Stranka storitev merjenja, ki soglaša s temi pogoji (»stranka«), je sklenila pogodbo z Googlom ali neodvisnim prodajnim posrednikom (kot je ustrezno) za zagotavljanje storitev merjenja (»pogodba«, ki je občasno dopolnjena), prek uporabniškega vmesnika katerih je stranka omogočila nastavitev deljenja podatkov.
Te Googlove pogoje glede varstva podatkov med upravljavci za meritve (»pogoji za upravljavce«) sklepata Google in stranka. Če je pogodba sklenjena med stranko in Googlom, ti pogoji za upravljavce dopolnjujejo pogodbo. Če je pogodba sklenjena med stranko in neodvisnim prodajnim posrednikom, ti pogoji za upravljavce tvorijo ločeno pogodbo med Googlom in stranko.
V izogib dvomom: Zagotavljanje storitev merjenja ureja pogodba. V teh pogojih za upravljavce so navedena določila glede varstva podatkov, ki so povezana samo z nastavitvijo deljenja podatkov in drugače ne veljajo za zagotavljanje storitev merjenja.
Ob upoštevanju razdelka 6.2 (Brez vpliva na pogoje za obdelovalce) ti pogoji za upravljavce stopijo v veljavo z datumom začetka veljavnosti pogojev in nadomestijo vse predhodno veljavne pogoje v povezavi z zadevno vsebino.
Če te pogoje za upravljavce sprejemate v imenu stranke, zagotavljate, da: (a) imate polna zakonska pooblastila za zavezovanje stranke k tem pogojem za upravljavce; (b) ste prebrali in v celoti razumeli te pogoje; in da (c) se v imenu stranke strinjate s temi pogoji za upravljavce. Če nimate zakonskih pooblastil za zavezovanje stranke, ne sprejmite teh pogojev za upravljavce.
Če ste prodajni posrednik, ne sprejmite teh pogojev za upravljavce. V teh pogojih za upravljavce so navedene pravice in obveznosti, ki veljajo med uporabniki storitev merjenja in Googlom.
1. Uvod
Ti pogoji za upravljavce odražajo strinjanje udeleženih pogodbenih strank o obdelavi osebnih podatkov, ki jih obdeluje upravljavec, v skladu z nastavitvijo deljenja podatkov.
2. Definicije in tolmačenje
2.1
V teh pogojih za upravljavce:
»Dodatni pogoji« so dodatni pogoji, navedeni v dodatku 1, ki odražajo strinjanje pogodbenih strank glede pogojev, ki urejajo obdelavo osebnih podatkov, ki jih obdeluje upravljavec, v povezavi z nekatero veljavno zakonodajo o varstvu podatkov.
»Povezana pravna oseba« je subjekt, ki neposredno ali posredno nadzoruje pogodbeno stranko, je pod nadzorom pogodbene stranke ali je s pogodbeno stranko pod skupnim nadzorom.
»Veljavna zakonodaja o varstvu podatkov« je, kot je ustrezno za obdelavo osebnih podatkov, ki jih obdeluje upravljavec, vsak zakon ali uredba glede zaščite ali varstva podatkov na ravni države, zvezne države, Evropske unije, province ali na drugi ravni, vključno z evropsko zakonodajo o varstvu podatkov, brazilskim splošnim zakonom o varstvu osebnih podatkov LGPD in zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
»Zaupni podatki« so ti pogoji za upravljavce.
»Posameznik, na katerega se nanašajo osebni podatki, ki jih obdeluje upravljavec« je posameznik, na katerega se nanašajo osebni podatki, ki jih obdeluje upravljavec.
»Osebni podatki, ki jih obdeluje upravljavec« so osebni podatki, ki jih pogodbena stranka obdeluje skladno z nastavitvijo deljenja podatkov.
»Nastavitev deljenja podatkov« je nastavitev deljenja podatkov, ki jo je stranka omogočila prek uporabniškega vmesnika storitev merjenja in ki Googlu ter njegovim povezanim pravnim osebam omogoča uporabo osebnih podatkov za izboljšavo Googlovih izdelkov in storitev ter izdelkov in storitev njegovih povezanih pravnih oseb.
»Končni upravljavec« je najvišji upravljavec osebnih podatkov, ki jih obdeluje upravljavec, in sicer za vsako posamezno pogodbeno stranko.
»GDPR za EU« je Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavlja Direktivo 95/46/ES.
»Evropska zakonodaja o varstvu podatkov« je (kot je ustrezno): (a) GDPR; in/ali (b) švicarski zakon FDPA.
»GDPR« je (kot je ustrezno): (a) uredba GDPR za EU; in/ali (b) uredba GDPR za Združeno kraljestvo.
»Google« je:
- (a) če je Googlov subjekt pogodbena stranka – ta Googlov subjekt.
- (b) če je pogodba sklenjena med stranko in neodvisnim prodajnim posrednikom in:
- (i) je sedež neodvisnega prodajnega posrednika v Severni Ameriki ali v drugi regiji zunaj Evrope, Bližnjega vzhoda, Afrike, Azije in Oceanije – Google LLC (prej imenovan Google Inc.);
- (ii) je sedež neodvisnega prodajnega posrednika v Evropi, Afriki ali na Bližnjem vzhodu – Google Ireland Limited; ali
- (iii) je sedež neodvisnega prodajnega posrednika v Aziji in Oceaniji – Google Asia Pacific Pte. Ltd.
»Googlov subjekt« je Google LLC, Google Ireland Limited ali katera koli druga povezana pravna oseba družbe Google LLC.
»LGPD« je brazilski splošni zakon o varstvu podatkov (Lei Geral de Proteção de Dados Pessoais).
»Storitve merjenja« so Google Analytics, Google Analytics 360, Google Analytics za Firebase, Google Optimize ali Google Optimize 360, kot je ustrezno za nastavitev deljenja podatkov, za katero sta se pogodbeni stranki strinjali s temi pogoji za upravljavce.
»Pravilniki« pomenijo pravilnik o soglasju končnega Googlovega uporabnika, ki je na voljo na strani https://www.google.com/about/company/user-consent-policy.html.
»Pogoji za obdelovalce« so:
- (a) če je Google pogodbena stranka – pogoji za obdelovalce, ki so na voljo na strani https://business.safety.google/adsprocessorterms; ali
- (b) če je pogodba sklenjena med stranko in neodvisnim prodajnim posrednikom – pogoji, ki odražajo razmerje med upravljavcem ter obdelovalcem (če obstaja), kot je bilo to sklenjeno med stranko ter neodvisnim prodajnim posrednikom.
»Švicarski zakon FDPA« je zvezni zakon o varstvu podatkov z dne 19. junija 1992 (Švica).
»Datum začetka veljavnosti pogojev« je datum, ko je stranka s klikom potrdila, da sprejema pogoje, oziroma sta se pogodbeni stranki kako drugače strinjali s temi pogoji za upravljavce.
»Osebni podatki posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec« so osebni podatki, ki jih obdeluje upravljavec in se nanašajo na posameznike, ki so v Združenem kraljestvu.
»GDPR za Združeno kraljestvo« je uredba GDPR za EU, kot je spremenjena in vključena v zakonodajo Združenega kraljestva skladno z Zakonom o izstopu Združenega kraljestva iz Evropske unije iz leta 2018 in veljavno sekundarno zakonodajo na podlagi tega zakona.
»Zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah« so (kot je ustrezno) (i) kalifornijski zakon o varstvu zasebnosti potrošnikov iz leta 2018 (vključno z dopolnili kalifornijskega zakona o pravicah do zasebnosti iz leta 2020) skupaj z vsemi izvedbenimi predpisi (»CCPA«); (ii) virginijski zakon o varstvu podatkov o potrošnikih, Va. Code Ann. § 59.1-571 et seq.; in (iii) zakon zvezne države Kolorado o zasebnosti (Colorado Privacy Act) (Colo. Rev. Stat. § 6-1-1301 et seq.); (iv) zakon zvezne države Connecticut o zasebnosti podatkov in spletnem nadzoru (Pub. Act No. 22015); in (v) zakon zvezne države Utah o varstvu zasebnosti potrošnikov (Utah Code Ann. § 13-61-101 et seq.).
2.2
Izrazi »upravljavec«, »posameznik, na katerega se nanašajo osebni podatki«, »osebni podatki«, »obdelava« in »obdelovalec«, kot so uporabljeni v teh pogojih za upravljavce, imajo pomen, opredeljen v (a) veljavni zakonodaji o varstvu podatkov; (b) v primeru odsotnosti takega pomena ali zakona pa v uredbi GDPR.
2.3
Kakršni koli primeri v teh pogojih za upravljavce so prikazani kot ponazoritev in niso edini primeri določenega koncepta.
2.4
Kakršen koli sklic na pravni okvir, statut ali drug zakonski predpis je sklic na ta pravni okvir, statut ali drug zakonski predpis v najnovejši dopolnjeni ali na novo sprejeti različici.
2.5
Če je katera koli prevedena različica te pogodbe neskladna z angleško različico, velja angleška različica.
2.6
Za sklice v standardnih pogodbenih klavzulah za upravljavce na »Pogoje za varstvo podatkov med upravljavci za Google Ads« bo veljalo, da pomenijo »Googlove pogoje glede varstva podatkov med upravljavci za meritve«.
3. Veljava teh pogojev za upravljavce
3.1 Splošno
Ti pogoji za upravljavce veljajo samo za tisto nastavitev deljenja podatkov, za katero sta se pogodbeni stranki strinjali s temi pogoji za upravljavce (npr. nastavitev deljenja podatkov, za katero je stranka s klikom potrdila, da sprejema te pogoje za upravljavce).
3.2 Trajanje
Ti pogoji za upravljavce veljajo od datuma začetka veljavnosti pogojev in so veljavni, dokler Google ali stranka obdeluje osebne podatke, ki jih obdeluje upravljavec, nato pa ti pogoji za upravljavce samodejno prenehajo veljati.
4. Vloge in omejitve pri obdelavi
4.1 Neodvisni upravljavci
V skladu z razdelkom 4.4 (Končni upravljavci) za vsako pogodbeno stranko velja, da:
- (a) je neodvisen upravljavec osebnih podatkov, ki jih obdeluje upravljavec;
- (b) bo posamično določila namene in načine obdelave osebnih podatkov, ki jih obdeluje upravljavec; in
- (c) bo izpolnjevala obveznosti, ki v povezavi z obdelavo osebnih podatkov, ki jih obdeluje upravljavec, zanjo veljajo skladno z veljavno zakonodajo o varstvu podatkov.
4.2 Omejitve pri obdelavi
Razdelek 4.1 (Neodvisni upravljavci) ne vpliva na nobene omejitve glede pravic, ki jih ima v skladu s pogodbo posamezna pogodbena stranka v povezavi z uporabo ali kakršno koli drugo obdelavo osebnih podatkov, ki jih obdeluje upravljavec.
4.3 Privolitev končnih uporabnikov
Stranka bo ravnala skladno s pravilniki v povezavi z osebnimi podatki, ki jih obdeluje upravljavec in se delijo v skladu z nastavitvijo deljenja podatkov, pri čemer bo ves čas nosila dokazno breme glede vzpostavitve takšne skladnosti.
4.4 Končni upravljavci
Brez zmanjšanja obveznosti katere koli pogodbene stranke, določenih v teh pogojih za upravljavce, vsaka pogodbena stranka potrjuje, da: (a) so povezane pravne osebe ali stranke druge pogodbene stranke lahko končni upravljavci; in da (b) lahko druga pogodbena stranka deluje kot obdelovalec v imenu svojih končnih upravljavcev. Vsaka pogodbena stranka bo zagotovila, da njeni končni upravljavci delujejo skladno s pogoji za upravljavce.
4.5 Preglednost
Stranka potrjuje, da je Google objavil informacije o tem, kako uporablja podatke s spletnih mest, iz aplikacij ali drugih znamk, ki uporabljajo njegove storitve, in sicer na https://business.safety.google/privacy/. Ne glede na svoje obveznosti iz razdelka 4.1(c) lahko stranka vključi povezavo do te strani, da posameznikom, na katere se nanašajo osebni podatki, ki jih obdeluje upravljavec, zagotovi informacije o Googlovi obdelavi osebnih podatkov, ki jih obdeluje upravljavec.
5. Odgovornost
5.1
Če:
- (a) je Google pogodbena stranka in pogodbo urejajo zakoni:
- (i) zvezne države v Združenih državah Amerike, bo ne glede na katero koli drugo določilo v pogodbi skupna odgovornost, ki jo ima katera koli pogodbena stranka do druge pogodbene stranke v skladu ali v zvezi s temi pogoji za upravljavce, omejena na najvišji denarni znesek ali plačilni znesek, ki je skladno s pogodbo določen za odgovornost te pogodbene stranke (zato nobena izključitev odškodninskih zahtevkov iz omejitve odgovornosti v pogodbi ne bo veljala za odškodninske zahtevke v skladu s pogodbo, ki se nanaša na veljavno zakonodajo o varstvu podatkov); ali
- (ii) območja sodne oblasti, ki ni zvezna država v Združenih državah Amerike, bodo za odgovornost pogodbenih strank v skladu ali zvezi s temi pogoji za upravljavce veljale izključitve in omejitve odgovornosti v pogodbi; ali
- (b) Google ni pogodbena stranka, v obsegu, ki ga dovoljuje veljavna zakonodaja, Google ne bo odgovoren za strankine izgubljene prihodke ali posredno, posebno, nenamerno, posledično, eksemplarično ali kaznovalno odškodnino, tudi če so bili Google ali njegove povezane pravne osebe obveščeni, so vedeli ali bi morali vedeti, da takšna odškodnina ne izpolnjuje zahtev za popravne ukrepe. Skupna odgovornost Googla (in njegovih povezanih pravnih oseb) do stranke ali katere koli druge pogodbene stranke za kakršno koli izgubo ali škodo, do katere je prišlo na podlagi zahtevkov, škode ali dejanj, ki so nastali zaradi teh pogojev za upravljavce ali so z njimi povezani, ne bo presegala 500 USD.
6. Izvajanje pogojev za upravljavce
6.1 Prednostni vrstni red
Če pride do navzkrižja ali neskladnosti med dodatnimi pogoji, preostalo vsebino teh pogojev za upravljavce in/ali preostalo vsebino pogodbe, bo ob upoštevanju razdelkov 4.2 (Omejitve pri obdelavi) in 6.2 (Brez vpliva na pogoje za obdelovalce) veljal ta prednostni vrstni red: (a) dodatni pogoji (če je ustrezno); (b) preostala vsebina teh pogojev za upravljavce; in (c) preostala vsebina pogodbe. Ob upoštevanju dopolnil v teh pogojih za upravljavce ostane pogodba med Googlom in stranko v polni veljavi.
6.2 Brez vpliva na pogoje za obdelovalce
Ti pogoji za upravljavce ne nadomestijo pogojev za obdelovalce in ne vplivajo nanje. V izogib dvomom: Če je stranka pogodbena stranka pogojev za obdelovalce v povezavi s storitvami merjenja, bodo pogoji za obdelovalce še naprej veljali za storitve merjenja ne glede na to, da ti pogoji za upravljavce veljajo za osebne podatke, ki jih obdeluje upravljavec v skladu z nastavitvijo deljenja podatkov.
7. Spremembe teh pogojev za upravljavce
7.1 Spremembe pogojev za upravljavce
Google lahko te pogoje za upravljavce spremeni, če:
- (a) sprememba odraža spremembo imena ali vrste pravne osebe;
- (b) je sprememba potrebna, da bodo pogoji skladni z veljavnim zakonom, uredbo, odločbo sodišča ali priporočilom, ki ga izda vladni regulativni organ ali agencija, ali da bo odražala Googlovo sprejetje nadomestne rešitve za prenos (kot je določeno v dodatku 1A);
- (c) je sprememba skladna z opisom v razdelku 7.2 (Spremembe URL-jev); ali
- (d) (i) namen spremembe ni kakšna drugačna sprememba kategorizacije pogodbenih strank kot upravljavcev osebnih podatkov, ki jih obdeluje upravljavec, v skladu z veljavno zakonodajo o varstvu podatkov; (ii) sprememba ne razširi obsega ali ne odpravi omejitev pravic katere koli pogodbene stranke za uporabo ali kakršno koli drugo obdelavo osebnih podatkov, ki jih obdeluje upravljavec; ali (iii) sprememba nima pomembnega negativnega vpliva na stranko, kot to razumno ugotovi Google.
7.2 Spremembe URL-jev
Google lahko občasno spremeni kateri koli URL, na katerega se sklicuje vsebina v teh pogojih za upravljavce, in vsebino na katerem koli takem URL-ju.
7.3 Obvestilo o spremembah
Če namerava Google spremeniti te pogoje za upravljavce v skladu z razdelkom 7.1(b) in bo takšna sprememba pomembno negativno vplivala na stranko, kot to razumno ugotovi Google, si bo Google v komercialno sprejemljivi meri prizadeval obvestiti stranko vsaj 30 dni (ali v krajšem obdobju, kot je to morda potrebno za skladnost z veljavnim zakonom, uredbo, odločbo sodišča ali priporočilom, ki ga izda vladni regulativni organ ali agencija) pred datumom, ko bo sprememba začela veljati. Če stranka nasprotuje kakršni koli takšni spremembi, lahko izklopi nastavitev deljenja podatkov.
8. Dodatna določila
8.1
Ta razdelek 8 (Dodatna določila) velja samo, če Google ni pogodbena stranka.
8.2
Vsaka pogodbena stranka bo svoje obveznosti, ki jih določajo ti pogoji za upravljavce, izpolnjevala z razumno strokovnostjo in skrbnostjo.
8.3
Nobena od pogodbenih strank ne bo zaupnih podatkov druge pogodbene stranke uporabila ali razkrila brez predhodne pisne privolitve druge pogodbene stranke, razen za namene uveljavljanja svojih pravic ali izvajanja obveznosti v skladu s temi pogoji za upravljavce ali če to zahteva zakon, uredba ali odločba sodišča. V tem primeru bo pogodbena stranka, ki mora razkriti zaupne podatke, pred razkritjem zaupnih podatkov drugo pogodbeno stranko obvestila v razumno izvedljivem roku.
8.4
V največjem obsegu, ki ga dovoljuje veljavna zakonodaja, razen kjer je to izrecno navedeno v teh pogojih za upravljavce, Google ne daje jamstev kakršne koli vrste ne glede na to, ali so izrecna, implicitna, zakonska ali drugačna, med drugim vključno z jamstvi glede primernosti za prodajo, primernosti za določeno uporabo in odsotnosti kršitev.
8.5
Nobena pogodbena stranka ni odgovorna za nezmožnost izvedbe ali zamude, ki so posledica okoliščin zunaj njenega razumnega nadzora.
8.6
Če je kateri koli pogoj (ali njegov del) v teh pogojih za upravljavce neveljaven, nezakonit ali neizvršljiv, ostanejo drugi deli pogojev za upravljavce v veljavi.
8.7
(a) Razen v obsegu, ki je določen v razdelku (b) spodaj, te pogoje za upravljavce urejajo in razlagajo zakoni zvezne države Kalifornija brez sklicevanja na načela kolizije zakonov. V primeru kolizije med tujimi zakoni, pravili in predpisi ter zakoni, pravili in predpisi zvezne države Kalifornija veljajo zakoni, pravila in predpisi zvezne države Kalifornija. Obe pogodbeni stranki priznavata izključno in osebno pristojnost sodišč iz okrožja Santa Clara v Kaliforniji. Za te pogoje za upravljavce ne veljata konvencija Združenih narodov o pogodbah o mednarodni prodaji blaga in ameriški zakon o enotnih računalniških informacijskih transakcijah.
(b) Če je pogodba sklenjena med stranko in neodvisnim prodajnim posrednikom, pri čemer je sedež neodvisnega prodajnega posrednika v Evropi, na Bližnjem vzhodu ali v Afriki, te pogoje za upravljavce ureja angleška zakonodaja. Obe pogodbeni stranki priznavata izključno pristojnost angleških sodišč v zvezi s kakršnim koli sporom (pogodbene ali nepogodbene narave), ki izhaja iz teh pogojev za upravljavce ali je povezan z njimi.
(c) Če standardne pogodbene klavzule za upravljavce veljajo ter navajajo veljavno zakonodajo, ki se razlikuje od zakonov, opisanih v razdelkih (a) in (b) zgoraj, bo veljavna zakonodaja, določena v standardnih pogodbenih klavzulah za upravljavce, veljala izključno v zvezi s standardnimi pogodbenimi klavzulami za upravljavce.
(d) Za te pogoje za upravljavce ne veljata konvencija Združenih narodov o pogodbah o mednarodni prodaji blaga in ameriški zakon o enotnih računalniških informacijskih transakcijah.
8.8
Vsa obvestila o prenehanju ali kršitvi morajo biti pisna in v angleščini ter naslovljena na pravno službo druge pogodbene stranke. Naslov za obvestila Googlovi pravni službi je legal-notices@google.com. Obravnava se, da so obvestila dana ob prejemu, ki se potrdi s pisnim ali avtomatiziranim potrdilom o prejemu oziroma elektronskim dnevnikom.
8.9
Za nobeno od pogodbenih strank se ne šteje, da je opustila kakršne koli pravice iz teh pogojev za upravljavce, ker jih ni uveljavila (ali je odložila njihovo uveljavitev). Nobena pogodbena stranka ne sme nobenega dela teh pogojev za upravljavce prenesti brez pisnega soglasja druge, razen povezani pravni osebi pod naslednjimi pogoji: (a) pogodbena stranka, ki se ji pogoji za upravljavce prenašajo, se pisno strinja, da jo zavezujejo pogoji v teh pogojih za upravljavce; (b) pogodbena stranka, ki pogoje za upravljavce prenaša, je še vedno odgovorna za obveznosti iz pogojev za upravljavce, če jih pogodbena stranka, na katero se pogoje za upravljavce prenaša, ne izpolnjuje; (c) v primeru stranke je pogodbena stranka, ki pogoje za upravljavce prenaša, prenesla svoje račune storitev merjenja pogodbeni stranki, ki se ji pogoji za upravljavce prenašajo; in (d) pogodbena stranka, ki pogoje za upravljavce prenaša, je drugo pogodbeno stranko obvestila o prenosu. Vsi drugi poskusi prenosa so nični.
8.10
Pogodbene stranke so neodvisni izvajalci. Ti pogoji za upravljavce ne ustvarjajo nobenega zastopstva, družabništva ali skupnega podjetja med pogodbenima strankama. Ti pogoji za upravljavce tretjim osebam ne podeljujejo nikakršnih ugodnosti, razen če to ni izrecno določeno.
8.11
V obsegu, ki ga dovoljuje veljavna zakonodaja, ti pogoji za upravljavce določajo vse pogoje, s katerimi sta se pogodbeni stranki strinjali. Pri sklepanju teh pogojev za upravljavce se nobena pogodbena stranka ni zanašala na katero koli izjavo, zagotovilo ali jamstvo (ne glede na to, ali je bilo podano iz malomarnosti ali brez škodljivih namenov), razen na tista, ki so izrecno navedena v teh pogojih za upravljavce. Prav tako nobeni pogodbeni stranki ne bo na voljo nobena pravica ali pravno sredstvo, ki temelji na taki izjavi, zagotovilu ali jamstvu.
Dodatek 1: Dodatni pogoji za veljavno zakonodajo o varstvu podatkov
DEL A – DODATNI POGOJI ZA EVROPSKO ZAKONODAJO O VARSTVU PODATKOV
1. Uvod
Ta dodatek 1A velja samo v obsegu, v katerem za obdelavo osebnih podatkov, k jih obdeluje upravljavec, velja evropska zakonodaja o varstvu podatkov.
2. Definicije
2.1 V tem dodatku 1A:
»Ustrezna država« je:
- (a) za podatke, ki se obdelujejo skladno z uredbo GDPR za EU: EGP ali država oziroma ozemlje, ki je priznano kot tako, ki zagotavlja ustrezno varstvo podatkov v skladu z uredbo GDPR za EU;
- (b) za podatke, ki se obdelujejo skladno z uredbo GDPR za Združeno kraljestvo: Združeno kraljestvo ali država oziroma ozemlje, ki je priznano kot tako, ki zagotavlja ustrezno varstvo v skladu z uredbo GDPR za Združeno kraljestvo in zakonom o varstvu podatkov iz leta 2018; in/ali
- (c) za podatke, ki se obdelujejo skladno s švicarskim zakonom FDPA: Švica ali država oziroma ozemlje, ki: (i) je vključeno na seznam držav, katerih zakonodaja zagotavlja ustrezno raven varstva, kot je objavil švicarski zvezni pooblaščenec za varstvo podatkov in informacije, ali (ii) ga je švicarski zvezni svet na podlagi švicarskega zakona FDPA priznal kot takega, ki zagotavlja ustrezno varstvo, v nobenem primeru pa to priznanje ni sprejeto na podlagi izbirnega okvira za varstvo podatkov.
»Nadomestna rešitev za prenos« je rešitev, ki ni standardna pogodbena klavzula za upravljavce in omogoča zakonit prenos osebnih podatkov v tretjo državo skladno z evropsko zakonodajo o varstvu podatkov, kot je okvir za varstvo podatkov, priznan kot tak, ki zagotavlja, da sodelujoči subjekti zagotavljajo ustrezno zaščito.
»Standardne pogodbene klavzule za upravljavce« so pogoji na strani business.safety.google/adscontrollerterms/sccs/c2c.
»EGP« je Evropski gospodarski prostor.
»Osebni podatki evropskih posameznikov, ki jih obdeluje upravljavec« so osebni podatki, ki jih obdeluje upravljavec in se nanašajo na posameznike, ki so v EGP ali Švici.
»Evropska zakonodaja« je, kot je ustrezno: (a) zakonodaja EU ali države članice EU (če se za obdelavo osebnih podatkov, ki jih obdeluje upravljavec, uporablja uredba GDPR za EU); (b) zakonodaja Združenega kraljestva ali dela Združenega kraljestva (če se za obdelavo osebnih podatkov, ki jih obdeluje upravljavec, uporablja uredba GDPR za Združeno kraljestvo); in (c) zakonodaja Švice (če se za obdelavo osebnih podatkov, ki jih obdeluje upravljavec, uporablja švicarski zakon FDPA).
»Googlovi končni upravljavci« so končni upravljavci osebnih podatkov, ki jih obdeluje upravljavec Google.
»Dovoljeni evropski prenosi« so obdelava osebnih podatkov, ki jih obdeluje upravljavec, v ustrezni državi ali prenos osebnih podatkov, ki jih obdeluje upravljavec, v ustrezno državo.
»Omejeni evropski prenosi« so prenosi osebnih podatkov, ki jih obdeluje upravljavec, (a) za katere velja evropska zakonodaja o varstvu podatkov; in (b) ki niso dovoljeni evropski prenosi.
»Osebni podatki posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec« so osebni podatki, ki jih obdeluje upravljavec in se nanašajo na posameznike, ki so v Združenem kraljestvu.
2.2 Izraza »uvoznik podatkov« in »izvoznik podatkov« imata pomen, opredeljen v standardnih pogodbenih klavzulah za upravljavce.
3. Googlovi končni upravljavci
Googlova končna upravljavca sta: (i) za osebne podatke evropskih posameznikov, ki jih obdeluje upravljavec Google, Google Ireland Limited; in (ii) za osebne podatke posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec Google, Google LLC. Vsaka pogodbena stranka bo zagotovila, da njeni končni upravljavci delujejo skladno s standardnimi pogodbenimi klavzulami za upravljavce, če je to ustrezno.
4. Prenosi podatkov
4.1 Omejeni evropski prenosi. Vsaka pogodbena stranka lahko izvede omejene evropske prenose, če deluje skladno z določili o omejenih evropskih prenosih v evropski zakonodaji o varstvu podatkov.
4.2 Nadomestna rešitev za prenos.
- (a) Če je Google za omejene evropske prenose sprejel nadomestno rešitev za prenos, (i) bo Google zagotovil, da se taki omejeni evropski prenosi izvajajo v skladu z zadevno nadomestno rešitvijo za prenos; in (ii) se za take omejene evropske prenose ne bo uporabljal odstavek 5 (Standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A.
- (b) Če Google za omejene evropske prenose ni sprejel nadomestne rešitve za prenos ali je stranko obvestil, da ne sprejema več nadomestne rešitve za prenos, bo za take omejene evropske prenose veljal razdelek 5 (Standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A.
4.3 Določila glede nadaljnjega prenosa.
- (a) Uveljavitev odstavka 4.3. Odstavka 4.3(b) (Uporaba osebnih podatkov od ponudnika podatkov) in 4.3(c) (Varstvo osebnih podatkov od ponudnika podatkov) v tem dodatku 1A bosta veljala samo v teh primerih:
- (i) pogodbena stranka (»prejemnik podatkov«) obdela osebne podatke, ki jih obdeluje upravljavec in jih da na voljo druga pogodbena stranka (»ponudnik podatkov«) v povezavi s pogodbo (taki osebni podatki, ki jih obdeluje upravljavec: »osebni podatki od ponudnika podatkov«);
- (ii) ponudnik podatkov ali njegova povezana pravna oseba ima potrdilo za nadomestno rešitev za prenos; in
- (iii) ponudnik podatkov pisno obvesti prejemnika podatkov, da ima potrdilo za nadomestno rešitev za prenos.
- (b) Uporaba osebnih podatkov od ponudnika podatkov.
- (i) Če nadomestna rešitev za prenos vključuje načelo nadaljnjega prenosa, bo skladno s takimi načeli nadaljnjega prenosa prejemnik podatkov osebne podatke od ponudnika podatkov uporabil samo na način, ki je skladen s privolitvijo, ki so jo podali ustrezni posamezniki, na katere se nanašajo osebni podatki, ki jih obdeluje upravljavec.
- (ii) Če ponudnik podatkov ne uspe pridobiti privolitve od ustreznih posameznikov, na katere se nanašajo osebni podatki, ki jih obdeluje upravljavec, kot to zahteva pogodba, prejemnik podatkov s tem ne bo kršil odstavka 4.3(b)(i), če bo osebne podatke od ponudnika podatkov uporabljal skladno z zahtevano privolitvijo.
- (c) Varstvo osebnih podatkov od ponudnika podatkov.
- (i) Prejemnik podatkov bo zagotovil raven varstva osebnih podatkov od ponudnika podatkov, ki je najmanj enaka ravni, ki se zahteva v okviru zadevne nadomestne rešitve za prenos.
- (ii) Če prejemnik podatkov ugotovi, da ne more zagotoviti skladnosti z odstavkom 4.3(c)(i), bo: (A) pisno obvestil ponudnika podatkov; in (B) prenehal obdelovati osebne podatke od ponudnika podatkov ali sprejel razumne ter ustrezne ukrepe, da bo odpravil tako neskladnost.
- (d) Sprejetje nadomestne rešitve za prenos in pridobitev potrdila. Informacije o sprejetju katere koli nadomestne rešitve za prenos ali pridobitvi potrdila zanjo za Google in/ali njegove povezane pravne osebe so na voljo na strani https://policies.google.com/privacy/frameworks. Ta odstavek 4.3(d) predstavlja pisno obvestilo Googla in/ali njegovih povezanih pravnih oseb za trenutna potrdila na datum začetka veljavnosti pogojev za namene odstavka 4.3(a)(iii).
5. Standardne pogodbene klavzule za upravljavce
5.1 Prenosi osebnih podatkov evropskih posameznikov, ki jih obdeluje upravljavec, stranki. Če:
- (a) Google stranki prenese osebne podatke evropskih posameznikov, ki jih obdeluje upravljavec; in
- (b) je prenos omejen evropski prenos, se za stranko, ki je uvoznik podatkov, šteje, da je z družbo Google Ireland Limited (ustreznim Googlovim končnim upravljavcem) kot izvoznikom podatkov sklenila standardne pogodbene klavzule za upravljavce, pri čemer za prenose veljajo določila standardnih pogodbenih klavzul za upravljavce.
5.2 Prenosi osebnih podatkov posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec, stranki. Če:
- (a) Google stranki prenese osebne podatke posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec; in
- (b) je prenos omejen evropski prenos, se za stranko, ki je uvoznik podatkov, šteje, da je z družbo Google LLC (ustreznim Googlovim končnim upravljavcem) kot izvoznikom podatkov sklenila standardne pogodbene klavzule za upravljavce, pri čemer za prenose veljajo določila standardnih pogodbenih klavzul za upravljavce.
5.3 Prenosi osebnih podatkov evropskih posameznikov, ki jih obdeluje upravljavec, Googlu. Pogodbeni stranki potrjujeta, da če stranka Googlu prenese osebne podatke evropskih posameznikov, ki jih obdeluje upravljavec, standardne pogodbene klavzule za upravljavce niso potrebne, ker je naslov družbe Google Ireland Limited (ustreznega Googlovega končnega upravljavca) v ustrezni državi in so taki prenosi dovoljeni evropski prenosi. To ne vpliva na Googlove obveznosti iz odstavka 4.1 (Omejeni evropski prenosi) tega dodatka 1A.
5.4 Prenosi osebnih podatkov posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec, Googlu. Če stranka Googlu prenese osebne podatke posameznikov iz Združenega kraljestva, ki jih obdeluje upravljavec, se za stranko, ki je izvoznik podatkov, šteje, da je z družbo Google LLC (ustreznim Googlovim končnim upravljavcem) kot uvoznikom podatkov sklenila standardne pogodbene klavzule za upravljavce, pri čemer za prenose veljajo določila standardnih pogodbenih klavzul za upravljavce, ker naslov družbe Google LLC ni v ustrezni državi.
5.5 Stik z Googlom; podatki o stranki.
- (a) Stranka se lahko v povezavi s standardnimi pogodbenimi klavzulami za upravljavce obrne na Google Ireland Limited in/ali Google LLC prek strani https://support.google.com/policies/troubleshooter/9009584 ali na druge načine, ki jih občasno zagotovi Google.
- (b) Stranka potrjuje, da mora Google na podlagi standardnih pogodbenih klavzul za upravljavce zabeležiti nekatere podatke, vključno z (i) identiteto in podatki za stik uvoznika podatkov (vključno z morebitnimi osebami za stik, ki so odgovorne za varstvo podatkov); ter (ii) tehničnimi in organizacijskimi ukrepi, ki jih izvaja uvoznik podatkov. V skladu s tem stranka, kjer je to zahtevano in kjer je to ustrezno, zagotovi te podatke Googlu na načine, ki jih ponuja Google, ter zagotovi, da so vsi navedeni podatki točni in posodobljeni.
5.6 Odgovarjanje na poizvedbe posameznikov, na katere se nanašajo osebni podatki. Ustrezni uvoznik podatkov bo odgovoren za odgovarjanje na poizvedbe posameznikov, na katere se nanašajo osebni podatki, in nadzornega organa v zvezi z uvoznikovo obdelavo ustreznih osebnih podatkov, ki jih obdeluje upravljavec.
5.7 Izbris podatkov ob odpovedi. Če:
- (a) Google LLC deluje kot uvoznik podatkov in stranka deluje kot izvoznik podatkov v skladu s standardnimi pogodbenimi klavzulami za upravljavce; in
- (b) stranka odpove pogodbo v skladu s klavzulo 16(c) standardnih pogodbenih klavzul za upravljavce, potem stranka za namene klavzule 16(d) standardnih pogodbenih klavzul za upravljavce zahteva, da Google izbriše osebne podatke, ki jih obdeluje upravljavec, in (razen če evropska zakonodaja zahteva shranjevanje) Google omogoči tak izbris takoj, ko je to razumno mogoče, in sicer v obsegu, v katerem je ta izbris razumno mogoč (ob upoštevanju dejstva, da je Google neodvisni upravljavec takih podatkov, ter narave in funkcije storitev merjenja).
6. Odgovornost, če veljajo standardne pogodbene klavzule za upravljavce.
Če standardne pogodbene klavzule za upravljavce veljajo v okviru odstavka 5 (Standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A, bo za skupno združeno odgovornost:
- (a) Googla, družbe Google LLC in družbe Google Ireland Limited do stranke in
- (b) stranke do Googla, družbe Google LLC in družbe Google Ireland Limited v skladu ali v povezavi s to pogodbo ter standardnimi pogodbenimi klavzulami za upravljavce veljal razdelek 5 (Odgovornost). Klavzula 12 iz standardnih pogodbenih klavzul za upravljavce ne bo vplivala na prejšnji stavek.
7. Upravičene tretje osebe
Če Google LLC in/ali Google Ireland Limited ni pogodbena stranka, vendar je pogodbena stranka standardnih pogodbenih klavzul za upravljavce skladno z odstavkom 5 (Standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A, bo družba Google LLC in/ali Google Ireland Limited (kot je ustrezno) upravičena tretja oseba v skladu z razdelkom 4.4 (Končni upravljavci) ter odstavki 3 (Googlovi končni upravljavci), 5 (Standardne pogodbene klavzule za upravljavce) in 6 (Odgovornost, če veljajo standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A. Če je ta odstavek 7 (Upravičene tretje osebe) v navzkrižju s katero koli drugo klavzulo iz pogodbe oziroma ni v skladu z njo, bo veljal ta odstavek 7 (Upravičene tretje osebe).
8. Prednost
8.1 Če pride do navzkrižja ali neskladnosti med standardnimi pogodbenimi klavzulami za upravljavce, tem dodatkom 1A, preostalim delom teh pogojev za upravljavce in/ali preostankom pogodbe, bodo veljale standardne pogodbene klavzule za upravljavce.
8.2 Dodatne komercialne klavzule. Ob upoštevanju dopolnil v teh pogojih za upravljavce ostane pogodba v polni veljavi. Odstavki od 5.5 (Stik z Googlom) do 5.7 (Izbris podatkov ob odpovedi) in odstavek 6 (Odgovornost, če veljajo standardne pogodbene klavzule za upravljavce) iz tega dodatka 1A so dodatne komercialne klavzule, ki se nanašajo na standardne pogodbene klavzule za upravljavce, kot to dovoljuje klavzula 2(a) (Učinek in nespremenljivost klavzul) iz standardnih pogodbenih klavzul za upravljavce.
8.3 Brez sprememb standardnih pogodbenih klavzul za upravljavce. Nič v pogodbi (vključno s temi pogoji za upravljavce) ni namenjeno spreminjanju ali nasprotovanju kateri koli standardni pogodbeni klavzuli za upravljavce ali vplivanju na temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki, v skladu z evropsko zakonodajo o varstvu podatkov.
DEL B – DODATNI POGOJI ZA ZAKONE O VARSTVU ZASEBNOSTI NA RAVNI ZVEZNIH DRŽAV V ZDRUŽENIH DRŽAVAH
1. Uvod
Google lahko ponudi in stranka lahko omogoči nekatere nastavitve, konfiguracije ali druge funkcije v izdelku za storitve merjenja v zvezi z omejeno obdelavo podatkov, kot je opisano v podporni dokumentaciji, ki je na voljo na strani business.safety.google/rdp, kot je občasno posodobljena (»omejena obdelava podatkov«). Ta dodatek 1B odraža strinjanje pogodbenih strank o obdelavi osebnih podatkov za stranko in podatkov, ki ne omogočajo osebne prepoznave (kot je opredeljeno spodaj), v skladu s pogodbo v zvezi z zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah in velja samo v obsegu, v katerem veljajo posamezni zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
2. Dodatne definicije in tolmačenje.
V tem dodatku 1B:
- (a) »Osebni podatki za stranko« so osebni podatki, ki jih Google obdeluje v imenu stranke, in sicer v okviru Googlovega zagotavljanja storitev merjenja.
- (b) »Podatki, ki ne omogočajo osebne prepoznave« so podatki, na podlagi katerih ni mogoče prepoznati povezane osebe (kot je to opredeljeno v zakonu CCPA in drugih zakonih o varstvu zasebnosti na ravni zveznih držav v Združenih državah), ko jih ena pogodbena stranka razkrije drugi.
- (c) »Navodila« skupaj pomenijo strankina navodila Googlu za obdelavo osebnih podatkov za stranko samo v skladu z zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah: (a) za zagotavljanje storitev omejene obdelave podatkov in morebitne povezane tehnične podpore; (b) kot je nadalje določeno s strankino uporabo storitev omejene obdelave podatkov (vključno v okviru nastavitev in drugih funkcij takih storitev omejene obdelave podatkov) in morebitno povezano tehnično podporo; (c) kot je dokumentirano v obliki pogodbe, vključno s tem dodatkom 1B; (d) kot je nadalje dokumentirano v morebitnih drugih pisnih navodilih, ki jih poda stranka in jih Google prizna kot navodila za namene tega dodatka 1B; in (e) za obdelavo osebnih podatkov za stranko, kot je to dovoljeno v skladu z zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah za ponudnike storitev in obdelovalce.
- (d) »Storitve omejene obdelave podatkov« so storitve upravljavca, ki se izvajajo v okviru omejene obdelave podatkov.
- (e) »Obdobje veljavnosti« je obdobje od datuma začetka veljavnosti pogojev do konca Googlovega zagotavljanja storitev merjenja v skladu s pogodbo.
- (f) Izrazi »podjetje«, »potrošnik«, »osebni podatki«, »prodaja(-e)«, »prodati«, »ponudnik storitev« in »deljenje«, kot so uporabljeni v tem dodatku 1B, imajo pomene, opredeljene v zakonih o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
- (g) Stranka je izključno sama odgovorna za upoštevanje vseh zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah pri uporabi Googlovih storitev, vključno z omejeno obdelavo podatkov.
3. Določila zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah (v okviru omejene obdelave podatkov).
3.1 Obdelava podatkov.
3.1.1
- (a) Odgovornosti obdelovalca in upravljavca. Pogodbeni stranki razumeta naslednja določila in se strinjata z njimi:
- (i) odstavek 7 (Vsebina in podrobnosti obdelave podatkov v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah) iz tega dodatka 1B opisuje vsebino in podrobnosti glede obdelave osebnih podatkov za stranko;
- (ii) Google je ponudnik storitev in obdelovalec osebnih podatkov za stranko v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah; in
- (iii) stranka je upravljavec ali obdelovalec, kot je ustrezno, osebnih podatkov za stranko v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
- (b) Stranke kot obdelovalci. Če je stranka obdelovalec:
- (i) stranka stalno jamči, da je ustrezni upravljavec pooblastil naslednje: (A) navodila, (B) strankino imenovanje Googla kot drugega obdelovalca in (C) Googlovo vključitev podizvajalcev, kot je opisano v odstavku 3.6 (Podizvajalci) iz tega dodatka 1B;
- (ii) stranka bo ustreznemu upravljavcu nemudoma posredovala vsa obvestila od Googla v okviru odstavkov 3.3.2(a) (Obvestilo o incidentu) ter 3.6 (Podizvajalci); in
- (iii) stranka lahko ustreznemu upravljavcu da na voljo vse podatke, ki jih je dal na voljo Google v okviru odstavkov 3.3.3(c) (Strankine pravice glede revizije) in 3.6 (Podizvajalci).
3.1.2 Navodila stranke. S sprejetjem tega dodatka 1B stranka Googlu naroči, naj osebne podatke za stranko obdela samo skladno z navodili.
3.1.3 Googlovo zagotavljanje skladnosti z navodili. Google bo deloval skladno z navodili, če ne bodo tega prepovedovali zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
3.1.4 Dodatni izdelki. Če stranka uporablja kateri koli izdelek, storitev ali aplikacijo, ki jo zagotovi Google ali tretja oseba, ki: (a) ni del storitev omejene obdelave podatkov; in (b) je na voljo za uporabo v okviru uporabniškega vmesnika storitev omejene obdelave podatkov ali je kako drugače integrirana v storitve omejene obdelave podatkov (»dodatni izdelek«), lahko storitve omejene obdelave podatkov dovolijo temu dodatnemu izdelku dostop do osebnih podatkov za stranko, kot je potrebno za medsebojno delovanje dodatnega izdelka in storitev omejene obdelave podatkov. Pojasnilo: Ta dodatek 1B se ne nanaša na obdelavo osebnih podatkov v povezavi z zagotavljanjem katerega koli dodatnega izdelka, ki ga uporabi stranka, vključno z osebnimi podatki, ki se prenesejo v ta dodatni izdelek ali iz njega.
3.2. Izbris podatkov ob poteku obdobja veljavnosti. Stranka naroči Googlu, naj izbriše vse preostale osebne podatke za stranko (vključno z obstoječimi kopijami) iz Googlovih sistemov ob poteku obdobja veljavnosti skladno z veljavnim zakonom. Google bo izpolnil ta navodila takoj, ko bo to razumno izvedljivo in najpozneje v 180 dneh, če veljavni zakoni ne zahtevajo, da se ti podatki shranijo.
3.3. Varnost podatkov.
3.3.1 Googlovi varnostni ukrepi in pomoč.
- (a) Googlovi varnostni ukrepi. Google bo uvedel in izvajal tehnične ter organizacijske ukrepe za zaščito osebnih podatkov za stranko pred nenamernim ali nezakonitim uničenjem, izgubo, spremembo, nepooblaščenim razkritjem ali dostopom (»varnostni ukrepi«). Varnostni ukrepi vključujejo ukrepe: (i) za šifriranje osebnih podatkov; (ii) za lažje zagotavljanje stalne zaupnosti, celovitosti, razpoložljivosti in vzdržljivosti Googlovih sistemov ter storitev; (iii) za lažjo obnovitev pravočasnega dostopa do osebnih podatkov po incidentu; in (iv) za redno preizkušanje učinkovitosti. Google lahko občasno posodobi ali spremeni varnostne ukrepe, če take posodobitve in spremembe ne poslabšajo splošne varnosti osebnih podatkov za stranko.
- (b) Dostop in zagotavljanje skladnosti. Google bo zagotovil, da se bodo vse osebe, ki so pooblaščene za obdelavo osebnih podatkov za stranko, zavezale k zaupnosti ali bodo delovale skladno z zakonsko obveznostjo zaupnosti.
- (c) Googlova pomoč pri zagotavljanju varnosti. Google bo (ob upoštevanju narave obdelovanja osebnih podatkov za stranko in informacij, ki so na voljo Googlu) pomagal stranki pri izpolnjevanju njenih obveznosti (ali v primeru, ko je stranka obdelovalec, obveznosti zadevnega upravljavca) v zvezi z varnostjo osebnih podatkov in kršitvami varstva osebnih podatkov, vključno s strankinimi obveznostmi (ali v primeru, ko je stranka obdelovalec, obveznostmi zadevnega upravljavca) v zvezi z varnostjo osebnih podatkov in kršitvami varstva osebnih podatkov v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah, in sicer tako, da bo:
- (i) uvedel in izvajal varnostne ukrepe skladno z odstavkom 3.3.1(a) (Googlovi varnostni ukrepi);
- (ii) upošteval določila iz odstavka 3.3.2 (Incidenti v zvezi s podatki); in
- (iii) stranki zagotovil pravice, podeljene v okviru odstavka 3.3.3(c) (Strankine pravice glede revizije).
3.3.2 Incidenti v zvezi s podatki
- (a) Obvestilo o incidentu. Če Google ugotovi, da je prišlo do incidenta v zvezi s podatki (kot je opredeljeno spodaj), bo: (i) stranko obvestil o incidentu v zvezi s podatki brez nepotrebnega odlašanja; in (ii) čim prej izvedel razumne ukrepe za zmanjšanje škode in zaščito osebnih podatkov za stranko. V tem dodatku 1B »incident v zvezi s podatki« pomeni kršitev Googlove varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov za stranko v sistemih, ki jih upravlja ali kakor koli drugače nadzoruje Google. »Incidenti v zvezi s podatki« ne bodo vključevali neuspešnih poskusov ali dejavnosti, ki ne ogrožajo varnosti osebnih podatkov za stranko. To vključuje neuspešne poskuse prijave, preverjanja, pregledovanja vrat, napadov z zavrnitvijo storitve in drugih omrežnih napadov na požarne zidove ali omrežne sisteme.
- (b) Dostava obvestila. Google bo obvestilo o incidentu v zvezi s podatki dostavil na e-poštni naslov, ki ga je določila stranka, prek uporabniškega vmesnika storitev omejene obdelave podatkov ali podobnih drugih načinov, ki jih zagotovi Google, za prejemanje nekaterih Googlovih obvestil v zvezi s tem dodatkom 1B (»e-poštni naslov za obvestila«) ali po Googlovi presoji (in tudi če stranka ni navedla e-poštnega naslova za obvestila) z drugo možnostjo neposredne komunikacije (na primer po telefonu, e-pošti ali z osebnim sestankom). Stranka je sama odgovorna za navedbo e-poštnega naslova za obvestila in za zagotavljanje, da e-poštni naslov za obvestila ni zastarel in je veljaven.
- (c) Obvestila za tretje osebe. Stranka je sama odgovorna za upoštevanje zakonodaje glede obveščanja o incidentih, ki veljajo za stranko, in za izpolnjevanje vseh obveznosti glede obveščanja tretjih oseb o morebitnih incidentih v zvezi s podatki.
- (d) Brez priznavanja krivde s strani Googla. Googlovo obvestilo o incidentu v zvezi s podatki ali odziv nanj v okviru tega odstavka 3.3.2 (Incidenti v zvezi s podatki) se ne bo razlagal kot Googlova potrditev kakršne koli krivde ali odgovornosti glede incidenta v zvezi s podatki.
3.3.3 Strankina odgovornost in ocene glede varnosti.
- (a) Strankina odgovornost glede varnosti. Stranka se strinja, da brez poseganja v Googlove obveznosti v okviru odstavkov 3.3.1 (Googlovi varnostni ukrepi in pomoč) in 3.3.2 (Incidenti v zvezi s podatki) velja naslednje:
- (i) Stranka je sama odgovorna za svojo uporabo storitev omejene obdelave podatkov, vključno z naslednjim: (1) ustrezno uporabo storitev omejene obdelave podatkov za zagotavljanje ravni varnosti, ki je ustrezna glede na tveganje v zvezi z osebnimi podatki za stranko; in (2) zaščito poverilnic za preverjanje pristnosti računa, sistemov ter naprav, ki jih stranka uporablja za dostop do storitev omejene obdelave podatkov; in
- (ii) Google nima nobene obveznosti glede zaščite osebnih podatkov za stranko, ki jih stranka shrani ali prenese zunaj Googlovih sistemov in sistemov njegovih podizvajalcev.
- (b) Strankina ocena varnosti. Stranka potrjuje in se strinja, da varnostni ukrepi, ki jih je uvedel in jih izvaja Google, kot je določeno v odstavku 3.3.1(a) (Googlovi varnostni ukrepi), zagotavljajo raven varnosti, ki je ustrezna glede na tveganje v zvezi z osebnimi podatki za stranko, z upoštevanjem najnovejše tehnologije, stroškov implementacije ter narave, obsega, konteksta in namena obdelave osebnih podatkov za stranko ter tudi tveganja za posameznike.
- (c) Strankine pravice glede revizije.
- (i) Stranka lahko izvede revizijo, da preveri Googlovo skladnost z obveznostmi, ki jih določa ta dodatek 1B, tako, da zahteva in pregleda (1) potrdilo, izdano za varnostno preverjanje, ki odraža rezultat revizije, ki jo je izvedel neodvisni revizor (npr. potrdilo SOC 2 vrste II ali ISO/IEC 27001, primerljivo potrdilo ali drugo varnostno potrdilo, pridobljeno z revizijo, ki jo je izvedel neodvisni revizor, ki sta ga potrdila stranka in Google) v 12 mesecih od datuma zahteve stranke, in (2) katere koli druge podatke, za katere Google ugotovi, da so razumno potrebni, da lahko stranka potrdi tako skladnost.
- (ii) Google lahko namesto tega po lastni presoji in v odgovor na zahtevo stranke sproži postopek neodvisne revizije, da preveri Googlovo skladnost z obveznostmi, kot jih določa ta dodatek 1B. Med takšno revizijo bo Google neodvisnemu revizorju omogočil dostop do vseh informacij, ki jih potrebuje za dokazovanje skladnosti. Če takšno revizijo zahteva stranka, lahko Google zaračuna nadomestilo (na podlagi Googlovih razumnih stroškov) za revizijo. Google bo stranki pred vsako tako revizijo zagotovil dodatne podrobnosti glede morebitnih stroškov in podlage za njihov izračun. Stranka bo odgovorna za vse stroške, ki jih zaračuna kateri koli neodvisni revizor, ki ga je imenovala stranka, za izvedbo take revizije.
- (iii) Nobeno določilo iz tega dodatka 1B od Googla ne zahteva razkritja podatkov stranki ali neodvisnemu revizorju niti omogočenja dostopa stranki ali neodvisnemu revizorju do naslednjega:
- (1) kakršni koli podatki katere koli druge stranke Googlovega subjekta;
- (2) kakršni koli interni računovodski ali finančni podatki Googlovega subjekta;
- (3) kakršna koli poslovna skrivnost Googlovega subjekta;
- (4) kakršni koli podatki, ki bi po Googlovem razumnem mnenju lahko: (A) ogrozili varnost katerega koli sistema ali prostora Googlovega subjekta; ali (B) povzročili, da bi kateri koli Googlov subjekt prekršil svoje obveznosti v skladu z zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah ali svoje obveznosti glede varnosti in/ali zasebnosti do stranke ali katere koli tretje osebe; ali
- (5) kakršne koli informacije, do katerih želi stranka ali njen neodvisni revizor dostopati iz kakršnega koli razloga, ki ni izpolnitev obveznosti stranke v dobri veri in skladno z zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
3.4 Pomoč pri ocenjevanju učinka. Google bo (z upoštevanjem narave obdelave in informacij, ki so na voljo Googlu) stranki (ali ustreznemu upravljavcu, če je stranka obdelovalec) pomagal izpolnjevati zadevne obveznosti, ki se nanašajo na ocenjevanje učinka v zvezi z varstvom podatkov in predhodne posvete z regulativnimi organi v obsegu, ki ga zahtevajo zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah tako, da bo:
- (a) zagotovil dokumentacijo v zvezi z varnostjo;
- (b) zagotovil informacije iz pogodbe (vključno s tem dodatkom 1B); in
- (c) zagotovil drugo gradivo v zvezi z naravo storitev omejene obdelave podatkov in obdelavo osebnih podatkov za stranko (kot je gradivo centra za pomoč) oziroma kako drugače omogočil dostop do tega gradiva skladno z Googlovimi standardnimi postopki.
3.5. Pravice posameznikov, na katere se nanašajo osebni podatki.
3.5.1 Odzivi na zahteve posameznikov, na katere se nanašajo osebni podatki. Če Google prejme zahtevo od posameznika, na katerega se nanašajo osebni podatki, v zvezi z osebnimi podatki za stranko, stranka pooblašča Google, Google pa obvešča stranko, da bo:
- (a) zagotovil odziv neposredno na zahtevo posameznika, na katerega se nanašajo osebni podatki, skladno s standardnim delovanjem orodja (če obstaja), ki ga je posameznikom, na katere se nanašajo osebni podatki, dal na voljo Googlov subjekt in ki omogoča Googlu neposredno standardizirano odzivanje na nekatere zahteve posameznikov, na katere se nanašajo osebni podatki, v zvezi z osebnimi podatki za stranko (kot so nastavitve spletnega oglaševanja ali vtičnik brskalnika za onemogočenje) (»orodje za posameznike, na katere se nanašajo osebni podatki«) (če je bila zahteva podana prek orodja za posameznike, na katere se nanašajo osebni podatki); ali
- (b) svetoval posamezniku, na katerega se nanašajo osebni podatki, naj svojo zahtevo predloži stranki, stranka pa bo odgovorna, da se na takšno zahtevo odzove (če zahteva ni poslana prek orodja za posameznike, na katere se nanašajo osebni podatki).
3.5.2 Googlova pomoč pri zahtevi posameznika, na katerega se nanašajo osebni podatki. Google bo stranki pomagal pri izpolnjevanju njenih (ali upravljavčevih, če je stranka obdelovalec) obveznosti v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah glede odziva na zahteve pri uveljavljanju pravic posameznika, na katerega se nanašajo osebni podatki, pri čemer se bo vedno upoštevala narava obdelave osebnih podatkov za stranko, vključno z naslednjim:
- (a) zagotavljanjem funkcij storitev omejene obdelave podatkov;
- (b) izpolnjevanjem obveznosti, ki so določene v odstavku 3.5.1 (Odzivi na zahteve posameznikov, na katere se nanašajo osebni podatki); in
- (c) če je to ustrezno za storitve omejene obdelave podatkov, omogočanjem uporabe orodij za posameznike, na katere se nanašajo osebni podatki.
3.5.3 Popravek. Če stranka ugotovi, da so kateri koli osebni podatki za stranko napačni ali zastareli, bo sama odgovorna za popravljanje ali izbris teh podatkov, če to zahtevajo zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah, vključno z uporabo funkcij storitev omejene obdelave podatkov (ko je to ustrezno).
3.6. Podizvajalci.
- (a) Stranka na splošno pooblasti Google, da lahko pridobi druge subjekte kot podizvajalce v povezavi z zagotavljanjem storitev omejene obdelave podatkov. Pri pridobivanju katerih koli podizvajalcev bo Google:
- (i) s pisno pogodbo zagotovil, da: (1) bo podizvajalec dostopal do osebnih podatkov za stranko in jih uporabljal samo v obsegu, ki se zahteva za izpolnjevanje obveznosti podizvajalcev, pri čemer bo upošteval pogodbo (vključno s tem dodatkom 1B); in (2) če za obdelavo osebnih podatkov za stranko veljajo zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah, zagotovil, da se podizvajalcu naložijo obveznosti glede varstva podatkov iz tega dodatka 1B;
- (ii) pri pridobivanju novih podizvajalcev zagotovil obvestilo o teh novih podizvajalcih, če to zahtevajo zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah, stranki pa nadalje omogočil pritožbo glede sodelovanja s temi podizvajalci, če to zahtevajo zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah; in
- (iii) ostal v celoti zakonsko odgovoren glede vseh obveznosti iz podizvajalske pogodbe ter vseh dejanj in neizvedbe dejanj podizvajalca.
- (b) Stranka lahko ugovarja kateremu koli novemu podizvajalcu tako, da pogodbo prekine brez navedbe razloga takoj po pisnem obvestilu Googlu, če stranka tako obvestilo predloži v 90 dneh od prejema obvestila o sodelovanju z novim podizvajalcem, kot je opisano v odstavku 3.6(a)(ii).
3.7 Stik z Googlom. Stranka lahko stopi v stik z Googlom v zvezi z izvajanjem svojih pravic iz tega dodatka 1B na načine, opisane na strani privacy.google.com/businesses/processorsupport, ali na druge načine, ki jih lahko Google občasno zagotovi.
4. Določila zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah
4.1 Podatki, ki ne omogočajo osebne prepoznave. V zvezi z osebnimi podatki za stranko, ki so bili obdelani z omogočeno ali brez omogočene omejene obdelave podatkov, in v obsegu veljavnosti enega ali več zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah glede obdelave osebnih podatkov za stranko bo vsaka pogodbena stranka delovala skladno z zahtevami za obdelavo podatkov, ki ne omogočajo osebne prepoznave, določenimi v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah, v zvezi z vsemi podatki, ki ne omogočajo osebne prepoznave, ki jih prejme od druge pogodbene stranke v skladu s pogodbo. Za namene tega odstavka 4.1 (Podatki, ki ne omogočajo osebne prepoznave) so osebni podatki za stranko vsi osebni podatki, ki jih pogodbena stranka obdeluje v okviru pogodbe v povezavi z zagotavljanjem ali uporabo storitev merjenja.
5. Googlove obveznosti v okviru zakona CCPA.
5.1 V zvezi z osebnimi podatki za stranko, ki se obdelajo v okviru omejene obdelave podatkov in v obsegu veljavnosti zakona CCPA glede take obdelave osebnih podatkov za stranko, bo Google deloval kot strankin ponudnik storitev in kot tak, razen če ponudnikom storitev v okviru zakona CCPA ni dovoljeno drugače, kot to razumno določi Google:
- (a) Google ne bo prodal ali z drugimi delil nobenih osebnih podatkov za stranko, ki jih pridobi od stranke v zvezi s pogodbo;
- (b) Google ne bo zadržal, uporabil ali razkril osebnih podatkov za stranko (vključno zunaj neposrednega poslovnega odnosa med Googlom in stranko), razen za poslovne namene v okviru zakona CCPA v imenu stranke in za specifični namen izvajanja storitev omejene obdelave podatkov, kot je nadalje opisano v podporni dokumentaciji, ki je na voljo na strani business.safety.google/rdp, kot je občasno posodobljena;
- (c) Google ne bo združil osebnih podatkov za stranko, ki jih prejme od stranke ali v njenem imenu z (i) osebnimi podatki, ki jih Google prejme od druge osebe oziroma oseb oziroma v njihovem imenu; ali (ii) osebnimi podatki, zbranimi prek Googlove lastne interakcije s potrošnikom, kot je nadalje opisano v podporni dokumentaciji, ki je na voljo na strani business.safety.google/rdp, razen v obsegu, kot to dovoljuje zakon CCPA;
- (d) Google bo obdelal take osebne podatke za stranko za specifičen namen izvajanja storitev omejene obdelave podatkov, kot je nadalje opisano v pogodbi in podporni dokumentaciji (npr. v člankih centra za pomoč) ali kot je drugače dovoljeno v okviru zakona CCPA, pogodbeni stranki pa se strinjata, da bo stranka Googlu omogočila dostop do takih osebnih podatkov za stranko za te namene;
- (e) Google bo revizorjem omogočil preverjanje Googlove skladnosti z obveznostmi, kot določa ta dodatek 1B skladno z odstavkom 3.3.3(c) (Strankine pravice glede revizije);
- (f) Google bo stranko obvestil, če bo ugotovil, da ne more več izpolnjevati svojih obveznosti v okviru zakona CCPA, pri čemer ta odstavek 5.1(f) ne zmanjša pravic in obveznosti nobene pogodbene stranke v drugih delih pogodbe;
- (g) če stranka upravičeno meni, da Google obdeluje osebne podatke za stranko na nepooblaščen način, ima pravico, da o tem obvesti Google na načine, opisane na spletni strani privacy.google.com/businesses/processorsupport, pogodbeni stranki pa bosta v dobri veri sodelovali pri reševanju domnevnih kršitev v zvezi z dejavnostmi obdelovanja podatkov, če bo to potrebno; in
- (h) Google bo upošteval veljavne obveznosti v skladu z zakonom CCPA in zagotavljal enako raven varstva zasebnosti, kot to zahteva zakon CCPA.
5.2 V zvezi z osebnimi podatki za stranko, ki so bili obdelani brez omogočene omejene obdelave podatkov, in v obsegu, v katerem se zakon CCPA nanaša na obdelavo osebnih podatkov za stranko:
- (d) Google bo obdelal take osebne podatke za stranko za specifičen namen izvajanja storitev merjenja (kot je ustrezno), kot je nadalje opisano v pogodbi in podporni dokumentaciji (npr. v člankih centra za pomoč) ali kot je drugače dovoljeno v okviru zakona CCPA, pogodbeni stranki pa se strinjata, da bo stranka Googlu omogočila dostop do takih osebnih podatkov za stranko za te namene;
- (b) Google bo revizorjem omogočil preverjanje Googlove skladnosti z obveznostmi, kot določa ta dodatek 1B v skladu z odstavkom 3.3.3(c) (Strankine pravice glede revizije);
- (c) Google bo stranko obvestil, če bo ugotovil, da ne more več izpolnjevati svojih obveznosti v okviru zakona CCPA;
- (d) če stranka upravičeno meni, da Google obdeluje osebne podatke stranke na nepooblaščen način, ima pravico, da o tem obvesti Google na načine, opisane na spletni strani privacy.google.com/businesses/processorsupport. Stranki bosta v dobri veri sodelovali pri reševanju domnevnih kršitev v zvezi z dejavnostmi obdelovanja podatkov, če bo to potrebno; in
- (e) Google bo upošteval veljavne obveznosti v skladu z zakonom CCPA in zagotavljal enako raven varstva zasebnosti, kot to zahteva zakon CCPA.
6. Spremembe tega dodatka 1B.
Poleg razdelka 7 v pogojih za upravljavce (Spremembe teh pogojev za upravljavce), kot je ustrezno, lahko Google brez obvestila spremeni ta dodatek 1B, če sprememba (a) temelji na veljavni zakonodaji, veljavnem predpisu, odločbi sodišča ali navodilih, ki jih je izdal vladni regulativni organ oziroma agencija, ali (b) nima pomembnega negativnega vpliva na stranko v skladu z veljavnimi zakoni o varstvu zasebnosti na ravni zveznih držav v Združenih državah, kot je razumno določil Google.
7. Vsebina in podrobnosti obdelave podatkov v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah
Googlovo zagotavljanje storitev omejene obdelave podatkov in kakršne koli povezane tehnične podpore za stranko.
Trajanje obdelave
Obdobje veljavnosti skupaj z obdobjem od poteka obdobja veljavnosti do izbrisa vseh osebnih podatkov za stranko s strani Googla skladno z dodatkom 1B.
Narava in namen obdelave
Google bo obdelal (vključno z zbiranjem, beleženjem, organiziranjem, strukturiranjem, shranjevanjem, spreminjanjem, pridobivanjem, uporabo, razkritjem, združevanjem, izbrisom ter uničenjem, kot je ustrezno za storitve omejene obdelave podatkov in navodila) osebne podatke za stranko za namene zagotavljanja storitev omejene obdelave podatkov ter kakršne koli povezane tehnične podpore za stranko skladno z dodatkom 1B ali kot drugače dovolijo obdelovalci v okviru zakonov o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
Vrste osebnih podatkov
Osebni podatki za stranko lahko vključujejo vrste osebnih podatkov, ki so opisane v zakonih o varstvu zasebnosti na ravni zveznih držav v Združenih državah.
Kategorije posameznikov, na katere se nanašajo osebni podatki
Osebni podatki za stranko se nanašajo na naslednje kategorije posameznikov, na katere se nanašajo osebni podatki:
- posamezniki, na katere se nanašajo osebni podatki, o katerih Google zbira osebne podatke pri zagotavljanju storitev omejene obdelave podatkov; in/ali
- posamezniki, na katere se nanašajo osebni podatki, katerih osebni podatki se prenesejo Googlu v zvezi s storitvami omejene obdelave podatkov s strani stranke, po navodilu stranke ali v imenu stranke.
Odvisno od narave storitev omejene obdelave podatkov lahko ti posamezniki, na katere se nanašajo osebni podatki, vključujejo posameznike: (a) na katere je bilo (ali bo) usmerjeno spletno oglaševanje; (b) ki so obiskali določena spletna mesta ali aplikacije, v zvezi s katerimi Google zagotavlja storitve omejene obdelave podatkov; in/ali (c) ki so stranke ali uporabniki strankinih izdelkov ali storitev.
Googlovi pogoji glede varstva podatkov med upravljavci za meritve, različica 4.0
Prejšnje različice
