Mätningstjänstkunden som accepterar dessa villkor (”Kunden”) har ingått ett avtal med antingen Google eller en tredje parts återförsäljare (enligt vad som är tillämpligt) för tillhandahållandet av Mätningstjänsterna (vilket kan ändras från tid till annan, ”Avtalet”), och Kunden har aktiverat Inställningen för datadelning i tjänsternas användargränssnitt.
Både Google och Kunden accepterar dessa Dataskyddsvillkor mellan personuppgiftsansvariga för Googles mätningstjänster (”Villkor för personuppgiftsansvariga”). När Avtalet upprättas mellan Kunden och Google kompletteras Avtalet av dessa Villkor för personuppgiftsansvariga. När Avtalet upprättas mellan Kunden och en tredje parts återförsäljare utgör dessa Villkor för personuppgiftsansvariga ett separat avtal mellan Google och Kunden.
För att undvika tvivel styrs tillhandahållandet av mätningstjänsterna av Avtalet. Dessa Villkor för personuppgiftsansvariga beskriver dataskyddsvillkoren endast för Inställningen för datadelning och gäller inte tillhandahållandet av mätningstjänster i övrigt.
I enlighet med avsnitt 6.2 (Ingen effekt på Villkor för personuppgiftsbiträden) träder dessa Villkor för personuppgiftsansvariga i kraft och ersätter tidigare tillämpliga villkor från Villkorens Startdatum.
Om du accepterar dessa Villkor för personuppgiftsansvariga för Kundens räkning intygar du att (a) du har fullständig juridisk befogenhet att binda Kunden till dessa Villkor för personuppgiftsansvariga, (b) du har läst och förstått dessa Villkor för personuppgiftsansvariga och (c) du accepterar, för Kundens räkning, dessa Villkor för personuppgiftsansvariga. Om du inte har den juridiska befogenhet som krävs för att binda Kunden till villkoren ska du inte acceptera dessa Villkor för personuppgiftsansvariga.
Acceptera inte dessa Villkor för personuppgiftsansvariga om du är återförsäljare. Villkoren för personuppgiftsansvariga anger de rättigheter och skyldigheter som gäller mellan användare av Mätningstjänsterna och Google.
1. Inledning
Dessa Villkor för personuppgiftsansvariga beskriver parternas avtal gällande behandling av Personuppgifter hos Personuppgiftsansvarig, enligt Inställningen för datadelning.
2. Definitioner och tolkning
2.1
Här beskrivs hur vissa termer används i dessa Villkor för personuppgiftsansvariga:
”Ytterligare villkor” avser de ytterligare villkor som hänvisas till i Bilaga 1 och som definierar parternas överenskommelse kring de villkor som styr behandling av Personuppgifter hos Personuppgiftsansvarig i samband med viss tillämplig dataskyddslagstiftning.
”Närstående bolag” avser ett rättssubjekt som direkt eller indirekt kontrollerar, kontrolleras av eller omfattas av en parts allmänna kontroll.
”Tillämplig dataskyddslagstiftning” avser, enligt vad som är tillämpligt i samband med behandling av Personuppgifter hos Personuppgiftsansvarig, lagar eller förordningar gällande integritet, datasäkerhet eller dataskydd på nationell, federal, delstatlig eller provinsiell nivå, EU-nivå eller annan nivå, inräknat europeiska dataskyddsförordningen, LGPD och amerikanska delstaters integritetslagstiftning.
”Konfidentiell information” avser dessa Villkor för personuppgiftsansvariga.
”Registrerad hos Personuppgiftsansvarig” avser en Registrerad vars Personuppgifter finns hos Personuppgiftsansvarig.
”Personuppgifter hos Personuppgiftsansvarig” avser personuppgifter som behandlas av en part i enlighet med Inställningen för datadelning.
”Inställningen för datadelning” avser den inställning för datadelning som Kunden har aktiverat via användargränssnittet i Mätningstjänsterna och som gör det möjligt för Google och dess Närstående bolag att använda personuppgifter för att förbättra Googles och dess Närstående bolags produkter och tjänster.
”Slutgiltigt personuppgiftsansvarig” avser, för varje part, den slutgiltigt personuppgiftsansvariga för Personuppgifter hos Personuppgiftsansvarig.
”GDPR (EU)” avser Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt upphävande av direktiv 95/46/EG.
”Europeiska dataskyddsförordningen” avser, i tillämpliga fall (a) GDPR och/eller (b) schweiziska FDPA.
”GDPR” avser, i tillämpliga fall: (a) GDPR (EU) och/eller (b) GDPR (Förenade kungariket).
”Google” avser
- (a) där ett Google-bolag är part i Avtalet: det Google-bolaget
- (b) där Avtalet upprättas mellan Kunden och tredje parts återförsäljare och
- (i) denna tredje parts återförsäljare är verksam i Nordamerika eller en annan region utanför Europa, Mellanöstern, Afrika, Asien och Oceanien: Google LLC (tidigare Google Inc.)
- (ii) denna tredje parts återförsäljare är verksam i Europa, Mellanöstern eller Afrika: Google Ireland Limited
- (iii) denna återförsäljare är organiserad i Asien och Oceanien, Google Asia Pacific Pte. Ltd.
”Google-bolag” avser Google LLC, Google Ireland Limited eller ett annat Närstående bolag som tillhör Google LLC.
”LGPD” avser den brasilianska allmänna dataskyddslagen (Lei Geral de Proteção de Dados Pessoais).
”Mätningstjänster” avser Google Analytics, Google Analytics 360, Google Analytics för Firebase, Google Optimize och Google Optimize 360, enligt Inställningarna för datadelning för vilka parterna godkände dessa Villkor för personuppgiftsansvariga.
”Policyer” avser Googles policy för slutanvändares medgivande som finns på https://www.google.com/about/company/user-consent-policy.html.
”Villkor för personuppgiftsbiträde” avser
- (a) där Google är part i Avtalet: de villkor för personuppgiftsbiträde som definieras på https://business.safety.google/adsprocessorterms
- (b) där Avtalet upprättas mellan Kunden och tredje parts återförsäljare: ingående villkor definierar en eventuell relation mellan personuppgiftsansvarig och personuppgiftsbiträde enligt avtal mellan Kunden och tredje parts återförsäljare.
”Schweiziska FDPA” avser den schweiziska federala dataskyddslagen från den 19 juni 1992.
”Villkorens startdatum” avser det datum då Kunden klickade för att godta dessa Villkor för personuppgiftsansvariga eller då parterna på annat sätt samtyckte till dessa.
”Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket” avser Personuppgifter hos Personuppgiftsansvarig för Registrerade hos Personuppgiftsansvarig i Förenade kungariket.
”GDPR (Förenade kungariket)” avser den modifierade version av GDPR (EU) som har införlivats i brittisk lagstiftning i enlighet med Förenade kungarikets European Union (Withdrawal) Act från 2018 och tillämplig sekundär lagstiftning under denna lag.
”Integritetslagar i amerikanska delstater” har den innebörd som finns här.
2.2
Termerna ”personuppgiftsansvarig”, ”registrerad”, ”personuppgifter”, ”behandling” och ”personuppgiftsbiträde” som används i dessa Villkor för personuppgiftsansvariga har den innebörd som anges i (a) Tillämplig dataskyddslagstiftning eller (b) i avsaknad av sådan innebörd eller lag, GDPR.
2.3
Eventuella exempel i dessa Villkor för personuppgiftsansvariga tjänar enbart som illustration och är inte de enda exemplen på ett specifikt begrepp.
2.4
Eventuella hänvisningar till juridiska ramverk, lagstiftningar eller andra lagbestämmelser är en hänvisning till dessa, även såsom reviderade eller återantagna från tid till annan.
2.5
Om någon översatt version av detta Avtal inte stämmer överens med den engelska versionen ska den engelska versionen gälla.
2.6
Hänvisningar i standardavtalsklausuler för personuppgiftsansvariga till ”Google Ads dataskyddsvillkor mellan personuppgiftsansvariga” ska tolkas som ”Dataskyddsvillkor mellan personuppgiftsansvariga för Googles mätningstjänster”.
3. Tillämpning av dessa Villkor för personuppgiftsansvariga
3.1 Allmänt
Dessa Villkor för personuppgiftsansvariga gäller endast Inställningen för datadelning för vilka parterna godkände dessa Villkor för personuppgiftsansvariga (till exempel Inställningen för datadelning där kunden klickade för att godkänna dessa Villkor för personuppgiftsansvariga).
3.2 Längd
Dessa Villkor för personuppgiftsansvariga gäller från Avtalets Startdatum och förblir i kraft så länge Google eller Kunden behandlar Personuppgifter hos Personuppgiftsansvarig, varefter villkoren automatiskt löper ut.
4. Roller och begränsningar för behandling
4.1 Oberoende personuppgiftsansvariga
I enlighet med avsnitt 4.4 (Slutgiltigt personuppgiftsansvariga) gäller att varje part
- (a) är en oberoende personuppgiftsansvarig för Personuppgifter hos Personuppgiftsansvarig
- (b) enskilt fastställer syftet med och metoden för sin behandling av Personuppgifter hos Personuppgiftsansvarig
- (c) måste fullgöra partens förbindelser enligt Tillämplig dataskyddslagstiftning avseende behandling av Personuppgifter hos Personuppgiftsansvarig.
4.2 Begränsningar av behandling
Avsnitt 4.1 (Oberoende personuppgiftsansvariga) påverkar inte några begränsningar av parternas rätt att använda eller på annat sätt behandla Personuppgifter hos Personuppgiftsansvarig under Avtalet.
4.3 Slutanvändarens medgivande
Kunden ska följa Policyerna gällande Personuppgifter hos Personuppgiftsansvarig som har lämnats ut i enlighet med Inställningen för datadelning och har alltid bevisbördan för denna efterlevnad.
4.4 Slutgiltigt personuppgiftsansvariga
Utan att reducera parternas förbindelser enligt dessa Villkor för personuppgiftsansvariga bekräftar varje part att (a) den andra partens Närstående bolag eller kunder kan vara Slutgiltigt personuppgiftsansvariga och att (b) den andra parten kan fungera som personuppgiftsbiträde å dess Slutgiltigt personuppgiftsansvarigas vägnar. Varje part ska säkerställa att dess Slutgiltigt personuppgiftsansvariga följer Villkoren för personuppgiftsansvariga.
4.5 Insyn och öppenhet
Kunden intygar att Google har publicerat upplysningar om hur Google använder information från webbplatser, appar eller andra egendomar som använder dess tjänster på https://business.safety.google/privacy/. Utan påverkan på Kundens förbindelser enligt Avsnitt 4.1(c) får Kunden länka till den sidan för att förse Registrerade hos Personuppgiftsansvarig med information om Googles behandling av Personuppgifter hos Personuppgiftsansvariga.
5. Ansvarsskyldighet
5.1
Om Google
- (a) är part i Avtalet och Avtalet regleras av lagarna i
- (i) en delstat i USA gäller, oaktat allt annat i Avtalet, att endera parts totala ansvar gentemot den andra parten under eller i samband med dessa Villkor för personuppgiftsansvariga begränsas till det högsta belopp, i pengar eller betalningsbaserat, som denna parts ansvar är begränsat till under Avtalet (vilket medför att inga undantag medges från gottgörelseanspråk från Avtalets ansvarsbegränsning för gottgörelseanspråk under Avtalet gällande Tillämplig dataskyddslagstiftning)
- (ii) ett rättskipningsområde som inte är en delstat i Amerikas Förenta Stater gäller att parternas ansvar under eller i samband med dessa Villkor för personuppgiftsansvariga omfattas av undantagen och ansvarsbegränsningarna i Avtalet eller
- (b) inte är part i Avtalet, i den utsträckning det är tillåtet enligt tillämplig lag, ska Google inte hållas ansvarigt för Kundens förlorade intäkter eller indirekta skador, särskilda skador, oförutsedda skador, följdskador, straffskadestånd eller skadestånd i avskräckande syfte, även om Google eller dess Närstående bolag har blivit meddelade om, kände till eller borde ha känt till att sådana skador inte utgör en godtagbar gottgörelse. Googles (och dess Närstående bolags) totala sammantagna ansvar gentemot Kunden eller någon annan part för eventuella förluster eller skador som orsakas av anspråk, ansvarsskyldighet eller processer som är en följd av eller kopplade till dessa Villkor för personuppgiftsansvariga ska inte överskrida 500 USD.
6. Effekt av Villkor för personuppgiftsansvariga
6.1 Prioritetsordning
I händelse av konflikt eller motstridighet mellan Ytterligare villkor, resterande del av dessa Villkor för personuppgiftsansvariga och/eller resterande del av Avtalet gäller följande prioritetsordning i enlighet med avsnitt 4.2 (Begränsningar för behandling) och 6.2 (Ingen effekt på Villkor för personuppgiftsbiträden): (a) Ytterligare villkor (i tillämpliga fall), (b) resterande del av dessa Villkor för personuppgiftsansvariga och (c) resterande del av Avtalet. Med förbehåll för tillägg till dessa Villkor för personuppgiftsansvariga fortsätter Avtalet mellan Google och Kunden att gälla i full kraft.
6.2 Ingen effekt på Villkor för personuppgiftsbiträden
Dessa Villkor för personuppgiftsansvariga ersätter inte eller påverkar inte Villkoren för personuppgiftsbiträden. För att undvika tvivel gäller att om Kunden är part i Villkoren för personuppgiftsbiträden i samband med Mätningstjänsterna fortsätter Villkoren för personuppgiftsbiträden att gälla för Mätningstjänsterna trots att dessa Villkor för personuppgiftsansvariga gäller för Personuppgifter hos Personuppgiftsansvarig och som behandlas i enlighet med Inställningen för datadelning.
7. Ändringar i dessa Villkor för personuppgiftsansvariga
7.1 Ändringar i Villkor för personuppgiftsansvariga
Google får göra ändringar i dessa Villkor för personuppgiftsansvariga när sådana ändringar
- (a) återspeglar en ändring av namnet eller formen hos en juridisk person
- (b) krävs för att iaktta tillämplig lagstiftning, tillämpliga förordningar, domstolsbeslut eller anvisningar från statligt regleringsorgan eller återspeglar Googles användning av en Alternativ överföringslösning (enligt definitionen i Bilaga 1A)
- (c) beskrivs i Avsnitt 7.2 (Ändringar av webbadresser) eller
- (d) inte (i) på annat sätt avser att ändra kategoriseringen av parterna som personuppgiftsansvariga för Personuppgifter hos Personuppgiftsansvariga enligt Tillämplig dataskyddslagstiftning, (ii) utökar omfattningen för eller tar bort begränsningar av någon av parternas rätt att använda eller på annat sätt behandla Personuppgifter hos Personuppgiftsansvarig, eller (iii) väsentligt påverkar Kundens rättigheter negativt, enligt Googles rimliga uppfattning.
7.2 Ändringar i webbadresser
Google kan från tid till annan ändra de webbadresser som refereras i dessa Villkor för personuppgiftsansvariga samt innehållet på dessa webbadresser.
7.3 Avisering om ändringar
Om Google har för avsikt att ändra dessa Villkor för personuppgiftsansvariga enligt avsnitt 7.1(b) och sådan ändring väsentligt påverkar Kunden negativt, enligt Googles rimliga uppfattning, ska Google vidta kommersiellt rimliga åtgärder för att informera Kunden minst 30 dagar (eller en kortare tid om detta krävs för att iaktta tillämplig lagstiftning och förordning, domstolsbeslut eller anvisningar från statligt regleringsorgan) innan ändringen träder i kraft. Om Kunden har invändningar till sådan ändring kan Kunden inaktivera inställningen för datadelning.
8. Ytterligare bestämmelser
8.1
Detta avsnitt 8 (Ytterligare bestämmelser) gäller endast när Google inte är part i Avtalet.
8.2
Varje part ska iaktta sina förbindelser enligt dessa Villkor för personuppgiftsansvariga med rimlig expertis och omsorg.
8.3
Ingen av parterna ska använda eller lämna ut den andra partens Konfidentiella information utan den andra partens föregående skriftliga samtycke, förutom i syfte att utöva sina rättigheter eller fullfölja sina förbindelser enligt dessa Villkor för personuppgiftsansvariga eller om detta krävs enligt lag, förordning eller domstolsbeslut, då parten som måste lämna ut den Konfidentiella informationen ska meddela den andra parten i den utsträckning som skäligen är möjlig innan den Konfidentiella informationen lämnas ut.
8.4
I den utsträckning detta är tillåtet enligt gällande lag, och i tillägg till vad uttryckligen anges i dessa Villkor för personuppgiftsansvariga, lämnar Google ingen annan form av garanti, varken uttrycklig, underförstådd, lagstiftad eller annat, inklusive men inte begränsat till garantier avseende säljbarhet, lämplighet för ett visst ändamål och frånvaro av intrång.
8.5
Ingen av parterna hålls ansvarig för fel eller förseningar i utförandet som orsakats av omständigheter som ligger utanför parternas rimliga kontroll.
8.6
Om något villkor (eller del av villkor) i dessa Villkor för personuppgiftsansvariga är ogiltigt, olagligt eller icke verkställbart förblir resterande delar av dessa Villkor för personuppgiftsansvariga att vara i kraft.
8.7
(a) Med undantag för vad som anges i avsnitt (b) nedan ska dessa Villkor för personuppgiftsansvariga styras av och tolkas enligt lagarna i delstaten Kalifornien utan hänsyn till Kaliforniens lagkonfliktbestämmelser. Om det uppstår konflikter mellan utländska lagar, regler och förordningar och Kaliforniens lagar, regler och förordningar ska Kaliforniens lagar, regler och förordningar ha företräde. Parterna samtycker till att omfattas av den exklusiva och personliga jurisdiktionen i domstolen i Santa Clara County, Kalifornien, USA. Förenta nationernas konvention angående avtal om internationella köp av varor och lagen Uniform Computer Information Transactions Act gäller inte dessa Villkor för personuppgiftsansvariga.
(b) När Avtalet upprättas mellan Kunden och en tredje parts återförsäljare och återförsäljaren har sitt säte i Europa, Mellanöstern eller Afrika styrs dessa Villkor för personuppgiftsansvariga av engelsk lag. Parterna samtycker till att omfattas av den exklusiva jurisdiktionen för brittiska domstolar i samband med eventuella tvister (oavsett om de sker inom eller utanför avtalet) som uppstår ur eller i samband med dessa Villkor för personuppgiftsansvariga.
(c) Om standardavtalsklausuler för personuppgiftsansvariga gäller och tillhandahåller tillämplig lagstiftning som skiljer sig från lagarna i avsnitt (a) och (b) ovan gäller den tillämpliga lagstiftning som anges i standardavtalsklausuler för personuppgiftsansvariga endast dessa standardavtalsklausuler.
(d) Förenta nationernas konvention angående avtal om internationella köp av varor och lagen Uniform Computer Information Transactions Act gäller inte dessa Villkor för personuppgiftsansvariga.
8.8
Alla meddelanden om uppsägning eller avtalsbrott måste ske skriftligen på engelska och adresseras till den andra partens juridiska avdelning. Adressen för meddelanden till Googles juridiska avdelning är legal-notices@google.com. Alla meddelanden betraktas som delgivna när de har verifierats genom skriftligt eller automatiskt kvitto eller elektronisk logg (där det är tillämpligt).
8.9
Ingen part ska anses ha avstått från några rättigheter genom att inte utöva (eller dröja med utövandet av) eventuella rättigheter enligt dessa Villkor för personuppgiftsansvariga. Ingen part får överlåta dessa Villkor för personuppgiftsansvariga utan skriftligt godkännande från den andra parten, förutom till ett Närstående bolag, men enbart om: (a) rättsinnehavaren skriftligen har godkänt att omfattas av dessa Villkor för personuppgiftsansvariga och (b) den överlåtande parten förblir ansvarig för skyldigheter enligt dessa Villkor för personuppgiftsansvariga; (c) ifall det gäller Kunden, den överlåtande parten har överfört sitt konto/sina konton för Mätningstjänster till rättsinnehavaren; och (d) den tilldelade parten har informerat den andra parten om överlåtelsen. Alla andra försök till överlåtelse är ogiltiga.
8.10
Parterna är oberoende underleverantörer. Dessa Villkor för personuppgiftsansvariga utgör inget agentavtal, partnerskap eller samriskföretag mellan parterna. Dessa Villkor för personuppgiftsansvariga överlåter inga förmåner till tredje part om detta inte uttryckligen anges.
8.11
I den utsträckning det är tillåtet enligt tillämplig lag anger dessa Villkor för personuppgiftsansvariga alla villkor som parterna har kommit överens om. När parterna ingår dessa Villkor för personuppgiftsansvariga har ingen part förlitat sig på, och ingen part får någon rättighet eller gottgörelse baserat på, något uttalande, någon information eller garanti (oavsett om de uppges på grund av försumlighet eller är harmlöst), förutom sådana som uttryckligen uppges i dessa Villkor för personuppgiftsansvariga.
Bilaga 1: Ytterligare villkor för Tillämplig dataskyddslagstiftning
DEL A – YTTERLIGARE VILLKOR FÖR EUROPEISKA DATASKYDDSFÖRORDNINGEN
1. Inledning
Denna Bilaga 1A tillämpas endast i den utsträckning som europeiska dataskyddsförordningen gäller behandling av Personuppgifter hos Personuppgiftsansvarig.
2. Definitioner
2.1 I denna Bilaga 1A gäller följande:
”Land med tillräckligt dataskydd” avser:
- (a) för databehandling som omfattas av GDPR (EU): EES eller ett land eller territorium som anses säkerställa adekvat dataskydd enligt GDPR (EU)
- (b) för databehandling som omfattas av GDPR (Förenade kungariket): Förenade kungariket eller ett land eller territorium som anses säkerställa adekvat skydd enligt GDPR (Förenade kungariket) och Data Protection Act 2018
- (c) för databehandling som omfattas av schweiziska FDPA: Schweiz eller ett land eller territorium som (i) finns med på listan över delstater vars lagstiftning säkerställer adekvat skydd enligt definitionen i schweiziska Federal Data Protection and Information Commissioner eller (ii) av det schweiziska förbundsrådet under schweiziska FDPA definieras som ett land/territorium som säkerställer adekvat skydd, annat än på grundval av ett frivilligt ramverk för dataskydd.
”Alternativ överföringslösning” avser en annan lösning än Standardavtalsklausuler för personuppgiftsansvariga som möjliggör laglig överföring av personuppgifter till tredje land i enlighet med europeiska dataskyddsförordningen, till exempel ett ramverk för dataskydd som säkerställer att deltagande rättssubjekt tillhandahåller adekvat skydd.
“Standardavtalsklausuler för personuppgiftsansvariga” avser villkoren på business.safety.google/adscontrollerterms/sccs/c2c.
EES avser det Europeiska ekonomiska samarbetsområdet.
”Personuppgifter hos europeisk Personuppgiftsansvarig” avser Personuppgifter hos Personuppgiftsansvarig för Registrerade i EES eller Schweiz.
”Europeisk lagstiftning” avser, i tillämpliga fall: (a) lagstiftning som tillämpas i EU eller i något av EU:s medlemsländer (om GDPR (EU) tillämpas på behandling av Personuppgifter hos Personuppgiftsansvarig) och (b) lagstiftning som tillämpas i Förenade kungariket eller en del av Förenade kungariket (om GDPR (Förenade kungariket) tillämpas på behandling av Personuppgifter hos Personuppgiftsansvarig) samt (c) lagstiftning som tillämpas i Schweiz (om schweiziska FDPA tillämpas på behandling av Personuppgifter hos Personuppgiftsansvarig).
”Googles slutgiltigt personuppgiftsansvariga” avser Slutgiltigt personuppgiftsansvariga för Personuppgifter hos Personuppgiftsansvarig som behandlas av Google.
”Tillåtna överföringar i Europa” avser behandling av Personuppgifter hos Personuppgiftsansvarig i ett Land med tillräckligt dataskydd, eller överföring av Personuppgifter hos Personuppgiftsansvarig till ett Land med tillräckligt dataskydd.
”Begränsade överföringar i Europa” avser överföringar av Personuppgifter hos Personuppgiftsansvarig som (a) omfattas av europeiska dataskyddsförordningen och (b) inte är Tillåtna överföringar i Europa.
”Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket” avser Personuppgifter hos Personuppgiftsansvarig för Registrerade hos Personuppgiftsansvarig i Förenade kungariket.
2.2 Termerna ”dataimportör” och ”dataexportör” har den innebörd som anges i Standardavtalsklausuler för personuppgiftsansvariga.
3. Googles slutgiltigt personuppgiftsansvariga
Googles Slutgiltigt personuppgiftsansvariga är (i) Google Ireland Limited för personuppgifter hos europeisk personuppgiftsansvarig som behandlas av Google och (ii) Google LLC för personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket av Google. Varje part ska säkerställa att dess Slutgiltiga personuppgiftsansvariga följer Standardavtalsklausuler för personuppgiftsansvariga i tillämpliga fall.
4. Dataöverföringar
4.1 Begränsade överföringar i Europa. Endera part kan göra Begränsade överföringar i Europa om de uppfyller villkoren för Begränsade överföringar i Europa i europeiska dataskyddsförordningen.
4.2 Alternativ överföringslösning.
- (a) Om Google tillämpar en Alternativ överföringslösning för Begränsade överföringar i Europa gäller följande: (i) Google säkerställer att sådana Begränsade överföringar i Europa sker i enlighet med den Alternativa överföringslösningen och (ii) sådana Begränsade överföringar i Europa omfattas inte av avsnitt 5 (Standardavtalsklausuler för personuppgiftsansvariga) i denna Bilaga 1A.
- (b) Om Google inte har antagit, eller informerar Kunden om att Google inte längre antar, en Alternativ överföringslösning för Begränsade överföringar i Europa omfattas sådana Begränsade överföringar i Europa av avsnitt 5 (Standardavtalsklausuler för personuppgiftsansvariga) i denna Bilaga 1A.
4.3 Framåtblickande bestämmelser avseende överföringar.
- (a) Tillämpning av paragraf 4.3. Paragraf 4.3(b) (Användning av Personuppgifter hos Dataleverantör) och 4.3(c) (Skydd av Personuppgifter hos Personuppgiftsansvarig) i denna Bilaga 1A tillämpas endast i den utsträckning
- (i) en part (”Datamottagaren”) behandlar Personuppgifter hos Personuppgiftsansvarig som görs tillgängliga av den andra parten (”Dataleverantören”) under Avtalet (till exempel Personuppgifter hos Personuppgiftsansvarig, ”Personuppgifter hos Dataleverantör”)
- (ii) Dataleverantören eller dess Närstående bolag har certifierats för en Alternativ överföringslösning och
- (iii) Dataleverantören skriftligen informerar Datamottagaren om en sådan certifiering för Alternativ överföringslösning.
- (b) Användning av Personuppgifter hos Dataleverantör.
- (i) I den utsträckning en tillämplig Alternativ överföringslösning innefattar en framåtblickande överföringsprincip gäller i enlighet med denna princip att Datamottagaren endast får använda Personuppgifter hos Dataleverantör på ett sätt som överensstämmer med det samtycke som har beviljats av relevanta Registrerade hos Personuppgiftsansvarig.
- (ii) I den utsträckning Dataleverantören underlåter att inhämta samtycke från relevanta Registrerade hos Personuppgiftsansvarig enligt Avtalet ska Datamottagaren inte bedömas överträda paragraf 4.3(b)(i) om Datamottagaren använder Personuppgifter hos Dataleverantör med nödvändigt samtycke.
- (c) Skydd av Personuppgifter hos Dataleverantör.
- (i) Datamottagaren måste tillhandahålla en skyddsnivå för Personuppgifter hos Dataleverantör som minst motsvarar den som krävs enligt tillämplig Alternativ överföringslösning.
- (ii) Om Datamottagaren fastställer att den inte kan uppfylla kraven i paragraf 4.3(c)(i) måste den (A) meddela Dataleverantören skriftligen och (B) antingen upphöra att behandla Personuppgifterna hos Dataleverantör eller vidta rimliga och lämpliga åtgärder för att åtgärda sådan bristande efterlevnad.
- (d) Användning av och certifiering för Alternativ överföringslösning. Information om Google och/eller dess Närstående bolags användning av eller certifiering för Alternativa överföringslösningar finns på https://policies.google.com/privacy/frameworks. Denna paragraf 4.3(d) utgör ett skriftligt tillkännagivande av Googles och/eller dess Närstående bolags befintliga certifieringar vid Avtalets Startdatum för genomdrivande av paragraf 4.3(a)(iii).
5. Standardavtalsklausuler för personuppgiftsansvariga
5.1 Överföringar av Personuppgifter hos europeisk Personuppgiftsansvarig till Kunden. I den utsträckning
- (a) Google överför Personuppgifter hos europeisk Personuppgiftsansvarig till Kunden och
- (b) överföringen är en Begränsad överföring i Europa betraktas Kunden som dataimportör ha inträtt Standardavtalsklausuler för personuppgiftsansvariga med Google Ireland Limited (Googles slutgiltigt personuppgiftsansvariga) som dataexportör. Överföringarna omfattas av Standardavtalsklausulerna för personuppgiftsansvariga.
5.2 Överföringar av Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket till Kunden. I den utsträckning
- (a) Google överför Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket till Kunden och
- (b) överföringen är en Begränsad överföring i Europa betraktas Kunden som dataimportör ha inträtt Standardavtalsklausuler för personuppgiftsansvariga med Google LLC (Googles slutgiltigt personuppgiftsansvariga) som dataexportör. Överföringarna omfattas av Standardavtalsklausuler för personuppgiftsansvariga.
5.3 Överföringar av Personuppgifter hos europeisk Personuppgiftsansvarig till Google. Parterna erkänner att i den utsträckning Kunden överför Personuppgifter hos europeisk Personuppgiftsansvarig till Google krävs inte Standardavtalsklausuler för personuppgiftsansvariga, eftersom adressen Google Ireland Limited (Googles slutgiltigt personuppgiftsansvariga) finns i ett Land med tillräckligt dataskydd och sådana överföringar är Tillåtna överföringar i Europa. Detta påverkar inte Googles förbindelser enligt paragraf 4.1 (Begränsade överföringar i Europa) i denna Bilaga 1A.
5.4 Överföringar av Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket till Google. I den utsträckning Kunden överför Personuppgifter som behandlas av en personuppgiftsansvarig i Förenade kungariket till Google, betraktas Kunden som dataexportör ha inträtt Standardavtalsklausuler för personuppgiftsansvariga med Google LLC (Googles slutgiltigt personuppgiftsansvariga) som dataimportör. Överföringarna omfattas av Standardavtalsklausuler för personuppgiftsansvariga eftersom adressen till Google LLC inte finns i ett Land med tillräckligt dataskydd.
5.5 Kontakta Google, kundinformation.
- (a) Kunden kan kontakta Google Ireland Limited och/eller Google LLC i samband med standardavtalsklausulerna för personuppgiftsansvariga på https://support.google.com/policies/troubleshooter/9009584 eller med andra metoder som tillhandahålls av Google från tid till annan.
- (b) Kunden bekräftar att Google enligt Standardavtalsklausuler för personuppgiftsansvariga är skyldigt att registrera viss information, inklusive (i) dataimportörens identitet och kontaktuppgifter (inräknat eventuella kontaktpersoner ansvariga för dataskydd) och (ii) de tekniska och organisatoriska åtgärder som har implementerats av dataimportören. Kunden ska, när detta begärs och enligt vad som är tillämpligt för Kunden, tillhandahålla sådan information till Google enligt de metoder som tillhandahålls av Google och säkerställer att all information som tillhandahålls är korrekt och aktuell.
5.6 Svara på förfrågningar från Registrerade. Tillämplig dataimportör ansvarar för att svara på förfrågningar från Registrerade och tillsynsmyndigheter gällande dataimportörens behandling av tillämpliga Personuppgifter hos Personuppgiftsansvarig.
5.7 Radering av data vid uppsägning. I den utsträckning
- (a) Google LLC fungerar som dataimportör och Kunden fungerar som dataexportör enligt standardavtalsklausulerna för personuppgiftsansvariga och
- (b) Kunden säger upp Avtalet i enlighet med klausul 16(c) i standardavtalsklausulerna för personuppgiftsansvariga, och Kunden enligt klausul 16(d) i standardavtalsklausulerna för personuppgiftsansvariga uppmanar Google att radera personuppgifter hos personuppgiftsansvarig, och såvida inte europeisk lagstiftning kräver lagring, ska Google underlätta sådan radering i den mån detta är rimligt (med beaktande av att Google är en oberoende personuppgiftsansvarig för sådan data samt av arten och funktionaliteten hos mättjänsten).
6. Ansvarsskyldighet om Standardavtalsklausuler för personuppgiftsansvariga gäller.
Om Standardavtalsklausuler för personuppgiftsansvariga gäller enligt paragraf 5 (Standardavtalsklausuler för personuppgiftsansvariga) i denna Bilaga 1A ska den totala kombinerade ansvarsskyldigheten för
- (a) Google, Google LLC och Google Ireland Limited gentemot Kunden och
- (b) Kunden gentemot Google, Google LLC och Google Ireland Limited, enligt eller i samband med Avtalet och Standardavtalsklausuler för personuppgiftsansvariga, omfattas av avsnitt 5 (Ansvarsskyldighet). Klausul 12 i standardavtalsklausulerna för personuppgiftsansvariga har ingen inverkan på föregående mening.
7. Utomstående förmånstagare
I de fall då Google LLC och/eller Google Ireland Limited inte är part i Avtalet men är part i tillämpliga Standardavtalsklausuler för personuppgiftsansvariga i enlighet med paragraf 5 (Standardavtalsklausuler för personuppgiftsansvariga) i denna Bilaga 1A blir Google LLC och/eller Google Ireland Limited (i tillämpliga fall) utomstående förmånstagare gällande avsnitt 4.4 (Slutgiltigt personuppgiftsansvariga), paragraf 3 (Googles slutgiltigt personuppgiftsansvariga), 5 (Standardavtalsklausuler för personuppgiftsansvariga) och 6 (Ansvarsskyldighet om Standardavtalsklausuler för personuppgiftsansvariga gäller) i denna Bilaga 1A. I den utsträckning denna paragraf 7 (Utomstående förmånstagare) står i konflikt med eller strider mot andra klausuler i Avtalet ska denna paragraf 7 (Utomstående förmånstagare) gälla.
8. Företräde
8.1 I händelse av konflikt eller motsättning mellan Standardavtalsklausuler för personuppgiftsansvariga, denna Bilaga 1A, resten av dessa Villkor för personuppgiftsansvariga och/eller resten av Avtalet ska Standardavtalsklausuler för personuppgiftsansvariga ha företräde.
8.2 Ytterligare kommersiella klausuler. Med förbehåll för tillägg till dessa Villkor för personuppgiftsansvariga fortsätter Avtalet att gälla i full kraft. Paragraf 5.5 (Kontakta Google) till 5.7 (Radering av data vid uppsägning) och paragraf 6 (Ansvarsskyldighet om Standardavtalsklausuler för personuppgiftsansvariga gäller) i denna Bilaga 1A utgör ytterligare kommersiella klausuler avseende Standardavtalsklausuler för personuppgiftsansvariga i den mån de är tillåtna enligt klausul 2(a) (Klausulernas effekt och beständighet) i Standardavtalsklausuler för personuppgiftsansvariga.
8.3 Ingen modifiering av standardavtalsklausuler för personuppgiftsansvariga. Ingen del av Avtalet (inklusive dessa Villkor för personuppgiftsansvariga) är avsedd att modifiera eller strida mot standardavtalsklausuler för personuppgiftsansvariga eller påverka de Registrerades grundläggande rättigheter eller friheter i enlighet med europeiska dataskyddsförordningen.
DEL B – YTTERLIGARE VILLKOR AVSEENDE AMERIKANSKA DELSTATERS INTEGRITETSLAGSTIFTNING
1. Inledning
Google kan erbjuda och Kunden kan aktivera vissa inställningar, konfigurationer eller andra funktioner i produkten för Mätningstjänster som rör begränsad databehandling, enligt beskrivningen i tillhörande dokumentation på business.safety.google/rdp som uppdateras från tid till annan (”Begränsad databehandling”). Denna Bilaga 1B beskriver parternas avtal gällande behandling av Kundens personuppgifter och avidentifierade data (enligt nedanstående definition) i enlighet med Avtalet i samband med amerikanska delstaters integritetslagstiftning och endast i den utsträckning respektive delstats integritetslagstiftning gäller.
2. Ytterligare definitioner och tolkning.
I denna Bilaga 1B gäller följande:
- (a) ”Kundens personuppgifter” avser personuppgifter som behandlas av Google för Kundens räkning i samband med Googles tillhandahållande av Mätningstjänster.
- (b) ”Avidentifierad data” avser datainformation som har ”avidentifierats” (enligt definitionen i CCPA) och ”avidentifierad data” (enligt definitionen i andra Amerikanska delstaters integritetslagstiftning) när den yppas av den ena parten till den andra.
- (c) ”Instruktioner” avser Kundens instruktioner till Google att behandla Kundens Personuppgifter endast i enlighet med Amerikanska delstaters integritetslagstiftning (a) för att tillhandahålla BDB-tjänsterna och eventuell relaterad teknisk support, (b) enligt vad som ytterligare specificeras genom Kundens användning av BDB-tjänsterna (inräknat inställningar och annan funktionalitet i sådana BDB-tjänster) och eventuell relaterad teknisk support, (c) enligt vad som definieras av Avtalet, inräknat denna Bilaga 1B, (d) enligt vad som därutöver dokumenteras i eventuella andra skriftliga instruktioner från Kunden och erkänns av Google som instruktioner i syfte att fullgöra denna Bilaga 1B och (e) för att behandla Kundens Personuppgifter enligt vad som är tillåtet i Amerikanska delstaters integritetslagstiftning för tjänsteleverantörer och personuppgiftsbiträden.
- (d) ”BDB-tjänster” avser Personuppgiftsansvarigs tjänster i samband med Begränsad databehandling.
- (e) ”Giltighet” avser perioden från Villkorens Startdatum till slutet av Googles tillhandahållande av Mätningstjänsterna enligt Avtalet.
- (f) termerna ”företag”, ”konsument”, ”personliga uppgifter”, ”försäljning(ar)”, ”sälja”, ”tjänsteleverantör” och ”dela” har i denna Bilaga 1B den innebörd som anges i de amerikanska delstaters integritetslagstiftning.
- (g) Kunden är ensam ansvarig för efterlevnad av respektive amerikanska delstaters integritetslagstiftning vid användning av Googles tjänster, inklusive Begränsad databehandling.
3. Villkor för Amerikanska delstaters integritetslagstiftning (under Begränsad databehandling).
3.1 Databehandling.
3.1.1
- (a) Personuppgiftsbiträdens och Personuppgiftsansvariga skyldigheter. Parterna intygar och samtycker till att
- (i) paragraf 7 (Innehåll och detaljer gällande Databehandling under Amerikanska delstaters integritetslagstiftning) i denna Bilaga 1B beskriver innehållet och detaljerna gällande behandling av Kundens Personuppgifter.
- (ii) Google är tjänsteleverantör och personuppgiftsbiträde för Kundens Personuppgifter under Amerikanska delstaters integritetslagstiftning och
- (iii) Kunden är personuppgiftsansvarig eller personuppgiftsbiträde, beroende på vad som är tillämpligt, för Kundens Personuppgifter under Amerikanska delstaters integritetslagstiftning.
- (b) Kunder som Personuppgiftsbiträden. Om Kunden är personuppgiftsbiträde:
- (i) Kunden intygar löpande att relevant personuppgiftsansvarig har auktoriserat (A) Instruktionerna, (B) Kundens utnämning av Google som annat personuppgiftsbiträde och (C) Googles anlitande av underleverantörer enligt beskrivningen i paragraf 3.6 (Underleverantörer) i denna Bilaga 1B.
- (ii) Kunden kommer omedelbart att vidarebefordra till relevant personuppgiftsansvarig alla meddelanden från Google under paragraf 3.3.2(a) (Incidentavisering) och 3.6 (Underleverantörer).
- (iii) Kunden kan förse relevant personuppgiftsansvarig med all information som tillhandahålls av Google under paragraf 3.3.3(c) (Kundens granskningsrättigheter) och 3.6 (Underleverantörer).
3.1.2 Kundens Instruktioner. Genom att ingå villkoren i denna Bilaga 1B instruerar Kunden Google att behandla Kundens Personuppgifter endast i enlighet med Instruktionerna.
3.1.3 Googles fullgörande av Instruktioner. Google kommer att fullgöra Instruktionerna såvida de inte är förbjudna enligt Amerikanska delstaters integritetslagstiftning.
3.1.4. Tilläggsprodukter. Om Kunden använder en produkt, tjänst eller app som tillhandahålls av Google eller tredje part som (a) inte är en del av BDB-tjänsterna och (b) är tillgänglig för användning i användargränssnittet för BDB-tjänsterna eller på annat sätt integrerad med BDB-tjänsterna (”Ytterligare produkt”) kan BDB-tjänsterna ge denna Ytterligare produkt åtkomst till Kundens Personuppgifter enligt vad som krävs för att denna Ytterligare produkt ska fungera tillsammans med BDB-tjänsterna. För att undvika tvivel gäller denna Bilaga 1B inte behandling av personuppgifter i samband med tillhandahållande av en Ytterligare produkt som används av Kunden, inräknat personuppgifter som överförs till eller från denna Ytterligare produkt.
3.2. Radering av data i samband med Villkorens utgång. Kunden instruerar Google att radera alla Kundens personuppgifter (inräknat befintliga kopior) från Googles system vid Villkorens utgång i enlighet med tillämplig lagstiftning. Google kommer att fullgöra dessa Instruktioner så snart detta är rimligt och praktiskt möjligt och inom en period på högst 180 dagar, såvida inte tillämplig lagstiftning kräver lagring.
3.3. Datasäkerhet.
3.3.1 Googles Säkerhetsåtgärder och assistans.
- (a) Googles Säkerhetsåtgärder. Google kommer att implementera och underhålla tekniska och organisatoriska åtgärder för att skydda Kundens Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust, modifiering, obehörigt yppande eller obehörig åtkomst (”Säkerhetsåtgärder”). Säkerhetsåtgärderna innefattar åtgärder för att (i) kryptera personuppgifter, (ii) bidra till att säkerställa löpande konfidentialitet, integritet, tillgänglighet och resiliens hos Googles system och tjänster, (iii) bidra till att återställa snabb åtkomst till personuppgifter efter en incident och (iv) underlätta regelbunden effektivitetstestning. Google kan uppdatera eller modifiera Säkerhetsåtgärderna från tid till annan förutsatt att sådana uppdateringar och modifieringar inte resulterar i ett försämrat skydd av Kundens Personuppgifter.
- (b) Åtkomst och efterlevnad. Google kommer att säkerställa att alla personer som är behöriga att behandla Kundens Personuppgifter har åtagit sig att sörja för konfidentialitet eller omfattas av lämplig lagstadgad förbindelse till konfidentialitet.
- (c) Googles assistans gällande säkerhet. Google kommer (med hänsyn till arten av behandlingen av Kundens Personuppgifter och den information som är tillgänglig för Google) att assistera Kunden i att fullgöra Kundens (eller, då Kunden är personuppgiftsbiträde, relevant personuppgiftsansvarigs) skyldigheter avseende säkerheten hos personuppgifter och intrång i personuppgifter, inräknat Kundens (eller, då Kunden är personuppgiftsbiträde, relevant personuppgiftsansvarigs) skyldigheter avseende säkerheten hos personuppgifter och intrång i personuppgifter under Amerikanska delstaters integritetslagstiftning, genom att:
- (i) implementera och underhålla Säkerhetsåtgärderna i enlighet med paragraf 3.3.1(a) (Googles Säkerhetsåtgärder)
- (ii) fullgöra villkoren i paragraf 3.3.2 (Dataincidenter) och
- (iii) förse Kunden med de rättigheter som beviljas under paragraf 3.3.3(c) (Kundens granskningsrättigheter).
3.3.2 Dataincidenter
- (a) Incidentavisering. Om Google får kännedom om en Dataincident (enligt definitionen nedan) kommer Google att (i) utan onödigt dröjsmål informera Kunden om Dataincidenten och (ii) skyndsamt vidta rimliga åtgärder för att minimera skada och skydda Kundens Personuppgifter. I denna Bilaga 1B avser ”Dataincident” intrång i Googles säkerhetsmekanismer som leder till oavsiktlig eller olaglig förstöring, förlust, modifiering, obehörigt yppande eller obehörig åtkomst till Kundens Personuppgifter på system som hanteras av eller på annat sätt kontrolleras av Google. ”Dataincidenter” innefattar inte misslyckade försök eller aktiviteter som inte äventyrar säkerheten hos Kundens Personuppgifter, inräknat misslyckade inloggningsförsök, pingar, portgenomsökningar, överbelastningsattacker och andra nätverksattacker mot brandväggar eller nätverksanslutna system.
- (b) Leverans av avisering. Google kommer att leverera aviseringen av Dataincidenter till den e-postadress som har angetts av Kunden via användargränssnittet för BDB-tjänsterna eller på andra sätt som tillhandahålls av Google för att ta emot särskilda aviseringar från Google med koppling till denna Bilaga 1B (”E-postadress för aviseringar”) eller, efter Googles eget gottfinnande (inräknat om Kunden inte har uppgett en E-postadress för aviseringar), genom annan direktkommunikation (till exempel telefonsamtal, e-post eller personligt möte). Kunden är ensam ansvarig för att tillhandahålla en E-postadress för aviseringar och säkerställa att denna är aktuell och giltig.
- (c) Tredjepartsaviseringar. Kunden är ensam ansvarig för att efterleva tillämplig lagstiftning gällande incidentavisering och att fullgöra skyldigheter gällande tredjepartsaviseringar relaterade till Dataincidenter.
- (d) Inget erkännande av fel från Google. Googles avisering om eller respons på en Dataincident under denna paragraf 3.3.2 (Dataincidenter) ska inte tolkas som ett erkännande från Google av fel eller ansvarsskyldighet avseende Dataincidenten.
3.3.3 Kundens säkerhetsansvar och säkerhetsbedömning.
- (a) Kundens säkerhetsansvar. Kunden samtycker till följande, utan hänsyn till Googles skyldigheter under paragraf 3.3.1 (Googles Säkerhetsåtgärder och assistans) och 3.3.2 (Dataincidenter):
- (i) Kunden ansvarar för sin användning av BDB-tjänsterna, inräknat (1) lämplig användning av BDB-tjänsterna för att säkerställa en säkerhetsnivå som är lämplig för risken mot Kundens Personuppgifter och (2) skydda de kontoinloggningsuppgifter, system och enheter som Kunden använder för att komma åt BDB-tjänsterna.
- (ii) Google har ingen skyldighet att skydda Kundens Personuppgifter som Kunden väljer att lagra eller överföra utanför Googles och dess underleverantörers system.
- (b) Kundens säkerhetsbedömning. Kunden intygar och samtycker till att de Säkerhetsåtgärder som implementeras och underhålls av Google enligt paragraf 3.3.1(a) (Googles Säkerhetsåtgärder) utgör en säkerhetsnivå som är lämplig för risken mot Kundens Personuppgifter, med hänsyn till gällande omständigheter, kostnaderna för implementering och arten, omfattningen, sammanhanget och syftena för behandlingen av Kundens personuppgifter liksom riskerna för enskilda personer.
- (c) Kundens granskningsrättigheter.
- (i) Kunden kan genomföra en granskning för att kontrollera att Google fullgör sina skyldigheter enligt denna Bilaga 1B genom att begära och granska (1) utfärdat certifikat för säkerhetsverifiering som indikerar resultatet av en granskning utförd av tredje part (till exempel SOC 2 Type II eller ISO/IEC 27001-certifiering, jämförbar certifiering eller annan säkerhetscertifiering från en granskning utförd av en extern granskare som har godkänts av Kunden och Google) inom 12 månader från och med datumet för Kundens begäran och (2) eventuell övrig information som Google bedömer är nödvändig för att Kunden ska kunna bekräfta sådan efterlevnad.
- (ii) Alternativt kan Google, efter eget gottfinnande och på begäran av Kunden, initiera en extern granskning för att kontrollera att Google fullgör sina skyldigheter enligt denna Bilaga 1B. Under en sådan granskning ger Google den externa granskaren tillgång till all information som är nödvändig för att uppvisa efterlevnad. Om Kunden begär en sådan granskning kan Google debitera en avgift (baserat på Googles rimliga utgifter) för granskningen. Innan en sådan granskning äger rum förser Google Kunden med ytterligare information om tillämpliga avgifter och vad de baseras på. Kunden ansvarar för eventuella avgifter som debiteras av en extern granskare utsedd av Kunden för att genomföra granskningen.
- (iii) Inget i denna Bilaga 1B kräver att Google yppar till Kunden eller den externa granskaren, eller att Kunden eller dess externa granskare får åtkomst till
- (1) data från andra kunder till ett Google-bolag
- (2) interna bokföringsuppgifter eller finansiell information om ett Google-bolag
- (3) eventuella affärshemligheter som tillhör ett Google-bolag
- (4) information som enligt Googles rimliga uppfattning kan (A) äventyra säkerheten för ett Google-bolags system eller lokaler eller (B) leda till att ett Google-bolag bryter mot sina förbindelser enligt Amerikanska delstaters integritetslagstiftning eller dess säkerhets- och/eller integritetsförbindelser gentemot Kunden eller tredje part
- (5) information som Kunden eller dess externa granskare försöker få åtkomst till i något annat syfte än att i god tro fullgöra Kundens förbindelser enligt Amerikanska delstaters integritetslagstiftning.
3.4 Assistans vid bedömning av påverkan. Google kommer (med hänsyn till databehandlingens art och den information som är tillgänglig för Google) att assistera Kunden i att fullgöra Kundens (eller, då Kunden är personuppgiftsbiträde, relevant personuppgiftsansvarigs) förbindelser avseende konsekvensbedömning och föregående konsultationer av gällande förordningar i den utsträckning som krävs enligt Amerikanska delstaters integritetslagstiftning genom att
- (a) tillhandahålla Säkerhetsdokumentation
- (b) tillhandahålla informationen i Avtalet (inräknat denna Bilaga 1B) och
- (c) i enlighet med Googles standardrutiner tillhandahålla eller på annat sätt tillgängliggöra annat material gällande BDB-tjänsternas art och behandlingen av Kundens personuppgifter (till exempel hjälpcentermaterial).
3.5 Registrerades rättigheter.
3.5.1 Svar på förfrågningar från Registrerade. Om Google tar emot en begäran från en Registrerad gällande Kundens Personuppgifter ger Kunden Google rätt, och Google ska informera Kunden om att de kommer att
- (a) svara direkt på den Registrerades begäran i enlighet med standardfunktionaliteten i det eventuella verktyg som görs tillgängligt av ett Google-bolag till Registrerade och som gör det möjligt för Google att svara direkt och på ett standardiserat sätt på särskilda förfrågningar från Registrerade avseende Kundens Personuppgifter (till exempel via inställningar för onlineannonsering eller ett webbläsartillägg för bortval av funktioner) (”Verktyg för Registrerade”) (om begäran görs via ett Verktyg för Registrerade) eller
- (b) uppmana den registrerade att skicka sin begäran till Kunden och Kunden ska ansvara för att svara på en sådan begäran (om begäran inte görs via ett verktyg för registrerade).
3.5.2 Googles assistans vid förfrågningar från Registrerade. Google ska assistera Kunden i att fullgöra dess (eller, om Kunden är personuppgiftsbiträde, relevant Personuppgiftsansvarigs) skyldigheter under Amerikanska delstaters integritetslagstiftning för att svara på Registrerades förfrågningar om att utöva sina rättigheter, och i alla situationer med hänsyn till arten hos behandlingen av Kundens personuppgifter och genom att
- (a) tillhandahålla funktionaliteten i BDB-tjänsterna
- (b) fullgöra de åtaganden som beskrivs i paragraf 3.5.1 (Svar på förfrågningar från Registrerade) och
- (c) om detta är tillämpligt för BDB-tjänsterna, tillhandahålla Verktyg för Registrerade.
3.5.3 Rättelse. Om Kunden upptäcker att Kundens Personuppgifter är felaktiga eller inaktuella ansvarar Kunden för att rätta eller radera dessa uppgifter om detta krävs enligt Amerikanska delstaters integritetslagstiftning, inräknat (där detta är tillgängligt) genom att använda funktionaliteten i BDB-tjänsterna.
3.6. Underleverantörer.
- (a) Kunden ger i allmänhet Google rätt att anlita andra rättssubjekt som underleverantörer i samband med tillhandahållandet av BDB-tjänsterna. Vid anlitande av underleverantörer kommer Google att
- (i) säkerställa via ett skriftligt kontrakt att (1) underleverantören endast kommer åt och använder Kundens Personuppgifter i den utsträckning som krävs för att fullgöra avtalade skyldigheter och gör detta i enlighet med Avtalet (inräknat denna Bilaga 1B) och (2) om behandlingen av Kundens Personuppgifter omfattas av Amerikanska delstaters integritetslagstiftning, säkerställa att underleverantören åläggs skyldigheterna gällande dataskydd i denna Bilaga 1B
- (ii) när Google anlitar nya underleverantörer informera om detta när det är ett krav enligt Amerikanska delstaters integritetslagstiftning och, där det krävs av Amerikanska delstaters integritetslagstiftning, därutöver ge Kunden möjlighet att invända mot sådana underleverantörer och
- (iii) förbli fullt ansvarsskyldiga för alla avtalade skyldigheter och alla underleverantörens handlingar och underlåtenheter.
- (b) Kunden kan invända mot en ny underleverantör genom att säga upp Avtalet med omedelbar verkan efter skriftligt meddelande till Google, förutsatt att Kunden inger detta meddelande inom 90 dagar efter att ha informerats om anlitandet av den nya underleverantören enligt beskrivningen i paragraf 3.6(a)(ii) häri.
3.7 Kontakta Google. Kunden får kontakta Google i syfte att utöva sina rättigheter enligt denna Bilaga 1B via de metoder som beskrivs på privacy.google.com/businesses/processorsupport eller andra metoder som Google kan tillhandahålla från tid till annan.
4. Villkor för Amerikanska delstaters integritetslagstiftning
4.1 Avidentifierad data. Avseende Kundens Personuppgifter som behandlas med eller utan Begränsad databehandling och i den utsträckning behandlingen av Kundens Personuppgifter omfattas av en eller flera Amerikanska delstaters integritetslagstiftning, ska båda parter uppfylla kraven på behandling av Avidentifierad data enligt Amerikanska delstaters integritetslagstiftning gällande Avidentifierad data som tas emot från den andra parten under Avtalet. I detta avsnitt 4.1 (Avidentifierad data) avser Kundens Personuppgifter alla personuppgifter som behandlas av en part enligt Avtalet i samband med tillhandahållande eller användning av Mätningstjänsterna.
5. Googles förbindelser enligt CCPA.
5.1 Avseende Kundens Personuppgifter som behandlas med eller utan Begränsad databehandling och i den utsträckning behandlingen av Kundens Personuppgifter omfattas av CCPA, ska Google agera som Kundens tjänsteleverantör och i denna roll, såvida inget annat tillåts för tjänsteleverantörer under CCPA, kommer Google enligt sin rimliga uppfattning
- (a) inte sälja eller lämna ut Kundens Personuppgifter som inhämtas från Kunden i samband med Avtalet
- (b) inte behålla, använda eller yppa Kundens Personuppgifter (inräknat utanför den direkta affärsrelationen mellan Google och Kunden), annat än i affärssyfte under CCPA för Kundens räkning och i det specifika syftet att tillhandahålla BDB-tjänsterna, enligt beskrivningen i den kompletterande dokumentation som finns tillgänglig på business.safety.google/rdp och som uppdateras från tid till annan
- (c) inte slå ihop Kundens Personuppgifter som Google tar emot från eller på uppdrag av Kunden med (i) personliga uppgifter som Google tar emot från eller på uppdrag av en eller flera andra personer eller (ii) personliga uppgifter som samlas in via Googles egen interaktion med en kund, enligt beskrivningen i den kompletterande dokumentation som finns tillgänglig på business.safety.google/rdp, i den utsträckning detta är tillåtet enligt CCPA
- (d) behandla Kundens Personuppgifter i det specifika syftet att tillhandahålla BDB-tjänsterna, enligt beskrivningen i Avtalet och kompletterande dokumentation (till exempel hjälpcenterartiklar), eller enligt vad som i övrigt är tillåtet enligt CCPA. Parterna samtycker till att Kunden gör Kundens Personuppgifter tillgängliga för Google för sådana syften.
- (e) tillåta granskningar för att kontrollera att Google fullgör sina skyldigheter i denna Bilaga 1B i enlighet med paragraf 3.3.3(c) (Kundens granskningsrättigheter) i detta Avtal
- (c) informera Kunden om Google bedömer att det inte längre kan fullgöra sina skyldigheter enligt CCPA. Denna paragraf 5.1(f) begränsar ingen av parternas övriga rättigheter och skyldigheter enligt Avtalet.
- (g) Om Kunden har rimliga skäl att tro att Google behandlar Kunders Personuppgifter på ett otillåtet sätt har Kunden rätt att informera Google om detta med de metoder som beskrivs på privacy.google.com/businesses/processorsupport. Parterna ska i god tro arbeta tillsammans för att vid behov åtgärda påstådda överträdelser.
- (h) Google fullgör tillämpliga skyldigheter enligt CCPA och tillhandahåller samma integritetsskydd som krävs enligt CCPA.
5.2. Följande gäller Kundens Personuppgifter som behandlas utan Begränsad databehandling och i den utsträckning CCPA omfattar behandling av Kundens Personuppgifter:
- (a) Google behandlar Kunders Personuppgifter i det specifika syftet att utföra Mättjänsterna där detta är tillämpligt samt enligt beskrivningen i Avtalet och tillhörande dokumentation (till exempel artiklar i hjälpcentret), eller i den utsträckning detta är tillåtet enligt CCPA. Parterna samtycker till att Kunden gör Kunders Personuppgifter tillgängliga för Google för sådana ändamål.
- (b) Google ska tillåta granskningar för att kontrollera att Google fullgör sina skyldigheter i denna Bilaga 1B i enlighet med paragraf 3.3.3(c) (Kundens granskningsrättigheter) i detta Avtal.
- (c) Google informerar Kunden om Google bedömer att det inte längre kan fullgöra sina förbindelser enligt CCPA.
- (d) Om Kunden har rimliga skäl att tro att Google behandlar Kunders Personuppgifter på ett otillåtet sätt har Kunden rätt att informera Google om detta med de metoder som beskrivs på privacy.google.com/businesses/processorsupport. Parterna ska i god tro arbeta tillsammans för att vid behov åtgärda påstådda överträdelser.
- (e) Google fullgör tillämpliga skyldigheter enligt CCPA och tillhandahåller samma integritetsskydd som krävs enligt CCPA.
6. Ändringar i denna Bilaga 1B.
Utöver avsnitt 7 i Villkor för personuppgiftsansvariga (Ändringar i dessa Villkor för personuppgiftsansvariga) kan Google i tillämpliga fall, utan föregående meddelande, ändra denna Bilaga 1B om ändringen enligt Googles rimliga uppfattning (a) utgår från tillämplig lag och förordning, domstolsbeslut eller vägledning från ett statligt regleringsorgan eller (b) inte har påtaglig negativ inverkan på Kunden enligt Amerikanska delstaters integritetslagstiftning.
7. Innehåll och detaljer gällande Databehandling under Amerikanska delstaters integritetslagstiftning
Googles tillhandahållande av BDB-tjänsterna och eventuell relaterad teknisk support till Kunden.
Behandlingens längd
Villkorens giltighetstid plus perioden från Villkorens utgång till Googles radering av alla Kundens personuppgifter i enlighet med Bilaga 1B.
Behandlingens art och syfte
Google kommer att behandla (inräknat, beroende på vad som är tillämpligt för BDB-tjänsterna och Instruktionerna, samla in, registrera, organisera, strukturera, lagra, modifiera, hämta, använda, yppa, kombinera, radera och förstöra) Kundens Personuppgifter i syfte att tillhandahålla BDB-tjänsterna och eventuell relaterad teknisk support till Kunden i enlighet med Bilaga 1B, eller enligt vad som annars tillåts av personuppgiftsbiträden under Amerikanska delstaters integritetslagstiftning.
Typer av Personuppgifter
Kundens Personuppgifter kan innefatta de typer av personuppgifter som beskrivs i Amerikanska delstaters integritetslagstiftning.
Kategorier av Registrerade
Kundens Personuppgifter gäller följande kategorier av Registrerade:
- Registrerade för vilka Google samlar in personuppgifter i samband med tillhandahållandet av BDB-tjänsterna och
- Registrerade för vilka personuppgifter överförs till Google i samband med BDB-tjänsterna av eller på uppdrag av Kunden.
Beroende på BDB-tjänsternas art kan dessa Registrerade innefatta personer som (a) har exponerats eller kommer att exponeras för onlineannonsering, (b) har besökt specifika webbplatser eller appar för vilka Google tillhandahåller BDB-tjänsterna och/eller (c) är kunder eller användare av Kundens produkter eller tjänster.
Dataskyddsvillkor mellan personuppgiftsansvariga för Googles mätningstjänster, version 4.0