Клієнт Сервісів вимірювання ефективності, що приймає ці умови (далі – Клієнт), уклав із Google або відповідним стороннім торговельним посередником угоду про надання Сервісів вимірювання ефективності (разом з усіма поправками, які можуть вноситися час від часу; далі – Угода) і ввімкнув Налаштування спільного доступу до даних в інтерфейсі користувача цих сервісів.
Ці Умови Google щодо захисту даних під час взаємодії між контролерами даних (Умови для контролерів даних) приймають Google і Клієнт. Якщо Угоду укладено між Клієнтом і Google, ці Умови для контролерів даних доповнюють її. Якщо Угоду укладено між Клієнтом і стороннім торговельним посередником, ці Умови для контролерів даних є окремою угодою між Google і Клієнтом.
Для уникнення сумнівів: надання Сервісів вимірювання ефективності регулюється Угодою. Положення про захист інформації в цих Умовах для контролерів даних стосуються лише Налаштування спільного доступу до даних, а не надання Сервісів вимірювання ефективності.
З урахуванням положень Розділу 6.2 ("Відсутність впливу на Умови для обробників даних") ці Умови для контролерів даних починають діяти з Дати набуття умовами чинності й замінюють усі попередні відповідні умови, що регулювали це питання.
Приймаючи ці Умови для контролерів даних від імені Клієнта, ви гарантуєте, що: a) маєте юридичні повноваження зобов’язати Клієнта дотримуватися цих Умов; b) прочитали й зрозуміли ці Умови для контролерів даних; c) погоджуєтесь із цими Умовами від імені Клієнта. Якщо ви не маєте юридичних повноважень зобов’язувати Клієнта дотримуватися цих Умов для контролерів даних, не приймайте їх.
Не приймайте ці Умови для контролерів даних, якщо ви торговельний посередник. У цих Умовах для контролерів даних викладено права й обов’язки, що стосуються користувачів Сервісів вимірювання ефективності й Google.
1. Вступ
Ці Умови для контролерів даних відображають домовленість між сторонами щодо обробки Персональних даних контролером відповідно до Налаштування спільного доступу до даних.
2. Визначення й тлумачення
2.1
У цих Умовах для контролерів даних терміни вживаються в наведених нижче значеннях.
"Додаткові умови" – додаткові положення, що згадуються в Додатку 1 і відображають згоду сторін щодо обробки Персональних даних контролером у зв’язку із Чинним законодавством щодо захисту даних.
"Афілійована особа" – організація, яка прямо чи опосередковано контролює одну зі сторін Умов, контролюється нею або перебуває під контролем тієї самої особи, що й ця сторона.
"Чинне законодавство щодо захисту даних" (коли йдеться про обробку Персональних даних контролером) – будь-який закон або нормативний акт щодо конфіденційності, безпеки даних або їх захисту, прийнятий на державному, федеральному, регіональному або іншому рівні (включно з рівнем штату, провінції і ЄС), зокрема Європейське законодавство про захист даних, закон Бразилії "Про захист персональних даних" (LGPD) і Закони окремих штатів США щодо конфіденційності.
"Конфіденційна інформація" – ці Умови для контролерів даних.
"Суб’єкт даних контролера" – суб’єкт даних, якого стосуються Персональні дані, що обробляються контролером.
"Персональні дані, що обробляються контролером" – персональні дані, які обробляє певна сторона цих Умов відповідно до Налаштування спільного доступу до даних.
"Налаштування спільного доступу до даних" – параметр, який Клієнт увімкнув в інтерфейсі користувача Сервісів вимірювання ефективності й завдяки якому компанія Google і її Афілійовані особи можуть використовувати персональні дані для покращення своїх продуктів і послуг.
"Кінцевий контролер даних" – остаточний контролер, який обробляє Персональні дані (для кожної зі сторін).
"GDPR Європейського Союзу" – регламент (ЄС) 2016/679 Європейського парламенту й Ради від 27 квітня 2016 року із захисту фізичних осіб стосовно обробки й вільного переміщення їхніх персональних даних, який анулює Директиву 95/46/ЄС.
"Європейське законодавство про захист даних" – термін, під яким залежно від обставин можуть матися на увазі: a) Загальний регламент захисту даних (GDPR); b) федеральний закон Швейцарії "Про захист даних".
"GDPR" – термін, під яким залежно від обставин можуть матися на увазі: a) GDPR Європейського Союзу; b) GDPR Великої Британії.
"Google" – термін, під яким залежно від обставин можуть матися на увазі:
- а) якщо стороною Угоди є Організація Google – відповідна Організація Google;
- b) якщо сторонами Угоди є Клієнт і сторонній торговельний посередник, і якщо цей сторонній торговельний посередник:
- (i) зареєстрований у Північній Америці чи іншому регіоні за межами Європи, Близького Сходу, Африки, Азії і Океанії, – компанія Google LLC (попередня назва – Google Inc.);
- (ii) зареєстрований у Європі, Африці чи на Близькому Сході, – компанія Google Ireland Limited;
- (iii) зареєстрований в Азії чи Океанії, – компанія Google Asia Pacific Pte. Ltd.
"Організація Google" – Google LLC, Google Ireland Limited або будь-яка інша Афілійована особа компанії Google LLC.
"LGPD" – загальний закон Бразилії "Про захист персональних даних" (Lei Geral de Proteção de Dados Pessoais).
"Сервіси вимірювання ефективності" – Google Analytics, Google Analytics 360, Google Analytics для Firebase, Google Оптимізація або Google Оптимізація 360 відповідно до Налаштування спільного доступу до даних, щодо якого сторони погодились у цих Умовах для контролерів даних.
"Правила" – Правила отримання згоди кінцевих користувачів, наведені на сторінці https://www.google.com/about/company/user-consent-policy.html.
"Умови для обробників даних" – термін, під яким залежно від обставин можуть матися на увазі різні документи:
- a) якщо однією зі сторін Угоди є Google – умови для обробників даних, наведені на сторінці https://business.safety.google/adsprocessorterms;
- b) якщо сторонами Угоди є Клієнт і сторонній торговельний посередник – умови, що погоджені цими сторонами та регулюють їхні відносини як контролера й обробника даних (якщо є).
"FDPA Швейцарії" – федеральний закон Швейцарії "Про захист даних" від 19 червня 1992 року.
"Дата набуття умовами чинності" – дата, коли Клієнт натиснув кнопку "Прийняти" або сторони іншим чином погодилися на ці Умови для контролерів даних.
"Персональні дані жителів Великої Британії, що обробляються контролером" – Персональні дані, які належать Суб’єктам даних із Великої Британії і обробляються контролером.
"GDPR Великої Британії" – регламент GDPR Європейського Союзу з поправками, включений у законодавство Великої Британії згідно із Законом про вихід Великої Британії з Європейського Союзу від 2018 року, а також відповідні підзаконні акти.
"Закони окремих штатів США щодо конфіденційності" – термін, під яким залежно від обставин можуть матися на увазі: (i) Закон Каліфорнії "Про захист персональних даних споживачів" (від 2018 року) з поправками, ухваленими в Законі Каліфорнії "Про права на конфіденційність" (від 2020 року), а також усі підзаконні акти (далі – "CCPA"); (ii) Закон Вірджинії "Про захист даних споживачів" (Анотований кодекс Вірджинії, § 59.1–571 і далі); (iii) Закон штату Колорадо "Про конфіденційність" (Переглянуті статути Колорадо, § 6-1–1301 і далі); (iv) Закон штату Коннектикут "Про конфіденційність даних і онлайн-моніторинг" (Громадський акт № 22015); (v) Закон штату Юта "Про захист конфіденційності споживачів" (Анотований кодекс Юти, § 13-61–101 і далі).
2.2
У цих Умовах для контролерів даних терміни "контролер", "суб’єкт даних", "персональні дані", "обробка" й "обробник" використовуються в значеннях, наведених в одному з таких документів: a) Чинному законодавстві щодо захисту даних; b) регламенті GDPR (за відсутності відповідного значення або закону).
2.3
Усі приклади в цих Умовах для контролерів даних надаються для пояснення й не є єдиними прикладами відповідного поняття.
2.4
Усі посилання на юридичну угоду, закон чи інший законодавчий акт – це посилання на його найбільш актуальну й чинну версію.
2.5
Якщо виявиться, що певний переклад цієї Угоди містить розбіжності з англомовною версією, переважну силу матиме англомовна версія.
2.6
Надалі вважатиметься, що під "Умовами Google Ads щодо захисту даних під час взаємодії між контролерами даних", згаданими в Стандартних договірних положеннях для контролерів даних, маються на увазі "Умови Google щодо захисту даних під час взаємодії між контролерами даних".
3. Застосування цих Умов для контролерів даних
3.1 Загальні положення
Ці Умови для контролерів даних застосовуються лише до Налаштування спільного доступу до даних, щодо якого сторони погодилися в цих Умовах (наприклад, Налаштування спільного доступу до даних, для якого Клієнт натиснув кнопку "Прийняти", підтверджуючи згоду із цими Умовами).
3.2 Строк чинності
Ці Умови для контролерів даних застосовуються, починаючи з Дати набуття умовами чинності, і діють, поки Google або Клієнт обробляють Персональні дані як контролери, після чого дія цих Умов автоматично припиняється.
4. Ролі й обмеження щодо обробки даних
4.1 Незалежні контролери даних
З урахуванням положень Розділу 4.4 ("Кінцеві контролери даних") кожна сторона:
- a) виступає незалежним контролером, який обробляє Персональні дані;
- b) самостійно визначає мету й засоби обробки Персональних даних контролером;
- c) повинна виконувати відповідні зобов’язання щодо обробки Персональних даних контролером, установлені Чинним законодавством щодо захисту даних.
4.2 Обмеження щодо обробки даних
Положення Розділу 4.1 ("Незалежні контролери") не впливатимуть на обмеження прав кожної зі сторін на використання чи іншу обробку Персональних даних контролером відповідно до Угоди.
4.3 Згода Кінцевого користувача
Клієнт дотримуватиметься Правил, які стосуються Персональних даних, що обробляються контролером, переданих відповідно до Налаштування спільного доступу до даних, і зобов’язується підтверджувати таке дотримання у випадках, коли це необхідно.
4.4 Кінцеві контролери даних
Не обмежуючи зобов’язання жодної зі сторін відповідно до цих Умов для контролерів даних, кожна сторона визнає, що: a) Афілійовані особи або клієнти іншої сторони можуть бути Кінцевими контролерами даних; b) інша сторона може виступати обробником даних від імені цих Кінцевих контролерів даних. Кожна сторона зобов’язана простежити, щоб її Кінцеві контролери дотримувалися цих Умов для контролерів даних.
4.5 Прозорість
Клієнт визнає, що інформація про те, як компанія Google застосовує дані із сайтів, додатків або інших ресурсів, які використовують її сервіси, публікується на сторінці https://business.safety.google/privacy/. Не порушуючи зобов’язання, наведені в Розділі 4.1(c), Клієнт може посилатися на цю сторінку, щоб надавати Суб’єктам даних, що обробляються контролером, інформацію про обробку таких даних компанією Google.
5. Відповідальність
5.1
Якщо Google:
- a) є стороною Угоди, і ця Угода:
- (i) регулюється правом одного зі штатів Сполучених Штатів Америки, то, незважаючи на інші умови Угоди, повна відповідальність кожної сторони перед іншою стороною у зв’язку із цими Умовами для контролерів даних не може перевищувати максимальну грошову суму чи виплату, якою відповідальність цієї сторони обмежено в Угоді (і тому на вимоги про відшкодування за Угодою, пов’язані із Чинним законодавством щодо захисту даних, не поширюються жодні виключення вимог про відшкодування з визначеного в Угоді договірного обмеження відповідальності); або
- (ii) регулюється правом юрисдикції, що не є штатом США, то відповідальність сторін у зв’язку із цими Умовами для контролерів даних визначається відповідно до положень Угоди про виключення вимог і договірне обмеження відповідальності;
- b) не є стороною Угоди – тоді в межах чинного законодавства Google не несе відповідальності за втрачені доходи й непрямі, спеціальні, побічні, наслідкові або штрафні збитки Клієнта, навіть якщо компанія Google чи її Афілійовані особи були поінформовані, знали чи повинні були знати про те, що такі збитки не відповідають умовам відшкодування. Сукупна відповідальність компанії Google (і її Афілійованих осіб) перед Клієнтом та іншими третіми особами за будь-яку шкоду чи збитки, що виникають унаслідок претензій, збитків або дій у зв’язку із цими Умовами для контролерів даних, не може перевищувати 500 доларів США.
6. Вплив Умов для контролерів даних
6.1 Пріоритетність
Якщо існують суперечності чи невідповідності між Додатковими умовами, рештою цих Умов для контролерів даних і/або рештою Угоди, то, з урахуванням положень Розділів 4.2 ("Обмеження щодо обробки даних") і 6.2 ("Відсутність впливу на Умови для обробників даних"), діє такий порядок пріоритетності документів: a) Додаткові умови (якщо застосовно); b) решта цих Умов для контролерів даних; c) решта Угоди. Після внесення поправок у ці Умови для контролерів даних Угода між Google і Клієнтом зберігає повну юридичну силу й дію.
6.2 Відсутність впливу на Умови для обробників даних
Ці Умови для контролерів даних не замінюють Умови для обробників даних і не впливають на них. Для уникнення сумнівів: якщо Клієнт є стороною Умов для обробників даних у зв’язку із Сервісами вимірювання ефективності, Умови для обробників даних продовжуватимуть застосовуватися до цих Сервісів, незважаючи на те, що ці Умови для контролерів даних поширюються на Персональні дані, що обробляються контролером відповідно до Налаштування спільного доступу до даних.
7. Зміни до цих Умов для контролерів даних
7.1 Зміни до Умов для контролерів даних
Google має право змінювати ці Умови для контролерів даних, якщо така зміна:
- a) стосується зміни назви або форми юридичної особи;
- b) потрібна для дотримання чинного законодавства, регламенту, судового рішення, рекомендацій державного регуляторного органу (агентства) або відповідає впровадженому компанією Google Альтернативному рішенню для передавання даних (як його визначено в Додатку 1A);
- c) відповідає опису в Розділі 7.2 ("Зміни в URL-адресах");
- d) не призведе до таких наслідків: (i) зміна статусу сторін як контролерів, що обробляють Персональні дані, відповідно до Чинного законодавства щодо захисту даних; (ii) розширення прав будь-якої сторони щодо використання чи обробки Персональних даних контролером або усунення обмежень цих прав; (iii) суттєвий негативний вплив на Клієнта (Google на власний розсуд приймає обґрунтоване рішення щодо можливості такого впливу).
7.2 Зміни в URL-адресах
Час від часу Google може змінювати будь-яку URL-адресу, зазначену в цих Умовах для контролерів даних, а також контент, розміщений за цією URL-адресою.
7.3 Сповіщення про зміни
Якщо Google плануватиме змінити ці Умови для контролерів даних відповідно до Розділу 7.1(b) і вирішить, що така зміна матиме суттєвий негативний вплив на Клієнта, Google вживатиме всіх комерційно розумних заходів, щоб повідомити Клієнта принаймні за 30 днів до набуття чинності такою зміною (або в коротший термін, якщо це необхідно для дотримання чинного законодавства, нормативних актів, ухвали суду чи рекомендацій державного регуляторного органу або агентства). Якщо Клієнт проти таких змін, він може вимкнути Налаштування спільного доступу до даних.
8. Додаткові положення
8.1
Цей Розділ 8 ("Додаткові положення") застосовується, лише якщо Google не є стороною Угоди.
8.2
Кожна сторона виконуватиме свої зобов’язання, передбачені цими Умовами для контролерів даних, з належними вміннями й обачністю.
8.3
Жодна зі сторін не використовуватиме й не розголошуватиме Конфіденційну інформацію іншої сторони без її попередньої письмової згоди, крім випадків, коли це робиться з метою здійснення прав чи виконання зобов’язань за цими Умовами для контролерів даних або відповідно до вимог закону, нормативних актів чи ухвали суду. У такому разі сторона, яка змушена розкрити Конфіденційну інформацію, повинна повідомити іншу сторону якомога раніше, щойно для цього буде розумна практична можливість, перед розкриттям такої інформації.
8.4
У межах, які допускаються чинним законодавством, крім випадків, прямо передбачених у цих Умовах для контролерів даних, Google не надає жодних інших гарантій (прямих, непрямих, установлених законодавчо або будь-яких інших), зокрема щодо придатності для продажу, відповідності конкретній меті й відсутності порушення будь-яких прав.
8.5
Жодна сторона не несе відповідальності за невиконання або затримку виконання своїх зобов’язань, якщо це спричинено обставинами, які не залежать від цієї сторони.
8.6
Якщо якесь положення (або частина положення) цих Умов для контролерів даних стає недійсним, незаконним або не забезпеченим позовом, решта положень продовжують діяти.
8.7
a) Крім випадків, зазначених у пункті (b) нижче, ці Умови для контролерів даних регулюються й тлумачаться відповідно до права штату Каліфорнія без застосування положень міжнародного приватного права. У випадку суперечності між правом чи законодавством іноземної держави й правом чи законодавством штату Каліфорнія перевагу мають право й законодавство Каліфорнії. Кожна зі сторін погоджується підпорядковуватися виключній і персональній юрисдикції судів округу Санта-Клара, Каліфорнія. На ці Умови для контролерів даних не поширюється дія Конвенції ООН про договори міжнародної купівлі-продажу товарів і Єдиного закону про операції з комп’ютерною інформацією (Uniform Computer Information Transactions Act).
b) Якщо Угоду укладено між Клієнтом і стороннім торговельним посередником, зареєстрованим у Європі, Африці чи на Близькому Сході, ці Умови для контролерів даних регулюються правом Англії. Кожна сторона погоджується підпорядковуватися виключній юрисдикції судів Англії стосовно вирішення будь-яких спорів (на підставі угоди або на іншій підставі), що виникають у зв’язку із цими Умовами для контролерів даних.
c) Якщо застосовуються Стандартні договірні положення для контролерів даних і в них визначено інше застосовне право, ніж передбачено пунктами (a) і (b) вище, то це право регулює виключно відносини в межах Стандартних договірних положень для контролерів даних.
d) На ці Умови для контролерів даних не поширюється дія Конвенції ООН про договори міжнародної купівлі-продажу товарів і Єдиного закону про операції з комп’ютерною інформацією (Uniform Computer Information Transactions Act).
8.8
Усі сповіщення про розірвання чи порушення угоди потрібно надсилати в письмовій формі англійською мовою на адресу юридичного відділу іншої сторони. Адреса юридичного відділу Google – legal-notices@google.com. Сповіщення вважається отриманим, якщо є відповідне письмове чи автоматичне підтвердження або запис в електронному журналі (якщо він ведеться).
8.9
Якщо одна зі сторін не використовує (або використовує із затримкою) те чи інше право, передбачене цими Умовами для контролерів даних, це не вважається відмовою від права. Жодна сторона не може передавати права за цими Умовами для контролерів даних без письмової згоди іншої сторони, крім випадків передання прав Афілійованій особі за таких умов: a) правонаступник дає письмову згоду дотримуватися цих Умов для контролерів даних; b) сторона, що передає права, зберігає свої зобов’язання за цими Умовами, якщо правонаступник їх не виконує; c) у випадку Клієнта, сторона, що передає права, передає правонаступнику свої облікові записи в Сервісах вимірювання ефективності; d) сторона, що передає права, сповіщає про це іншу сторону. Будь-які інші спроби передачі прав і обов’язків є недійсними.
8.10
Сторони є незалежними підрядниками. Ці Умови для контролерів даних не створюють для сторін відносин представництва, партнерства чи спільного підприємства. Ці Умови для контролерів даних не створюють вигод для жодних третіх осіб, крім випадків, коли це явно зазначено в них.
8.11
Ці Умови для контролерів даних містять усі домовленості між сторонами в межах, установлених чинним законодавством. Підписуючи ці Умови для контролерів даних, жодна сторона не покладається на жодні заяви, твердження чи гарантії (зокрема надані через недбалість або ненавмисно), а також не має жодних прав чи засобів правового захисту на підставі таких заяв, тверджень чи гарантій, за винятком тих, які прямо вказані в цих Умовах.
Додаток 1. Додаткові умови для Чинного законодавства щодо захисту даних
ЧАСТИНА A. ДОДАТКОВІ УМОВИ ДЛЯ ЄВРОПЕЙСЬКОГО ЗАКОНОДАВСТВА ПРО ЗАХИСТ ДАНИХ
1. Вступ
Цей Додаток 1A застосовуватиметься лише тією мірою, якою Європейське законодавство про захист даних поширюється на обробку Персональних даних, що здійснюється контролером.
2. Визначення
2.1 У цьому Додатку 1А терміни вживаються в наведених нижче значеннях.
Країна з адекватним рівнем захисту персональних даних:
- a) якщо дані обробляються за Загальним регламентом захисту даних (GDPR) Європейського Союзу (ЄС), то Країнами з адекватним рівнем захисту персональних даних вважаються країни ЄЕЗ, а також країни й території, які забезпечують належний захист даних відповідно до цього регламенту;
- b) якщо дані обробляються за регламентом GDPR Великої Британії, то Країною з адекватним рівнем захисту персональних даних вважається Велика Британія, а також країни й території, визнані як ті, що забезпечують належний захист даних згідно із цим регламентом і Законом про захист даних від 2018 року; та/або
- c) якщо дані обробляються за федеральним законом Швейцарії "Про захист даних" (FDPA), то Країною з адекватним рівнем захисту персональних даних вважається Швейцарія, а також країни й території, що відповідають одній із таких вимог: (i) наявність у списку країн, законодавство яких забезпечує належний рівень захисту, відповідно до сповіщення, опублікованого Федеральним комісаром Швейцарії із захисту даних і інформації; (ii) гарантія належного рівня захисту за рішенням Федеральної ради Швейцарії згідно з FDPA (у всіх випадках, а не лише в межах додаткового захисту даних).
Альтернативне рішення для передавання даних – будь-яке рішення, крім Стандартних договірних положень для контролерів, яке дає змогу законно передавати персональні дані в треті країни відповідно до Європейського законодавства про захист даних, наприклад, у межах регламенту про захист даних, який гарантує, що місцеві організації забезпечують належний рівень захисту.
Стандартні договірні положення для контролерів – умови, наведені на сторінці business.safety.google/adscontrollerterms/sccs/c2c.
ЄЕЗ – Європейська економічна зона.
Персональні дані жителів Європи, що обробляються контролером – Персональні дані, які належать Суб’єктам даних із ЄЕЗ або Швейцарії і обробляються контролером.
Європейське законодавство – термін, під яким залежно від обставин можуть матися на увазі: a) законодавство ЄС або країни – члена ЄС (якщо до обробки Персональних даних, що здійснюється контролером, застосовується регламент GDPR ЄС); b) законодавство Великої Британії або частини Великої Британії (якщо до обробки Персональних даних, що здійснюється контролером, застосовується регламент GDPR Великої Британії); і c) законодавство Швейцарії (якщо до обробки Персональних даних, що здійснюється контролером, застосовується федеральний закон Швейцарії "Про захист даних").
Кінцеві контролери даних Google – Кінцеві контролери Персональних даних, що обробляються Google як контролером.
Дозволене передавання даних у Європі – обробка Персональних даних контролером у Країні з адекватним рівнем захисту персональних даних або їх передавання в таку країну.
Обмежене передавання даних у Європі – передавання Персональних даних, що обробляються контролером, яке відповідає двом критеріям: a) на нього поширюється дія Європейського законодавства про захист даних; b) воно не є Дозволеним передаванням даних у Європі.
Персональні дані жителів Великої Британії, що обробляються контролером – Персональні дані, які належать Суб’єктам даних із Великої Британії і обробляються контролером.
2.2 Терміни імпортер даних і експортер даних мають значення, наведені в Стандартних договірних положеннях для контролерів.
3. Кінцеві контролери даних Google
Кінцевими контролерами даних Google є: (i) для Персональних даних жителів Європи, що обробляються Google як контролером, – компанія Google Ireland Limited; (ii) для Персональних даних жителів Великої Британії, що обробляються Google як контролером, – компанія Google LLC. Кожна сторона зобов’язана простежити, щоб її Кінцеві контролери даних дотримувалися Стандартних договірних положень для контролерів (у відповідних випадках).
4. Передавання даних
4.1 Обмежене передавання даних у Європі. Кожна сторона може здійснювати Обмежене передавання даних у Європі за умови дотримання положень Європейського законодавства про захист даних щодо Обмеженого передавання.
4.2 Альтернативне рішення для передавання даних.
- a) Якщо компанія Google запровадить Альтернативне рішення для будь-якого Обмеженого передавання даних у Європі, то: (i) компанія Google стежитиме, щоб таке Обмежене передавання здійснювалося згідно із цим Альтернативним рішенням; (ii) Розділ 5 ("Стандартні договірні положення для контролерів") цього Додатка 1A не застосовуватиметься до такого Обмеженого передавання в Європі.
- b) Якщо компанія Google не запровадила Альтернативне рішення для будь-якого Обмеженого передавання даних у Європі або повідомила Клієнта про те, що більше не використовує таке рішення, то до цих Обмежених передавань застосовуватиметься Розділ 5 ("Стандартні договірні положення для контролерів") цього Додатка 1A.
4.3 Положення про подальше передавання даних.
- a) Застосування положень розділу 4.3. Положення розділів 4.3(b) ("Використання Персональних даних Постачальника даних") і 4.3(c) ("Захист Персональних даних Постачальника даних") цього Додатка 1A застосовуються лише в таких випадках:
- (i) сторона (Отримувач даних) застосовує Персональні дані, що обробляються контролером і надходять від іншої сторони (Постачальник даних) відповідно до Угоди (такі дані вважаються Персональними даними Постачальника даних);
- (ii) Постачальника даних або його Афілійовану особу сертифіковано відповідно до вимог Альтернативного рішення для передавання даних;
- (iii) Постачальник даних письмово повідомив Отримувача даних про сертифікацію відповідно до вимог Альтернативного рішення для передавання даних.
- b) Використання Персональних даних Постачальника даних.
- (i) Якщо відповідне Альтернативне рішення для передавання даних включає принципи подальшого передавання, то згідно з такими принципами Отримувач даних використовуватиме Персональні дані Постачальника даних лише в спосіб, на який відповідний Суб’єкт даних, що обробляються контролером, дав згоду в межах Альтернативного рішення.
- (ii) Якщо Постачальник даних не зможе отримати згоду від відповідних Суб’єктів даних, що обробляються контролером, як цього вимагає Угода, то Отримувач даних не порушуватиме положення розділу 4.3(b)(i), якщо використовуватиме Персональні дані Постачальника даних згідно з умовами такої згоди.
- c) Захист Персональних даних Постачальника даних.
- (i) Отримувач даних повинен забезпечити захист Персональних даних Постачальника даних щонайменше на рівні, якого вимагає відповідне Альтернативне рішення для передавання.
- (ii) Якщо Отримувач даних визначить, що не може дотримуватися вимог пункту 4.3(c)(i), він: a) має письмово сповістити про це Постачальника даних; b) припинити обробку Персональних даних Постачальника даних або вжити належних заходів для усунення порушень.
- d) Упровадження Альтернативного рішення для передавання даних і відповідна сертифікація. Інформацію про те, як компанія Google і/або її Афілійовані особи впроваджують Альтернативні рішення для передавання даних, а також про відповідну сертифікацію, можна знайти на сторінці https://policies.google.com/privacy/frameworks. Цей розділ 4.3(d) є письмовим сповіщенням про поточні сертифікації компанії Google і/або її Афілійованих осіб станом на Дату набуття умовами чинності відповідно до вимог пункту 4.3(a)(iii).
5. Стандартні договірні положення для контролерів
5.1 Передавання Клієнту Персональних даних жителів Європи, що обробляються контролером. Якщо:
- a) Google передає Клієнту Персональні дані жителів Європи, що обробляються контролером; і
- b) передавання є Обмеженим передаванням даних у Європі, то вважається, що Клієнт як імпортер даних і Google Ireland Limited (відповідний Кінцевий контролер даних Google) як експортер даних зобов’язалися виконувати Стандартні договірні положення для контролерів, якими регулюватиметься передавання даних.
5.2 Передавання Клієнту Персональних даних жителів Великої Британії, що обробляються контролером. Якщо:
- a) Google передає Клієнту Персональні дані жителів Великої Британії, що обробляються контролером; і
- b) передавання є Обмеженим передаванням даних у Європі, то вважається, що Клієнт як імпортер даних і Google LLC (відповідний Кінцевий контролер даних Google) як експортер даних зобов’язалися виконувати Стандартні договірні положення для контролерів, якими регулюватиметься передавання даних.
5.3 Передавання в Google Персональних даних жителів Європи, що обробляються контролером. Сторони визнають, що у випадках, коли Клієнт передає в Google Персональні дані жителів Європи, що обробляються контролером, Стандартні договірні положення для контролерів не застосовуються, оскільки адресу компанії Google Ireland Limited (відповідний Кінцевий контролер даних Google) зареєстровано в Країні з адекватним рівнем захисту персональних даних, тому таке передавання є Дозволеним передаванням даних у Європі. Це не впливає на зобов’язання Google, наведені в пункті 4.1 ("Обмежене передавання даних у Європі") цього Додатка 1A.
5.4 Передавання в Google Персональних даних жителів Великої Британії, що обробляються контролером. Якщо Клієнт передає в Google Персональні дані жителів Великої Британії, що обробляються контролером, то вважається, що Клієнт як експортер даних і Google LLC (відповідний Кінцевий контролер даних Google) як імпортер даних зобов’язалися виконувати Стандартні договірні положення для контролерів і передавання даних регулюватиметься Стандартними договірними положеннями для контролерів, оскільки адреса компанії Google LLC не зареєстрована в Країні з адекватним рівнем захисту персональних даних.
5.5 Зв’язок із Google і інформація про Клієнта.
- a) Клієнт може зв’язатися з Google Ireland Limited і/або Google LLC з питань Стандартних договірних положень для контролерів даних, скориставшись сторінкою https://support.google.com/policies/troubleshooter/9009584 або іншими засобами, які може періодично надавати компанія Google.
- b) Клієнт визнає, що, відповідно до Стандартних договірних положень для контролерів, Google має записувати певну інформацію, зокрема (i) ідентифікаційні дані й контактну інформацію імпортера даних (включно з даними будь-якої контактної особи, відповідальної за захист даних); (ii) технічні й організаційні заходи, запроваджені імпортером даних. Відповідно, Клієнт зобов’язується за запитом і відповідно до Умов надавати таку інформацію компанії Google за допомогою засобів, які може надавати компанія Google, а також забезпечувати точність і актуальність наданої інформації.
5.6 Відповіді на запити Суб’єктів даних. Імпортер даних повинен відповідати на запити від суб’єктів даних і органів нагляду, які стосуються обробки ним Персональних даних, що здійснюється контролером.
5.7 Видалення даних після припинення дії Умов. Якщо:
- a) компанія Google LLC діє як імпортер даних, а Клієнт – як експортер даних відповідно до Стандартних договірних положень для контролерів даних; і
- b) Клієнт розірве Угоду згідно з пунктом 16(c) Стандартних договірних положень для контролерів, тоді, відповідно до пункту 16(d) Стандартних договірних положень для контролерів, Клієнт подає до компанії Google запит на видалення Персональних даних, що обробляються контролером. Якщо Європейське законодавство не вимагає зберігання цих даних, компанія Google сприятиме видаленню цих даних, щойно це можна буде здійснити практично й у тій мірі, у якій таке видалення можливе (зважаючи на те, що компанія Google є незалежним контролером таких даних, а також враховуючи характер і функціональність Сервісів вимірювання ефективності).
6. Відповідальність у разі застосування Стандартних договірних положень для контролерів
Якщо згідно з пунктом 5 ("Стандартні договірні положення для контролерів") цього Додатка 1A застосовуються Стандартні договірні положення для контролерів, то сукупна відповідальність:
- a) Google, Google LLC й Google Ireland Limited перед Клієнтом; і
- b) Клієнта перед Google, Google LLC й Google Ireland Limited у зв’язку з Угодою разом зі Стандартними договірними положеннями для контролерів визначається відповідно до положень Розділу 5 ("Відповідальність"), і пункт 12 Стандартних договірних положень для контролерів даних не впливає на це речення.
7. Треті особи-бенефіціари
Якщо Google LLC та/або Google Ireland Limited не є стороною Угоди, але є стороною Стандартних договірних положень для контролерів відповідно до пункту 5 ("Стандартні договірні положення для контролерів") цього Додатка 1A, Google LLC та/або Google Ireland Limited (залежно від ситуації) буде третьою особою-бенефіціаром згідно з положеннями Розділу 4.4 ("Кінцеві контролери даних"), пункту 3 ("Кінцеві контролери даних Google"), пункту 5 ("Стандартні договірні положення для контролерів") і пункту 6 ("Відповідальність у разі застосування Стандартних договірних положень для контролерів") цього Додатка 1А. Якщо Розділ 7 ("Треті особи-бенефіціари") суперечить або не відповідає будь-якому іншому положенню Угоди, то переважну силу має Розділ 7 ("Треті особи-бенефіціари").
8. Пріоритетність
8.1 Якщо виникне конфлікт або невідповідність між Стандартними договірними положеннями для контролерів, положеннями цього Додатка 1A, рештою цих Умов для контролерів даних і/або рештою Угоди, переважну силу матимуть Стандартні договірні положення для контролерів.
8.2 Додаткові комерційні положення. Після внесення поправок у ці Умови для контролерів даних Угода зберігає повну юридичну силу й дію. Пункти від 5.5 ("Зв’язок із Google") до 5.7 ("Видалення даних після припинення дії Умов") і Розділ 6 ("Відповідальність у разі застосування Стандартних договірних положень для контролерів") цього Додатка 1A – це додаткові комерційні положення, пов’язані зі Стандартними договірними положеннями для контролерів, що передбачені пунктом 2(a) ("Застосування й незмінність положень") Стандартних договірних положень для контролерів.
8.3 Відсутність змін у Стандартних договірних положеннях для контролерів. Жодне положення Угоди (включно із цими Умовами для контролерів даних) не має на меті змінити Стандартні договірні положення для контролерів, заперечити їх або обмежити основні права й свободи суб’єктів даних відповідно до Європейського законодавства про захист даних.
ЧАСТИНА B – ДОДАТКОВІ УМОВИ ДЛЯ ЗАКОНІВ ОКРЕМИХ ШТАТІВ США ЩОДО КОНФІДЕНЦІЙНОСТІ
1. Вступ
Google може запропонувати Клієнту ввімкнути певні налаштування, конфігурації або інші функції Сервісів вимірювання ефективності, пов’язані з обмеженням обробки даних, як описано в супровідній документації за посиланням business.safety.google/rdp, що час від часу оновлюється (далі – Обмеження обробки даних). Цей Додаток 1B відображає угоду між сторонами про обробку Персональних даних Клієнта й Анонімізованих даних (як визначено нижче) відповідно до Угоди, що регулюється Законами окремих штатів США щодо конфіденційності, і діє лише в межах цих законів.
2. Додаткові визначення й тлумачення
У цьому Додатку 1B терміни вживаються в наведених нижче значеннях.
- a) Персональні дані Клієнта – персональні дані, які Google обробляє від імені Клієнта в контексті надання Сервісів вимірювання ефективності.
- b) Анонімізовані дані – це дані, для яких виключається персоналізація під час їх розкриття між сторонами (див. визначення в Законі CCPA і інших Законах окремих штатів США щодо конфіденційності).
- c) Вказівки – сукупна назва вказівок Клієнта компанії Google стосовно обробки Персональних даних Клієнта відповідно до Законів окремих штатів США щодо конфіденційності: a) для надання доступу до Сервісів з обмеженою обробкою даних і будь-якої пов’язаної технічної підтримки; b) як додатково вказано Клієнтом під час використання Сервісів з обмеженою обробкою даних (зокрема в налаштуваннях і інших функціях таких Сервісів) та будь-якої пов’язаної технічної підтримки; c) згідно з положеннями Угоди, зокрема цього Додатка 1B; d) як додатково зазначено в інших письмових вказівках, наданих Клієнтом і затверджених компанією Google у межах цього Додатка 1B; e) для обробки Персональних даних Клієнта відповідно до Законів окремих штатів США щодо конфіденційності для постачальників послуг і обробників даних.
- d) Сервіси з обмеженою обробкою даних – Сервіси контролера, які працюють в умовах Обмеженої обробки даних.
- e) Строк дії – період, який починається з Дати набуття умовами чинності й триває, поки компанія Google надає Сервіси вимірювання ефективності за Угодою.
- f) У цьому Додатку 1B терміни компанія, споживач, особиста інформація, продажі, продавати, постачальник послуг і надання доступу використовуються в значеннях, наведених у Законах окремих штатів США щодо конфіденційності.
- g) Клієнт несе повну відповідальність за дотримання всіх Законів окремих штатів США щодо конфіденційності, які стосуються використання сервісів Google, зокрема режиму Обмеження обробки даних.
3. Положення Законів окремих штатів США щодо конфіденційності для режиму Обмеження обробки даних
3.1 Обробка даних.
3.1.1
- a) Обов’язки обробника й Контролера даних. Сторони визнають і погоджуються, що:
- (i) Розділ 7 ("Предмет і деталі обробки даних відповідно до Законів окремих штатів США щодо конфіденційності") цього Додатка 1B містить інформацію про предмет і деталі процесу обробки Персональних даних Клієнта;
- (ii) Google є постачальником послуг і обробником Персональних даних Клієнта відповідно до Законів окремих штатів США щодо конфіденційності;
- (iii) Клієнт, залежно від обставин, є контролером або обробником Персональних даних Клієнта відповідно до Законів окремих штатів США щодо конфіденційності.
- b) Клієнти-обробники. Якщо Клієнт є обробником даних:
- (i) Клієнт на постійній основі гарантує, що відповідний контролер затвердив: a) Вказівки; b) призначення Клієнтом компанії Google як іще одного обробника даних; c) залучення компанією Google субпідрядників, як описано в пункті 3.6 ("Субпідрядники") цього Додатка 1B;
- (ii) Клієнт зобов’язується негайно пересилати відповідному контролеру всі сповіщення, надані компанією Google згідно з пунктами 3.3.2(a) ("Сповіщення про інцидент") і 3.6 ("Субпідрядники");
- (iii) Клієнт може надавати відповідному контролеру будь-яку інформацію від компанії Google згідно з пунктами 3.3.3(c) ("Права Клієнта на проведення аудиту") і 3.6 ("Субпідрядники").
3.1.2 Вказівки Клієнта. Приймаючи положення цього Додатка 1B, Клієнт доручає Google обробляти Персональні дані Клієнта лише відповідно до Вказівок.
3.1.3 Дотримання Вказівок компанією Google. Компанія Google зобов’язується дотримуватися Вказівок, якщо це не заборонено Законами окремих штатів США щодо конфіденційності.
3.1.4 Додаткові продукти. Якщо Клієнт використовує будь-який продукт, сервіс чи додаток від Google або сторонньої компанії, який: a) не є частиною Сервісів з обмеженою обробкою даних; b) доступний для використання в інтерфейсі користувача Сервісів з обмеженою обробкою даних або іншим чином інтегрований у них (далі – "Додатковий продукт"), Сервіси з обмеженою обробкою даних можуть надавати цьому Додатковому продукту доступ до Персональних даних Клієнта, якщо це необхідно для взаємодії Додаткового продукту з такими Сервісами. Уточнення: положення цього Додатка 1B не застосовуються до випадків обробки персональних даних у зв’язку з наданням доступу до будь-якого Додаткового продукту, який використовується Клієнтом, включно з персональними даними, що передаються в цей Додатковий продукт або з нього.
3.2 Видалення даних після завершення Строку дії. Клієнт доручає компанії Google видалити всі Персональні дані Клієнта (включно з наявними копіями) із систем Google наприкінці Строку дії відповідно до чинного законодавства. Google виконає таке доручення, щойно для цього буде розумна практична можливість, але не пізніше ніж за 180 днів (крім випадків, коли чинне законодавство вимагає зберігання таких даних).
3.3 Безпека даних.
3.3.1 Заходи безпеки Google і сприяння безпеці.
- a) Заходи безпеки Google. Компанія Google запроваджуватиме та підтримуватиме технічні й організаційні заходи для захисту Персональних даних Клієнта від випадкового чи незаконного знищення, утрати, зміни, несанкціонованого розголошення чи доступу (далі – Заходи безпеки), зокрема: (i) шифрування персональних даних; (ii) забезпечення постійної конфіденційності, цілісності, доступності й стабільності систем і сервісів Google; (iii) відновлення доступу до персональних даних після інциденту; (iv) регулярні перевірки ефективності. Компанія Google може час від часу оновлювати або змінювати Заходи безпеки за умови, що такі оновлення й зміни не призводять до зниження загальної безпеки Персональних даних Клієнта.
- b) Доступ і дотримання вимог. Google гарантує, що всі особи, уповноважені обробляти Персональні дані Клієнта, зобов’язуються забезпечувати конфіденційність або дотримуватися відповідних вимог щодо конфіденційності, передбачених законом.
- c) Сприяння безпеці компанією Google. Компанія Google (з урахуванням характеру обробки Персональних даних Клієнта й інформації, доступної для Google) допомагатиме Клієнту виконувати його зобов’язання (або, якщо Клієнт є обробником, зобов’язання відповідного контролера) щодо безпеки персональних даних і супутніх порушень, включно з такими зобов’язаннями Клієнта (або, якщо він є обробником, зобов’язаннями відповідного контролера), що регулюються Законами окремих штатів США щодо конфіденційності), зокрема:
- (i) запроваджуватиме й підтримуватиме Заходи безпеки відповідно до пункту 3.3.1(a) ("Заходи безпеки Google");
- (ii) дотримуватиметься умов пункту 3.3.2 ("Інциденти з даними"); і
- (iii) забезпечуватиме дотримання прав Клієнта відповідно до пункту 3.3.3(c) ("Права Клієнта на проведення аудиту").
3.3.2 Інциденти з даними.
- a) Сповіщення про інцидент. Якщо компанії Google стане відомо про Інцидент із даними (згідно з визначенням нижче), то Google зобов’язується: (i) сповістити Клієнта про Інцидент із даними без невиправданої затримки; і (ii) негайно вжити всіх належних заходів, щоб мінімізувати шкоду й захистити Персональні дані Клієнта. У цьому Додатку 1B Інцидент із даними – це порушення безпеки Google, що призвело до випадкового чи незаконного знищення, утрати, зміни, несанкціонованого розголошення або доступу до Персональних даних Клієнта в системах, які керуються або іншим чином контролюються компанією Google. "Інциденти з даними" не включають невдалі спроби або дії, які не загрожують безпеці Персональних даних Клієнта, зокрема невдалі спроби входу, надсилання запитів ping, сканування портів, атаки типу "відмова в обслуговуванні" й інші мережеві атаки на брандмауери або мережеві системи.
- b) Доставка сповіщень. Google зобов’язується надсилати сповіщення про будь-які Інциденти з даними на вказану Клієнтом електронну адресу через інтерфейс Сервісів з обмеженою обробкою даних чи іншими засобами, передбаченими Google для інформування щодо випадків, описаних у цьому Додатку 1B (Електронна адреса для сповіщень) або в певних випадках (зокрема якщо Клієнт не надав Електронну адресу для сповіщень) іншим способом прямого зв’язку (наприклад, телефоном, електронною поштою або під час особистої зустрічі) на власний розсуд Google. Клієнт несе повну відповідальність за надання Електронної адреси для сповіщень і перевірку її актуальності й дійсності.
- c) Сповіщення третіх осіб. Клієнт несе повну відповідальність за дотримання законів, які до нього застосовуються, щодо сповіщення про інциденти, а також за виконання будь-яких зобов’язань щодо сповіщення третіх осіб про Інциденти з даними.
- d) Невизнання вини компанією Google. Відповідно до цього пункту 3.3.2 ("Інциденти з даними") сповіщення Google про Інцидент із даними або відповідь на нього не тлумачитиметься як визнання компанією Google своєї вини або відповідальності за цей Інцидент.
3.3.3 Відповідальність Клієнта щодо безпеки й оцінки ризиків.
- a) Відповідальність Клієнта щодо безпеки. Клієнт погоджується, що, не порушуючи зобов’язання Google згідно з пунктами 3.3.1 ("Заходи безпеки Google і сприяння безпеці") та 3.3.2 ("Інциденти з даними"):
- (i) Клієнт несе відповідальність за використання Сервісів з обмеженою обробкою даних, зокрема за: 1) належне використання Сервісів з обмеженою обробкою даних для забезпечення відповідного ризикам для Персональних даних Клієнта рівня безпеки; і 2) захист облікових даних для автентифікації, систем і пристроїв, які Клієнт використовує для доступу до Сервісів з обмеженою обробкою даних; і
- (ii) компанія Google не зобов’язана захищати Персональні дані Клієнта, які він зберігає або передає за межами систем Google і її субпідрядників.
- b) Оцінка ризиків щодо безпеки Клієнтом. Клієнт визнає і погоджується, що Заходи безпеки, які запроваджує та підтримує компанія Google, як зазначено в пункті 3.3.1(a) ("Заходи безпеки Google"), забезпечують рівень безпеки, що відповідає ризикам, пов’язаним із Персональними даними Клієнта, з урахуванням сучасних технологій, витрат на запровадження, характеру, обсягу, контексту й цілей обробки Персональних даних Клієнта, а також ризиків для фізичних осіб.
- c) Права Клієнта на проведення аудиту.
- (i) Клієнт може провести перевірку, щоб підтвердити, що компанія Google дотримується зобов’язань, викладених у цьому Додатку 1B, попередньо надіславши відповідний запит, а тоді переглянувши 1) сертифікат для підтвердження безпеки з результатом перевірки, проведеної стороннім аудитором (наприклад, це може бути сертифікат стандарту SOC 2 типу II чи ISO/IEC 27001 або аналогічний чи інший сертифікат про перевірку безпеки, проведену стороннім аудитором, схваленим Клієнтом і компанією Google), протягом 12 місяців із дати надсилання запиту Клієнтом і 2) будь-яку іншу інформацію, що Google визнає необхідною для підтвердження дотримання вимог Клієнта.
- (ii) Компанія Google також може на власний розсуд або на запит Клієнта ініціювати перевірку, яка проводиться незалежним аудитором, щоб підтвердити дотримання компанією своїх зобов’язань відповідно до положень цього Додатка 1B. Під час перевірки Google надаватиме сторонньому аудитору всю інформацію, потрібну для підтвердження відповідності вимогам. Коли Клієнт надсилає запит на таку перевірку, Google може стягувати комісію (на основі власних обґрунтованих витрат). Компанія Google зобов’язується надавати Клієнту докладну інформацію про всі комісії і підстави для їх стягнення до проведення такого аудиту. Клієнт несе відповідальність за будь-які стягнення з боку стороннього аудитора, призначеного Клієнтом для проведення такого аудиту.
- (iii) Жодна умова в цьому Додатку 1B не зобов’язує компанію Google розкривати інформацію Клієнту або сторонньому аудитору чи надавати їм доступ до:
- 1) даних будь-якого іншого клієнта Організації Google;
- 2) внутрішньої бухгалтерської або фінансової інформації Організації Google;
- 3) комерційної таємниці Організації Google;
- 4) будь-якої інформації, що, на думку компанії Google, може: a) загрожувати безпеці систем або приміщень Організації Google; b) змусити будь-яку Організацію Google порушити зобов’язання, передбачені Законами окремих штатів США щодо конфіденційності, чи зобов’язання щодо безпеки та/або конфіденційності перед Клієнтом і будь-якими третіми особами;
- 5) інформації, до якої Клієнт або сторонній аудитор хоче отримати доступ із метою, не пов’язаною з добросовісним виконанням зобов’язань Клієнта відповідно до Законів окремих штатів США щодо конфіденційності.
3.4 Допомога з оцінкою наслідків. Компанія Google (з урахуванням характеру обробки даних і інформації, доступної для Google) допомагатиме Клієнту виконувати його зобов’язання (або, якщо Клієнт є обробником, зобов’язання відповідного контролера) щодо оцінки наслідків захисту персональних даних і попередніх регуляторних консультацій у тому обсязі, якого вимагають Закони окремих штатів США щодо конфіденційності, зокрема:
- a) надавати документацію з безпеки;
- b) надавати інформацію, зазначену в Угоді (включно із цим Додатком 1B); і
- c) надавати або в інший спосіб згідно зі стандартною практикою Google забезпечувати інші матеріали, що стосуються характеру Сервісів з обмеженою обробкою даних і обробки Персональних даних Клієнта (наприклад, матеріали Довідкового центру).
3.5 Права Суб’єктів даних.
3.5.1 Відповіді на запити Суб’єктів даних. Якщо Google отримує запит від суб’єкта даних щодо Персональних даних Клієнта, то Клієнт уповноважує компанію Google на наведені нижче дії, і цим інформується, що:
- a) Google безпосередньо відповідатиме на запит суб’єкта даних згідно зі стандартними функціями інструмента, наданого Організацією Google суб’єктам даних (якщо такий є), що дає Google змогу надавати пряму стандартизовану відповідь на певні запити суб’єктів даних щодо Персональних даних Клієнта, наприклад налаштувань онлайн-реклами або розширення для вебпереглядача для відключення певних сервісів (Інструмент суб’єкта даних, якщо запит надіслано через Інструмент суб’єкта даних); або
- b) Google радитиме суб’єкту даних надіслати свій запит Клієнту, і в цьому разі за відповідь на такий запит відповідатиме Клієнт (якщо запит створено не через Інструмент суб’єкта даних).
3.5.2 Допомога Google із запитами Суб’єктів даних. Google допомагатиме Клієнту виконувати його зобов’язання (або, якщо Клієнт є обробником, зобов’язання відповідного контролера) згідно із Законами окремих штатів США про конфіденційність щодо відповіді на запити про реалізацію прав суб’єкта даних у всіх випадках з урахуванням характеру обробки Персональних даних Клієнта й:
- a) забезпечуватиме доступ до функцій Сервісів з обмеженою обробкою даних;
- b) дотримуватиметься зобов’язань, викладених у пункті 3.5.1 ("Відповіді на запити Суб’єктів даних"); і
- c) надаватиме доступ до Інструментів суб’єкта даних (якщо застосовується до Сервісів з обмеженою обробкою даних).
3.5.3 Уточнення даних. Якщо Клієнту стане відомо, що його Персональні дані є неточними або застарілими, то він несе відповідальність за уточнення або видалення таких даних, якщо цього вимагають Закони окремих штатів США щодо конфіденційності, зокрема (де це можливо) за допомогою функціональних можливостей Сервісів з обмеженою обробкою даних.
3.6 Субпідрядники.
- a) Клієнт уповноважує компанію Google залучати інші організації як субпідрядників у зв’язку з наданням доступу до Сервісів з обмеженою обробкою даних. Укладаючи угоду з будь-яким субпідрядником, компанія Google зобов’язується:
- (i) письмово засвідчити, що: 1) субпідрядник має доступ до Персональних даних Клієнта й використовує їх лише в обсязі, необхідному для виконання зобов’язань відповідно до Угоди (зокрема Додатка 1B); і 2) якщо обробка Персональних даних Клієнта регулюється Законами окремих штатів США щодо конфіденційності, переконатися, що зобов’язання щодо захисту даних, викладені в цьому Додатку 1B, накладаються на субпідрядника;
- (ii) під час залучення будь-яких нових субпідрядників, якщо це вимагається Законами окремих штатів США щодо конфіденційності, сповіщати про них і надавати Клієнту можливість висловити відповідне заперечення; і
- (iii) нести повну відповідальність за всі зобов’язання субпідрядника, а також усі його дії або бездіяльність.
- b) Клієнт може не погодитися із залученням будь-якого нового субпідрядника, розірвавши Угоду негайно після письмового сповіщення Google за умови, що він надасть таке сповіщення протягом 90 днів після отримання інформації про залучення нового субпідрядника, як описано в пункті 3.6(a)(ii).
3.7 Зв’язок із Google. Клієнт може зв’язатися з Google щодо використання своїх прав відповідно до цього Додатка 1B способами, описаними на сторінці privacy.google.com/businesses/processorsupport, або іншими засобами, які може періодично надавати компанія Google.
4. Положення Законів окремих штатів США щодо конфіденційності
4.1 Анонімізовані дані. Стосовно Персональних даних Клієнта, що обробляються в режимі Обмеження обробки даних або без нього, і в тій мірі, у якій до обробки таких даних застосовуються один або кілька Законів окремих штатів США щодо конфіденційності, кожна сторона зобов’язується дотримуватися вимог щодо обробки Анонімізованих даних, як визначено в Законах окремих штатів США щодо конфіденційності, для будь-яких Анонімізованих даних, які вона отримує від іншої сторони згідно з Угодою. У контексті цього пункту 4.1 ("Анонімізовані дані") Персональні дані Клієнта – це будь-які персональні дані, які обробляються певною стороною Угоди у зв’язку з наданням або використанням Сервісів вимірювання ефективності.
5. Зобов’язання Google відповідно до закону CCPA
5.1 Якщо Персональні дані Клієнта обробляються в режимі Обмеження обробки даних і відповідно до вимог закону CCPA, компанія Google діятиме як постачальник послуг Клієнта, і, якщо законом CCPA не передбачено інше, Google зобов’язується (і на власний розсуд приймає обґрунтоване рішення щодо таких дій):
- a) не продавати й не надавати Персональні дані Клієнта, отримані від нього у зв’язку з Угодою;
- b) не зберігати, не використовувати й не розкривати Персональні дані Клієнта (зокрема поза межами безпосередніх ділових відносин між Google і Клієнтом), крім випадків, коли це потрібно для досягнення комерційних цілей від імені Клієнта відповідно до вимог закону CCPA і з певною метою, пов’язаною із Сервісами з обмеженою обробкою даних, як докладніше описано в супровідній документації на сторінці business.safety.google/rdp (інформація на цій сторінці час від часу оновлюється);
- c) не поєднувати Персональні дані Клієнта, отримані від нього або від його імені, з (i) особистою інформацією, отриманою від інших осіб або від їхнього імені, чи (ii) особистою інформацією, зібраною компанією Google під час власної взаємодії зі споживачем, як описано в супровідній документації на сторінці business.safety.google/rdp, окрім випадків, дозволених законом CCPA;
- d) обробляти такі Персональні дані Клієнта з метою забезпечення роботи Сервісів з обмеженою обробкою даних, як описано в Угоді й супровідній документації (наприклад, у статтях Довідкового центру) або в інший спосіб, дозволений законом CCPA, якщо сторони погоджуються, що Клієнт надає компанії Google доступ до своїх Персональних даних саме для таких цілей;
- e) дозволяти перевіряти, чи дотримується Google зобов’язань, викладених у цьому Додатку 1B, відповідно до пункту 3.3.3(c) ("Права Клієнта на проведення аудиту");
- f) сповістити Клієнта, якщо буде виявлено, що Google більше не може виконувати свої зобов’язання відповідно до закону CCPA (цей пункт 5.1(f) не зменшує права й зобов’язання сторін в інших положеннях Угоди);
- g) якщо Клієнт обґрунтовано вважає, що Google обробляє його Персональні дані неналежним чином, то має право сповістити про це компанію Google способами, описаними на сторінці privacy.google.com/businesses/processorsupport, і сторони зобов’язуються добросовісно співпрацювати, щоб усунути порушення правил (якщо є);
- h) дотримуватися своїх зобов’язань відповідно до закону CCPA і забезпечувати відповідний рівень захисту конфіденційності.
5.2 Якщо Персональні дані Клієнта обробляються без режиму Обмеження обробки даних і відповідно до вимог закону CCPA, Google зобов’язується:
- a) обробляти такі Персональні дані Клієнта з метою забезпечення роботи Сервісів вимірювання ефективності (якщо застосовно), як описано в Угоді й супровідній документації (наприклад, у статтях Довідкового центру) або в інший спосіб, дозволений законом CCPA, і сторони погоджуються, що Клієнт надає компанії Google доступ до таких Персональних даних саме для таких цілей;
- b) дозволяти перевіряти, чи дотримується Google зобов’язань, викладених у цьому Додатку 1B, відповідно до пункту 3.3.3(c) ("Права Клієнта на проведення аудиту");
- c) сповістити Клієнта, якщо буде виявлено, що Google більше не може виконувати свої зобов’язання відповідно до закону CCPA;
- d) якщо Клієнт обґрунтовано вважає, що Google обробляє його Персональні дані неналежним чином, то має право сповістити про це компанію Google способами, описаними на сторінці privacy.google.com/businesses/processorsupport, і сторони зобов’язуються добросовісно співпрацювати, щоб усунути порушення правил (якщо є);
- e) дотримуватися своїх зобов’язань відповідно до закону CCPA і забезпечувати відповідний рівень захисту конфіденційності.
6. Внесення змін у цей Додаток 1B
Крім Розділу 7 Умов для контролерів даних, де йдеться про зміни в них, у відповідних випадках компанія Google залишає за собою право без попередження вносити зміни в цей Додаток 1B, якщо вони: a) ґрунтуються на застосовному законі, нормативному акті чи ухвалі суду або наказі державного органу чи агентства; b) не мають істотного негативного впливу на Клієнта відповідно до Законів окремих штатів США щодо конфіденційності (на думку компанії Google).
7. Предмет і деталі обробки даних відповідно до предмета Законів окремих штатів США щодо конфіденційності
Надання Клієнту доступу до Сервісів з обмеженою обробкою даних і будь-якої відповідної технічної підтримки компанією Google.
Тривалість обробки
Строк дії плюс період від завершення Строку дії до моменту видалення компанією Google усіх Персональних даних Клієнта відповідно до Додатка 1B.
Характер і мета обробки
Google оброблятиме (зокрема, залежно від Сервісів з обмеженою обробкою даних і відповідних Вказівок, збиратиме, записуватиме, упорядковуватиме, структуруватиме, зберігатиме, змінюватиме, отримуватиме, використовуватиме, розкриватиме, об’єднуватиме, видалятиме й знищуватиме) Персональні дані Клієнта з метою надання Клієнту доступу до Сервісів з обмеженою обробкою даних і будь-якої відповідної технічної підтримки згідно з Додатком 1B або в інший спосіб, дозволений обробниками за Законами окремих штатів США щодо конфіденційності.
Типи Персональних даних
Персональні дані Клієнта можуть включати типи персональних даних, описані в Законах окремих штатів США щодо конфіденційності.
Категорії Суб’єктів даних
Персональні дані Клієнта стосуватимуться таких категорій суб’єктів даних:
- суб’єкти даних, про яких Google збирає персональні дані під час надання доступу до Сервісів з обмеженою обробкою даних; і/або
- суб’єкти даних, чиї персональні дані передаються в Google Клієнтом за його вказівкою або від його імені у зв’язку з використанням Сервісів з обмеженою обробкою даних.
Залежно від характеру Сервісів з обмеженою обробкою даних, ці суб’єкти даних можуть включати осіб: a) на яких було або буде спрямовано онлайн-рекламу; b) які мали взаємодію з певними вебсайтами чи додатками, для яких Google надає Сервіси з обмеженою обробкою даних; і/або c) які є клієнтами або користувачами продуктів чи послуг Клієнта.
Умови Google щодо захисту даних під час взаємодії між контролерами даних, версія 4.0
Попередні версії
