Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów

Wyrażenie zgody na te warunki przez klienta korzystającego z Usług pomiarowych („Klient”) oznacza, że zawarł on z Google lub sprzedawcą zewnętrznym (w stosownych przypadkach) umowę na świadczenie Usług pomiarowych („Umowa”, wraz z wprowadzanymi w niej co pewien czas zmianami), przez których interfejs Klient włączył Ustawienie udostępniania danych.

Te Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów („Warunki dotyczące administratorów”) zostały przyjęte przez Google i Klienta. Jeśli Klient zawarł Umowę z Google, te Warunki dotyczące administratorów stanowią uzupełnienie jej zapisów. Jeśli Klient zawarł Umowę ze sprzedawcą zewnętrznym, te Warunki dotyczące administratorów stanowią odrębną umowę między Google a Klientem.

W celu uniknięcia jakichkolwiek wątpliwości: świadczenie Usług pomiarowych podlega postanowieniom Umowy. Niniejsze Warunki dotyczące administratorów wyznaczają zasady ochrony danych tylko w odniesieniu do Ustawienia udostępniania danych, ale nie mają zastosowania do świadczenia Usług pomiarowych.

Zgodnie z artykułem 6.2 (Brak wpływu na Warunki dotyczące podmiotów przetwarzających) te Warunki dotyczące administratorów będą obowiązywać i zastąpią od Daty ich wejścia w życie wszystkie obowiązujące wcześniej warunki związane z ich przedmiotem.

Jeśli użytkownik akceptuje niniejsze Warunki dotyczące administratorów w imieniu Klienta, zapewnia, że: (a) jest w pełni uprawniony do podjęcia w jego imieniu zobowiązań wynikających z tych Warunków dotyczących administratorów, (b) zapoznał się z tymi Warunkami dotyczącymi administratorów oraz je zrozumiał, a także (c) w imieniu Klienta zgadza się na postanowienia tych Warunków dotyczących administratorów. Jeśli użytkownik nie ma pełnomocnictwa do przyjmowania zobowiązań w imieniu Klienta, nie powinien akceptować tych Warunków dotyczących administratorów.

Także sprzedawcy nie powinni akceptować tych Warunków dotyczących administratorów. Te Warunki dotyczące administratorów wyznaczają prawa i obowiązki użytkowników Usług pomiarowych oraz Google.

1. Wprowadzenie

Warunki dotyczące administratorów odzwierciedlają zawartą między stronami Umowę na przetwarzanie Danych osobowych przetwarzanych przez administratora, które podlegają Ustawieniu udostępniania danych.

2. Definicje i ich interpretacja

2.1

W Warunkach dotyczących administratorów:

„Warunki dodatkowe” to dodatkowe warunki wymienione w Dodatku 1, które odzwierciedlają postanowienia umowy między stronami dotyczące przetwarzania Danych osobowych przetwarzanych przez administratora w związku z określonymi przepisami Obowiązującego ustawodawstwa dotyczącego ochrony danych.

„Podmiot stowarzyszony” to dowolny podmiot pośrednio lub bezpośrednio kontrolowany przez stronę, kontrolujący stronę lub pozostający pod wspólną kontrolą z daną stroną.

„Obowiązujące ustawodawstwo dotyczące ochrony danych” to, w odniesieniu do przetwarzania Danych osobowych przetwarzanych przez administratora, wszelkie krajowe, federalne, unijne, stanowe, lokalne lub inne przepisy albo regulacje dotyczące prywatności, bezpieczeństwa danych bądź ochrony danych, w tym Europejskie przepisy dotyczące ochrony danych, brazylijska ustawa LGPD oraz Amerykańskie przepisy stanowe o ochronie prywatności.

„Informacje poufne” to niniejsze Warunki dotyczące administratorów.

„Osoba, której dotyczą Dane przetwarzane przez administratora” to osoba, której dane osobowe są przetwarzane przez administratora.

„Dane osobowe przetwarzane przez administratora” to dane osobowe, które są przetwarzane przez stronę zgodnie z Ustawieniem udostępniania danych.

„Ustawienie udostępniania danych” to ustawienie udostępniania danych, które Klient włączył w interfejsie Usług pomiarowych i które umożliwia firmie Google oraz jej Podmiotom stowarzyszonym używanie danych osobowych do doskonalenia produktów i usług firmy Google, a także jej Podmiotów stowarzyszonych.

„Administrator końcowy” to – dla każdej ze stron – ostateczny administrator Danych osobowych przetwarzanych przez administratora.

„RODO (UE)” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

„Europejskie przepisy dotyczące ochrony danych” to, stosownie do przypadku: (a) rozporządzenie RODO lub (b) Szwajcarska federalna ustawa o ochronie danych.

„RODO” to, stosownie do przypadku: (a) RODO (UE) lub (b) RODO (Wielka Brytania).

„Google” to:

• (a) Podmiot Google będący stroną Umowy;
• (b) jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym oraz:
  • (i) sprzedawca zewnętrzny prowadzi działalność w Ameryce Północnej lub w innym regionie poza Europą, Bliskim Wschodem, Afryką, Azją i Oceanią – Google to firma Google LLC (wcześniej Google Inc.);
  • (ii) sprzedawca zewnętrzny prowadzi działalność w Europie, Afryce lub na Bliskim Wschodzie – Google to firma Google Ireland Limited albo
  • (iii) sprzedawca zewnętrzny prowadzi działalność w Azji i Oceanii – Google to firma Google Asia Pacific Pte. Ltd.

„Podmiot Google” to firma Google LLC lub Google Ireland Limited albo dowolny inny Podmiot stowarzyszony firmy Google LLC.

„LGPD” oznacza brazylijską ustawę o ochronie danych osobowych (Lei Geral de Proteção de Dados Pessoais).

„Usługi pomiarowe” to Google Analytics, Google Analytics 360, Google Analytics dla Firebase, Google Optimize lub Google Optimize 360, zależnie od Ustawienia udostępniania danych, w którego przypadku strony zaakceptowały te Warunki dotyczące administratorów.

„Zasady” to Polityka Google w zakresie zgody użytkownika z UE dostępna na stronie https://www.google.com/about/company/user-consent-policy.html.

„Warunki dotyczące podmiotów przetwarzających” to:

• (a) jeśli stroną Umowy jest Google, Warunki dotyczące podmiotów przetwarzających podane na stronie https://business.safety.google/adsprocessorterms;
• (b) jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym, warunki odzwierciedlające relacje między administratorem a podmiotem przetwarzającym (o ile występują) oraz uzgodnione przez Klienta i sprzedawcę zewnętrznego.

„Szwajcarska federalna ustawa o ochronie danych” oznacza federalną ustawę o ochronie danych z 19 czerwca 1992 r.

„Data wejścia Warunków w życie” to dzień, w którym Klient kliknął przycisk akceptacji Warunków dotyczących administratorów lub strony w jakiś inny sposób zaakceptowały te warunki.

„Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratorów” to dane osobowe osób mieszkających w Wielkiej Brytanii, których dotyczą Dane osobowe przetwarzane przez administratora.

„RODO (Wielka Brytania)” to RODO (UE) w formie zmienionej i włączonej do prawa brytyjskiego na mocy ustawy o wystąpieniu z Unii Europejskiej z 2018 roku oraz obowiązujące przepisy dodatkowe wydane na mocy tej ustawy.

„Amerykańskie przepisy stanowe o ochronie prywatności” oznaczają (i) kalifornijską ustawę o ochronie prywatności konsumentów z 2018 r. (wraz z późniejszymi zmianami, w tym zmianami wprowadzonymi przez kalifornijską ustawę o prawie konsumentów do prywatności z 2020 r.) oraz wszystkie przepisy wykonawcze („CCPA”); (ii) ustawę o ochronie prywatności konsumentów stanu Wirginia, Va. Code Ann. § 59.1-571 i nast.; (iii) ustawę o ochronie prywatności obowiązującą w Kolorado, Colo. Rev. Stat. § 6-1-1301 i nast.; (iv) ustawę o prywatności danych osobowych i monitorowaniu online obowiązującą w Connecticut, Pub. Act No. 22015 oraz (v) ustawę o ochronie prywatności konsumentów obowiązującą w Utah, Utah Code Ann. § 13-61-101 i nast.

2.2

Terminy „administrator”, „osoba, której dotyczą dane”, „dane osobowe”, „przetwarzanie” i „podmiot przetwarzający” użyte w tych Warunkach dotyczących administratorów mają znaczenie określone przez (a) Obowiązujące ustawodawstwo dotyczące ochrony danych lub (b) w przypadku braku takiego znaczenia lub ustawodawstwa – RODO.

2.3

Wszelkie przykłady podane w tych Warunkach dotyczących administratorów mają charakter poglądowy i nie stanowią jedynych przykładów poszczególnych koncepcji.

2.4

Wszelkie odniesienia do ram prawnych, ustaw lub innych aktów prawnych odwołują się do ich postaci wraz z wprowadzanymi w nich co pewien czas zmianami w ramach nowelizacji.

2.5

Jeśli przetłumaczona wersja tej Umowy jest niezgodna z wersją angielską, obowiązuje wersja angielska.

2.6

Odniesienia w Standardowych klauzulach umownych dotyczących administratorów do „Warunków współpracy w zakresie ochrony danych między Google i klientami korzystającymi z Google Ads występującymi w roli administratorów” oznaczają „Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów”.

3. Zakres obowiązywania tych Warunków dotyczących administratorów

3.1 Ogólny

Te Warunki dotyczące administratorów będą mieć zastosowanie tylko do tego Ustawienia udostępniania danych, w przypadku którego strony zaakceptowały Warunki dotyczące administratorów (np. Ustawienia udostępniania danych, w przypadku którego Klient kliknął przycisk akceptacji tych Warunków dotyczących administratorów).

3.2 Czas trwania

Warunki dotyczące administratorów będą obowiązywały od Daty ich wejścia w życie przez okres przetwarzania przez Google lub Klienta Danych osobowych przetwarzanych przez administratora, a po jego upływie automatycznie wygasną.

4. Role i ograniczenia związane z przetwarzaniem

4.1 Niezależni administratorzy

Zgodnie z artykułem 4.4 (Administratorzy końcowi) każda strona:

• (a) jest niezależnym administratorem Danych osobowych przetwarzanych przez administratora,
• (b) będzie indywidualnie dobierać cele i środki przetwarzania Danych osobowych przetwarzanych przez administratora,
• (c) będzie się wywiązywać z obowiązków nakładanych na nią przez obowiązujące ustawodawstwo dotyczące ochrony danych w odniesieniu do przetwarzania Danych osobowych przetwarzanych przez administratora.

4.2 Ograniczenia przetwarzania

Artykuł 4.1 (Niezależni administratorzy) nie nakłada żadnych ograniczeń na prawo żadnej ze stron do używania lub przetwarzania w inny sposób Danych osobowych przetwarzanych przez administratora w ramach tej Umowy.

4.3 Zgoda użytkownika

Klient będzie przestrzegać Zasad w odniesieniu do Danych osobowych przetwarzanych przez administratora, których dotyczy Ustawienie udostępniania danych, i zawsze będzie spoczywać na nim ciężar udowodnienia tego, że ich przestrzega.

4.4 Administratorzy końcowi

Bez ograniczania zobowiązań którejkolwiek ze stron wynikających z niniejszych Warunków dotyczących administratorów strony przyjmują do wiadomości, że: (a) Podmioty stowarzyszone lub klienci drugiej strony mogą być Administratorami końcowymi oraz że (b) druga strona może działać jako podmiot przetwarzający w imieniu swoich Administratorów końcowych. Każda ze stron zadba o to, aby jej Administratorzy końcowi przestrzegali Warunków dotyczących administratorów.

4.5 Przejrzystość

Klient przyjmuje do wiadomości, że firma Google opublikowała informacje o tym, jak wykorzystuje informacje ze stron, aplikacji i innych usług korzystających z jej usług na stronie https://business.safety.google/privacy/. Bez uszczerbku dla zobowiązań wynikających z artykułu 4.1(c) Klient może udostępniać link do tej strony, aby przekazać osobom, których dotyczą Dane przetwarzane przez administratora, informacje o przetwarzaniu tych danych przez Google.

5. Odpowiedzialność

5.1

Jeśli Google:

• (a) jest stroną Umowy, a Umowa podlega przepisom:
  • (i) jednego ze stanów Stanów Zjednoczonych Ameryki, to niezależnie od pozostałych zapisów Umowy całkowita odpowiedzialność jednej strony wobec drugiej strony w ramach niniejszych Warunków dotyczących administratorów lub w związku z nimi będzie ograniczona do maksymalnej kwoty pieniężnej (w gotówce lub w formie płatności) określonej w Umowie (w związku z czym żadne wykluczenia roszczeń o odszkodowanie na podstawie ograniczenia odpowiedzialności określonego w Umowie nie będą mieć zastosowania do roszczeń o odszkodowanie kierowanych w ramach Umowy w zgodzie z Obowiązującym ustawodawstwem dotyczącym ochrony danych) lub
  • (ii) jurysdykcji, która nie jest stanem Stanów Zjednoczonych Ameryki, to odpowiedzialność stron w ramach niniejszych Warunków dotyczących administratorów lub w powiązaniu z nimi będzie podlegać wykluczeniom i ograniczeniom odpowiedzialności określonym w Umowie, lub
• (b) nie jest stroną Umowy, to w maksymalnym zakresie dozwolonym przez obowiązujące prawo Google nie ponosi odpowiedzialności wobec Klienta za jego utracone przychody, za żadne szkody pośrednie, szczególne, przypadkowe, wtórne i moralne ani za odszkodowania retorsyjne nawet wtedy, gdy firma Google albo jej Podmioty stowarzyszone zostały poinformowane o możliwości wystąpienia takich szkód, wiedziały o nich lub powinny o nich wiedzieć, i nawet wtedy, gdy odszkodowanie nie jest wystarczającym zadośćuczynieniem. Łączna odpowiedzialność firmy Google (oraz jej Podmiotów stowarzyszonych) wobec Klienta lub jakiejkolwiek innej strony z tytułu straty lub szkód wynikająca z wszelkich roszczeń, żądań bądź postępowań w ramach tych Warunków dotyczących administratorów lub w związku z nimi nie przekroczy kwoty 500 USD (pięciuset dolarów amerykańskich).

6. Oddziaływanie Warunków dotyczących administratorów

6.1 Porządek pierwszeństwa

Jeśli występują sprzeczności lub niespójności między Dodatkowymi warunkami a pozostałymi klauzulami Warunków dotyczących administratorów lub pozostałymi postanowieniami Umowy, to zgodnie z artykułami 4.2 (Ograniczenia przetwarzania) i 6.2 (Brak wpływu na Warunki dotyczące podmiotów przetwarzających) pierwszeństwo będą miały kolejno: (a) Dodatkowe warunki (w stosownych przypadkach), (b) pozostałe klauzule Warunków dotyczących administratorów oraz (c) pozostałe postanowienia Umowy. Z wyjątkiem zmian wprowadzanych przez te Warunki dotyczące administratorów Umowa między Google a Klientem pozostaje w mocy.

6.2 Brak wpływu na Warunki dotyczące podmiotów przetwarzających

Niniejsze Warunki dotyczące administratorów nie zastępują ani nie modyfikują postanowień Warunków dotyczących podmiotów przetwarzających. W celu uniknięcia jakichkolwiek wątpliwości: jeśli Klient jest stroną Warunków dotyczących podmiotów przetwarzających w związku z Usługami pomiarowymi, Warunki dotyczące podmiotów przetwarzających będą nadal mieć zastosowanie do Usług pomiarowych niezależnie od Warunków dotyczących administratorów obowiązujących w przypadku Danych osobowych przetwarzanych przez administratora, które podlegają Ustawieniu udostępniania danych.

7. Zmiany w Warunkach dotyczących administratorów

7.1 Zmiany w Warunkach dotyczących administratorów

Google może zmienić Warunki dotyczące administratorów, jeśli zmiana:

• (a) dotyczy imienia i nazwiska lub nazwy bądź formy osoby prawnej;
• (b) jest niezbędna do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez państwowy urząd bądź agencję regulacyjną albo wynika z przyjęcia przez firmę Google Alternatywnego rozwiązania w zakresie przesyłania danych (zgodnie z definicją w Dodatku 1A);
• (c) jest zgodna z zapisami w artykule 7.2 (Zmiany dotyczące adresów URL) lub
• (d) nie prowadzi do: (i) zmiany roli stron jako administratorów Danych osobowych przetwarzanych przez administratora w ramach Obowiązującego ustawodawstwa dotyczącego ochrony danych, (ii) poszerzenia zakresu ani zniesienia jakichkolwiek ograniczeń praw którejkolwiek ze stron do używania lub przetwarzania w inny sposób Danych osobowych przetwarzanych przez administratora lub (iii) wywarcia istotnego negatywnego wpływu na Klienta, zgodnie z ustaleniami Google.

7.2 Zmiany dotyczące adresów URL

Google może co jakiś czas zmieniać adresy URL wymienione w tych Warunkach dotyczących administratorów oraz treści znajdujące się pod tymi adresami URL.

7.3 Powiadamianie o zmianach

Jeśli Google będzie mieć zamiar wprowadzić zmianę w tych Warunkach dotyczących administratorów zgodnie z artykułem 7.1(b) i taka zmiana zgodnie z ustaleniami Google będzie mieć istotny negatywny wpływ na Klienta, to Google podejmie uzasadnione ekonomicznie starania, aby poinformować Klienta na co najmniej 30 dni (lub na tyle wcześnie, na ile jest to niezbędne do spełnienia wymagań obowiązujących przepisów, orzeczeń sądowych lub wytycznych wydanych przez rządowy organ regulacyjny lub agencję rządową) przed wejściem zmiany w życie. Jeśli Klient sprzeciwia się takiej zmianie, może wyłączyć Ustawienie udostępniania danych.

8. Postanowienia dodatkowe

8.1

Ten artykuł 8 (Postanowienia dodatkowe) ma zastosowanie tylko wtedy, gdy Google nie jest stroną Umowy.

8.2

Każda ze stron będzie przestrzegać swoich zobowiązań wynikających z Warunków dotyczących administratorów z właściwą dbałością i starannością.

8.3

Żadna ze stron nie może korzystać z Informacji poufnych drugiej strony ani ich ujawniać bez uzyskania uprzedniej pisemnej zgody, chyba że ma to na celu korzystanie z przysługujących jej praw lub wykonanie zobowiązań wynikających z tych Warunków dotyczących administratorów albo jeśli jest to wymagane na podstawie przepisów ustawowych, wykonawczych lub orzeczenia sądowego. Strona zmuszona w ten sposób do ujawnienia Informacji poufnych przed ich ujawnieniem zawiadomi o tym drugą stronę z maksymalnie dużym wyprzedzeniem.

8.4

W maksymalnym zakresie dozwolonym przez obowiązujące prawo, z wyjątkiem przypadków wyraźnie określonych w niniejszych Warunkach dotyczących administratorów, Google nie udziela żadnej wyraźnej, dorozumianej, ustawowej ani też innej gwarancji, w tym w stopniu nieograniczonym gwarancji wartości handlowej, przydatności do określonego celu i nienaruszania praw.

8.5

Żadna ze stron nie ponosi odpowiedzialności za brak lub opóźnienie wykonania postanowień Umowy, jeśli wynika to z okoliczności pozostających poza jej uzasadnioną kontrolą.

8.6

Jeśli którekolwiek postanowienie niniejszych Warunków dotyczących administratorów (lub jego część) jest nieprawidłowe, niezgodne z prawem lub niewykonalne, pozostałe zapisy Warunków dotyczących administratorów pozostają w mocy.

8.7

(a) Z wyjątkiem sytuacji opisanych w punkcie (b) poniżej Warunki dotyczące administratorów podlegają prawu stanu Kalifornia i zgodnie z nim będą interpretowane, bez uwzględnienia uregulowań dotyczących niezgodności przepisów prawnych. W przypadku jakichkolwiek niezgodności między przepisami ustawowymi i wykonawczymi oraz regulacjami prawa zagranicznego a przepisami ustawowymi i wykonawczymi oraz regulacjami prawa stanu Kalifornia zastosowanie będą miały przepisy ustawowe i wykonawcze oraz regulacje prawa stanu Kalifornia. Strony wyrażają zgodę, by poddać się wyłącznej i właściwej jurysdykcji sądów okręgu Santa Clara w stanie Kalifornia. Konwencja ONZ o umowach międzynarodowej sprzedaży towarów oraz amerykańska Jednolita ustawa o transakcjach z zakresu informatyki (UCITA) nie mają zastosowania do niniejszych Warunków dotyczących administratorów.

(b) Jeśli Umowa została zawarta między Klientem a sprzedawcą zewnętrznym, a sprzedawca zewnętrzny prowadzi działalność w Europie, na Bliskim Wschodzie lub w Afryce, te Warunki dotyczące administratorów podlegają prawu angielskiemu. Strony wyrażają zgodę, aby poddać się wyłącznej jurysdykcji sądów angielskich w odniesieniu do wszelkich sporów (umownych lub pozaumownych) wynikających z niniejszych Warunków dotyczących administratorów lub z nimi związanych.

(c) W przypadku, w którym obowiązują Standardowe klauzule umowne dotyczące administratorów i zezwalają na stosowanie przepisów prawa właściwego różniących się od przepisów opisanych w punktach (a) i (b) powyżej, prawo właściwe określone w Standardowych klauzulach umownych dotyczących administratorów będzie obowiązywać wyłącznie w odniesieniu do Standardowych klauzul umownych dotyczących administratorów.

(d) Konwencja ONZ o umowach międzynarodowej sprzedaży towarów oraz amerykańska Jednolita ustawa o transakcjach z zakresu informatyki (UCITA) nie mają zastosowania do tych Warunków dotyczących administratorów.

8.8

Wszystkie powiadomienia o rozwiązaniu lub naruszeniu Umowy muszą mieć formę pisemną, być sporządzone w języku angielskim oraz zostać zaadresowane do działu prawnego drugiej strony. Adres, na który należy przesyłać powiadomienia do Działu prawnego Google, to legal-notices@google.com. Powiadomienie uznaje się za dostarczone za potwierdzeniem odbioru, jeśli potwierdzenie jest sformułowane na piśmie, automatyczne lub zawarte w dzienniku elektronicznym.

8.9

Niekorzystanie (lub opóźnione korzystanie) z praw wynikających z niniejszych Warunków dotyczących administratorów przez dowolną ze stron nie będzie traktowane jako zrzeczenie się jakichkolwiek praw wynikających z tych Warunków dotyczących administratorów. Żadna ze stron nie może scedować żadnej części tych Warunków dotyczących administratorów bez pisemnej zgody drugiej strony z wyjątkiem przypadku cesji na Podmiot stowarzyszony, gdy spełnione są te kryteria: (a) cesjonariusz na piśmie zgodził się przestrzegać postanowień tych Warunków dotyczących administratorów; (b) strona dokonująca cesji pozostanie odpowiedzialna za zobowiązania wynikające z tych Warunków dotyczących administratorów, jeśli cesjonariusz nie będzie się z nich wywiązywać; (c) w przypadku Klienta strona dokonująca cesji przekazała swoje konta Usług pomiarowych cesjonariuszowi oraz (d) strona dokonująca cesji powiadomiła drugą stronę o cesji. Każda inna próba cesji zostanie uznana za nieważną.

8.10

Strony są niezależnymi kontrahentami. Postanowienia tych Warunków dotyczących administratorów nie oznaczają powstania przedstawicielstwa, spółki osobowej ani spółki joint venture między stronami. O ile treść tych Warunków dotyczących administratorów wyraźnie nie stanowi inaczej, nie zapewniają one żadnych korzyści osobom trzecim.

8.11

W zakresie dopuszczalnym przez obowiązujące prawo Warunki dotyczące administratorów obejmują wszystkie warunki uzgodnione przez strony. Zgadzając się na niniejsze Warunki dotyczące administratorów, żadna ze stron nie opierała się na żadnych oświadczeniach, zobowiązaniach lub gwarancjach (w tym udzielonych przez zaniedbanie lub nieświadomie), które nie zostały jednoznacznie zawarte w tych Warunkach dotyczących administratorów, i nie przysługują jej żadne wynikające z nich prawa ani świadczenia.

 

Dodatek 1. Dodatkowe warunki związane z Obowiązującym ustawodawstwem dotyczącym ochrony danych

CZĘŚĆ A – DODATKOWE WARUNKI ZWIĄZANE Z EUROPEJSKIMI PRZEPISAMI DOTYCZĄCYMI OCHRONY DANYCH

1. Wprowadzenie

Dodatek 1A będzie mieć zastosowanie tylko w zakresie, w jakim Europejskie przepisy dotyczące ochrony danych obowiązują w przypadku przetwarzania Danych osobowych przez administratora.

2. Definicje

2.1 W tym Dodatku 1A:

„Kraj zapewniający odpowiednią ochronę danych” to:

• (a) w przypadku danych przetwarzanych zgodnie z RODO (UE): EOG albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (UE);
• (b) w przypadku danych przetwarzanych zgodnie z RODO (Wielka Brytania): Wielka Brytania albo kraj lub region uznany za zapewniający odpowiednią ochronę danych w ramach RODO (Wielka Brytania) i Ustawy o ochronie danych osobowych z 2018 r. lub
• (c) w przypadku danych przetwarzanych zgodnie ze Szwajcarską federalną ustawą o ochronie danych: Szwajcaria albo kraj lub region (i) znajdujący się na liście państw, których ustawodawstwo zapewnia odpowiednią ochronę danych, opublikowanej przez szwajcarskiego federalnego komisarza ds. ochrony danych i informacji lub (ii) uznany przez szwajcarską Radę Federalną, zgodnie ze Szwajcarską federalną ustawą o ochronie danych, za zapewniający odpowiednią ochronę danych – w obu przypadkach decyzja zostaje podjęta bez uwzględniania opcjonalnej platformy do ochrony danych.

„Alternatywne rozwiązanie w zakresie przesyłania danych” to rozwiązanie inne niż Standardowe klauzule umowne dotyczące administratorów, które umożliwia legalne przekazywanie danych osobowych do kraju trzeciego, zgodnie z Europejskimi przepisami dotyczącymi ochrony danych, np. platforma do ochrony danych uznana za zapewniającą tym uczestniczącym podmiotom lokalnym odpowiednią ochronę.

„Standardowe klauzule umowne dotyczące administratorów” to warunki podane na stronie business.safety.google/adscontrollerterms/sccs/c2c.

„EOG” to Europejski Obszar Gospodarczy.

„Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratora” to dane osobowe osób pochodzących z Europejskiego Obszaru Gospodarczego lub Szwajcarii, których dotyczą Dane przetwarzane przez administratora.

„Prawo europejskie” oznacza, stosownie do przypadku: (a) prawo UE lub państwa członkowskiego UE (jeśli unijne rozporządzenie RODO ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora) lub (b) prawo brytyjskie albo obowiązujące w części Wielkiej Brytanii (jeśli rozporządzenie RODO (Wielka Brytania) ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora) i (c) przepisy obowiązujące w Szwajcarii (jeśli Szwajcarska federalna ustawa o ochronie danych ma zastosowanie do przetwarzania Danych osobowych przetwarzanych przez administratora).

„Administratorzy końcowi Google” to Administratorzy końcowi Danych osobowych przetwarzanych przez administratora, którym jest firma Google.

„Dozwolone przesyłanie danych w Europie” oznacza przetwarzanie Danych osobowych przetwarzanych przez administratora w Kraju zapewniającym odpowiednią ochronę danych lub ich przekazanie do takiego kraju.

„Ograniczone przesyłanie danych w Europie” oznacza przekazywanie Danych osobowych przetwarzanych przez administratora, które (a) podlega Europejskim przepisom dotyczącym ochrony danych i (b) nie jest Dozwolonym przesyłaniem danych w Europie.

„Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratorów” to dane osobowe osób mieszkających w Wielkiej Brytanii, których dotyczą Dane przetwarzane przez administratora.

2.2 Terminy „importer danych” i „eksporter danych” mają znaczenie określone w Standardowych klauzulach umownych dotyczących administratorów.

3. Administratorzy końcowi Google

Administratorzy końcowi Google to: (i) w przypadku Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora, którym jest Google – Google Ireland Limited, a (ii) w przypadku Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratora, którym jest Google – Google LLC. Każda ze stron zadba o to, aby jej Administratorzy końcowi przestrzegali Standardowych klauzul umownych dotyczących administratorów (w stosownych przypadkach).

4. Przesyłanie danych

4.1 Ograniczone przesyłanie danych w Europie. Każda ze stron może dokonać Ograniczonego przesyłania danych w Europie, o ile będzie przestrzegać zasad Ograniczonego przesyłania danych w Europie określonych w Europejskich przepisach dotyczących ochrony danych.

4.2 Alternatywne rozwiązanie w zakresie przesyłania danych.

• (a) jeśli Google przyjmie Alternatywne rozwiązanie w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie, to (i) zapewni, że takie przesyłanie danych będzie wykonywane zgodnie z tym rozwiązaniem, a (ii) artykuł 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A nie będzie miał zastosowania do takiego Ograniczonego przesyłania danych w Europie.
• (b) Jeśli Google nie wdroży Alternatywnego rozwiązania w zakresie przesyłania danych w związku z Ograniczonym przesyłaniem danych w Europie lub poinformuje Klienta o rezygnacji z jego dalszego stosowania, w odniesieniu do Ograniczonego przesyłania danych w Europie zastosowanie ma artykuł 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A.

4.3 Postanowienia związane z dalszym przekazywaniem danych.

• (a) Stosowanie postanowień artykułu 4.3. Artykuł 4.3(b) (Wykorzystanie Danych osobowych Dostawcy danych) i 4.3(c) (Ochrona Danych osobowych Dostawcy danych) tego Dodatku 1A będą stosowane tylko wtedy, gdy:
  • (i) strona („Odbiorca danych”) przetwarza Dane osobowe przetwarzane przez administratora, które zostały udostępnione przez drugą stronę („Dostawca danych”) w ramach niniejszej Umowy (np. Dane osobowe przetwarzane przez administratora, „Dane osobowe Dostawcy danych”);
  • (ii) Dostawca danych lub jego Podmiot stowarzyszony ma certyfikację w ramach Alternatywnego rozwiązania w zakresie przesyłania danych i
  • (iii) Dostawca danych powiadomi Odbiorcę danych o certyfikacji w ramach Alternatywnego rozwiązania w zakresie przesyłania danych na piśmie.
• (b) Wykorzystanie Danych osobowych Dostawcy danych.
  • (i) W zakresie, w jakim odpowiednie Alternatywne rozwiązanie w zakresie przesyłania danych obejmuje postanowienie związane z dalszym przekazywaniem danych, zgodnie z postanowieniami związanymi z dalszym przekazywaniem danych w ramach odpowiedniego Alternatywnego rozwiązania w zakresie przesyłania danych Odbiorca danych będzie wykorzystywać Dane osobowe Dostawcy danych tylko w sposób zgodny ze zgodą udzieloną przez Osoby, których dotyczą Dane przetwarzane przez administratora.
  • (ii) W zakresie, w jakim Dostawca danych nie uzyska zgody od odpowiednich osób, których dotyczą Dane przetwarzane przez administratora, zgodnie z Umową Odbiorca danych nie naruszy postanowień artykułu 4.3(b)(i), jeśli będzie korzystać z Danych osobowych Dostawców danych zgodnie z wymaganą zgodą.
• (c) Ochrona Danych osobowych Dostawcy danych.
  • (i) Odbiorca danych zapewni ochronę Danych osobowych Dostawcy danych na poziomie co najmniej równym poziomowi wymaganemu w ramach Alternatywnego rozwiązania w zakresie przesyłania danych.
  • (ii) Jeśli Odbiorca danych stwierdzi, że nie może spełnić wymagań art. 4.3(c)(i), wówczas: (A) powiadomi o tym Dostawcę danych na piśmie oraz (B) zaprzestanie przetwarzania Danych osobowych Dostawcy danych albo podejmie uzasadnione, odpowiednie kroki, aby dostosować się do tych wymagań.
• (d) Przyjęcie Alternatywnego rozwiązania w zakresie przesyłania danych i certyfikacja. Informacje o przyjęciu rozwiązania przez firmę Google i jej Podmioty stowarzyszone oraz informacje o certyfikacji można znaleźć na stronie https://policies.google.com/privacy/frameworks. Ten artykuł 4.3(d) stanowi pisemne powiadomienie o aktualnych certyfikatach firmy Google lub jej Podmiotów stowarzyszonych na Dzień wejścia w życie Warunków dla celów tego artykułu 4.3(a)(iii).

5. Standardowe klauzule umowne dotyczące administratorów

5.1 Przenoszenie Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora do Klienta. W zakresie, w jakim:

• (a) Google przekazuje Klientowi Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratorów i
• (b) przesyłanie danych jest Ograniczonym przesyłaniem danych w Europie, uznaje się, że Klient jako importer danych zaakceptował Standardowe klauzule umowne dotyczące administratorów wraz z firmą Google Ireland Limited (odpowiednim Administratorem końcowym Google) jako eksporterem danych, a przesyłanie danych podlega Standardowym klauzulom umownym dotyczącym administratorów.

5.2 Przenoszenie Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratorów do Klienta. W zakresie, w jakim:

• (a) Google przekazuje Klientowi Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratorów i
• (b) przesyłanie danych jest Ograniczonym przesyłaniem danych w Europie, uznaje się, że Klient jako importer danych zaakceptował Standardowe klauzule umowne dotyczące administratorów wraz z firmą Google LLC (odpowiednim Administratorem końcowym Google) jako eksporterem danych, a przesyłanie danych podlega Standardowym klauzulom umownym dotyczącym administratorów.

5.3 Przesyłanie do Google Danych osobowych mieszkańców EOG lub Szwajcarii przetwarzanych przez administratora. Strony przyjmują do wiadomości, że w zakresie, w jakim Klient przesyła do Google Dane osobowe mieszkańców EOG lub Szwajcarii przetwarzane przez administratorów, Standardowe klauzule umowne dotyczące administratorów nie są wymagane, ponieważ adres firmy Google Ireland Limited (odpowiedni Administrator końcowy Google) znajduje się w Kraju zapewniającym odpowiednią ochronę danych, w związku z czym ma miejsce dozwolone przesyłanie danych w Europie. Nie ma to wpływu na zobowiązania Google określone w artykule 4.1 (Ograniczone przesyłanie danych w Europie) tego Dodatku 1A.

5.4 Przesyłanie do Google Danych osobowych mieszkańców Wielkiej Brytanii przetwarzanych przez administratorów. W zakresie, w jakim Klient przesyła do Google Dane osobowe mieszkańców Wielkiej Brytanii przetwarzane przez administratorów, uznaje się, że Klient jako eksporter danych zaakceptował Standardowe klauzule umowne dotyczące administratorów wraz z firmą Google LLC (odpowiednim Administratorem końcowym Google) jako importerem danych, a przesyłanie danych będzie podlegać Standardowym klauzulom umownym dotyczącym administratorów, ponieważ firma Google LLC nie ma siedziby w Kraju zapewniającym odpowiednią ochronę danych.

5.5 Kontaktowanie się z Google, informacje o kliencie.

• (a) Klient może się kontaktować z firmą Google Ireland Limited lub Google LLC w związku ze Standardowymi klauzulami umownymi dotyczącymi administratorów przez stronę https://support.google.com/policies/troubleshooter/9009584 albo korzystając z innych metod udostępnianych co jakiś czas przez Google.
• (b) Klient przyjmuje do wiadomości, że zgodnie ze Standardowymi klauzulami umownymi dotyczącymi administratorów firma Google jest zobowiązana do rejestrowania pewnych informacji, m.in. (i) tożsamości i danych kontaktowych importera danych (w tym każdej osoby kontaktowej odpowiedzialnej za ochronę danych) oraz (ii) danych o środkach technicznych i organizacyjnych wdrożonych przez importera danych. W związku z tym Klient poda takie informacje Google, o ile jest to wymagane i odpowiednie dla Klienta, za pomocą środków wskazanych przez Google, a także dopilnuje, aby wszystkie podane informacje były dokładne i aktualne.

5.6 Odpowiadanie na zapytania osób, których dotyczą dane. Odpowiedni importer danych będzie odpowiadać na zapytania pochodzące od osób, których dotyczą dane, oraz organów nadzorczych w sprawach związanych z przetwarzaniem odpowiednich Danych osobowych przetwarzanych przez administratora, którym jest importer danych.

5.7 Usuwanie danych po rozwiązaniu Umowy. W zakresie, w jakim:

• (a) firma Google LLC działa jako importer danych, a Klient jako eksporter danych zgodnie ze Standardowymi klauzulami umownymi dotyczącymi administratorów oraz
• (b) Klient rozwiązuje Umowę zgodnie z klauzulą 16(c) zawartą w Standardowych klauzulach umownych dotyczących administratorów, a następnie w ramach postanowień klauzuli 16(d) zawartej w Standardowych klauzulach umownych dotyczących administratorów Klient kieruje do Google prośbę o usunięcie Danych osobowych przetwarzanych przez administratora, a jeśli prawo europejskie nie wymaga ich przechowywania, Google umożliwi takie usunięcie tak szybko, jak jest to wykonalne, w zakresie, w jakim to usunięcie jest możliwe (o ile tylko Google jest niezależnym administratorem tych danych oraz z uwzględnieniem specyfiki i sposobu działania Usług pomiarowych).

6. Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów

Jeśli zgodnie z artykułem 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A obowiązują Standardowe klauzule umowne dotyczące administratorów, wtedy łączna odpowiedzialność:

• (a) firm Google, Google LLC i Google Ireland Limited wobec Klienta i
• (b) Klienta wobec firm Google, Google LLC i Google Ireland Limited zgodnie z Umową oraz ze Standardowymi klauzulami umownymi dotyczącymi administratorów lub w związku z nimi podlega postanowieniom artykułu 5 (Odpowiedzialność). Klauzula 12 zawarta w Standardowych klauzulach umownych dotyczących administratorów nie ma wpływu na poprzednie zdanie.

7. Beneficjenci będący osobami trzecimi

Gdy Google LLC lub Google Ireland Limited nie są stroną Umowy, ale są stroną odpowiednich Standardowych klauzul umownych dotyczących administratorów zgodnie z artykułem 5 (Standardowe klauzule umowne dotyczące administratorów) tego Dodatku 1A, Google LLC lub Google Ireland Limited (w stosownych przypadkach) będą beneficjentem będącym osobą trzecią artykułu 4.4 (Administratorzy końcowi), artykułu 3 (Administratorzy końcowi Google), artykułu 5 (Standardowe klauzule umowne dotyczące administratorów) i artykułu 6 (Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów) tego Dodatku 1A. W zakresie, w jakim artykuł 7 (Beneficjenci będący osobami trzecimi) koliduje lub jest niezgodny z postanowieniami innych klauzul Umowy, zastosowanie będzie miał ten artykuł 7 (Beneficjenci będący osobami trzecimi).

8. Pierwszeństwo

8.1 Jeśli wystąpi konflikt lub niespójność między Standardowymi klauzulami umownymi dotyczącymi administratorów, tym Dodatkiem 1A, pozostałymi postanowieniami tych Warunków dotyczących administratorów lub pozostałymi postanowieniami Umowy, pierwszeństwo mają Standardowe klauzule umowne dotyczące administratorów.

8.2 Dodatkowe klauzule handlowe Z zastrzeżeniem zmian w tych Warunkach dotyczących administratorów Umowa pozostaje w mocy. Artykuły od 5.5 (Kontakt z Google) do 5.7 (Usuwanie danych po rozwiązaniu Umowy) oraz artykuł 6 (Odpowiedzialność w przypadku obowiązywania Standardowych klauzul umownych dotyczących administratorów) tego Dodatku 1A to dodatkowe klauzule handlowe związane ze Standardowymi klauzulami umownymi dotyczącymi administratorów, na które zezwalają postanowienia klauzuli 2(a) (Oddziaływanie i niezmienność klauzul) zawartej w Standardowych klauzulach umownych dotyczących administratorów.

8.3 Brak modyfikacji Standardowych klauzul umownych dotyczących administratorów. Żadne z postanowień tej Umowy (z uwzględnieniem tych Warunków dotyczących administratorów) nie ma na celu zmodyfikowania postanowień Standardowych klauzul umownych dotyczących administratorów ani nie ma być z nimi sprzeczne oraz nie ma na celu naruszenia podstawowych praw lub swobód osób, których dotyczą dane, wynikających z Europejskich przepisów dotyczących ochrony danych.

CZĘŚĆ B – DODATKOWE WARUNKI ZWIĄZANE Z AMERYKAŃSKIMI PRZEPISAMI STANOWYMI O OCHRONIE PRYWATNOŚCI

1. Wprowadzenie

Firma Google może oferować, a Klient może włączać pewne ustawienia, konfiguracje lub inne funkcje Usług pomiarowych związane z ograniczonym przetwarzaniem danych, zgodnie z opisem w dokumentacji pomocniczej dostępnej na stronie business.safety.google/rdp aktualizowanej od czasu do czasu („Ograniczone przetwarzanie danych”). Ten Dodatek 1B odzwierciedla porozumienie stron dotyczące przetwarzania Danych osobowych Klienta i Danych deidentyfikowanych (zgodnie z definicją poniżej) zgodnie z Umową w związku z Amerykańskimi przepisami stanowymi o ochronie prywatności i jest skuteczny wyłącznie w zakresie, w jakim mają zastosowanie Amerykańskie przepisy stanowe o ochronie prywatności.

2. Dodatkowe definicje i interpretacja

W tym Dodatku 1B:

• (a) „Dane osobowe Klienta” to dane osobowe, które są przetwarzane przez Google w imieniu Klienta w ramach świadczenia przez Google Usług pomiarowych.
• (b) „Deidentyfikowane dane” oznaczają informacje „deidentyfikowane” (zgodnie z definicją tego terminu w ustawie CCPA) i „deidentyfikowane dane” (zgodnie z definicją w innych Amerykańskich przepisach o ochronie prywatności) w przypadku ujawnienia przez jedną stronę drugiej stronie.
• (c) „Instrukcje” oznaczają łącznie instrukcje Klienta dotyczące przetwarzania Danych osobowych Klienta wyłącznie zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności: (a) w celu świadczenia Usług RDP i wszelkiej związanej z nimi pomocy technicznej; (b) określone dokładniej w ramach korzystania przez Klienta z Usług RDP (w tym w ustawieniach i innych funkcjach takich Usług) oraz wszelkiej pomocy technicznej; (c) udokumentowane w formie Umowy, z uwzględnieniem tego Dodatku 1B; (d) zgodnie z informacjami zawartymi w innych instrukcjach przekazanych przez Klienta i zatwierdzonych przez Google w formie instrukcji zawartych w niniejszym Dodatku 1B oraz (e) w celu przetwarzania Danych osobowych Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności dotyczącymi usługodawców i podmiotów przetwarzających.
• (d) „Usługi RDP” to usługi administratora działające w ramach Ograniczonego przetwarzania danych.
• (e) „Okres obowiązywania” oznacza okres od Daty wejścia Warunków w życie do zakończenia świadczenia przez Google Usług pomiarowych na mocy Umowy.
• (f) Terminy „firma”, „konsument”, „dane osobowe”, „sprzedaż”, „sprzedać”, „dostawca usług” i „udostępnianie” używane w tym Dodatku 1B mają znaczenie nadane w Amerykańskich przepisach stanowych o ochronie prywatności.
• (g) Klient ponosi wyłączną odpowiedzialność za przestrzeganie Amerykańskich przepisów stanowych o ochronie prywatności w zakresie korzystania z usług Google, w tym Ograniczonego przetwarzania danych.

3. Amerykańskie przepisy stanowe o ochronie prywatności (w ramach Ograniczonego przetwarzania danych)

3.1 Przetwarzanie danych.

3.1.1

• (a) Obowiązki podmiotów przetwarzających i administratorów. Strony przyjmują do wiadomości i zgadzają się, że:
  • (i) Artykuł 7 (Przedmiot i szczegóły przetwarzania danych na mocy Amerykańskich przepisów stanowych o ochronie prywatności) tego Dodatku 1B opisuje przedmiot i szczegóły przetwarzania Danych osobowych Klienta.
  • (ii) Google jest dostawcą usług i podmiotem przetwarzającym Dane osobowe Klienta na mocy Amerykańskich przepisów stanowych o ochronie prywatności i
  • (iii) Klient jest administratorem lub podmiotem przetwarzającym Dane osobowe Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności
• (b) Klienci przetwarzający dane. Jeśli Klient jest podmiotem przetwarzającym:
  • (i) Klient zapewnia, że odpowiedni administrator zatwierdził: (A) instrukcje, (B) wyznaczenie Google przez Klienta jako innego podmiotu przetwarzającego dane oraz (C) zaangażowanie przez Google Podwykonawców zgodnie z artykułem 3.6 (Podwykonawcy) tego Dodatku 1B;
  • (ii) Klient niezwłocznie przekaże odpowiedniemu administratorowi wszelkie powiadomienia przekazane przez Google na mocy artykułu 3.3.2(a) (Powiadomienia o incydentach) i 3.6 (Podwykonawcy) i
  • (iii) Klient może udostępnić odpowiedniemu administratorowi wszelkie informacje udostępniane przez Google na mocy artykułu 3.3.3(c) (Prawa Klienta do audytu) i 3.6 (Podwykonawcy).

3.1.2 Instrukcje Klienta. Akceptując ten Dodatek 1B, Klient zleca Google przetwarzanie Danych osobowych Klienta tylko zgodnie z instrukcjami.

3.1.3 Przestrzeganie instrukcji przez Google. Firma Google będzie przestrzegać Instrukcji, chyba że jest to zabronione przez Amerykańskie przepisy stanowe o ochronie prywatności.

3.1.4 Usługi dodatkowe. Jeśli Klient korzysta z jakichkolwiek produktów, usług lub aplikacji udostępnianych przez Google lub osobę trzecią, które (a) nie są częścią Usług RDP oraz (b) są dostępne do użytku w interfejsie Usług RDP lub w inny sposób zintegrowane z Usługami RDP („Usługa dodatkowa”), Usługi RDP mogą zezwolić tej Usłudze dodatkowej na dostęp do Danych osobowych Klienta w ramach interoperacyjności Usługi dodatkowej i Usług RDP. W celu uniknięcia wątpliwości: ten Dodatek 1B nie ma zastosowania do przetwarzania danych osobowych w związku z udostępnianiem jakiejkolwiek Usługi dodatkowej używanej przez Klienta, w tym danych osobowych przesyłanych do tej Usługi dodatkowej lub z niej.

3.2 Usuwanie danych po wygaśnięciu Okresu obowiązywania. Na koniec Okresu obowiązywania Klient zleca Google usunięcie wszystkich Danych osobowych Klienta (w tym istniejących kopii) zgodnie z obowiązującymi przepisami. Firma Google zobowiązana jest zastosować się to takiej instrukcji tak szybko, jak to jest praktycznie możliwe, a maksymalnie w ciągu 180 dni, chyba że obowiązujące przepisy wymagają przechowywania takich danych.

3.3 Bezpieczeństwo danych.

3.3.1 Środki bezpieczeństwa i pomoc Google.

• (a) Środki bezpieczeństwa Google. Google wdroży i utrzyma wszelkie środki techniczne oraz organizacyjne chroniące Dane osobowe Klienta przed przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem („Środki bezpieczeństwa”). Środki bezpieczeństwa obejmują: (i) szyfrowanie danych osobowych; (ii) zapewnianie ciągłej poufności, integralności, dostępności i odporności systemów oraz usług Google; (iii) pomoc w szybkim przywracaniu dostępu do danych osobowych po naruszeniu ich ochrony oraz (iv) regularne testowanie efektywności. Google może co jakiś czas aktualizować lub modyfikować Środki bezpieczeństwa, pod warunkiem że takie aktualizacje i modyfikacje nie spowodują pogorszenia ogólnego bezpieczeństwa Danych osobowych Klienta.
• (b) Dostęp i zgodność ze standardami. Google zadba o to, aby wszystkie osoby upoważnione do przetwarzania Danych osobowych Klienta zobowiązały się do zachowania poufności lub przestrzegały obowiązujących zobowiązań stanowych do zachowania poufności.
• (c) Pomoc Google w zakresie bezpieczeństwa. Firma Google (biorąc pod uwagę charakter przetwarzania Danych osobowych Klienta i informacje dostępne dla firmy Google) będzie pomagać Klientowi w wypełnianiu obowiązków Klienta (lub, jeśli Klient jest podmiotem przetwarzającym, odpowiedniego administratora) w zakresie bezpieczeństwa danych osobowych i naruszeń ochrony danych osobowych, w tym obowiązków Klienta (lub, w przypadku gdy Klient jest podmiotem przetwarzającym, odpowiedniego administratora) związanych z bezpieczeństwem danych osobowych i naruszeniami ochrony danych osobowych zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności poprzez:
  • (i) wdrożenie i utrzymywanie Środków bezpieczeństwa zgodnie z artykułem 3.3.1(a) (Środki bezpieczeństwa Google);
  • (ii) przestrzeganie warunków zawartych w artykule 3.3.2 (Naruszenie ochrony danych) i
  • (iii) świadczenie Klientowi praw przyznanych na mocy artykułu 3.3.3(c) (Prawa Klienta do audytu).

3.3.2 Naruszenie ochrony danych

• (a) Powiadomienie o naruszeniu. Jeśli Google dowie się o Naruszeniu ochrony danych (zgodnie z definicją poniżej), Google: (i) powiadomi Klienta o Naruszeniu ochrony danych bez zbędnej zwłoki oraz (ii) niezwłocznie podejmie uzasadnione kroki w celu zminimalizowania szkód i zabezpieczenia Danych osobowych Klienta. W niniejszym Dodatku 1B „Naruszenie ochrony danych” oznacza naruszenie bezpieczeństwa Google prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieupoważnionego ujawnienia lub dostępu do Danych osobowych Klienta w systemach zarządzanych przez Google lub w inny sposób kontrolowanych przez Google. „Naruszenia ochrony danych” nie obejmują nieudanych prób lub działań, które nie zagrażają bezpieczeństwu Danych osobowych Klienta, w tym nieudanych prób logowania, pingów, skanowania portów, ataków typu DoS i innych ataków sieciowych na zapory sieciowe lub systemy sieciowe.
• (b) Dostarczenie powiadomienia. Google będzie dostarczać powiadomienia o każdym Naruszeniu ochrony danych na adres e-mail wskazany przez Klienta w interfejsie Usług RDP lub za pomocą innych środków udostępnianych przez Google, aby otrzymywać od Google określone powiadomienia dotyczące niniejszego Dodatku 1B („Adres e-mail do powiadomień”) lub według własnego uznania Google (w tym jeśli Klient nie podał Adresu e-mail do powiadomień) innymi metodami bezpośredniego kontaktu (np. rozmowy telefonicznej, e-mailem lub spotkania na żywo). Klient ponosi wyłączną odpowiedzialność za udostępnienie Adresu e-mail do powiadomień oraz za zapewnienie, że Adres e-mail do powiadomień jest aktualny i prawidłowy.
• (c) Powiadomienia osób trzecich. Klient ponosi wyłączną odpowiedzialność za przestrzeganie przepisów dotyczących powiadomień o Naruszeniu ochrony danych oraz za wypełnianie zobowiązań wobec osób trzecich dotyczących powiadomień związanych z Naruszeniami ochrony danych.
• (d) Brak potwierdzenia błędu przez Google. Powiadomienie Google o Naruszeniu ochrony danych lub odpowiedź na takie powiadomienie zgodnie z tym artykułem 3.3.2 (Naruszenie ochrony danych) nie będzie interpretowane przez Google jako potwierdzenie odpowiedzialności za błąd lub Naruszenie ochrony danych.

3.3.3 Obowiązki Klienta dotyczące bezpieczeństwa i ocena.

• (a) Obowiązki Klienta dotyczące bezpieczeństwa. Klient zgadza się, że bez uszczerbku dla zobowiązań Google określonych w artykule 3.3.1 (Środki bezpieczeństwa i pomoc Google) oraz 3.3.2 (Naruszenie ochrony danych):
  • (i) Klient odpowiada za korzystanie z Usług RDP, w tym (1) korzystanie z odpowiednich Usług RDP w celu zapewnienia poziomu bezpieczeństwa odpowiedniego do ryzyka dotyczącego Danych osobowych Klienta i (2) zabezpieczanie danych uwierzytelniających, systemów i urządzeń używanych do uzyskiwania dostępu do Usług RDP; oraz
  • (ii) Firma Google nie jest zobowiązana do ochrony Danych osobowych Klienta, które Klient przechowuje lub przenosi poza systemami firmy Google i podwykonawców Google.
• (b) Ocena bezpieczeństwa Klienta. Klient przyjmuje do wiadomości i akceptuje fakt, że Google stosuje i utrzymuje Środki bezpieczeństwa określone w artykule 3.3.1(a) (Środki bezpieczeństwa Google) i zapewnia określony poziom bezpieczeństwa odpowiedni dla ryzyka dotyczącego Danych osobowych Klienta z uwzględnieniem aktualności, kosztów implementacji, charakteru, zakresu, kontekstu i celów przetwarzania Danych osobowych Klienta, a także ryzyka dla osób fizycznych.
• (c) Prawa Klienta do audytu.
  • (i) Klient może przeprowadzić audyt w celu sprawdzenia, czy firma Google przestrzega swoich zobowiązań wynikających z tego Dodatku 1B, przez zażądanie i weryfikację (1) certyfikatu wydanego w celu weryfikacji bezpieczeństwa odzwierciedlającego wynik audytu przeprowadzonego przez zewnętrznego audytora w ciągu 12 miesięcy od daty otrzymania wniosku Klienta (np. certyfikatu SOC 2 typu II, certyfikatu ISO/IEC 27001 lub porównywalnego certyfikatu albo innego certyfikatu bezpieczeństwa wydanego przez zewnętrznego audytora zaakceptowanego przez Klienta i Google) oraz (2) wszelkich innych informacji określonych przez Google jako w uzasadnionym stopniu niezbędne do weryfikacji takiego przestrzegania przez Klienta.
  • (ii) Google może też, według własnego uznania i w odpowiedzi na wniosek Klienta, poprosić zewnętrznego audytora o zweryfikowanie przestrzegania przez Google zobowiązań wynikających z tego Dodatku 1B. Podczas takiego audytu Google udostępni audytorowi zewnętrznemu wszelkie informacje niezbędne do wykazania, że zobowiązania są przestrzegane. Jeśli Klient zażąda takiego audytu, Google może pobrać za niego opłatę (ustaloną na podstawie uzasadnionych kosztów Google). Google przekaże Klientowi dalsze szczegółowe informacje na temat wszelkich obowiązujących opłat, a także podstawy ich obliczania przed przeprowadzeniem takiego audytu. Klient będzie odpowiedzialny za wszelkie opłaty pobierane przez wyznaczonego przez Klienta zewnętrznego audytora za przeprowadzenie takiego audytu.
  • (iii) Żadne z postanowień tego Dodatku 1B nie wymaga od Google ujawnienia Klientowi ani zewnętrznemu audytorowi ani umożliwienia Klientowi lub zewnętrznemu audytorowi dostępu do:
    • (1) danych jakiegokolwiek innego klienta Podmiotu Google;
    • (2) wewnętrznych informacji księgowych lub finansowych Podmiotu Google;
    • (3) tajemnicy handlowej Podmiotu Google;
    • (4) informacji, które według uzasadnionej oceny Google mogłyby: (A) zagrażać bezpieczeństwu systemów lub obiektów dowolnego Podmiotu Google albo (B) spowodować naruszenie przez jakikolwiek Podmiot Google zobowiązań wynikających z Amerykańskich przepisów stanowych o ochronie prywatności lub zobowiązań w zakresie bezpieczeństwa albo prywatności wobec Klienta lub jakiejkolwiek firmy zewnętrznej; lub
    • (5) informacji, do których Klient lub jego zewnętrzny audytor chcą uzyskać dostęp z powodu niezwiązanego z rzetelnym wypełnianiem zobowiązań Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności.

3.4 Pomoc przy ocenie wpływu. Google (biorąc pod uwagę charakter przetwarzania i informacje udostępniane Google) pomaga Klientowi w wypełnianiu zobowiązań Klienta (lub, jeśli Klient jest podmiotem przetwarzającym, odpowiedniego administratora) w zakresie zobowiązań związanych z oceną skutków dla ochrony danych i wcześniejszymi konsultacjami regulacyjnymi zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności poprzez:

• (a) dostarczanie dokumentacji dotyczącej zabezpieczeń;
• (b) dostarczanie informacji zawartych w Umowie (w tym w tym Dodatku 1B) i
• (c) udostępnianie lub przekazywanie w inny sposób, zgodnie ze standardowymi praktykami Google, innych materiałów związanych z charakterem Usług RDP i przetwarzania Danych osobowych Klienta (np. materiałów w Centrum pomocy).

3.5 Prawa osoby, której dotyczą dane.

3.5.1 Odpowiedzi na żądania osób, których dotyczą dane. Jeśli Google otrzyma żądanie od osoby, której dotyczą dane, w odniesieniu do Danych osobowych Klienta, Klient upoważnia Google, a Google oświadcza, że:

• (a) odpowie bezpośrednio na żądanie osoby, której dotyczą dane, zgodnie ze standardową funkcjonalnością narzędzia (jeśli istnieje) udostępnionego przez Podmiot Google osobom, których dotyczą dane, co umożliwia firmie Google bezpośrednie odpowiadanie w ustandaryzowany sposób na niektóre żądania osób, których dotyczą dane, w odniesieniu do Danych osobowych Klienta, na przykład ustawień reklam online lub wtyczki w przeglądarce służącej do rezygnacji z korzystania z usługi („Narzędzie osoby, której dotyczą dane”), jeśli żądanie jest składane za pośrednictwem Narzędzia osoby, której dotyczą dane; lub
• (b) zaleci osobie, której dotyczą dane, aby przesłała żądanie do Klienta, a Klient będzie odpowiedzialny za udzielenie odpowiedzi na takie żądanie (jeśli nie pochodzi ono z Narzędzia osoby, której dotyczą dane).

3.5.2 Pomoc Google dotycząca żądań osób, których dotyczą dane. Firma Google będzie pomagać Klientowi w wypełnianiu jego (lub, jeśli Klient jest podmiotem przetwarzającym, odpowiedniego administratora) obowiązków wynikających z Amerykańskich przepisów stanowych o ochronie prywatności, polegających na odpowiadaniu na prośby o skorzystanie z praw osoby, której dotyczą dane, we wszystkich przypadkach z uwzględnieniem charakteru przetwarzania Danych osobowych Klienta oraz przez:

• (a) udostępnianie funkcji Usług RDP;
• (b) wypełnianie zobowiązań określonych w artykule 3.5.1 (Odpowiadanie na żądania osób, których dotyczą dane) i
• (c) udostępnianie w stosownych przypadkach Narzędzi osób, których dotyczą dane, w ramach Usług RDP.

3.5.3 Sprostowanie. Jeśli Klient dowie się, że jakiekolwiek Dane osobowe Klienta są niedokładne lub nieaktualne, Klient będzie odpowiedzialny za poprawienie lub usunięcie tych danych, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie prywatności, w tym (jeśli są dostępne) przez korzystanie z funkcji Usług RDP.

3.6 Podwykonawcy.

• (a) Klient upoważnia firmę Google do angażowania innych podmiotów jako podwykonawców w związku ze świadczeniem Usług RDP. Podczas angażowania dowolnego podwykonawcy Google:
  • (i) zapewni na mocy pisemnej umowy, że: (1) podwykonawca uzyskuje dostęp do Danych osobowych Klienta i wykorzystuje je wyłącznie w zakresie wymaganym do wykonania zleconych mu zobowiązań i robi to zgodnie z Umową (w tym z tym Dodatkiem 1B) oraz, (2) jeśli przetwarzanie Danych osobowych Klienta podlega Amerykańskim przepisom stanowym o ochronie prywatności, zapewni, że obowiązki w zakresie ochrony danych określone w tym Dodatku 1B zostaną nałożone na podwykonawcę;
  • (ii) zatrudniając nowych podwykonawców, powiadomi o tym Klienta, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie prywatności, oraz, jeśli jest to wymagane przez Amerykańskie przepisy stanowe o ochronie prywatności, zapewni Klientowi możliwość wyrażenia sprzeciwu wobec takich podwykonawców; oraz
  • (iii) ponosi pełną odpowiedzialność za wszystkie zobowiązania zlecone podwykonawcy oraz za wszystkie działania i zaniechania podwykonawcy.
• (b) Klient może wyrazić sprzeciw wobec nowego podwykonawcy, rozwiązując Umowę bez podania przyczyny, natychmiast po pisemnym powiadomieniu skierowanym do firmy Google, pod warunkiem że Klient dostarczy takie powiadomienie w ciągu 90 dni od otrzymania informacji o zaangażowaniu nowego podwykonawcy zgodnie z opisem w artykule 3.6(a)(ii) tego Dodatku.

3.7 Kontakt z Google. Klient może skontaktować się z Google w związku z korzystaniem z praw przysługujących mu na podstawie niniejszego Dodatku 1B, korzystając z metod opisanych na stronie privacy.google.com/businesses/processorsupport lub w inny sposób, który może być co jakiś czas udostępniany przez Google.

4. Amerykańskie przepisy stanowe o ochronie prywatności

4.1 Deidentyfikowane dane. W odniesieniu do Danych osobowych Klienta przetwarzanych przy włączonym Ograniczonym przetwarzaniu danych lub bez niego, a także w zakresie, w jakim co najmniej jeden Amerykański przepis stanowy o ochronie prywatności ma zastosowanie do przetwarzania Danych osobowych Klienta, każda ze stron będzie przestrzegać wymagań dotyczących przetwarzania Deidentyfikowanych danych określonych w Amerykańskich przepisach stanowych o ochronie prywatności w odniesieniu do wszelkich Deidentyfikowanych danych otrzymanych od drugiej strony zgodnie z Umową. Na potrzeby tego artykułu 4.1 (Deidentyfikowane dane) Dane osobowe Klienta oznaczają wszelkie dane osobowe, które są przetwarzane przez stronę na mocy Umowy w związku ze świadczeniem lub korzystaniem z Usług pomiarowych.

5. Zobowiązania Google wynikające z ustawy CCPA

5.1 W odniesieniu do Danych osobowych Klienta przetwarzanych w ramach Ograniczonego przetwarzania danych oraz w zakresie, w jakim ustawa CCPA ma zastosowanie do takiego przetwarzania Danych osobowych Klienta, Google będzie działać jako dostawca usług Klienta, o ile nie jest to inaczej dozwolone w przypadku usługodawców na mocy ustawy CCPA, zgodnie z uzasadnionymi ustaleniami Google:

• (a) Google nie będzie sprzedawać ani udostępniać żadnych Danych osobowych Klienta uzyskanych od Klienta w związku z Umową;
• (b) Google nie będzie przechowywać, wykorzystywać ani ujawniać Danych osobowych Klienta (w tym poza bezpośrednią relacją biznesową między Google a Klientem), z wyjątkiem celów biznesowych na mocy ustawy CCPA w imieniu Klienta i konkretnego celu świadczenia Usług RDP, jak opisano szczegółowo w dokumentacji pomocniczej dostępnej na stronie business.safety.google/rdp, która jest okresowo aktualizowana;
• (c) Google nie będzie łączyć Danych osobowych Klienta, które Google otrzymuje od Klienta lub w jego imieniu, z (i) danymi osobowymi, które Google otrzymuje od innych osób lub w ich imieniu; ani (ii) danymi osobowymi zebranymi w ramach własnej interakcji Google z konsumentem, zgodnie z dalszym opisem w dokumentacji pomocniczej dostępnej na stronie business.safety.google/rdp, z wyjątkiem zakresu dozwolonego na mocy ustawy CCPA;
• (d) Google będzie przetwarzać takie Dane osobowe Klienta w określonym celu świadczenia Usług RDP, jak opisano szczegółowo w Umowie i dokumentacji pomocniczej (np. artykułach Centrum pomocy) lub w inny sposób dozwolony na mocy ustawy CCPA, a strony zgadzają się, że Klient udostępnia takie Dane osobowe Klienta firmie Google w takich celach;
• (e) Google zezwoli na przeprowadzenie audytów w celu weryfikacji przestrzegania przez Google zobowiązań wynikających z niniejszego Dodatku 1B zgodnie z artykułem 3.3.3(c) (Prawa Klienta do audytu) w tym dokumencie;
• (f) Google powiadomi Klienta, jeśli uzna, że nie może dłużej wypełniać swoich zobowiązań wynikających z ustawy CCPA (artykuł 5.1(f) nie ogranicza praw ani zobowiązań żadnej ze stron zawartych w Umowie);
• (g) jeśli Klient ma uzasadnione podstawy, aby sądzić, że Google przetwarza Dane osobowe Klienta w sposób nieupoważniony, Klient ma prawo powiadomić Google o takim podejrzeniu za pomocą metod opisanych na stronie privacy.google.com/businesses/processorsupport i strony będą ze sobą współpracować w dobrej wierze, aby w razie potrzeby naprawić potencjalnie nieodpowiednie działania związane z przetwarzaniem danych; oraz
• (h) Google będzie przestrzegać wszelkich zobowiązań wynikających z ustawy CCPA i zapewni poziom ochrony prywatności wymagany przez ustawę CCPA.

5.2 W odniesieniu do Danych osobowych Klienta przetwarzanych bez włączonego Ograniczonego przetwarzania danych oraz w zakresie, w jakim ustawa CCPA ma zastosowanie do przetwarzania Danych osobowych Klienta:

• (a) Google będzie przetwarzać takie Dane osobowe Klienta w określonym celu świadczenia Usług pomiarowych, jak opisano szczegółowo w Umowie i dokumentacji pomocniczej (np. artykułach Centrum pomocy) lub w inny sposób dozwolony na mocy ustawy CCPA, a strony zgadzają się, że Klient udostępnia takie Dane osobowe Klienta firmie Google w takich celach;
• (b) Google zezwoli na przeprowadzenie audytów w celu weryfikacji przestrzegania przez Google zobowiązań wynikających z niniejszego Dodatku 1B zgodnie z artykułem 3.3.3(c) (Prawa Klienta do audytu) w tym dokumencie;
• (c) Google powiadomi Klienta, jeśli uzna, że nie może dłużej wypełniać swoich zobowiązań wynikających z ustawy CCPA;
• (d) jeśli Klient ma uzasadnione podstawy, aby sądzić, że Google przetwarza Dane osobowe Klienta w sposób nieupoważniony, Klient ma prawo powiadomić Google o takim podejrzeniu za pomocą metod opisanych na stronie privacy.google.com/businesses/processorsupport i strony będą ze sobą współpracować w dobrej wierze, aby w razie potrzeby naprawić potencjalnie nieodpowiednie działania związane z przetwarzaniem danych; oraz
• (e) Google będzie przestrzegać wszelkich zobowiązań wynikających z ustawy CCPA i zapewni poziom ochrony prywatności wymagany przez ustawę CCPA.

6. Zmiany w tym Dodatku 1B

Oprócz artykułu 7 tych Warunków dotyczących administratorów (Zmiany w tych Warunkach dotyczących administratorów) Google może zmienić ten Dodatek 1B bez powiadomienia, jeśli zmiana (a) jest oparta na obowiązującym prawie, obowiązujących przepisach, orzeczeniu sądowym lub wskazówkach wydanych przez organ regulacyjny lub agencję rządową lub (b) nie ma istotnego negatywnego wpływu na Klienta zgodnie z Amerykańskimi przepisami stanowymi o ochronie prywatności, zgodnie z uzasadnionymi ustaleniami firmy Google.

7. Przedmiot i szczegóły przetwarzania danych na mocy Amerykańskich przepisów stanowych o ochronie prywatności

Świadczenie przez Google na rzecz Klienta Usług RDP i wszelkiej związanej z nimi pomocy technicznej.

Czas przetwarzania

Okres obowiązywania i okres od jego zakończenia do momentu usunięcia przez Google wszystkich Danych osobowych Klienta zgodnie z Dodatkiem 1B.

Charakter i cel przetwarzania

Google będzie przetwarzać (w tym odpowiednio do Usług RDP i Instrukcji – gromadzić, rejestrować, organizować, przechowywać, zmieniać, odzyskiwać, używać, ujawniać, łączyć, usuwać i niszczyć) Dane osobowe Klienta w celu świadczenia Usług RDP i wszelkiej powiązanej pomocy technicznej na rzecz Klienta zgodnie z Dodatkiem 1B lub w inny sposób dozwolony przez podmioty przetwarzające zgodnie z Amerykańskimi przepisami stanowymi o ochronie danych.

Rodzaje Danych osobowych

Dane osobowe Klienta mogą obejmować typy danych osobowych opisane w Amerykańskich przepisach stanowych o ochronie prywatności.

Kategorie osób, których dotyczą dane

Dane osobowe Klienta będą dotyczyły następujących kategorii osób, których dotyczą dane:

• osób, w przypadku których Google gromadzi dane osobowe w ramach świadczenia Usług RDP; lub
• osób, których dane osobowe są przesyłane do Google w związku z Usługami RDP przez Klienta, na zlecenie Klienta lub w jego imieniu.

W zależności od charakteru Usług RDP, osoby, których dotyczą dane, mogą obejmować osoby: (a) do których reklamy online były lub będą kierowane; (b) które odwiedziły określone strony internetowe lub aplikacje, w odniesieniu do których Google świadczy Usługi RDP; lub (c) które są klientami lub użytkownikami produktów lub usług Klienta.

 

Warunki współpracy w zakresie ochrony danych między Google a właścicielami kont usług pomiarowych występującymi w roli administratorów, wersja 4.0

Poprzednie wersje

 

1 stycznia 2023 r.

21 września 2022 r.

27 września 2021 r.

16 sierpnia 2020 r.

12 sierpnia 2020 r.

4 listopada 2019 r.