyłania danych i uzyskiwanie stosownych certyfikatów. Informacje o przyjęciu przez firmę Google lub jej Podmioty stowarzyszone Alternatywnego rozwiązania w zakresie przesyłania danych oraz informacje o uzyskiwaniu stosownych certyfikatów w tym zakresie można znaleźć na stronie https://policies.google.com/privacy/frameworks. Ten art. 4.3(d) stanowi pisemne powiadomienie o aktualnych certyfikatach firmy Google lub jej Podmiotów stowarzyszonych na Datę wejścia w życie Warunków na potrzeby tego art. 4.3(a)(iii).

5. Standardowe klauzule umowne dotyczące administratorów

5.1 Przesyłanie do Klienta Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora. W zakresie, w jakim:

• (a) Google przekazuje Klientowi Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratora oraz
• (b) przesyłanie danych stanowi Ograniczone przesyłanie danych w Europie, uznaje się, że jako importer danych Klient zaakceptował Standardowe klauzule umowne dotyczące administratorów firmy Google Ireland Limited (odpowiedniego Administratora końcowego Google) jako eksportera danych, a przesyłanie danych podlega Standardowym klauzulom umownym dotyczącym administratorów.

5.2 Przesyłanie do Klienta Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratora. W zakresie, w jakim:

• (a) Google przesyła Klientowi Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratora oraz
• (b) przesyłanie danych stanowi Ograniczone przesyłanie danych w Europie, uznaje się, że jako importer danych Klient zaakceptował Standardowe klauzule umowne dotyczące administratorów firmy Google LLC (odpowiedniego Administratora końcowego Google) jako eksportera danych, a przesyłanie danych podlega Standardowym klauzulom umownym dotyczącym administratorów.

5.3 Przesyłanie do Google Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora. Strony przyjmują do wiadomości, że w zakresie, w jakim Klient przesyła do Google Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratora, Standardowe klauzule umowne dotyczące administratorów nie są wymagane, ponieważ adres firmy Google Ireland Limited (odpowiedni Administrator końcowy Google) znajduje się w Kraju zapewniającym odpowiednią ochronę danych, w związku z czym ma miejsce Dozwolone przesyłanie danych w Europie. Nie ma to wpływu na zobowiązania Google określone w art. 4.1 (Ograniczone przesyłanie danych w Europie) tego Dodatku 1A.

5.4 Przesyłanie do Google Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratora. W zakresie, w jakim Klient przesyła do Google Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratora, uznaje się, że Klient jako eksporter danych zaakceptował Standardowe klauzule umowne dotyczące administratorów firmy Google LLC (odpowiedniego Administratora końcowego Google) jako importera danych, a przesyłanie danych będzie podlegać Standardowym klauzulom umownym dotyczącym administratorów, ponieważ firma Google LLC nie ma siedziby w Kraju zapewniającym odpowiednią ochronę danych.

5.5 Kontaktowanie się z Google, informacje o kliencie.

• (a) Klient może się kontaktować z firmą Google Ireland Limited lub Google LLC w związku ze Standardowymi klauzulami umownymi dotyczącymi administratorów przez stronę https://support.google.com/policies/troubleshooter/9009584 albo korzystając z innych metod udostępnianych co jakiś czas przez Google.
• (b) Klient przyjmuje do wiadomości, że zgodnie ze Standardowymi klauzulami umownymi dotyczącymi administratorów firma Google jest zobowiązana do rejestrowania pewnych informacji, m.in. (i) tożsamości i danych kontaktowych importera danych (w tym każdej osoby kontaktowej odpowiedzialnej za ochronę danych) oraz (ii) danych o środkach technicznych i organizacyjnych wdrożonych przez importera danych. W związku z tym Klient poda takie informacje Google, o ile jest to wymagane i odpowiednie dla Klienta, za pomocą środków wskazanych przez Google, a także dopilnuje, aby wszystkie podane informacje były dokładne i aktualne.

5.6 Odpowiadanie na zapytania osób, których dotyczą dane. Odpowiedni importer danych będzie odpowiadać na zapytania pochodzące od osób, których dotyczą dane, oraz organów nadzorczych w sprawach związanych z przetwarzaniem odpowiednich Danych osobowych przetwarzanych przez administratora, którym jest importer danych.

5.7 Usuwanie danych po rozwiązaniu Umowy. W zakresie, w jakim:

• (a) firma Google LLC działa jako importer danych, a Klient jako eksporter danych zgodnie ze Standardowymi klauzulami umownymi dotyczącymi administratorów; oraz
• (b) Klient rozwiązuje Umowę zgodnie z klauzulą 16(c) zawartą w Standardowych klauzulach umownych dotyczących administratorów, a następnie w ramach postanowień klauzuli 16(d) zawartej w Standardowych klauzulach umownych dotyczących administratorów Klient kieruje do Google prośbę o usunięcie Danych osobowych przetwarzanych przez administratora, a jeśli Prawo europejskie nie wymaga ich przechowywania, Google umożliwi takie usunięcie tak szybko, jak jest to wykonalne, w zakresie, w jakim to usunięcie jest możliwe (o ile tylko Google jest niezależnym administratorem tych danych oraz z uwzględnieniem specyfiki i sposobu działania Usług pomiarowych).

6. Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów

Jeśli Standardowe klauzule umowne dotyczące administratorów mają zastosowanie zgodnie z art. 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A, wtedy łączna odpowiedzialność:

• (a) firm Google, Google LLC i Google Ireland Limited wobec Klienta oraz
• (b) Klienta wobec firm Google, Google LLC i Google Ireland Limited zgodnie z Umową oraz ze Standardowymi klauzulami umownymi dotyczącymi administratorów lub w związku z nimi podlega postanowieniom art. 5 (Odpowiedzialność). Klauzula 12 zawarta w Standardowych klauzulach umownych dotyczących administratorów nie ma wpływu na poprzednie zdanie.

7. Beneficjenci będący osobami trzecimi

Gdy Google LLC lub Google Ireland Limited nie są stroną Umowy, ale są stroną odpowiednich Standardowych klauzul umownych dotyczących administratorów zgodnie z art. 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A, Google LLC lub Google Ireland Limited (w stosownych przypadkach) będą beneficjentem będącym osobą trzecią zgodnie z art. 4.4 (Administratorzy końcowi), art. 3 (Administratorzy końcowi Google), 5 (Standardowe klauzule umowne dotyczące administratorów) i 6 (Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów) tego Dodatku 1A. W zakresie, w jakim art. 7 (Beneficjenci będący osobami trzecimi) koliduje lub jest niezgodny z postanowieniami innych klauzul Umowy, zastosowanie będzie miał ten art. 7 (Beneficjenci będący osobami trzecimi).

8. Pierwszeństwo

8.1 Jeśli występują sprzeczności lub niespójności między Standardowymi klauzulami umownymi dotyczącymi administratorów, tym Dodatkiem 1A a pozostałymi postanowieniami tych Warunków dotyczących administratorów lub pozostałymi zapisami Umowy, pierwszeństwo będą miały Standardowe klauzule umowne dotyczące administratorów.

8.2 Dodatkowe klauzule handlowe. Z wyjątkiem zmian wprowadzanych w tych Warunkach dotyczących administratorów Umowa pozostaje w mocy. Art. od 5.5 (Kontaktowanie się z Google) do 5.7 (Usuwanie danych po rozwiązaniu Umowy) oraz art. 6 (Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów) tego Dodatku 1A stanowią dodatkowe klauzule handlowe związane ze Standardowymi klauzulami umownymi dotyczącymi administratorów, na które zezwalają postanowienia klauzuli 2(a) (Oddziaływanie i niezmienność Klauzul) zawartej w Standardowych klauzulach umownych dotyczących administratorów.

8.3 Brak modyfikacji Standardowych klauzul umownych dotyczących administratorów. Żadne z postanowień tej Umowy (z uwzględnieniem tych Warunków dotyczących administratorów) nie ma na celu zmodyfikowania postanowień Standardowych klauzul umownych dotyczących administratorów ani nie ma być z nimi sprzeczne oraz nie ma na celu naruszenia podstawowych praw lub swobód osób, których dotyczą dane, wynikających z Europejskich przepisów dotyczących ochrony danych.

CZĘŚĆ B – DODATKOWE WARUNKI ZWIĄZANE Z AMERYKAŃSKIMI PRZEPISAMI STANOWYMI O OCHRONIE DANYCH OSOBOWYCH

1. Wprowadzenie

Firma Google może oferować, a Klient może włączać pewne ustawienia, konfiguracje lub inne funkcje Usług pomiarowych związane z ograniczonym przetwarzaniem danych, zgodnie z opisem w dokumentacji pomocniczej dostępnej na stronie business.safety.google/rdp i okresowo aktualizowanej („Ograniczone przetwarzanie danych”). Ten Dodatek 1B odzwierciedla porozumienie stron dotyczące przetwarzania Danych osobowych Klienta i Danych deidentyfikowanych (zgodnie z definicją poniżej) zgodnie z Umową w związku z Amerykańskimi przepisami stanowymi o ochronie danych osobowych i jest skuteczny wyłącznie w zakresie, w jakim mają zastosowanie Amerykańskie przepisy stanowe o ochronie danych osobowych.

2. Dodatkowe definicje i interpretacja

W tym Dodatku 1B:

• (a) „Dane osobowe Klienta” to dane osobowe, które są przetwarzane przez Google w imieniu Klienta w ramach świadczenia przez Google Usług pomiarowych.
• (b) „Deidentyfikowane dane” oznaczają informacje „deidentyfikowane” (zgodnie z definicją tego terminu w ustawie CCPA) i „deidentyfikowane dane” (zgodnie z definicją w innych Amerykańskich przepisach stanowych o ochronie danych osobowych) w przypadku ujawnienia przez jedną stronę drugiej stronie.
• (c) „Instrukcje” oznaczają, zbiorczo, instrukcje Klienta dotyczące przetwarzania Danych osobowych Klienta przez Google wyłącznie zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych: (a) w celu świadczenia Usług RDP i wszelkiej związanej z nimi pomocy technicznej; (b) określone dokładniej w ramach korzystania przez Klienta z Usług RDP (w tym w zakresie ustawień i innych funkcji takich Usług RDP) oraz wszelkiej pomocy technicznej; (c) udokumentowane w formie Umowy, z uwzględnieniem tego Dodatku 1B; (d) zgodnie z informacjami zawartymi w innych instrukcjach przekazanych przez Klienta i zatwierdzonych przez Google jako instrukcje zawarte w niniejszym Dodatku 1B oraz (e) w celu przetwarzania Danych osobowych Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych dotyczącymi dostawców usług i podmiotów przetwarzających.
• (d) „Usługi RDP” to Usługi administratora w ramach Ograniczonego przetwarzania danych.
• (e) „Okres obowiązywania” oznacza okres od Daty wejścia Warunków w życie do zakończenia świadczenia przez Google Usług pomiarowych na mocy Umowy.
• (f) Terminy „firma”, „konsument”, „dane osobowe”, „sprzedaż”, „sprzedać”, „dostawca usług” i „udostępnianie” używane w tym Dodatku 1B mają znaczenie nadane w Amerykańskich przepisach stanowych o ochronie danych osobowych.
• (g) Klient ponosi wyłączną odpowiedzialność za przestrzeganie Amerykańskich przepisów stanowych o ochronie danych osobowych w zakresie korzystania z usług Google, w tym Ograniczonego przetwarzania danych.

3. Amerykańskie przepisy stanowe o ochronie danych osobowych (w ramach Ograniczonego przetwarzania danych)

3.1 Przetwarzanie danych.

3.1.1

• (a) Obowiązki podmiotów przetwarzających i administratorów. Strony przyjmują do wiadomości i zgadzają się, że:
  • (i) Art. 7 (Przedmiot i szczegóły przetwarzania danych na mocy Amerykańskich przepisów stanowych o ochronie danych osobowych) tego Dodatku 1B opisuje przedmiot i szczegóły przetwarzania Danych osobowych Klienta;
  • (ii) Google jest dostawcą usług i podmiotem przetwarzającym Dane osobowe Klienta na mocy Amerykańskich przepisów stanowych o ochronie danych osobowych oraz
  • (iii) Klient jest administratorem lub podmiotem przetwarzającym Dane osobowe Klienta (w stosownych przypadkach) zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych.
• (b) Klienci będący podmiotami przetwarzającymi. Jeśli Klient jest podmiotem przetwarzającym:
  • (i) Klient na bieżąco zapewnia, że odpowiedni administrator zatwierdził: (A) Instrukcje, (B) wyznaczenie Google przez Klienta jako innego podmiotu przetwarzającego dane oraz (C) zaangażowanie przez Google Podwykonawców zgodnie z art. 3.6 (Podwykonawcy) tego Dodatku 1B;
  • (ii) Klient niezwłocznie przekaże odpowiedniemu administratorowi wszelkie powiadomienia przekazane przez Google na mocy art. 3.3.2(a) (Powiadomienia o incydentach) i 3.6 (Podwykonawcy); oraz
  • (iii) Klient może udostępnić odpowiedniemu administratorowi wszelkie informacje udostępniane przez Google na mocy art. 3.3.3(c) (Prawa Klienta do audytu) i 3.6 (Podwykonawcy).

3.1.2 Instrukcje Klienta. Akceptując ten Dodatek 1B, Klient zleca Google przetwarzanie Danych osobowych Klienta tylko zgodnie z Instrukcjami.

3.1.3 Przestrzeganie instrukcji przez Google. Firma Google będzie przestrzegać Instrukcji, chyba że jest to zabronione przez Amerykańskie przepisy stanowe o ochronie danych osobowych.

3.1.4 Usługi dodatkowe. Jeśli Klient korzysta z jakichkolwiek produktów, usług lub aplikacji firmy Google lub osoby trzeciej, które: (a) nie wchodzą w skład Usług RDP oraz (b) są dostępne w interfejsie Usług RDP lub w inny sposób zintegrowane z Usługami RDP („Usługa dodatkowa”), Usługi RDP mogą zezwolić tej Usłudze dodatkowej na dostęp do Danych osobowych Klienta w ramach interoperacyjności Usługi dodatkowej i Usług RDP. W celu uniknięcia wątpliwości ten Dodatek 1B nie ma zastosowania do przetwarzania danych osobowych w związku z udostępnianiem jakiejkolwiek Usługi dodatkowej używanej przez Klienta, w tym danych osobowych przesyłanych do tej Usługi dodatkowej lub z niej.

3.2 Usuwanie danych po wygaśnięciu Okresu obowiązywania. Na koniec Okresu obowiązywania Klient zleca Google usunięcie wszystkich pozostałych Danych osobowych Klienta (w tym ich kopii) z systemów Google zgodnie z obowiązującymi przepisami. Firma Google jest zobowiązana zastosować się do tej instrukcji tak szybko, jak jest to wykonalne, maksymalnie w ciągu 180 dni, chyba że obowiązujące przepisy wymagają przechowywania takich danych.

3.3 Bezpieczeństwo danych.

3.3.1 Środki bezpieczeństwa i pomoc Google.

• (a) Środki bezpieczeństwa Google. Google wdroży i będzie utrzymywać wszelkie środki techniczne i organizacyjne, które mają przeciwdziałać przypadkowemu lub niezgodnemu z prawem zniszczeniu, utracie i zmianie Danych osobowych Klienta oraz nieuprawnionemu ujawnieniu tych danych lub dostępowi do nich („Środki bezpieczeństwa”). Środki bezpieczeństwa obejmują: (i) szyfrowanie danych osobowych; (ii) pomoc w zapewnianiu ciągłej poufności, integralności i dostępności danych w systemach i usługach Google oraz ich odporności; (iii) pomoc w szybkim przywracaniu dostępu do danych osobowych po związanym z nimi incydencie oraz (iv) regularne testowanie skuteczności zabezpieczeń. Google może co jakiś czas aktualizować lub zmieniać Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i zmiany nie spowodują pogorszenia ogólnego bezpieczeństwa Danych osobowych Klienta.
• (b) Dostęp i zgodność z zasadami. Google zadba o to, aby wszystkie osoby upoważnione do przetwarzania Danych osobowych Klienta zobowiązały się do zachowania poufności lub były objęte odpowiednimi przepisami ustawowymi w tym zakresie.
• (c) Pomoc Google w zakresie bezpieczeństwa. Firma Google (biorąc pod uwagę charakter przetwarzania Danych osobowych Klienta i informacje dostępne firmie Google) będzie pomagać Klientowi w wypełnianiu jego obowiązków (lub, jeśli Klient jest podmiotem przetwarzającym, obowiązków odpowiedniego administratora) w zakresie bezpieczeństwa danych osobowych i naruszeń ochrony danych osobowych, w tym obowiązków Klienta (lub, w przypadku gdy Klient jest podmiotem przetwarzającym, obowiązków odpowiedniego administratora) związanych z bezpieczeństwem danych osobowych i naruszeniami ochrony danych osobowych zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych poprzez:
  • (i) wdrożenie i utrzymywanie Środków bezpieczeństwa zgodnie z art. 3.3.1(a) (Środki bezpieczeństwa Google);
  • (ii) przestrzeganie warunków zawartych w art. 3.3.2 (Naruszenie ochrony danych) oraz
  • (iii) zapewnienie Klientowi praw przyznanych na mocy art. 3.3.3(c) (Prawa Klienta do audytu).

3.3.2 Naruszenia ochrony danych.

• (a) Powiadomienie o naruszeniu. Jeśli firma Google uzyska informacje o Naruszeniu ochrony danych (zgodnie z definicją poniżej), podejmie następujące działania: (i) powiadomi Klienta o Naruszeniu ochrony danych bez zbędnej zwłoki oraz (ii) niezwłocznie podejmie uzasadnione kroki w celu zminimalizowania szkód i zabezpieczenia Danych osobowych Klienta. W niniejszym Dodatku 1B „Naruszenie ochrony danych” oznacza naruszenie zabezpieczeń Google prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub zmiany Danych osobowych Klienta w systemach zarządzanych przez Google lub w inny sposób kontrolowanych przez tę firmę, a także do nieuprawnionego ujawnienia tych danych lub dostępu do nich. „Naruszenia ochrony danych” nie obejmują nieudanych prób lub działań, które nie zagrażają bezpieczeństwu Danych osobowych Klienta, w tym nieudanych prób logowania, pingów, skanowania portów, ataków typu DoS i innych ataków sieciowych na zapory sieciowe lub systemy podłączone do sieci.
• (b) Dostarczenie powiadomienia. Google będzie dostarczać powiadomienia o każdym Naruszeniu ochrony danych na adres e-mail podany przez Klienta w interfejsie Usług RDP lub za pomocą innych środków udostępnianych przez Google na potrzeby otrzymywania od Google określonych powiadomień związanych z niniejszym Dodatkiem 1B („Adres e-mail do powiadomień”) lub innymi metodami bezpośredniego kontaktu (np. w rozmowie telefonicznej, e-mailem lub podczas spotkania na żywo) według uznania firmy Google (w tym w przypadku, gdy Klient nie podał adresu e-mail do powiadomień). Klient ponosi wyłączną odpowiedzialność za podanie Adresu e-mail do powiadomień oraz za zapewnienie, że Adres e-mail do powiadomień jest aktualny i prawidłowy.
• (c) Powiadamianie osób trzecich. Klient ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o Naruszeniu ochrony danych oraz za wypełnianie wszelkich zobowiązań wobec osób trzecich dotyczących powiadomień związanych z Naruszeniem ochrony danych.
• (d) Brak potwierdzenia odpowiedzialności za naruszenie ze strony firmy Google. Powiadomienie o Naruszeniu ochrony danych zgodnie z tym art. 3.3.2 (Naruszenia ochrony danych) wysłane przez firmę Google lub udzielona przez nią odpowiedź na takie powiadomienie nie będą interpretowane jako potwierdzenie ze strony firmy Google, że ponosi ona jakąkolwiek odpowiedzialność w związku z Naruszeniem ochrony danych.

3.3.3 Obowiązki Klienta w zakresie bezpieczeństwa i ocena bezpieczeństwa Klienta.

• (a) Obowiązki Klienta w zakresie bezpieczeństwa. Klient zgadza się, że bez uszczerbku dla zobowiązań Google określonych w art. 3.3.1 (Środki bezpieczeństwa i pomoc Google) oraz 3.3.2 (Naruszenia ochrony danych):
  • (i) Klient odpowiada za korzystanie z Usług RDP, w tym za (1) korzystanie z Usług RDP w odpowiedni sposób w celu zapewnienia poziomu bezpieczeństwa stosownego do ryzyka w odniesieniu do Danych osobowych Klienta oraz (2) zabezpieczanie danych uwierzytelniających, systemów i urządzeń używanych do uzyskiwania dostępu do Usług RDP; oraz
  • (ii) Firma Google nie jest zobowiązana do ochrony Danych osobowych Klienta, które Klient przechowuje poza systemami firmy Google i podwykonawców Google lub przenosi do takich systemów.
• (b) Ocena bezpieczeństwa Klienta. Klient przyjmuje do wiadomości i akceptuje fakt, że Google stosuje i utrzymuje Środki bezpieczeństwa określone w artykule 3.3.1(a) (Środki bezpieczeństwa Google) i zapewnia określony poziom bezpieczeństwa odpowiedni dla ryzyka dotyczącego Danych osobowych Klienta z uwzględnieniem najnowocześniejszych rozwiązań, kosztów implementacji, charakteru, zakresu, kontekstu i celów przetwarzania Danych osobowych Klienta, a także ryzyka dla osób fizycznych.
• (c) Prawa Klienta do audytu.
  • (i) Klient może przeprowadzić audyt w celu sprawdzenia, czy firma Google przestrzega swoich zobowiązań wynikających z tego Dodatku 1B, przez zażądanie i weryfikację (1) certyfikatu wydanego w celu weryfikacji bezpieczeństwa odzwierciedlającego wynik audytu przeprowadzonego przez zewnętrznego audytora w ciągu 12 miesięcy od daty otrzymania wniosku Klienta (np. certyfikatu SOC 2 typu II, certyfikatu ISO/IEC 27001 lub porównywalnego certyfikatu albo innego certyfikatu bezpieczeństwa wydanego przez zewnętrznego audytora zaakceptowanego przez Klienta i Google) oraz (2) wszelkich innych informacji określonych przez Google jako w uzasadnionym stopniu niezbędne do weryfikacji takiego przestrzegania przez Klienta.
  • (ii) Google może też, według własnego uznania i w odpowiedzi na wniosek Klienta, poprosić o przeprowadzenie zewnętrznego audytu, aby zweryfikować przestrzeganie przez Google zobowiązań wynikających z tego Dodatku 1B. Podczas takiego audytu Google udostępni audytorowi zewnętrznemu wszelkie informacje niezbędne do wykazania, że zobowiązania są przestrzegane. Jeśli Klient zażąda takiego audytu, Google może pobrać za niego opłatę (ustaloną na podstawie uzasadnionych kosztów Google). Google przekaże Klientowi dalsze szczegółowe informacje na temat wszelkich obowiązujących opłat, a także podstawy ich obliczania przed przeprowadzeniem takiego audytu. Klient będzie odpowiedzialny za wszelkie opłaty pobierane przez wyznaczonego przez Klienta zewnętrznego audytora za przeprowadzenie takiego audytu.
  • (iii) Żadne z postanowień tego Dodatku 1B nie wymaga od Google ujawnienia Klientowi lub zewnętrznemu audytorowi ani umożliwienia Klientowi lub zewnętrznemu audytorowi dostępu do:
    • (1) żadnych danych jakiegokolwiek klienta będącego Podmiotem Google;
    • (2) wewnętrznych informacji księgowych lub finansowych Podmiotu Google;
    • (3) tajemnicy handlowej Podmiotu Google;
    • (4) informacji, które według uzasadnionej oceny Google mogłyby: (A) zagrażać bezpieczeństwu systemów lub obiektów Podmiotu Google lub (B) spowodować naruszenie przez jakikolwiek Podmiot Google zobowiązań wynikających z Amerykańskich przepisów stanowych o ochronie danych osobowych lub zobowiązań w zakresie bezpieczeństwa albo prywatności wobec Klienta lub jakiejkolwiek firmy zewnętrznej; lub
    • (5) informacji, do których Klient lub jego zewnętrzny audytor chcą uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych.

3.4 Pomoc przy ocenie skutków dla ochrony danych. Firma Google (biorąc pod uwagę charakter przetwarzania danych i informacje dostępne firmie Google) będzie pomagać Klientowi w wypełnianiu jego obowiązków (lub, jeśli Klient jest podmiotem przetwarzającym, obowiązków odpowiedniego administratora) związanych z oceną skutków dla ochrony danych i wcześniejszymi konsultacjami regulacyjnymi w zakresie wymaganym przez Amerykańskie przepisy stanowe o ochronie danych osobowych poprzez:

• (a) dostarczanie dokumentacji dotyczącej zabezpieczeń;
• (b) dostarczanie informacji zawartych w Umowie (w tym w niniejszym Dodatku 1B) oraz
• (c) udostępnianie lub przekazywanie w inny sposób, zgodnie ze standardowymi praktykami Google, innych materiałów związanych z charakterem Usług RDP i przetwarzania Danych osobowych Klienta (np. materiałów w Centrum pomocy).

3.5 Prawa osoby, której dotyczą dane.

3.5.1 Odpowiedzi na wnioski osób, których dotyczą dane. Jeśli Google otrzyma wniosek od osoby, której dotyczą dane, w związku z Danymi osobowymi Klienta, Klient upoważnia Google do podjęcia następujących działań, a Google powiadamia Klienta, że:

• (a) odpowie bezpośrednio na wniosek osoby, której dotyczą dane, zgodnie ze standardową funkcjonalnością narzędzia (o ile istnieje) udostępnionego przez Podmiot Google osobom, których dotyczą dane, co umożliwia firmie Google bezpośrednie odpowiadanie w ustandaryzowany sposób na określone wnioski związane z Danymi osobowymi Klienta składane przez osoby, których dotyczą dane (na przykład w sprawie ustawień reklam online lub wtyczki w przeglądarce służącej do rezygnacji z korzystania z usługi) („Narzędzie dla osób, których dotyczą dane”) (jeśli wniosek jest składany za pomocą Narzędzia dla osób, których dotyczą dane); lub
• (b) zaleci osobie, której dotyczą dane, aby przesłała wniosek do Klienta, a Klient będzie odpowiedzialny za udzielenie odpowiedzi na taki wniosek (jeśli nie został złożony za pomocą Narzędzia dla osób, których dotyczą dane).

3.5.2 Pomoc Google dotycząca wniosków osób, których dotyczą dane. Firma Google będzie pomagać Klientowi w wypełnianiu jego obowiązków (lub obowiązków odpowiedniego administratora, jeśli Klient jest podmiotem przetwarzającym) wynikających z Amerykańskich przepisów stanowych o ochronie danych osobowych; te obowiązki polegają na odpowiadaniu na wnioski o egzekwowanie praw osoby, której dotyczą dane, we wszystkich przypadkach z uwzględnieniem charakteru przetwarzania Danych osobowych Klienta oraz przez:

• (a) udostępnianie funkcji Usług RDP;
• (b) wypełnianie zobowiązań określonych w art. 3.5.1 (Odpowiadanie na wnioski osób, których dotyczą dane) oraz
• (c) udostępnianie w stosownych przypadkach Narzędzi dla osób, których dotyczą dane w ramach Usług RDP.

3.5.3 Sprostowanie. Jeśli Klient uzyska informacje, że jakiekolwiek Dane osobowe Klienta są niedokładne lub nieaktualne, Klient będzie odpowiedzialny za poprawienie lub usunięcie tych danych, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie danych osobowych, w tym (jeśli są dostępne) w przypadku korzystania z funkcji Usług RDP.

3.6 Podwykonawcy.

• (a) Klient upoważnia firmę Google do zatrudniania innych podmiotów jako podwykonawców w związku ze świadczeniem Usług RDP. Podczas zatrudniania dowolnego podwykonawcy Google:
  • (i) zapewni na mocy pisemnej umowy, że: (1) podwykonawca uzyskuje dostęp do Danych osobowych Klienta i wykorzystuje je w zakresie wymaganym do wykonania zleconych mu zobowiązań i robi to zgodnie z Umową (w tym z tym Dodatkiem 1B) oraz (2) jeśli przetwarzanie Danych osobowych Klienta podlega Amerykańskim przepisom stanowym o ochronie danych osobowych, zapewni, że obowiązki w zakresie ochrony danych określone w tym Dodatku 1B zostaną nałożone na podwykonawcę;
  • (ii) w przypadku zatrudniania nowych podwykonawców, powiadomi o tym Klienta, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie danych osobowych, oraz zapewni Klientowi możliwość wyrażenia sprzeciwu wobec takich podwykonawców, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie danych osobowych; oraz
  • (iii) poniesie pełną odpowiedzialność za wszystkie zobowiązania zlecone podwykonawcy oraz za wszystkie działania i zaniechania podwykonawcy.
• (b) Klient może wyrazić sprzeciw wobec nowego podwykonawcy, rozwiązując Umowę bez podania przyczyny, natychmiast po pisemnym powiadomieniu skierowanym do firmy Google, pod warunkiem że Klient dostarczy takie powiadomienie w ciągu 90 dni od otrzymania informacji o zaangażowaniu nowego podwykonawcy zgodnie z opisem w artykule 3.6(a)(ii) tego Dodatku.

3.7 Kontakt z Google. Klient może skontaktować się z Google w związku z korzystaniem z praw, które przysługują mu na podstawie niniejszego Dodatku 1B, za pomocą metod opisanych na stronie privacy.google.com/businesses/processorsupport lub w inny sposób, jaki Google może okresowo określić.

4. Amerykańskie przepisy stanowe o ochronie danych osobowych

4.1 Deidentyfikowane dane. W odniesieniu do Danych osobowych Klienta przetwarzanych przy włączonym lub wyłączonym Ograniczonym przetwarzaniu danych oraz w zakresie, w jakim ma zastosowanie co najmniej 1 postanowienie Amerykańskich przepisów stanowych o ochronie danych osobowych, każda ze stron będzie przestrzegać wymagań dotyczących przetwarzania Deidentyfikowanych danych określonych w Amerykańskich przepisach stanowych o ochronie danych osobowych w odniesieniu do wszelkich Deidentyfikowanych danych otrzymanych od drugiej strony zgodnie z Umową. Na potrzeby tego artykułu 4.1 (Deidentyfikowane dane) Dane osobowe Klienta oznaczają wszelkie dane osobowe, które są przetwarzane przez stronę na mocy Umowy w związku ze świadczeniem lub korzystaniem z Usług pomiarowych.

5. Zobowiązania Google wynikające z ustawy CCPA.

5.1 W odniesieniu do Danych osobowych Klienta przetwarzanych w ramach Ograniczonego przetwarzania danych oraz w zakresie, w jakim ustawa CCPA ma zastosowanie do takiego przetwarzania Danych osobowych Klienta, Google będzie działać jako dostawca usług Klienta, w związku z czym, o ile nie jest to w inny sposób dozwolone w przypadku dostawców usług na mocy ustawy CCPA, zgodnie z ustaleniami Google:

• (a) Google nie będzie sprzedawać ani udostępniać żadnych Danych osobowych Klienta uzyskanych od Klienta w związku z Umową;
• (b) Google nie będzie przechowywać, wykorzystywać ani ujawniać Danych osobowych Klienta (w tym poza bezpośrednią relacją biznesową między Google a Klientem), z wyjątkiem celów biznesowych zgodnych z ustawą CCPA w imieniu Klienta i świadczenia Usług RDP zgodnie z dokumentacją pomocniczą dostępną na stronie business.safety.google/rdp, która może być okresowo aktualizowana;
• (c) Google nie będzie łączyć Danych osobowych Klienta, które Google otrzymuje od Klienta lub w jego imieniu, z: (i) danymi osobowymi, które Google otrzymuje od innych osób lub w ich imieniu; ani (ii) danymi osobowymi zebranymi w ramach własnej interakcji Google z konsumentem, zgodnie z dokumentacją pomocniczą dostępną na stronie business.safety.google/rdp, z wyjątkiem zakresu dozwolonego na mocy ustawy CCPA;
• (d) Google będzie przetwarzać takie Dane osobowe Klienta w celu świadczenia Usług RDP, jak opisano dokładniej w Umowie i dokumentacji pomocniczej (np. w artykułach Centrum pomocy), lub w inny sposób dozwolony na mocy ustawy CCPA, a strony zgadzają się, że Klient udostępnia takie Dane osobowe Klienta firmie Google w takich celach;
• (e) Google zezwoli na przeprowadzenie audytów w celu weryfikacji przestrzegania przez Google zobowiązań wynikających z niniejszego Dodatku 1B zgodnie z art. 3.3.3(c) (Prawa Klienta do audytu) w tym dokumencie;
• (f) Google powiadomi Klienta, jeśli uzna, że nie może dłużej wypełniać swoich zobowiązań wynikających z ustawy CCPA (art. 5.1(f) nie ogranicza żadnych zawartych w Umowie praw ani zobowiązań żadnej ze stron);
• (g) jeśli Klient ma uzasadnione podstawy, aby sądzić, że Google przetwarza Dane osobowe Klienta w sposób nieupoważniony, Klient ma prawo powiadomić Google o takim podejrzeniu za pomocą metod opisanych na stronie privacy.google.com/businesses/processorsupport, a strony będą ze sobą współpracować w dobrej wierze, aby w razie potrzeby naprawić potencjalnie nieodpowiednie działania związane z przetwarzaniem danych; oraz
• (h) Google będzie przestrzegać wszelkich zobowiązań wynikających z ustawy CCPA i zapewni poziom ochrony prywatności wymagany przez ustawę CCPA.

5.2 W odniesieniu do Danych osobowych Klienta przetwarzanych bez włączonego Ograniczonego przetwarzania danych oraz w zakresie, w jakim ustawa CCPA ma zastosowanie do przetwarzania Danych osobowych Klienta:

• (a) Google będzie przetwarzać takie Dane osobowe Klienta w określonym celu świadczenia Usług pomiarowych, jak opisano szczegółowo w Umowie i dokumentacji pomocniczej (np. artykułach Centrum pomocy) lub w inny sposób dozwolony na mocy ustawy CCPA, a strony zgadzają się, że Klient udostępnia takie Dane osobowe Klienta firmie Google w takich celach;
• (b) Google zezwoli na przeprowadzenie audytów w celu weryfikacji przestrzegania przez Google zobowiązań wynikających z niniejszego Dodatku 1B zgodnie z art. 3.3.3(c) (Prawa Klienta do audytu) w tym dokumencie;
• (c) Google powiadomi Klienta, jeśli uzna, że nie może dłużej wypełniać swoich zobowiązań wynikających z ustawy CCPA;
• (d) jeśli Klient ma uzasadnione podstawy, aby sądzić, że Google przetwarza Dane osobowe Klienta w sposób nieupoważniony, Klient ma prawo powiadomić Google o takim podejrzeniu za pomocą metod opisanych na stronie privacy.google.com/businesses/processorsupport, a strony będą ze sobą współpracować w dobrej wierze, aby w razie potrzeby naprawić potencjalnie nieodpowiednie działania związane z przetwarzaniem danych; oraz
• (e) Google będzie przestrzegać wszelkich zobowiązań wynikających z ustawy CCPA i zapewni poziom ochrony prywatności wymagany przez ustawę CCPA.

6. Zmiany w tym Dodatku 1B.

Oprócz sekcji 7 Warunków dotyczących administratorów (Zmiany w tych Warunkach dotyczących administratorów) Google może bez powiadomienia zmienić ten Dodatek 1B, jeśli zmiana (a) jest oparta na obowiązującym prawie, obowiązujących przepisach, orzeczeniu sądowym lub wskazówkach wydanych przez rządowy organ regulacyjny lub agencję rządową lub (b) nie ma istotnego negatywnego wpływu na Klienta zgodnie z Amerykańskimi stanowymi przepisami o ochronie danych osobowych, zgodnie z uzasadnionymi ustaleniami firmy Google.

7. Przedmiot i szczegóły przetwarzania danych na mocy Amerykańskich przepisów stanowych o ochronie danych osobowych

Świadczenie przez Google Usług RDP i wszelkiej związanej z nimi pomocy technicznej Klientowi.

Czas przetwarzania danych

Okres obowiązywania i okres od jego zakończenia do momentu usunięcia przez Google wszystkich Danych osobowych Klienta zgodnie z Dodatkiem 1B.

Charakter i cel przetwarzania danych

Google będzie przetwarzać Dane osobowe Klienta (co obejmuje, odpowiednio do Usług RDP i Instrukcji, gromadzenie, rejestrowanie, organizowanie, przechowywanie, zmienianie, odzyskiwanie, używanie, ujawnianie, łączenie, usuwanie i niszczenie danych) w celu świadczenia Usług RDP i wszelkiej powiązanej z nimi pomocy technicznej Klientowi zgodnie z Dodatkiem 1B lub w inny sposób dozwolony przez podmioty przetwarzające zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych osobowych.

Rodzaje Danych osobowych

Dane osobowe Klienta mogą obejmować rodzaje danych osobowych opisane w Amerykańskich przepisach stanowych o ochronie danych osobowych.

Kategorie osób, których dotyczą dane

Dane osobowe Klienta będą dotyczyły następujących kategorii osób, których dotyczą dane:

• osób, w przypadku których Google gromadzi dane osobowe w ramach świadczenia Usług RDP; lub
• osób, których dane osobowe są przesyłane do Google w związku z Usługami RDP przez Klienta, na jego zlecenie lub w jego imieniu.

W zależności od charakteru Usług RDP osoby, których dotyczą dane, mogą obejmować osoby: (a) na które były lub będą kierowane reklamy online; (b) które odwiedziły określone witryny lub aplikacje, w odniesieniu do których Google świadczy Usługi RDP; lub (c) które są klientami lub użytkownikami produktów lub usług Klienta.

Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów, wersja 4.0

Poprzednie wersje

1 stycznia 2023 r.

21 września 2022 r.

27 września 2021 r.

16 sierpnia 2020 r.

12 sierpnia 2020 r.

4 listopada 2019 r.