ลูกค้าบริการวัดผลที่ยอมรับข้อกำหนดเหล่านี้ ("ลูกค้า") ได้เข้าทำข้อตกลงกับ Google หรือตัวแทนจำหน่ายบุคคลที่สาม (ที่เกี่ยวข้อง) สำหรับการให้บริการวัดผล ("ข้อตกลง" ตามที่มีการแก้ไขเป็นครั้งคราว) ผ่านอินเทอร์เฟซผู้ใช้บริการที่ลูกค้าได้เปิดใช้การตั้งค่าการแชร์ข้อมูล
ข้อกำหนดด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมบริการวัดผลกับผู้ควบคุมข้อมูลร่วมของ Google เหล่านี้ ("ข้อกำหนดของผู้ควบคุมข้อมูล") ทำขึ้นระหว่าง Google กับลูกค้า ในกรณีที่ข้อตกลงเป็นข้อตกลงระหว่างลูกค้ากับ Google ข้อกำหนดของผู้ควบคุมข้อมูลจะเป็นส่วนเพิ่มเติมของข้อตกลงนี้ ในกรณีที่ข้อตกลงเป็นข้อตกลงระหว่างลูกค้ากับตัวแทนจำหน่ายบุคคลที่สาม ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะสร้างข้อตกลงแยกต่างหากระหว่าง Google กับลูกค้า
เพื่อมิให้เกิดข้อกังขา หลักเกณฑ์ของการให้บริการวัดผลจะอยู่ในบังคับของข้อตกลงนี้ ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะระบุหลักเกณฑ์การให้การคุ้มครองข้อมูลที่เกี่ยวข้องกับการตั้งค่าการแชร์ข้อมูลเท่านั้น และไม่มีผลบังคับใช้กับหลักเกณฑ์ของการให้บริการวัดผล
ภายใต้ส่วนที่ 6.2 (ไม่ส่งผลกระทบต่อข้อกําหนดของผู้ประมวลผลข้อมูล) ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะมีผลบังคับใช้และแทนที่ข้อกําหนดที่เกี่ยวข้องใดๆ ก่อนหน้านี้ที่เกี่ยวกับเรื่องของข้อกําหนดของผู้ควบคุมข้อมูล นับตั้งแต่วันที่มีผลของข้อกําหนด
หากคุณยอมรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ในนามของลูกค้า แสดงว่าคุณรับประกันว่า (ก) คุณมีอำนาจตามกฎหมายอย่างสมบูรณ์ในการผูกพันลูกค้ากับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ (ข) คุณได้อ่านและทำความเข้าใจในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้แล้ว และ (ค) คุณยอมรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ในนามของลูกค้า หากคุณไม่มีอำนาจตามกฎหมายที่จะผูกพันลูกค้ากับข้อกำหนด โปรดอย่ายอมรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
โปรดอย่ายอมรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ หากคุณเป็นตัวแทนจำหน่าย ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ระบุถึงสิทธิและภาระหน้าที่ที่ใช้บังคับระหว่างผู้ใช้บริการวัดผลกับ Google
1. บทนำ
ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้แสดงให้เห็นถึงข้อตกลงของคู่สัญญาเกี่ยวกับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลตามการตั้งค่าการแชร์ข้อมูล
2. คำนิยามและการตีความ
2.1
ในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
"ข้อกำหนดเพิ่มเติม" หมายถึง ข้อกําหนดเพิ่มเติมที่อ้างถึงในภาคผนวก 1 ซึ่งแสดงถึงข้อตกลงของคู่สัญญาในข้อกําหนดที่ควบคุมการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลที่เกี่ยวเนื่องกับนิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้องบางข้อ
"บริษัทในเครือ" หมายถึง หน่วยงานที่ควบคุมโดยตรงหรือโดยอ้อม ถูกควบคุมโดย หรืออยู่ภายใต้การควบคุมร่วมกันกับคู่สัญญาฝ่ายหนึ่ง
"นิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง" หมายถึง กฎหมายหรือกฎระเบียบว่าด้วยความปลอดภัยข้อมูลหรือการคุ้มครองข้อมูลระดับประเทศ สหพันธรัฐ สหภาพยุโรป รัฐ จังหวัด หรือความเป็นส่วนตัวอื่นๆ ซึ่งรวมถึงนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป, LGPD และกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา ตามที่ใช้บังคับกับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล
"ข้อมูลลับ" หมายถึง ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
"เจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูล" หมายถึง เจ้าของข้อมูลที่ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลมีความเกี่ยวข้องด้วย
"ข้อมูลส่วนตัวของผู้ควบคุมข้อมูล" หมายถึง ข้อมูลส่วนตัวที่คู่สัญญาฝ่ายหนึ่งเป็นผู้ประมวลผลตามการตั้งค่าการแชร์ข้อมูล
"การตั้งค่าการแชร์ข้อมูล" หมายถึง การตั้งค่าการแชร์ข้อมูลที่ลูกค้าเปิดใช้ผ่านอินเทอร์เฟซผู้ใช้บริการวัดผล และทำให้ Google และบริษัทในเครือสามารถใช้ข้อมูลส่วนตัวเพื่อปรับปรุงผลิตภัณฑ์และบริการของ Google และของบริษัทในเครือได้
"ผู้ควบคุมข้อมูลปลายทาง" หมายถึง ผู้ควบคุมสุดท้ายของข้อมูลส่วนตัวของผู้ควบคุมข้อมูลสำหรับแต่ละฝ่าย
"GDPR ของสหภาพยุโรป" หมายถึง กฎระเบียบ (สหภาพยุโรป) 2016/679 ของรัฐสภายุโรปและคณะกรรมการยุโรป ลงวันที่ 27 เมษายน 2016 ว่าด้วยการคุ้มครองบุคคลธรรมดาที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวและการเคลี่อนย้ายข้อมูลดังกล่าวโดยเสรี และการยกเลิกคำสั่งที่ 95/46/EC
"นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป" (ตามที่ใช้บังคับ) หมายถึง (ก) GDPR และ/หรือ (ข) FDPA ของสวิตเซอร์แลนด์
"GDPR" ตามที่ใช้บังคับ หมายถึง (ก) GDPR ของสหภาพยุโรป และ/หรือ (ข) GDPR ของสหราชอาณาจักร
"Google" หมายถึง
- (ก) ในกรณีที่หน่วยงานของ Google เป็นคู่สัญญาในข้อตกลง ให้หมายถึง หน่วยงานของ Google ดังกล่าว
- (ข) ในกรณีที่ข้อตกลงเป็นข้อตกลงระหว่างลูกค้ากับตัวแทนจำหน่ายบุคคลที่สาม และ
- (1) ตัวแทนจำหน่ายบุคคลที่สามได้รับการจัดตั้งขึ้นในอเมริกาเหนือหรือในภูมิภาคอื่นนอกยุโรป ตะวันออกกลาง แอฟริกา เอเชียและโอเชียเนีย ให้หมายถึง Google LLC (เดิมชื่อ Google Inc.)
- (2) ตัวแทนจำหน่ายบุคคลที่สามได้รับการจัดตั้งขึ้นในยุโรป ตะวันออกกลาง หรือแอฟริกา ให้หมายถึง Google Ireland Limited หรือ
- (iii) ตัวแทนจำหน่ายบุคคลที่สามได้รับการจัดตั้งขึ้นในเอเชียและโอเชียเนีย ภายใต้ชื่อ Google Asia Pacific Pte. Ltd.
"หน่วยงานของ Google" หมายถึง Google LLC, Google Ireland Limited หรือบริษัทในเครือรายอื่นใดของ Google LLC
"LGPD" หมายถึง กฎหมายคุ้มครองข้อมูลส่วนบุคคลทั่วไปแห่งบราซิล (Lei Geral de Proteção de Dados Pessoais)
"บริการวัดผล" หมายถึง Google Analytics, Google Analytics 360, Google Analytics สำหรับ Firebase, Google Optimize หรือ Google Optimize 360 ที่เกี่ยวข้องกับการตั้งค่าการแชร์ข้อมูลซึ่งคู่สัญญาทั้ง 2 ฝ่ายเห็นพ้องในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
"นโยบาย" หมายถึง นโยบายว่าด้วยความยินยอมของผู้ใช้ปลายทางของ Google ที่มีอยู่ที่ https://www.google.com/about/company/user-consent-policy.html
"ข้อกำหนดของผู้ประมวลผลข้อมูล" หมายถึง
- (ก) ในกรณีที่ Google เป็นคู่สัญญาในข้อตกลง ข้อกําหนดของผู้ประมวลผลข้อมูลมีอยู่ที่ https://business.safety.google/adsprocessorterms หรือ
- (ข) ในกรณีที่ข้อตกลงเป็นข้อตกลงระหว่างลูกค้ากับตัวแทนจำหน่ายบุคคลที่สาม ข้อกำหนดดังกล่าวจะแสดงถึงความสัมพันธ์ระหว่างผู้ควบคุมข้อมูลกับผู้ประมวลผลข้อมูล (หากมี) ตามที่ตกลงกันระหว่างลูกค้ากับตัวแทนจำหน่ายบุคคลที่สาม
"FDPA ของสวิตเซอร์แลนด์" หมายถึง กฎหมายว่าด้วยการคุ้มครองข้อมูลระดับประเทศ (Federal Data Protection Act) ลงวันที่ 19 มิถุนายน 1992 (สวิตเซอร์แลนด์)
"วันที่มีผลของข้อกำหนด" หมายถึง วันที่ลูกค้าคลิกเพื่อยอมรับหรือคู่สัญญาตกลงเป็นอย่างอื่นในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
"ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักร" หมายถึง ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลของเจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลซึ่งอยู่ในสหราชอาณาจักร
"GDPR ของสหราชอาณาจักร" หมายถึง GDPR ของสหภาพยุโรป ตามที่ได้มีการแก้ไขและผนวกรวมไว้ในกฎหมายของสหราชอาณาจักร ภายใต้พระราชบัญญัติ (การถอนตัว) ของสหราชอาณาจักรออกจากสหภาพยุโรปในปี 2018 และนิติบัญญัติลำดับรองภายใต้พระราชบัญญัติดังกล่าว
"กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา" ตามที่ใช้บังคับ หมายถึง (1) กฎหมายความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนียปี 2018 (ครอบคลุมถึงฉบับแก้ไขโดยกฎหมายสิทธิด้านความเป็นส่วนตัวแห่งรัฐแคลิฟอร์เนียปี 2020) พร้อมกับกฎระเบียบทั้งหมดที่มีผลบังคับใช้ ("CCPA") (2) กฎหมายคุ้มครองข้อมูลของผู้บริโภคแห่งรัฐเวอร์จิเนีย ประมวลกฎหมายแห่งรัฐเวอร์จิเนียมาตรา 59.1-571 และมาตราอื่นๆ ที่เกี่ยวข้อง และ (3) กฎหมายคุ้มครองความเป็นส่วนตัวแห่งรัฐโคโลราโด กฎหมายรัฐโคโลราโดฉบับแก้ไข มาตรา 6-1-1301 และมาตราอื่นๆ ที่เกี่ยวข้อง (4) กฎหมายเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการตรวจสอบทางออนไลน์แห่งรัฐคอนเนทิคัต กฎหมายมหาชนมาตรา 22015 และ (5) กฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐยูทาห์ ประมวลกฎหมายแห่งรัฐยูทาห์มาตรา 13-61-101 และมาตราอื่นๆ ที่เกี่ยวข้อง
2.2
คำว่า "ผู้ควบคุมข้อมูล" "เจ้าของข้อมูล" "ข้อมูลส่วนตัว" "การประมวลผลข้อมูล" และ "ผู้ประมวลผลข้อมูล" ตามที่ใช้ในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้มีความหมายตาม (ก) นิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง หรือ (ข) ในกรณีที่นิติบัญญัติดังกล่าวไม่มีผล จะมีความหมายตาม GDPR
2.3
ตัวอย่างใดๆ ในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้มีไว้เพื่อการอธิบาย และมิใช่เป็นเพียงตัวอย่างเดียวของแนวคิดหนึ่งๆ
2.4
การอ้างอิงใดๆ ถึงกรอบโครงสร้างทางกฎหมาย บทบัญญัติ หรือการประกาศใช้เป็นกฎหมายอื่นๆ คือการอ้างอิงถึงสิ่งดังกล่าวตามที่ได้มีการแก้ไขหรือประกาศใช้ซ้ำเป็นครั้งคราว
2.5
ในกรณีที่ข้อตกลงฉบับแปลนี้ไม่สอดคล้องกับฉบับภาษาอังกฤษ จะบังคับใช้ฉบับภาษาอังกฤษ
2.6
การอ้างอิงใน SCC สำหรับผู้ควบคุมข้อมูลถึง "ข้อกําหนดของ Google Ads ด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมข้อมูล" จะหมายถึง "ข้อกำหนดด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมบริการวัดผลกับผู้ควบคุมข้อมูลร่วมของ Google"
3. การใช้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
3.1 ทั่วไป
ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะใช้บังคับกับการตั้งค่าการแชร์ข้อมูลที่คู่สัญญาทั้ง 2 ฝ่ายเห็นพ้องในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้เท่านั้น (เช่น การตั้งค่าการแชร์ข้อมูลที่ลูกค้าคลิกเพื่อยอมรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้)
3.2 ระยะเวลา
ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะใช้บังคับนับจากวันที่มีผลของข้อกำหนด และจะใช้บังคับต่อไปในขณะที่ Google หรือลูกค้าทำการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล และหลังจากนั้น ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะสิ้นสุดโดยอัตโนมัติ
4. บทบาทและข้อจำกัดเกี่ยวกับการประมวลผลข้อมูล
4.1 ผู้ควบคุมข้อมูลอิสระ
ตามส่วนที่ 4.4 (ผู้ควบคุมข้อมูลปลายทาง) แต่ละฝ่าย
- (ก) เป็นผู้ควบคุมข้อมูลอิสระในส่วนของข้อมูลส่วนตัวของผู้ควบคุมข้อมูล
- (ข) จะกำหนดวัตถุประสงค์และวิธีการในการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลโดยเอกเทศ และ
- (ค) จะปฏิบัติตามภาระหน้าที่ที่มีผลบังคับใช้ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้องในส่วนที่เกี่ยวกับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล
4.2 ข้อจำกัดในการประมวลผลข้อมูล
ส่วนที่ 4.1 (ผู้ควบคุมข้อมูลอิสระ) จะไม่มีผลต่อข้อจำกัดใดๆ ในสิทธิของคู่สัญญาฝ่ายใดฝ่ายหนึ่งที่จะใช้หรือประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลภายใต้ข้อตกลง
4.3 ความยินยอมของผู้ใช้ปลายทาง
ลูกค้าจะปฏิบัติตามนโยบายที่เกี่ยวข้องกับข้อมูลส่วนตัวของผู้ควบคุมข้อมูลที่แชร์ตามการตั้งค่าการแชร์ข้อมูล และจะรับผิดชอบต่อการพิสูจน์ว่ามีการปฏิบัติตามข้อกำหนดดังกล่าวเสมอ
4.4 ผู้ควบคุมข้อมูลปลายทาง
คู่สัญญาแต่ละฝ่ายรับทราบว่า (ก) บริษัทในเครือหรือลูกค้าของคู่สัญญาอีกฝ่ายหนึ่งอาจเป็นผู้ควบคุมข้อมูลปลายทาง และ (ข) คู่สัญญาอีกฝ่ายหนึ่งอาจทำหน้าที่เป็นผู้ประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูลปลายทาง โดยไม่มีการลดภาระหน้าที่ของคู่สัญญาฝ่ายใดฝ่ายหนึ่งภายใต้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ คู่สัญญาแต่ละฝ่ายจะต้องดูแลให้ผู้ควบคุมข้อมูลปลายทางปฏิบัติตามข้อกำหนดของผู้ควบคุมข้อมูล
4.5 ความโปร่งใส
ลูกค้ารับทราบว่า Google ได้เผยแพร่ข้อมูลเกี่ยวกับวิธีที่ Google ใช้ข้อมูลจากเว็บไซต์ แอป หรือพร็อพเพอร์ตี้อื่นๆ ที่ใช้บริการของตนที่ https://business.safety.google/privacy/ ลูกค้าสามารถลิงก์ไปยังหน้าเว็บดังกล่าวเพื่อให้เจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลทราบรายละเอียดที่ Google ประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล โดยไม่มีผลกระทบต่อภาระหน้าที่ภายใต้ส่วนที่ 4.1(ค)
5. ความรับผิด
5.1
หาก Google
- (ก) เป็นคู่สัญญาในข้อตกลง และข้อตกลงอยู่ในบังคับของกฎหมายของ:
- (1) รัฐของสหรัฐอเมริกา และโดยไม่คำนึงถึงสิ่งอื่นใดในข้อตกลง ความรับผิดทั้งหมดของคู่สัญญาฝ่ายหนึ่งต่ออีกฝ่ายหนึ่งภายใต้หรือที่เกี่ยวข้องกับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะจำกัดอยู่ที่จำนวนเงินหรือการจ่ายเงินสูงสุดตามที่มีการจำกัดความรับผิดของคู่สัญญาฝ่ายนั้นไว้ภายใต้ข้อตกลง (ดังนั้น การยกเว้นใดๆ จากการเรียกร้องการชดใช้ค่าเสียหายจากข้อจำกัดความรับผิดของข้อตกลงจะไม่มีผลกับการเรียกร้องการชดใช้ค่าเสียหายภายใต้ข้อตกลงที่เกี่ยวข้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง) หรือ
- (2) เขตอำนาจศาลที่ไม่ใช่รัฐของสหรัฐอเมริกา ความรับผิดของคู่สัญญาที่อยู่ภายใต้หรือเกี่ยวข้องกับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะอยู่ภายใต้การยกเว้นและข้อจำกัดความรับผิดในข้อตกลง หรือ
- (ข) ไม่ได้เป็นคู่สัญญาในข้อตกลงในขอบเขตที่กฎหมายที่เกี่ยวข้องอนุญาต Google จะไม่มีความรับผิดต่อการสูญเสียรายได้ของลูกค้า หรือความเสียหายโดยอ้อม เป็นกรณีพิเศษ เกิดขึ้นเอง เป็นผลของเหตุการณ์อื่น เป็นข้อยกเว้น หรือความเสียหายที่เป็นบทลงโทษ แม้ว่า Google หรือบริษัทในเครือจะได้รับคำแนะนำ รับทราบหรือควรทราบว่าความเสียหายดังกล่าวจะไม่เพียงพอสำหรับการชดเชยก็ตาม ความรับผิดรวมทั้งหมดของ Google (และบริษัทในเครือ) ต่อลูกค้าหรือคู่สัญญาฝ่ายอื่นใดก็ตามสำหรับการสูญเสียหรือความเสียหายที่เกิดจากการร้องเรียน ความเสียหายหรือการกระทำใดๆ ที่เกิดขึ้นหรือเกี่ยวข้องกับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะต้องไม่เกิน 500 ดอลลาร์สหรัฐฯ (USD)
6. ผลกระทบจากข้อกำหนดของผู้ควบคุมข้อมูล
6.1 ลําดับความสําคัญ
ในกรณีที่มีความขัดแย้งหรือความไม่สอดคล้องกันระหว่างข้อกำหนดเพิ่มเติม ส่วนที่เหลือของข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ และ/หรือส่วนที่เหลือของข้อตกลง ภายใต้ส่วนที่ 4.2 (ข้อจำกัดในการประมวลผลข้อมูล) และส่วนที่ 6.2 (ไม่ส่งผลกระทบต่อข้อกำหนดของผู้ประมวลผลข้อมูล) ลำดับความสำคัญต่อไปนี้จะมีผล: (ก) ข้อกำหนดเพิ่มเติม (หากมี) (ข) ส่วนที่เหลือของข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ และ (ค) ส่วนที่เหลือของข้อตกลง ข้อตกลงระหว่าง Google กับลูกค้าจะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
6.2 ไม่ส่งผลกระทบต่อข้อกําหนดของผู้ประมวลผลข้อมูล
ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะไม่แทนที่หรือส่งผลกระทบต่อข้อกำหนดใดๆ ของผู้ประมวลผลข้อมูล เพื่อมิให้เกิดข้อกังขา หากลูกค้าเป็นคู่สัญญาในข้อกำหนดของผู้ประมวลผลข้อมูลที่เกี่ยวข้องกับบริการวัดผล ข้อกำหนดของผู้ประมวลผลข้อมูลจะยังคงมีผลบังคับใช้กับบริการวัดผล โดยไม่คำนึงว่าข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะมีผลบังคับใช้กับข้อมูลส่วนตัวของผู้ควบคุมข้อมูลที่ได้รับการประมวลผลตามการตั้งค่าการแชร์ข้อมูลหรือไม่
7. การเปลี่ยนแปลงข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
7.1 การเปลี่ยนแปลงข้อกำหนดของผู้ควบคุมข้อมูล
Google สามารถเปลี่ยนแปลงข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ได้ ในกรณีที่การเปลี่ยนแปลงนั้น
- (ก) เป็นการเปลี่ยนชื่อหรือรูปแบบของนิติบุคคล
- (ข) เป็นสิ่งที่จำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คำสั่งศาล หรือคำแนะนำที่มาจากหน่วยงานกำกับดูแลหรือหน่วยงานภาครัฐ หรือแสดงให้เห็นการที่ Google นำโซลูชันทางเลือกในการโอนข้อมูลมาใช้ (ตามที่ให้คำจำกัดความไว้ในภาคผนวก 1ก)
- (ค) เป็นไปตามที่อธิบายไว้ในส่วนที่ 7.2 (การเปลี่ยนแปลงใน URL) หรือ
- (ง) ไม่ได้: (1) เป็นความพยายามที่จะปรับเปลี่ยนการจัดหมวดหมู่ของคู่สัญญาในฐานะผู้ควบคุมข้อมูลในข้อมูลส่วนตัวของผู้ควบคุมข้อมูลภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง (2) ขยายขอบเขต หรือนำข้อจำกัดใดๆ ออกไปในส่วนที่เกี่ยวกับสิทธิของคู่สัญญาฝ่ายใดฝ่ายหนึ่งในการใช้หรือประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล หรือ (3) มีผลกระทบร้ายแรงที่สำคัญต่อลูกค้าตามที่ Google ได้พิจารณาอย่างสมเหตุสมผลแล้ว
7.2 การเปลี่ยนแปลง URL
Google อาจเปลี่ยนแปลง URL ที่อ้างอิงอยู่ในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้และเนื้อหาใน URL ดังกล่าวเป็นครั้งคราว
7.3 การแจ้งเตือนการเปลี่ยนแปลง
หาก Google ประสงค์ที่จะเปลี่ยนแปลงข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ภายใต้ส่วนที่ 7.1(ข) และการเปลี่ยนแปลงดังกล่าวจะมีผลกระทบร้ายแรงที่สำคัญต่อลูกค้าตามที่ Google ได้พิจารณาอย่างสมเหตุสมผลแล้ว Google จะใช้ความพยายามที่สมเหตุสมผลในเชิงพาณิชย์เพื่อแจ้งลูกค้าอย่างน้อย 30 วัน (หรือช่วงระยะเวลาที่สั้นกว่าตามที่จำเป็นเพื่อปฏิบัติตามกฎหมายที่เกี่ยวข้อง กฎระเบียบที่เกี่ยวข้อง คำสั่งศาล หรือคำแนะนำที่มาจากหน่วยงานกำกับดูแลหรือหน่วยงานภาครัฐ) ก่อนที่การเปลี่ยนแปลงจะมีผล หากลูกค้าคัดค้านการเปลี่ยนแปลงใดๆ ดังกล่าว ลูกค้าสามารถปิดการตั้งค่าการแชร์ข้อมูลได้
8. ข้อกำหนดเพิ่มเติม
8.1
ส่วนที่ 8 (ข้อกำหนดเพิ่มเติม) นี้จะมีผลบังคับเฉพาะในกรณีที่ Google ไม่ได้เป็นคู่สัญญาในข้อตกลง
8.2
คู่สัญญาแต่ละฝ่ายจะปฏิบัติตามภาระหน้าที่ของตนภายใต้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ โดยใช้ทักษะความเชี่ยวชาญและความเอาใจใส่ที่สมเหตุสมผล
8.3
ทั้ง 2 ฝ่ายจะต้องไม่ใช้หรือเปิดเผยข้อมูลลับของอีกฝ่ายหนึ่งโดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรล่วงหน้าจากอีกฝ่ายหนึ่งก่อน เว้นแต่จะทำไปเพื่อวัตถุประสงค์ในการใช้สิทธิหรือการปฏิบัติตามภาระหน้าที่ภายใต้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ หรือให้เป็นไปตามกฎหมาย กฎระเบียบ หรือคำสั่งศาลที่กำหนด ซึ่งไม่ว่าจะในกรณีใดก็ตาม ฝ่ายที่จำเป็นต้องเปิดเผยข้อมูลลับนั้นจะต้องแจ้งให้อีกฝ่ายหนึ่งทราบอย่างชัดเจนที่สุดเท่าที่จะกระทำได้อย่างสมเหตุสมผล ก่อนทำการเปิดเผยข้อมูลลับดังกล่าว
8.4
ภายในขอบเขตสูงสุดที่กฎหมายที่เกี่ยวข้องอนุญาต ยกเว้นตามที่ได้ระบุไว้อย่างชัดแจ้งสำหรับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ Google จะไม่ให้การรับประกันอื่นๆ ไม่ว่าในรูปแบบใด ทั้งโดยชัดแจ้ง โดยนัย ตามกฎหมายหรืออื่นใด รวมถึงแต่ไม่จำกัดเพียงการรับประกันคุณค่าความเป็นสินค้า ความเหมาะสมสำหรับการใช้งานอย่างหนึ่งอย่างใดโดยเฉพาะ และการไม่ละเมิด
8.5
คู่สัญญาไม่มีความรับผิดสำหรับความล้มเหลวหรือความล่าช้าในการปฏิบัติงานในขอบเขตที่สถานการณ์บังคับให้อยู่นอกเหนือการควบคุมอย่างสมเหตุสมผล
8.6
หากข้อกำหนดใดๆ (หรือส่วนหนึ่งของข้อกำหนด) ในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ไม่ถูกต้อง ผิดกฎหมาย หรือไม่สามารถบังคับใช้ได้ ส่วนที่เหลือของข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะยังคงมีผลบังคับใช้
8.7
(ก) ยกเว้นตามที่ระบุไว้ในส่วน (ข) ด้านล่าง ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะอยู่ในบังคับและตีความภายใต้กฎหมายของรัฐแคลิฟอร์เนีย โดยไม่ต้องอ้างอิงหลักการขัดกันแห่งกฎหมาย ในกรณีที่เกิดความขัดแย้งใดก็ตามระหว่างกฎหมาย กฎ และกฎระเบียบของประเทศอื่นกับกฎหมาย กฎ และกฎระเบียบของรัฐแคลิฟอร์เนียแล้ว กฎหมาย กฎ และกฎระเบียบของรัฐแคลิฟอร์เนียจะมีผลเหนือกว่าและใช้ควบคุม แต่ละฝ่ายตกลงจะยื่นเรื่องต่อเขตอำนาจศาลเฉพาะเหนือตัวบุคคลของศาลที่ตั้งอยู่ในซานตาคลาราเคาน์ตี รัฐแคลิฟอร์เนีย ทั้งนี้ อนุสัญญาสหประชาชาติว่าด้วยสัญญาซื้อขายสินค้าระหว่างประเทศ (United Nations Convention on Contracts for the International Sale of Goods) และกฎหมายธุรกรรมข้อมูลคอมพิวเตอร์ที่เป็นมาตรฐานเดียวกัน (Uniform Computer Information Transactions Act) จะไม่มีผลบังคับใช้กับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
(ข) ในกรณีที่เป็นข้อตกลงระหว่างลูกค้ากับตัวแทนจำหน่ายบุคคลที่สาม และตัวแทนจำหน่ายบุคคลที่สามจัดตั้งในยุโรป ตะวันออกกลาง หรือแอฟริกา ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะอยู่ในบังคับของกฎหมายประเทศอังกฤษ คู่สัญญาแต่ละฝ่ายตกลงจะยื่นฟ้องต่อเขตอำนาจพิเศษของศาลอังกฤษในกรณีที่มีข้อพิพาทใดๆ (ไม่ว่าจะในทางสัญญาหรือไม่ใช่สัญญา) ที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
(ค) ในกรณีที่ SCC สำหรับผู้ควบคุมข้อมูลมีผลบังคับใช้และกำหนดกฎหมายที่ควบคุมซึ่งต่างจากกฎหมายที่ระบุไว้ในส่วน (ก) และ (ข) ข้างต้น กฎหมายที่ควบคุมซึ่งระบุไว้ใน SCC สำหรับผู้ควบคุมข้อมูลจะใช้บังคับในส่วนที่เกี่ยวกับ SCC สำหรับผู้ควบคุมข้อมูลเท่านั้น
(ง) ทั้งนี้ อนุสัญญาสหประชาชาติว่าด้วยสัญญาซื้อขายสินค้าระหว่างประเทศ (United Nations Convention on Contracts for the International Sale of Goods) และกฎหมายธุรกรรมข้อมูลคอมพิวเตอร์ที่เป็นมาตรฐานเดียวกัน (Uniform Computer Information Transactions Act) จะไม่มีผลบังคับใช้กับข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
8.8
ประกาศแจ้งทั้งหมดเกี่ยวกับการสิ้นสุดหรือการละเมิดจะต้องเป็นภาษาอังกฤษ เป็นลายลักษณ์อักษร และส่งถึงฝ่ายกฎหมายของคู่สัญญาอีกฝ่ายหนึ่ง ที่อยู่สำหรับการแจ้งไปยังฝ่ายกฎหมายของ Google คือ legal-notices@google.com การแจ้งจะถือว่าได้ดำเนินการส่งให้แล้วเมื่อมีการรับ ตามที่ได้ตรวจสอบยืนยันแล้วโดยใบรับที่เขียนเป็นลายลักษณ์อักษรหรือใบรับอัตโนมัติ หรือโดยบันทึกอิเล็กทรอนิกส์ (แล้วแต่กรณี)
8.9
จะไม่มีการถือว่าคู่สัญญาได้สละสิทธิใดๆ อันเนื่องจากการไม่ใช้ (หรือความล่าช้าในการใช้) สิทธิใดๆ ภายใต้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ คู่สัญญาทั้ง 2 ฝ่ายไม่สามารถให้สิทธิส่วนหนึ่งส่วนใดในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ได้ หากไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรจากอีกฝ่ายหนึ่งก่อน ยกเว้นบริษัทในเครือ โดยมีเงื่อนไขดังนี้ (ก) ผู้รับโอนสิทธิได้ตกลงเป็นลายลักษณ์อักษรที่จะผูกพันตามข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ (ข) ผู้ให้สิทธิยังคงมีความรับผิดต่อภาระหน้าที่ภายใต้ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ หากผู้รับโอนสิทธิผิดสัญญา (ค) ในกรณีของลูกค้า ผู้ให้สิทธิได้โอนบัญชีบริการการวัดผลของตนไปยังผู้รับโอนสิทธิแล้ว และ (ง) ผู้ให้สิทธิได้แจ้งให้อีกฝ่ายหนึ่งทราบถึงการให้สิทธิแล้ว ความพยายามอื่นใดในการให้สิทธิจะถือว่าเป็นโมฆะ
8.10
คู่สัญญามีสถานะเป็นผู้รับจ้างอิสระ ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะไม่เป็นการสร้างตัวแทน พาร์ทเนอร์ทางธุรกิจ หรือกิจการร่วมค้าใดๆ ระหว่างคู่สัญญา ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ไม่ได้ให้ผลประโยชน์แก่บุคคลที่สามใดๆ ยกเว้นว่ามีการระบุไว้อย่างชัดแจ้งในข้อกำหนด
8.11
ในขอบเขตที่กฎหมายที่เกี่ยวข้องอนุญาต ข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้จะระบุข้อกำหนดทั้งหมดที่ตกลงกันระหว่างคู่สัญญา ในการเข้าทำสัญญาในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ คู่สัญญาทั้ง 2 ฝ่ายจะไม่อาศัย และจะไม่มีฝ่ายใดที่จะมีสิทธิหรือการชดเชยใดๆ ตามคำประกาศ การรับรองหรือการรับประกันใดๆ (ไม่ว่าจะกระทำโดยประมาทหรือรู้เท่าไม่ถึงการณ์) ยกเว้นที่ระบุไว้อย่างชัดแจ้งในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้
ภาคผนวก 1: ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลที่เกี่ยวข้อง
ส่วน ก - ข้อกำหนดเพิ่มเติมสำหรับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
1. บทนำ
ภาคผนวก 1ก นี้จะมีผลบังคับใช้เฉพาะในขอบเขตที่ว่านิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล
2. คำจำกัดความ
2.1 ในภาคผนวก 1ก นี้
"ประเทศที่มีระดับการคุ้มครองที่เพียงพอ" หมายถึง
- (ก) สำหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหภาพยุโรป: EEA หรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองข้อมูลที่เพียงพอภายใต้ GDPR ของสหภาพยุโรป
- (ข) สำหรับข้อมูลที่ประมวลผลภายใต้ GDPR ของสหราชอาณาจักร: สหราชอาณาจักรหรือประเทศหรือเขตแดนที่รับรองว่ามีการคุ้มครองที่เพียงพอภายใต้ GDPR ของสหราชอาณาจักรและกฎหมายคุ้มครองข้อมูลปี 2018 และ/หรือ
- (ค) สำหรับข้อมูลที่ประมวลผลภายใต้ FDPA ของสวิตเซอร์แลนด์: สวิตเซอร์แลนด์หรือประเทศหรือเขตแดนที่ (1) อยู่ในรายชื่อรัฐที่นิติบัญญัติรับรองการคุ้มครองที่เพียงพอตามที่ประกาศโดยสหพันธ์การคุ้มครองข้อมูลและกรรมาธิการข้อมูลของสวิตเซอร์แลนด์ (Swiss Federal Data Protection and Information Commissioner) หรือ (2) รับรองว่ามีการคุ้มครองที่เพียงพอโดยคณะมนตรีแห่งสมาพันธ์สวิตเซอร์แลนด์ (Swiss Federal Council) ภายใต้ FDPA ของสวิตเซอร์แลนด์ ในแต่ละกรณี นอกเหนือไปจากตามกรอบการคุ้มครองข้อมูลที่ไม่บังคับ
"โซลูชันทางเลือกในการโอนข้อมูล" หมายถึง โซลูชันนอกเหนือจาก SCC สำหรับผู้ควบคุมข้อมูลที่เปิดโอกาสให้มีการโอนข้อมูลส่วนตัวได้อย่างถูกต้องตามกฎหมายไปยังประเทศที่ 3 ที่สอดคล้องกับนิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป เช่น กรอบการคุ้มครองข้อมูลที่รับรองว่าหน่วยงานที่เข้าร่วมจะให้บริการการคุ้มครองที่เพียงพอ
"SCC สำหรับผู้ควบคุมข้อมูล" หมายถึงข้อกําหนดใน business.safety.google/adscontrollerterms/sccs/c2c
"EEA" หมายถึงเขตเศรษฐกิจยุโรป
"ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรป" หมายถึง ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลของเจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลซึ่งอยู่ใน EEA หรือสวิตเซอร์แลนด์
"กฎหมายของยุโรป" ตามที่ใช้บังคับ หมายถึง (ก) กฎหมายของสหภาพยุโรปหรือประเทศที่เป็นสมาชิกสหภาพยุโรป (หากกฎหมาย GDPR ของสหภาพยุโรปมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล) (ข) กฎหมายของสหราชอาณาจักรหรือรัฐที่เป็นส่วนหนึ่งของสหราชอาณาจักร (หากกฎหมาย GDPR ของสหราชอาณาจักรมีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล) และ (ค) กฎหมายของสวิตเซอร์แลนด์ (หากกฎหมาย FDPA ของสวิตเซอร์แลนด์มีผลบังคับใช้กับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูล)
"ผู้ควบคุมข้อมูลปลายทางของ Google" หมายถึง ผู้ควบคุมปลายทางของข้อมูลส่วนตัวของผู้ควบคุมข้อมูลซึ่งได้รับการประมวลผลโดย Google
"การโอนข้อมูลในยุโรปที่ได้รับอนุญาต" หมายถึง การประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในประเทศที่มีระดับการคุ้มครองที่เพียงพอ หรือการโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลไปยังประเทศที่มีระดับการคุ้มครองที่เพียงพอ
"การโอนข้อมูลในยุโรปแบบจำกัด" หมายถึง การโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลซึ่ง (ก) อยู่ภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป และ (ข) ไม่ใช่การโอนข้อมูลในยุโรปที่ได้รับอนุญาต
"ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักร" หมายถึง ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลของเจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลซึ่งอยู่ในสหราชอาณาจักร
2.2 คำว่า "ผู้นำเข้าข้อมูล" และ "ผู้ส่งออกข้อมูล" มีความหมายตามที่ระบุไว้ใน SCC สำหรับผู้ควบคุมข้อมูล
3. ผู้ควบคุมข้อมูลปลายทางของ Google
ผู้ควบคุมข้อมูลปลายทางของ Google มีไว้ (1) สำหรับข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรปซึ่งได้รับการประมวลผลโดย Google, Google Ireland Limited และ (2) สำหรับข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักรซึ่งได้รับการประมวลผลโดย Google, Google LLC คู่สัญญาแต่ละฝ่ายจะต้องดูแลให้ผู้ควบคุมข้อมูลปลายทางปฏิบัติตามข้อกำหนดของ SCC สำหรับผู้ควบคุมข้อมูลตามที่เก่ียวข้อง
4. การโอนข้อมูล
4.1 การโอนข้อมูลในยุโรปแบบจํากัด คู่สัญญาแต่ละฝ่ายสามารถทำการโอนข้อมูลในยุโรปแบบจำกัดได้ หากสอดคล้องกับข้อกำหนดในการโอนข้อมูลในยุโรปแบบจำกัดภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
4.2 โซลูชันทางเลือกในการโอนข้อมูล
- (ก) ในกรณีที่ Google นำโซลูชันทางเลือกในการโอนข้อมูลมาใช้กับการโอนข้อมูลในยุโรปแบบจำกัดใดๆ ก็ตาม (1) Google จะตรวจสอบให้แน่ใจว่าการโอนข้อมูลในยุโรปแบบจำกัดดังกล่าวสอดคล้องกับโซลูชันทางเลือกในการโอนข้อมูล และ (2) วรรคที่ 5 (SCC สำหรับผู้ควบคุมข้อมูล) ของภาคผนวก 1ก นี้จะไม่มีผลกับการโอนข้อมูลในยุโรปแบบจำกัดดังกล่าว
- (ข) ในกรณีที่ Google ไม่ได้ใช้หรือแจ้งลูกค้าว่า Google ได้เลิกใช้โซลูชันทางเลือกในการโอนข้อมูลสำหรับการโอนข้อมูลในยุโรปแบบจำกัดแล้ว วรรคที่ 5 (SCC สำหรับผู้ควบคุมข้อมูล) ของภาคผนวก 1ก นี้จะมีผลกับการโอนข้อมูลในยุโรปแบบจำกัดดังกล่าว
4.3 ข้อกำหนดด้านการโอนข้อมูลต่อ
- (ก) การใช้วรรคที่ 4.3 วรรคที่ 4.3(ข) (การใช้ข้อมูลส่วนตัวของผู้ให้บริการข้อมูล) และ 4.3(ค) (การคุ้มครองข้อมูลส่วนตัวของผู้ให้บริการข้อมูล) ของภาคผนวก 1ก นี้จะมีผลบังคับใช้เฉพาะในขอบเขตที่ว่า
- (1) คู่สัญญาฝ่ายหนึ่ง ("ผู้รับข้อมูล") ประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลซึ่งเป็นข้อมูลของคู่สัญญาอีกฝ่าย ("ผู้ให้บริการข้อมูล") โดยเกี่ยวข้องกับข้อตกลง (ข้อมูลส่วนตัวของผู้ควบคุมข้อมูลดังกล่าว "ข้อมูลส่วนตัวของผู้ให้บริการข้อมูล")
- (2) ผู้ให้บริการข้อมูลหรือบริษัทในเครือของผู้ให้บริการข้อมูลได้รับการรับรองภายใต้โซลูชันทางเลือกในการโอนข้อมูล และ
- (3) ผู้ให้บริการข้อมูลแจ้งให้ผู้รับข้อมูลทราบถึงการรับรองโซลูชันทางเลือกในการโอนข้อมูลดังกล่าวเป็นลายลักษณ์อักษร
- (ข) การใช้ข้อมูลส่วนตัวของผู้ให้บริการข้อมูล
- (1) ในกรณีที่โซลูชันทางเลือกในการโอนข้อมูลที่เกี่ยวข้องครอบคลุมถึงหลักการโอนข้อมูลต่อ ผู้รับข้อมูลจะใช้ข้อมูลส่วนตัวของผู้ให้บริการข้อมูลได้เฉพาะตามที่ได้รับความยินยอมจากเจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลที่เกี่ยวข้องเท่านั้น เพื่อให้เป็นไปตามหลักการโอนข้อมูลต่อดังกล่าวภายใต้โซลูชันทางเลือกในการโอนข้อมูลที่เกี่ยวข้อง
- (2) ในกรณีที่ผู้ให้บริการข้อมูลไม่ได้รับความยินยอมจากเจ้าของข้อมูลที่เป็นผู้ควบคุมข้อมูลที่เกี่ยวข้องตามที่กำหนดภายใต้ข้อตกลง ผู้รับข้อมูลจะไม่ละเมิดวรรคที่ 4.3(ข)(1) หากใช้ข้อมูลส่วนตัวของผู้ให้บริการข้อมูลตามความยินยอมที่จำเป็น
- (ค) การคุ้มครองข้อมูลส่วนตัวของผู้ให้บริการข้อมูล
- (1) ผู้รับข้อมูลจะให้การคุ้มครองข้อมูลส่วนตัวของผู้ให้บริการข้อมูลอย่างน้อยในระดับที่กำหนดไว้ตามโซลูชันทางเลือกในการโอนข้อมูลที่เกี่ยวข้อง
- (2) หากผู้รับข้อมูลพิจารณาว่าตนปฏิบัติตามวรรคที่ 4.3(ค)(1) ไม่ได้ ผู้รับข้อมูลจะต้อง (ก) แจ้งต่อผู้ให้บริการข้อมูลเป็นลายลักษณ์อักษร และ (ข) หยุดการประมวลผลข้อมูลส่วนตัวของผู้ให้บริการข้อมูลหรือดำเนินการตามขั้นตอนที่เหมาะสมและสมเหตุสมผลเพื่อเป็นการชดเชยที่ปฏิบัติตามข้อกำหนดดังกล่าวไม่ได้
- (ง) การใช้และการรับรองโซลูชันทางเลือกในการโอนข้อมูล ดูข้อมูลเกี่ยวกับการใช้หรือการรับรองโซลูชันทางเลือกในการโอนข้อมูลใดๆ ของ Google และ/หรือบริษัทในเครือของ Google ได้ที่ https://policies.google.com/privacy/frameworks วรรคที่ 4.3(ง) นี้ประกอบด้วยประกาศแจ้งที่เป็นลายลักษณ์อักษรเกี่ยวกับการรับรองในปัจจุบันของ Google และ/หรือบริษัทในเครือของ Google ณ วันที่มีผลของข้อกำหนดเพื่อจุดประสงค์ของวรรคที่ 4.3(ก)(3)
5. SCC สำหรับผู้ควบคุมข้อมูล
5.1 การโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรปไปยังลูกค้า มีขอบเขตดังนี้
- (ก) Google โอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรปไปยังลูกค้า และ
- (ข) การโอนข้อมูลเป็นการโอนข้อมูลในยุโรปแบบจำกัด ดังนั้นจะถือว่าลูกค้าในฐานะที่เป็นผู้นำเข้าข้อมูลได้เข้าทำ SCC สำหรับผู้ควบคุมข้อมูลกับ Google Ireland Limited (ผู้ควบคุมข้อมูลปลายทางที่เกี่ยวข้องของ Google) เนื่องจากผู้ส่งออกข้อมูลและการโอนข้อมูลจะอยู่ภายใต้ SCC สำหรับผู้ควบคุมข้อมูล
5.2 การโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักรไปยังลูกค้า มีขอบเขตดังนี้
- (ก) Google โอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักรไปยังลูกค้า และ
- (ข) การโอนข้อมูลเป็นการโอนข้อมูลในยุโรปแบบจำกัด ดังนั้นจะถือว่าลูกค้าในฐานะที่เป็นผู้นำเข้าข้อมูลได้เข้าทำ SCC สำหรับผู้ควบคุมข้อมูลกับ Google LLC (ผู้ควบคุมข้อมูลปลายทางที่เกี่ยวข้องของ Google) เนื่องจากผู้ส่งออกข้อมูลและการโอนข้อมูลจะอยู่ภายใต้ SCC สำหรับผู้ควบคุมข้อมูล
5.3 การโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรปไปยัง Google คู่สัญญาทั้ง 2 ฝ่ายรับทราบว่าในกรณีที่ลูกค้าโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในยุโรปไปยัง Google ไม่จำเป็นต้องใช้ SCC สำหรับผู้ควบคุมข้อมูล เนื่องจาก Google Ireland Limited (ผู้ควบคุมข้อมูลปลายทางที่เกี่ยวข้องของ Google) อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ และการโอนข้อมูลดังกล่าวเป็นการโอนข้อมูลในยุโรปที่ได้รับอนุญาต การดำเนินการนี้ไม่ส่งผลกระทบต่อภาระหน้าที่ของ Google ภายใต้วรรคที่ 4.1 (การโอนข้อมูลในยุโรปแบบจำกัด) ของภาคผนวก 1ก นี้
5.4 การโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักรไปยัง Google ในกรณีที่ลูกค้าโอนข้อมูลส่วนตัวของผู้ควบคุมข้อมูลในสหราชอาณาจักรไปยัง Google จะถือว่าลูกค้าในฐานะที่เป็นผู้ส่งออกข้อมูลได้เข้าทำ SCC สำหรับผู้ควบคุมข้อมูลกับ Google LLC (ผู้ควบคุมข้อมูลปลายทางที่เกี่ยวข้องของ Google) เนื่องจากผู้นำเข้าข้อมูลและการโอนข้อมูลจะอยู่ภายใต้ SCC สำหรับผู้ควบคุมข้อมูล เนื่องจาก Google LLC ไม่ได้อยู่ในประเทศที่มีระดับการคุ้มครองที่เพียงพอ
5.5 การติดต่อ Google เกี่ยวกับข้อมูลลูกค้า
- (ก) ลูกค้าสามารถติดต่อ Google Ireland Limited และ/หรือ Google LLC เกี่ยวกับ SCC สำหรับผู้ควบคุมข้อมูลได้ที่ https://support.google.com/policies/troubleshooter/9009584 หรือผ่านวิธีอื่นๆ ที่ Google กำหนดไว้เป็นครั้งคราว
- (ข) ลูกค้ารับทราบว่า Google จำเป็นต้องปฏิบัติตาม SCC สำหรับผู้ควบคุมข้อมูลเพื่อบันทึกข้อมูลบางอย่าง ซึ่งรวมถึง (1) ข้อมูลประจำตัวและข้อมูลติดต่อของผู้นำเข้าข้อมูล (ตลอดจนผู้ติดต่อที่รับผิดชอบด้านการคุ้มครองข้อมูล) และ (2) มาตรการทางเทคนิคและการจัดระเบียบที่ผู้นำเข้าข้อมูลใช้ ดังนั้น ลูกค้าจะต้องให้ข้อมูลดังกล่าวแก่ Google ผ่านวิธีการที่ Google กำหนดไว้และจะต้องตรวจสอบว่าข้อมูลทั้งหมดที่ให้มานั้นถูกต้องและเป็นปัจจุบันหากมีการร้องขอและเมื่อเกี่ยวข้องกับลูกค้า
5.6 การตอบคำถามของเจ้าของข้อมูล ผู้นําเข้าข้อมูลที่เกี่ยวข้องจะเป็นผู้รับผิดชอบในการตอบคําถามจากเจ้าของข้อมูลและหน่วยงานกำกับดูแลที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนตัวของผู้ควบคุมข้อมูลที่เกี่ยวข้องโดยผู้นําเข้าข้อมูล
5.7 การลบข้อมูลเมื่อสิ้นสุด มีขอบเขตดังนี้
- (ก) Google LLC ทําหน้าที่เป็นผู้นําเข้าข้อมูล และลูกค้าทําหน้าที่เป็นผู้ส่งออกข้อมูลภายใต้ SCC สำหรับผู้ควบคุมข้อมูล และ
- (ข) ลูกค้าสิ้นสุดข้อตกลงตามข้อย่อยที่ 16(ค) ของ SCC สำหรับผู้ควบคุมข้อมูล ดังนั้นเพื่อให้เป็นไปตามวัตถุประสงค์ของข้อย่อยที่ 16(ง) ใน SCC สำหรับผู้ควบคุมข้อมูล ลูกค้าจะสั่งให้ Google ลบข้อมูลส่วนตัวของผู้ควบคุมข้อมูล และ Google จะดำเนินการลบดังกล่าวทันทีที่ทําได้อย่างสมเหตุสมผลภายในขอบเขตที่เป็นไปได้อย่างสมเหตุสมผล (โดยพิจารณาว่า Google เป็นผู้ควบคุมข้อมูลดังกล่าวโดยอิสระ รวมถึงลักษณะและการทํางานของบริการผู้ควบคุมข้อมูล) เว้นแต่ว่ากฎหมายของยุโรปกําหนดให้จัดเก็บข้อมูล
6. ความรับผิดในกรณีที่ SCC สำหรับผู้ควบคุมข้อมูลมีผลบังคับใช้
ในกรณีที่ SCC สำหรับผู้ควบคุมข้อมูลมีผลบังคับใช้ภายใต้วรรคที่ 5 (SCC สำหรับผู้ควบคุมข้อมูล) ของภาคผนวก 1ก นี้ ความรับผิดรวมทั้งหมดของ
- (ก) Google, Google LLC และ Google Ireland Limited ต่อลูกค้า และ
- (ข) ลูกค้าต่อ Google, Google LLC และ Google Ireland Limited ภายใต้หรือที่เกี่ยวข้องกับข้อตกลงนี้รวมกับ SCC สำหรับผู้ควบคุมข้อมูลจะอยู่ภายใต้ส่วนที่ 5 (ความรับผิด) ข้อย่อยที่ 12 ใน SCC สำหรับผู้ควบคุมข้อมูลจะไม่มีผลต่อข้อความก่อนหน้า
7. ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม
ในกรณีที่ Google LLC และ/หรือ Google Ireland Limited ไม่ได้เป็นคู่สัญญาในข้อตกลง แต่เป็นคู่สัญญากับ SCC สำหรับผู้ควบคุมข้อมูลที่เกี่ยวข้องตามวรรคที่ 5 (SCC สำหรับผู้ควบคุมข้อมูล) ของภาคผนวก 1ก นี้ Google LLC และ/หรือ Google Ireland Limited (ตามที่เกี่ยวข้อง) จะเป็นผู้รับผลประโยชน์ที่เป็นบุคคลที่สามของส่วนที่ 4.4 (ผู้ควบคุมข้อมูลปลายทาง) วรรคที่ 3 (ผู้ควบคุมข้อมูลปลายทางของ Google) วรรคที่ 5 (SCC สำหรับผู้ควบคุมข้อมูล) และวรรคที่ 6 (ความรับผิดในกรณีที่ SCC สำหรับผู้ควบคุมข้อมูลมีผลบังคับใช้) ของภาคผนวก 1ก นี้ ในกรณีที่วรรคที่ 7 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้ขัดแย้งหรือไม่สอดคล้องกับข้อย่อยอื่นๆ ในข้อตกลง วรรคที่ 7 (ผู้รับผลประโยชน์ที่เป็นบุคคลที่สาม) นี้จะมีผลบังคับใช้
8. ลำดับความสำคัญ
8.1 ในกรณีที่มีความขัดแย้งหรือความไม่สอดคล้องกันระหว่าง SCC สำหรับผู้ควบคุมข้อมูล ภาคผนวก 1ก นี้ ส่วนที่เหลือของข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ และ/หรือส่วนที่เหลือของข้อตกลง SCC สำหรับผู้ควบคุมข้อมูลจะมีผลเหนือกว่า
8.2 ข้อย่อยเชิงพาณิชย์เพิ่มเติม ข้อตกลงจะยังคงมีผลบังคับอย่างสมบูรณ์ภายใต้การแก้ไขเพิ่มเติมในข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้ วรรคที่ 5.5 (การติดต่อ Google) ถึง 5.7 (การลบข้อมูลเมื่อสิ้นสุด) และวรรคที่ 6 (ความรับผิดในกรณีที่ SCC สำหรับผู้ควบคุมข้อมูลมีผลบังคับใช้) ของภาคผนวก 1ก นี้เป็นข้อย่อยเชิงพาณิชย์เพิ่มเติมที่เกี่ยวข้องกับ SCC สำหรับผู้ควบคุมข้อมูลตามที่ได้รับอนุญาตภายใต้ข้อย่อยที่ 2(ก) (ผลและความสม่ำเสมอของข้อย่อย) ใน SCC สำหรับผู้ควบคุมข้อมูล
8.3 ไม่มีการแก้ไข SCC สำหรับผู้ควบคุมข้อมูล ไม่มีส่วนใดในข้อตกลงนี้ (รวมถึงข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้) มีเจตนาที่จะแก้ไขหรือขัดแย้งกับ SCC สำหรับผู้ควบคุมข้อมูล หรือส่งผลกระทบต่อสิทธิหรือเสรีภาพพื้นฐานของเจ้าของข้อมูลภายใต้นิติบัญญัติด้านการคุ้มครองข้อมูลของยุโรป
ส่วน ข - ข้อกำหนดเพิ่มเติมสำหรับกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
1. บทนำ
Google อาจเสนอและลูกค้าอาจเปิดใช้การตั้งค่าบางอย่าง การกําหนดค่า หรือฟังก์ชันอื่นๆ ในผลิตภัณฑ์สําหรับบริการการวัดผลที่เกี่ยวข้องกับการประมวลผลข้อมูลแบบจํากัด ตามที่อธิบายไว้ในเอกสารประกอบที่ business.safety.google/rdp ตามการปรับปรุงเป็นครั้งคราว ("การประมวลผลข้อมูลแบบจํากัด") ภาคผนวก 1ข นี้แสดงข้อตกลงของคู่สัญญาเกี่ยวกับการประมวลผลข้อมูลส่วนตัวของลูกค้าและข้อมูลที่ลบการระบุตัวตน (ตามที่ระบุด้านล่าง) ตามข้อตกลงที่เกี่ยวข้องกับกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา และมีผลภายในขอบเขตที่กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาแต่ละฉบับมีผลบังคับใช้เท่านั้น
2. คำนิยามและการตีความเพิ่มเติม
ในภาคผนวก 1ข นี้
- (ก) "ข้อมูลส่วนตัวของลูกค้า" หมายถึง ข้อมูลส่วนตัวที่ Google ประมวลผลในนามของลูกค้าในการให้บริการวัดผลของ Google
- (ข) "ข้อมูลที่ลบการระบุตัวตน" หมายถึง ข้อมูลที่ "ลบการระบุตัวตน" (ตามที่กำหนดโดย CCPA) และ "ข้อมูลที่ลบการระบุตัวตน" (ตามคำจำกัดความของกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาอื่นๆ) ที่เปิดเผยโดยคู่สัญญาฝ่ายหนึ่งต่อคู่สัญญาอีกฝ่าย
- (ค) "คำสั่ง" โดยรวมแล้ว หมายถึง คำสั่งของลูกค้าที่บอกให้ Google ประมวลผลข้อมูลส่วนตัวของลูกค้าตามกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาเท่านั้น (ก) เพื่อให้บริการ RDP และการสนับสนุนด้านเทคนิคที่เกี่ยวข้อง (ข) ตามที่ระบุไว้เพิ่มเติมผ่านการใช้บริการ RDP ของลูกค้า (ซึ่งรวมถึงในการตั้งค่าและฟังก์ชันการทำงานอื่นๆ ของบริการ RDP ดังกล่าว) และการสนับสนุนด้านเทคนิคที่เกี่ยวข้อง (ค) ตามที่ระบุไว้ในเอกสารข้อตกลง ซึ่งรวมถึงภาคผนวก 1ข นี้ (ง) ตามที่ระบุไว้ในคำสั่งที่เป็นลายลักษณ์อักษรอื่นๆ ที่ลูกค้าให้ไว้ และ Google รับทราบว่าเป็นคำสั่งสำหรับวัตถุประสงค์ของภาคผนวก 1ข นี้ และ (จ) เพื่อประมวลผลข้อมูลส่วนตัวของลูกค้าตามที่ได้รับอนุญาตภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาสำหรับผู้ให้บริการและผู้ประมวลผลข้อมูล
- (ง) "บริการ RDP" หมายถึง บริการของผู้ควบคุมข้อมูลที่ดำเนินการภายใต้การประมวลผลข้อมูลแบบจำกัด
- (จ) "ระยะเวลา" หมายถึง ระยะเวลานับจากวันที่มีผลของข้อกำหนดจนกระทั่งสิ้นสุดการให้บริการวัดผลของ Google ภายใต้ข้อตกลง
- (ฉ) คำว่า "ธุรกิจ" "ผู้บริโภค" "ข้อมูลส่วนบุคคล" "การขาย" "ขาย" "ผู้ให้บริการ" และ "แชร์" ที่ใช้ในภาคผนวก 1ข นี้มีความหมายตามที่ระบุอยู่ในกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
- (ช) ลูกค้าเป็นผู้รับผิดแต่เพียงผู้เดียวต่อการปฏิบัติตามกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาแต่ละฉบับในการใช้บริการของ Google ซึ่งรวมถึงการประมวลผลข้อมูลแบบจํากัด
3. ข้อกำหนดของกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา (ภายใต้การประมวลผลข้อมูลแบบจำกัด)
3.1 การประมวลผลข้อมูล
3.1.1
- (ก) ความรับผิดชอบของผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูล คู่สัญญาทั้ง 2 ฝ่ายรับทราบและยอมรับว่า
- (1) วรรคที่ 7 (เรื่องและรายละเอียดของการประมวลผลข้อมูลภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา) ของภาคผนวก 1ข นี้อธิบายถึงเรื่องและรายละเอียดของการประมวลผลข้อมูลส่วนตัวของลูกค้า
- (2) Google เป็นผู้ให้บริการและผู้ประมวลผลข้อมูลส่วนตัวของลูกค้าภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา และ
- (3) ลูกค้าเป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลส่วนตัวของลูกค้าตามที่เกี่ยวข้องภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
- (ข) ลูกค้าเป็นผู้ประมวลผลข้อมูล ในกรณีที่ลูกค้าเป็นผู้ประมวลผลข้อมูล
- (1) ลูกค้ารับประกันอย่างต่อเนื่องว่าผู้ควบคุมข้อมูลที่เกี่ยวข้องได้อนุญาตใน (ก) คำสั่ง (ข) การมอบอำนาจให้ลูกค้าแต่งตั้ง Google เป็นผู้ประมวลผลข้อมูลอีกราย และ (ค) การมีส่วนร่วมของ Google กับผู้รับเหมาช่วงตามที่อธิบายไว้ในวรรคที่ 3.6 (ผู้รับเหมาช่วง) ของภาคผนวก 1ข นี้
- (2) ลูกค้าจะส่งต่อประกาศใดๆ จาก Google แก่ผู้ควบคุมข้อมูลที่เกี่ยวข้องในทันที ภายใต้วรรคที่ 3.3.2(ก) (การแจ้งเตือนเกี่ยวกับเหตุการณ์) และ 3.6 (ผู้รับเหมาช่วง) และ
- (3) ลูกค้าจะเปิดเผยข้อมูลใดๆ ที่ได้รับจาก Google ต่อผู้ควบคุมข้อมูลที่เกี่ยวข้อง ภายใต้วรรคที่ 3.3.3(ค) (สิทธิตรวจสอบของลูกค้า) และ 3.6 (ผู้รับเหมาช่วง)
3.1.2 คำสั่งของลูกค้า การเข้าร่วมภาคผนวก 1ข นี้หมายความว่าลูกค้าจะสั่งให้ Google ประมวลผลข้อมูลส่วนตัวของลูกค้าตามคำสั่งเท่านั้น
3.1.3 การปฏิบัติตามคำสั่งในส่วนของ Google Google จะปฏิบัติตามคำสั่งเว้นแต่จะมีข้อห้ามภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
3.1.4 ผลิตภัณฑ์เพิ่มเติม ในกรณีที่ลูกค้าใช้ผลิตภัณฑ์ บริการ หรือแอปพลิเคชันที่ Google หรือบุคคลที่สามเป็นผู้ให้บริการซึ่ง (ก) ไม่ได้เป็นส่วนหนึ่งของบริการ RDP และ (ข) เข้าใช้งานได้จากอินเทอร์เฟซผู้ใช้ของบริการ RDP หรือผสานรวมกับบริการ RDP ("ผลิตภัณฑ์เพิ่มเติม") บริการ RDP สามารถอนุญาตให้ผลิตภัณฑ์เพิ่มเติมดังกล่าวเข้าถึงข้อมูลส่วนตัวของลูกค้าได้ตามที่จำเป็นสำหรับการทำงานร่วมกันของผลิตภัณฑ์เพิ่มเติมกับบริการ RDP เพื่อความชัดเจน ภาคผนวก 1ข นี้จะไม่มีผลกับการประมวลผลข้อมูลส่วนตัวที่เกี่ยวข้องกับข้อกำหนดของผลิตภัณฑ์เพิ่มเติมใดๆ ที่ลูกค้าใช้ ซึ่งรวมถึงข้อมูลส่วนตัวที่ส่งไปยังหรือส่งจากผลิตภัณฑ์เพิ่มเติมดังกล่าว
3.2. การลบข้อมูลเมื่อสิ้นสุดข้อกำหนด ลูกค้าจะสั่งให้ Google ลบข้อมูลส่วนตัวที่เหลืออยู่ทั้งหมดของลูกค้า (รวมถึงสำเนาที่มีอยู่) ออกจากระบบของ Google เมื่อสิ้นสุดข้อกำหนดตามกฎหมายที่เกี่ยวข้อง Google จะปฏิบัติตามคำสั่งนี้ทันทีที่ทำได้โดยสมเหตุสมผลและภายในระยะเวลาสูงสุด 180 วัน เว้นแต่กฎหมายที่เกี่ยวข้องกำหนดให้มีการจัดเก็บไว้
3.3. ความปลอดภัยข้อมูล
3.3.1 มาตรการรักษาความปลอดภัยและความช่วยเหลือด้านความปลอดภัยของ Google
- (ก) มาตรการรักษาความปลอดภัยของ Google Google จะใช้และรักษามาตรการทางเทคนิคและการจัดระเบียบเพื่อปกป้องข้อมูลส่วนตัวของลูกค้าจากการทำลายโดยไม่ได้ตั้งใจหรือมิชอบด้วยกฎหมาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาต ("มาตรการรักษาความปลอดภัย") มาตรการรักษาความปลอดภัยครอบคลุมถึงมาตรการ (1) เข้ารหัสข้อมูลส่วนตัว (2) ช่วยรักษาข้อมูลที่เป็นความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบและบริการของ Google อย่างต่อเนื่อง (3) ช่วยกู้คืนการเข้าถึงข้อมูลส่วนตัวอย่างทันท่วงทีหลังจากเกิดเหตุการณ์หนึ่งๆ และ (4) การทดสอบประสิทธิภาพอย่างสม่ำเสมอ Google สามารถปรับปรุงหรือแก้ไขมาตรการรักษาความปลอดภัยเป็นครั้งคราว โดยมีเงื่อนไขว่าการปรับปรุงและการแก้ไขดังกล่าวจะต้องไม่ส่งผลให้ความปลอดภัยโดยรวมของข้อมูลส่วนตัวของลูกค้าลดลง
- (ข) การเข้าถึงและการปฏิบัติตามข้อกำหนด Google จะตรวจสอบว่านิติบุคคลทั้งหมดที่ได้รับอนุญาตให้ประมวลผลข้อมูลส่วนตัวของลูกค้าได้มุ่งมั่นที่จะรักษาข้อมูลที่เป็นความลับหรืออยู่ภายใต้ภาระหน้าที่ที่เหมาะสมตามกฎหมายในการรักษาข้อมูลที่เป็นความลับ
- (ค) ความช่วยเหลือด้านความปลอดภัยของ Google Google จะ (พิจารณาจากลักษณะการประมวลผลข้อมูลส่วนตัวของลูกค้าและข้อมูลที่มีให้ Google) ช่วยเหลือลูกค้าในการปฏิบัติตามภาระหน้าที่ของลูกค้า (หรือผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่ลูกค้าเป็นผู้ประมวลผลข้อมูล) ในส่วนที่เกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลส่วนตัวและการละเมิดข้อมูลส่วนบุคคล ซึ่งรวมถึงภาระหน้าที่ของลูกค้า (หรือผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่ลูกค้าเป็นผู้ประมวลผลข้อมูล) ในส่วนที่เกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลส่วนตัวและการละเมิดข้อมูลส่วนบุคคลภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา โดยทำดังนี้
- (1) ใช้และรักษามาตรการรักษาความปลอดภัยตามวรรคที่ 3.3.1(ก) (มาตรการรักษาความปลอดภัยของ Google)
- (2) ปฏิบัติตามข้อกำหนดของวรรคที่ 3.3.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) และ
- (3) ให้สิทธิแก่ลูกค้า ภายใต้วรรคที่ 3.3.3(ค) (สิทธิตรวจสอบของลูกค้า)
3.3.2 เหตุการณ์ที่ส่งผลต่อข้อมูล
- (ก) การแจ้งเตือนเกี่ยวกับเหตุการณ์ หาก Google ทราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูล (ตามที่ให้คำจำกัดความไว้ด้านล่าง) Google จะ (1) แจ้งให้ลูกค้าทราบถึงเหตุการณ์ที่ส่งผลต่อข้อมูลโดยไม่ให้มีความล่าช้าเกินควร และ (2) ดำเนินการตามขั้นตอนที่เหมาะสมในทันทีเพื่อลดอันตรายและรักษาความปลอดภัยให้กับข้อมูลส่วนตัวของลูกค้า ในภาคผนวก 1ข นี้ "เหตุการณ์ที่ส่งผลต่อข้อมูล" หมายถึง การละเมิดด้านความปลอดภัยของ Google ที่นำไปสู่การทำลายโดยไม่ได้ตั้งใจหรือมิชอบด้วยกฎหมาย การสูญหาย การเปลี่ยนแปลง การเปิดเผยโดยไม่ได้รับอนุญาต หรือการเข้าถึงข้อมูลส่วนตัวของลูกค้าในระบบที่ Google เป็นผู้จัดการหรือควบคุม "เหตุการณ์ที่ส่งผลต่อข้อมูล" จะไม่ครอบคลุมถึงความพยายามที่ไม่สำเร็จหรือกิจกรรมที่ไม่กระทบต่อความปลอดภัยของข้อมูลส่วนตัวของลูกค้า ซึ่งรวมถึงความพยายามเข้าสู่ระบบที่ไม่สำเร็จ, การใช้คำสั่ง ping, การสแกนพอร์ต, การโจมตีแบบปฏิเสธการให้บริการ และการโจมตีเครือข่ายอื่นๆ บนไฟร์วอลล์หรือระบบเครือข่าย
- (ข) การส่งการแจ้งเตือน Google จะส่งการแจ้งเตือนเกี่ยวกับเหตุการณ์ใดๆ ที่ส่งผลต่อข้อมูลไปยังอีเมลที่ลูกค้าให้ไว้ ผ่านทางอินเทอร์เฟซผู้ใช้ของบริการ RDP หรือวิธีการอื่นๆ ที่ Google มีให้เพื่อรับการแจ้งเตือนบางอย่างจาก Google ที่เกี่ยวข้องกับภาคผนวก 1ข นี้ ("อีเมลแจ้งเตือน") หรือผ่านการสื่อสารโดยตรงช่องทางอื่นๆ (เช่น โทรศัพท์ อีเมล หรือการประชุมแบบเข้าร่วมด้วยตนเอง) ตามการพิจารณาที่ Google เห็นสมควร (รวมถึงในกรณีที่ลูกค้าไม่ได้ระบุอีเมลแจ้งเตือน) ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการระบุอีเมลแจ้งเตือนและตรวจสอบว่าอีเมลแจ้งเตือนดังกล่าวเป็นปัจจุบันและถูกต้อง
- (ค) การแจ้งเตือนบุคคลที่สาม ลูกค้าเป็นผู้รับผิดชอบแต่เพียงผู้เดียวในการปฏิบัติตามกฎหมายว่าด้วยการแจ้งเตือนเหตุการณ์ที่เกี่ยวข้องกับลูกค้า และปฏิบัติตามภาระหน้าที่ในการแจ้งเตือนบุคคลที่สามเกี่ยวกับเหตุการณ์ใดๆ ที่ส่งผลต่อข้อมูล
- (ง) ไม่มีข้อความแสดงการยอมรับผิดจาก Google การแจ้งเตือนหรือการตอบกลับจาก Google ต่อเหตุการณ์ที่ส่งผลต่อข้อมูลภายใต้วรรคที่ 3.3.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) นี้จะไม่ถือเป็นข้อความแสดงการยอมรับจาก Google ในความผิดหรือความรับผิดใดๆ ที่เกี่ยวข้องกับเหตุการณ์ที่ส่งผลต่อข้อมูล
3.3.3 หน้าที่รับผิดชอบและการประเมินเกี่ยวกับการรักษาความปลอดภัยของลูกค้า
- (ก) หน้าที่รับผิดชอบเกี่ยวกับการรักษาความปลอดภัยของลูกค้า ลูกค้ายอมรับโดยไม่มีผลกระทบต่อภาระหน้าที่ของ Google ภายใต้วรรคที่ 3.3.1 (มาตรการรักษาความปลอดภัยและความช่วยเหลือด้านความปลอดภัยของ Google) และ 3.3.2 (เหตุการณ์ที่ส่งผลต่อข้อมูล) ว่า
- (1) ลูกค้ามีหน้าที่รับผิดชอบในการใช้บริการ RDP รวมถึง (1) การใช้บริการ RDP อย่างเหมาะสมเพื่อให้แน่ใจว่าระดับความปลอดภัยเหมาะกับความเสี่ยงในส่วนที่เกี่ยวข้องกับข้อมูลส่วนตัวของลูกค้า และ (2) การรักษาความปลอดภัยข้อมูลรับรองการตรวจสอบสิทธิบัญชี ระบบ และอุปกรณ์ที่ลูกค้าใช้ในการเข้าถึงบริการ RDP และ
- (2) Google ไม่มีภาระหน้าที่ในการปกป้องข้อมูลส่วนตัวของลูกค้าที่ลูกค้าเลือกจะจัดเก็บหรือโอนภายนอกระบบของ Google และของผู้รับเหมาช่วง
- (ข) การประเมินเกี่ยวกับการรักษาความปลอดภัยของลูกค้า ลูกค้ารับทราบและยอมรับว่ามาตรการรักษาความปลอดภัยที่ Google ใช้และรักษาอยู่ตามที่ระบุไว้ในวรรคที่ 3.3.1(ก) (มาตรการรักษาความปลอดภัยของ Google) มอบระดับความปลอดภัยที่เหมาะกับความเสี่ยงในส่วนที่เกี่ยวข้องกับข้อมูลส่วนตัวของลูกค้า โดยพิจารณาจากความทันสมัย ค่าใช้จ่ายและลักษณะการดำเนินการ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผลข้อมูลส่วนตัวของลูกค้า ตลอดจนความเสี่ยงต่อบุคคลธรรมดา
- (ค) สิทธิตรวจสอบของลูกค้า
- (1) ลูกค้าอาจดำเนินการตรวจสอบเพื่อยืนยันการปฏิบัติตามภาระหน้าที่ของ Google ภายใต้ภาคผนวก 1ข นี้ด้วยการขอและตรวจสอบ (1) ใบรับรองที่ออกเพื่อขอรับการยืนยันความปลอดภัย โดยสะท้อนถึงผลการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบบุคคลที่สาม (เช่น การรับรองมาตรฐาน SOC 2 Type II หรือ ISO/IEC 27001 หรือการรับรองที่เทียบเท่าหรือการรับรองด้านความปลอดภัยอื่นๆ ของการตรวจสอบที่ดำเนินการโดยผู้ตรวจสอบบุคคลที่สาม ซึ่งลูกค้าและ Google ตกลงร่วมกันภายใน 12 เดือนนับจากวันที่ได้รับคำขอของลูกค้า และ (2) ข้อมูลอื่นๆ ที่ Google พิจารณาว่ามีความจำเป็นตามสมควรสำหรับลูกค้าในการตรวจสอบการปฏิบัติตามข้อกำหนดดังกล่าว
- (2) หรือ Google จะพิจารณาตามที่เห็นสมควรแต่เพียงผู้เดียวและเพื่อตอบสนองคำขอของลูกค้าในการเริ่มการตรวจสอบโดยบุคคลที่สามเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดของ Google ตามภาระหน้าที่ของตนภายใต้ภาคผนวก 1ข นี้ ในระหว่างการตรวจสอบดังกล่าว Google จะเปิดเผยข้อมูลที่จําเป็นทั้งหมดต่อผู้ตรวจสอบบุคคลที่สามเพื่อแสดงถึงการปฏิบัติตามข้อกำหนดดังกล่าว เมื่อลูกค้าขอการตรวจสอบดังกล่าว Google อาจเรียกเก็บค่าธรรมเนียม (ตามราคาที่สมเหตุสมผลของ Google) สําหรับการตรวจสอบใดๆ Google จะแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับค่าธรรมเนียมที่เกี่ยวข้องและวิธีในการคำนวณให้ลูกค้าทราบก่อนการประเมิน ลูกค้าต้องรับผิดชอบค่าธรรมเนียมใดๆ ที่ผู้ตรวจสอบบุคคลที่สามที่แต่งตั้งโดยลูกค้าเรียกเก็บสำหรับการดำเนินการตรวจสอบดังกล่าว
- (3) ไม่มีส่วนใดในภาคผนวก 1ข นี้ที่กำหนดให้ Google ต้องเปิดเผยต่อลูกค้าหรือผู้ตรวจสอบบุคคลที่สาม หรืออนุญาตให้ลูกค้าหรือผู้ตรวจสอบบุคคลที่สามเข้าถึงข้อมูลต่อไปนี้
- (1) ข้อมูลของลูกค้ารายอื่นๆ ของนิติบุคคล Google
- (2) ข้อมูลการทําบัญชีหรือข้อมูลทางการเงินภายในของนิติบุคคล Google
- (3) ความลับทางการค้าของนิติบุคคล Google
- (4) ข้อมูลใดๆ ที่ตามความเห็นที่สมเหตุสมผลของ Google อาจ (ก) ส่งผลกระทบต่อความปลอดภัยของระบบหรือบริเวณสถานที่ของนิติบุคคลใดๆ ของ Google หรือ (ข) ทำให้นิติบุคคลของ Google ละเมิดภาระหน้าที่ของตนภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาหรือภาระหน้าที่ด้านความปลอดภัยและ/หรือความเป็นส่วนตัวต่อลูกค้าหรือบุคคลที่สาม หรือ
- (5) ข้อมูลใดๆ ที่ลูกค้าหรือผู้ตรวจสอบบุคคลที่สามต้องการเข้าถึงด้วยเหตุผลอื่นใดนอกเหนือจากการปฏิบัติตามภาระหน้าที่โดยสุจริตของลูกค้าภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
3.4 ความช่วยเหลือเกี่ยวกับการประเมินผลกระทบ Google จะ (พิจารณาจากลักษณะการประมวลผลข้อมูลและข้อมูลที่มีให้ Google) ช่วยเหลือลูกค้าในการปฏิบัติตามภาระหน้าที่ของลูกค้า (หรือผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่ลูกค้าเป็นผู้ประมวลผลข้อมูล) ที่เกี่ยวข้องกับการประเมินผลกระทบจากการคุ้มครองข้อมูลและการปรึกษาหารือด้านกฎระเบียบล่วงหน้าตามขอบเขตที่กำหนดภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา โดยทำดังนี้
- (ก) มอบเอกสารด้านการรักษาความปลอดภัย
- (ข) ให้ข้อมูลที่มีอยู่ในข้อตกลง (รวมถึงภาคผนวก 1ข นี้) และ
- (ค) จัดหาหรือให้บริการเนื้อหาอื่นๆ ที่เกี่ยวข้องกับลักษณะของบริการ RDP และการประมวลผลข้อมูลส่วนตัวของลูกค้า (เช่น เอกสารในศูนย์ช่วยเหลือ) ตามแนวทางปฏิบัติมาตรฐานของ Google
3.5. สิทธิของเจ้าของข้อมูล
3.5.1 การตอบสนองต่อคำขอของเจ้าของข้อมูล ในกรณีที่ Google ได้รับคำขอจากเจ้าของข้อมูลเกี่ยวกับข้อมูลส่วนตัวของลูกค้า ลูกค้าจะให้สิทธิแก่ Google ในการดำเนินการต่อไปนี้และ Google ขอแจ้งให้ลูกค้าทราบในที่นี้ว่าจะ
- (ก) ตอบกลับคำขอจากเจ้าของข้อมูลโดยตรงตามฟังก์ชันมาตรฐานของเครื่องมือ (หากมี) ที่นิติบุคคล Google ให้บริการแก่เจ้าของข้อมูล ซึ่งช่วยให้ Google ตอบกลับได้โดยตรงและเป็นไปตามมาตรฐานสำหรับคำขอบางอย่างจากเจ้าของข้อมูล ซึ่งเกี่ยวข้องกับข้อมูลส่วนตัวของลูกค้า (เช่น การตั้งค่าการโฆษณาออนไลน์หรือการเลือกไม่ใช้ปลั๊กอินของเบราว์เซอร์) ("เครื่องมือสำหรับเจ้าของข้อมูล") (ในกรณีที่คำขอดำเนินการผ่านเครื่องมือสำหรับเจ้าของข้อมูล) หรือ
- (ข) แนะนำให้ข้อมูลเจ้าของส่งคำขอถึงลูกค้า และลูกค้ามีหน้าที่รับผิดชอบในการตอบสนองต่อคำขอดังกล่าว (ในกรณีที่คำขอไม่ได้ส่งผ่านเครื่องมือสำหรับเจ้าของข้อมูล)
3.5.2 ความช่วยเหลือของ Google เกี่ยวกับคำขอของเจ้าของข้อมูล Google จะช่วยลูกค้าในการปฏิบัติตามภาระหน้าที่ของตน (หรือผู้ควบคุมข้อมูลที่เกี่ยวข้องในกรณีที่ลูกค้าเป็นผู้ประมวลผลข้อมูล) ภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา เพื่อตอบกลับคำขอในการใช้สิทธิของเจ้าของข้อมูล โดยจะพิจารณาจากลักษณะของการประมวลผลข้อมูลส่วนตัวของลูกค้าในทุกกรณี โดยทำดังนี้
- (ก) ให้บริการฟังก์ชันของบริการ RDP
- (ข) ปฏิบัติตามความมุ่งมั่นที่ระบุไว้ในวรรคที่ 3.5.1 (การตอบสนองต่อคำขอของเจ้าของข้อมูล) และ
- (ค) ให้บริการเครื่องมือสำหรับเจ้าของข้อมูล หากมีในบริการ RDP
3.5.3 การแก้ไข หากลูกค้าทราบว่าข้อมูลส่วนตัวใดๆ ของลูกค้าไม่ถูกต้องหรือไม่เป็นปัจจุบัน ลูกค้ามีหน้าที่รับผิดชอบในการแก้ไขหรือลบข้อมูลดังกล่าวในกรณีที่กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกากำหนดไว้ รวมถึงใช้ฟังก์ชันการทำงานของบริการ RDP (หากมี)
3.6. ผู้รับเหมาช่วง
- (ก) โดยทั่วไปแล้ว ลูกค้าอนุญาตให้ Google ว่าจ้างบุคคลอื่นในฐานะผู้รับเหมาช่วงที่เกี่ยวข้องกับข้อกำหนดของบริการ RDP เมื่อว่าจ้างผู้รับเหมาช่วงใดๆ Google จะดำเนินการต่อไปนี้
- (1) รับรองผ่านสัญญาที่เป็นลายลักษณ์อักษรว่า (1) ผู้รับเหมาช่วงจะเข้าถึงและใช้ข้อมูลส่วนตัวของลูกค้าได้เฉพาะในขอบเขตที่จำเป็นต่อการปฏิบัติตามภาระหน้าที่ที่ทำการเหมาช่วงกับข้อมูลเท่านั้นและดำเนินการดังกล่าวตามข้อตกลง (รวมถึงภาคผนวก 1ข นี้) และ (2) รับรองว่ามีการบังคับใช้ภาระหน้าที่ในการคุ้มครองข้อมูลในภาคผนวก 1ข นี้กับผู้รับเหมาช่วง ในกรณีที่การประมวลผลข้อมูลส่วนตัวของลูกค้าอยู่ภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
- (2) ในกรณีที่ว่าจ้างผู้รับเหมาช่วงรายใหม่ใดๆ จะแจ้งลูกค้าเกี่ยวกับผู้รับเหมาช่วงรายใหม่คนดังกล่าวตามที่กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกากำหนด และให้โอกาสเพิ่มเติมแก่ลูกค้าในการคัดค้านผู้รับเหมาช่วงคนดังกล่าวในกรณีที่กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกากำหนด และ
- (3) ยังคงเป็นผู้รับผิดโดยสมบูรณ์สำหรับภาระหน้าที่ทั้งหมดที่ทำการเหมาช่วง ตลอดจนการกระทำและการละเลยการกระทำทั้งหมดของผู้รับเหมาช่วง
- (ข) ลูกค้าสามารถคัดค้านผู้รับเหมาช่วงรายใหม่ด้วยการสิ้นสุดข้อตกลงได้ทันทีหากต้องการ ด้วยการแจ้งให้ Google ทราบเป็นลายลักษณ์อักษร โดยมีเงื่อนไขว่าลูกค้าต้องแจ้งภายใน 90 วันนับจากวันที่ได้รับแจ้งเกี่ยวกับการว่าจ้างผู้รับเหมาช่วงรายใหม่ตามที่อธิบายไว้ในวรรคที่ 3.6(ก)(2) ของข้อกำหนดนี้
3.7 การติดต่อ Google ลูกค้าสามารถติดต่อ Google เกี่ยวกับการใช้สิทธิของตนภายใต้ภาคผนวก 1ข นี้ผ่านวิธีการที่อธิบายไว้ใน privacy.google.com/businesses/processorsupport หรือผ่านวิธีการอื่นๆ ที่ Google มีให้เป็นครั้งคราว
4. กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
4.1 ข้อมูลที่ลบการระบุตัวตน ในส่วนของข้อมูลส่วนตัวของลูกค้าที่ประมวลผลโดยมีหรือไม่มีการประมวลผลข้อมูลแบบจำกัดและในขอบเขตที่กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาอย่างน้อย 1 ฉบับมีผลกับการประมวลผลข้อมูลส่วนตัวของลูกค้า คู่สัญญาแต่ละฝ่ายจะปฏิบัติตามข้อกำหนดสำหรับการประมวลผลข้อมูลที่ลบการระบุตัวตนแล้ว ซึ่งระบุไว้ในกฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา โดยเกี่ยวข้องกับข้อมูลที่ลบการระบุตัวตนซึ่งได้รับจากคู่สัญญาอีกฝ่ายตามข้อตกลง เพื่อให้เป็นไปตามวัตถุประสงค์ของวรรคที่ 4.1 (ข้อมูลที่ลบการระบุตัวตน) นี้ ข้อมูลส่วนตัวของลูกค้าหมายถึงข้อมูลส่วนตัวใดๆ ที่ประมวลผลโดยคู่สัญญาภายใต้ข้อตกลง ซึ่งเกี่ยวข้องกับการให้หรือใช้บริการวัดผลของคู่สัญญาดังกล่าว
5. ภาระหน้าที่เกี่ยวกับ CCPA ของ Google
5.1 ในส่วนของข้อมูลส่วนตัวของลูกค้าที่ประมวลผลภายใต้การประมวลผลข้อมูลแบบจำกัดและในขอบเขตที่ CCPA มีผลกับการประมวลผลข้อมูลส่วนตัวของลูกค้า Google จะทำหน้าที่เป็นผู้ให้บริการของลูกค้า เว้นแต่จะได้รับอนุญาตสำหรับผู้ให้บริการภายใต้ CCPA ตามที่ Google พิจารณาอย่างเหมาะสม
- (ก) Google จะไม่ขายหรือแชร์ข้อมูลส่วนตัวใดๆ ของลูกค้าที่ได้รับจากลูกค้าที่เกี่ยวข้องกับข้อตกลงนี้
- (ข) Google จะไม่เก็บรักษา ใช้ หรือเปิดเผยข้อมูลส่วนตัวของลูกค้า (รวมถึงข้อมูลอื่นนอกเหนือจากความสัมพันธ์ทางธุรกิจโดยตรงระหว่าง Google กับลูกค้า) เว้นแต่เพื่อวัตถุประสงค์ทางธุรกิจภายใต้ CCPA ในนามของลูกค้าและเพื่อวัตถุประสงค์ที่เฉพาะเจาะจงในการให้บริการ RDP ตามที่อธิบายไว้เพิ่มเติมในเอกสารสนับสนุนที่ business.safety.google/rdp ซึ่งมีการปรับปรุงเป็นครั้งคราว
- (ค) Google จะไม่รวมข้อมูลส่วนตัวของลูกค้าที่ Google ได้รับจากหรือในนามของลูกค้ากับ (1) ข้อมูลส่วนบุคคลที่ Google ได้รับจากหรือในนามของบุคคลอื่น หรือ (2) ข้อมูลส่วนบุคคลที่รวบรวมจากการโต้ตอบของ Google กับผู้บริโภค ตามที่อธิบายไว้เพิ่มเติมในเอกสารสนับสนุนที่ business.safety.google/rdp ยกเว้นในขอบเขตที่อนุญาตภายใต้ CCPA
- (ง) Google จะประมวลผลข้อมูลส่วนตัวของลูกค้าดังกล่าวเพื่อวัตถุประสงค์เฉพาะในการให้บริการ RDP ตามที่อธิบายไว้เพิ่มเติมในข้อตกลงและเอกสารสนับสนุน (เช่น บทความในศูนย์ช่วยเหลือ) หรือตามที่ได้รับอนุญาตภายใต้ CCPA และคู่สัญญายอมรับว่าลูกค้าทำให้ข้อมูลส่วนตัวของลูกค้าดังกล่าวพร้อมใช้งานแก่ Google เพื่อวัตถุประสงค์ดังกล่าว
- (จ) Google จะอนุญาตให้มีการตรวจสอบเพื่อยืนยันว่า Google ปฏิบัติตามภาระหน้าที่ภายใต้ภาคผนวก 1ข นี้ตามวรรคที่ 3.3.3(ค) (สิทธิตรวจสอบของลูกค้า) ในที่นี้
- (ฉ) Google จะแจ้งให้ลูกค้าทราบหาก Google พิจารณาว่าไม่เป็นไปตามภาระหน้าที่ภายใต้ CCPA อีกต่อไป วรรคที่ 5.1(ฉ) นี้ไม่ได้ลดสิทธิและภาระหน้าที่ของคู่สัญญาฝ่ายใดฝ่ายหนึ่งในส่วนอื่นของข้อตกลง
- (ช) หากลูกค้ามีเหตุอันควรให้เชื่อว่า Google กำลังประมวลผลข้อมูลส่วนตัวของลูกค้าโดยไม่ได้รับอนุญาต ลูกค้ามีสิทธิที่จะแจ้ง Google เกี่ยวกับความคิดดังกล่าวผ่านวิธีการที่อธิบายไว้ใน privacy.google.com/businesses/processorsupport และคู่สัญญาต่างๆ จะทำงานร่วมกันโดยสุจริตเพื่อแก้ไขปัญหากิจกรรมการประมวลผลข้อมูลที่มีการกล่าวหาว่าละเมิด หากจำเป็น และ
- (ซ) Google จะปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องภายใต้ CCPA และจะให้การคุ้มครองความเป็นส่วนตัวในระดับเดียวกับที่ CCPA กำหนด
5.2 ในส่วนของข้อมูลส่วนตัวของลูกค้าที่ประมวลผลโดยไม่มีการประมวลผลข้อมูลแบบจำกัด รวมถึงในขอบเขตที่ CCPA มีผลกับการประมวลผลข้อมูลส่วนตัวของลูกค้า
- (ก) Google จะประมวลผลข้อมูลส่วนตัวของลูกค้าเพื่อวัตถุประสงค์เฉพาะในการให้บริการวัดผล ตามที่เกี่ยวข้อง ดังที่อธิบายเพิ่มเติมในข้อตกลงและเอกสารสนับสนุน (เช่น บทความในศูนย์ช่วยเหลือ) หรือตามที่ได้รับอนุญาตภายใต้ CCPA และคู่สัญญายอมรับว่าลูกค้าทำให้ข้อมูลส่วนตัวของลูกค้าดังกล่าวพร้อมใช้งานแก่ Google เพื่อวัตถุประสงค์ดังกล่าว
- (ข) Google จะอนุญาตให้มีการตรวจสอบเพื่อยืนยันว่า Google ปฏิบัติตามภาระหน้าที่ภายใต้ภาคผนวก 1ข นี้ตามวรรคที่ 3.3.3(ค) (สิทธิตรวจสอบของลูกค้า) ในที่นี้
- (ค) Google จะแจ้งให้ลูกค้าทราบหาก Google พิจารณาว่าไม่เป็นไปตามภาระหน้าที่ภายใต้ CCPA อีกต่อไป
- (ง) หากลูกค้ามีเหตุอันควรให้เชื่อว่า Google กําลังประมวลผลข้อมูลส่วนตัวของลูกค้าโดยไม่ได้รับอนุญาต ลูกค้ามีสิทธิที่จะแจ้ง Google เกี่ยวกับความคิดดังกล่าวผ่านวิธีการที่อธิบายไว้ใน privacy.google.com/businesses/processorsupport และคู่สัญญาต่างๆ จะทํางานร่วมกันโดยสุจริตเพื่อแก้ไขปัญหากิจกรรมการประมวลผลข้อมูลที่มีการกล่าวหาว่าละเมิด หากจําเป็น และ
- (จ) Google จะปฏิบัติตามภาระหน้าที่ที่เกี่ยวข้องภายใต้ CCPA และจะให้การคุ้มครองความเป็นส่วนตัวในระดับเดียวกับที่ CCPA กําหนด
6. การเปลี่ยนแปลงภาคผนวก 1ข นี้
นอกเหนือจากส่วนที่ 7 ของข้อกำหนดของผู้ควบคุมข้อมูล (การเปลี่ยนแปลงข้อกำหนดของผู้ควบคุมข้อมูลเหล่านี้) ตามที่เกี่ยวข้อง Google อาจเปลี่ยนแปลงภาคผนวก 1ข นี้โดยไม่ต้องแจ้งให้ทราบหากการเปลี่ยนแปลง (ก) อยู่ภายใต้กฎหมายที่เกี่ยวข้อง ข้อบังคับที่เกี่ยวข้อง คำสั่งศาล หรือคำแนะนำที่ออกโดยหน่วยงานกำกับดูแลหรือหน่วยงานของรัฐบาลหรือ (ข) ไม่ส่งผลเสียอันเป็นสาระสำคัญต่อลูกค้าภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกาตามที่ Google กำหนดอย่างสมเหตุสมผล
7. เรื่องและรายละเอียดของการประมวลผลข้อมูลภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
การให้บริการ RDP ของ Google และการสนับสนุนด้านเทคนิคใดๆ ที่เกี่ยวข้องแก่ลูกค้า
ระยะเวลาการประมวลผลข้อมูล
ข้อกำหนดบวกระยะเวลาตั้งแต่ที่สิ้นสุดข้อกำหนดจนถึงระยะเวลาที่ Google ลบข้อมูลส่วนตัวทั้งหมดของลูกค้าตามภาคผนวก 1ข
ลักษณะและวัตถุประสงค์ของการประมวลผลข้อมูล
Google จะประมวลผล (รวมถึงรวบรวม บันทึก จัดระเบียบ จัดโครงสร้าง จัดเก็บ แก้ไข กู้คืน ใช้ เปิดเผย รวม ลบ และทำลาย ตามที่เกี่ยวข้องกับบริการ RDP และคำสั่ง) ข้อมูลส่วนตัวของลูกค้าเพื่อวัตถุประสงค์ในการให้บริการ RDP และการสนับสนุนด้านเทคนิคที่เกี่ยวข้องแก่ลูกค้าตามภาคผนวก 1ข หรือตามที่ผู้ประมวลผลข้อมูลอนุญาตภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
ประเภทของข้อมูลส่วนตัว
ข้อมูลส่วนตัวของลูกค้าอาจรวมถึงประเภทของข้อมูลส่วนตัวที่อธิบายไว้ภายใต้กฎหมายความเป็นส่วนตัวของรัฐในสหรัฐอเมริกา
ประเภทของเจ้าของข้อมูล
ข้อมูลส่วนตัวของลูกค้าจะเกี่ยวข้องกับประเภทของเจ้าของข้อมูลต่อไปนี้
- เจ้าของข้อมูลซึ่ง Google รวบรวมข้อมูลส่วนตัวเพื่อให้บริการ RDP และ/หรือ
- เจ้าของข้อมูลซึ่งข้อมูลส่วนตัวถูกโอนไปยัง Google โดยเกี่ยวข้องกับบริการ RDP โดย ตามคำสั่ง หรือในนามของลูกค้า
นอกจากนี้ เจ้าของข้อมูลเหล่านี้อาจรวมถึง (ก) บุคคลที่เคยหรือจะเป็นเป้าหมายของการแสดงโฆษณาออนไลน์ (ข) ผู้ที่เคยเข้าชมเว็บไซต์หรือแอปพลิเคชันเฉพาะที่เกี่ยวข้องกับบริการ RDP ของ Google และ/หรือ (ค) ผู้ที่เป็นลูกค้าหรือผู้ใช้ผลิตภัณฑ์หรือบริการของลูกค้า ทั้งนี้ขึ้นอยู่กับลักษณะของบริการ RDP
ข้อกำหนดด้านการคุ้มครองข้อมูลระหว่างผู้ควบคุมบริการวัดผลกับผู้ควบคุมข้อมูลร่วมของ Google ฉบับที่ 4.0
ฉบับก่อนหน้า
