Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google

 Khách hàng sử dụng Dịch vụ đo lường đồng ý với những điều khoản này ("Khách hàng") đã ký thoả thuận với Google hoặc một đại lý bên thứ ba (nếu có) về việc cung cấp Dịch vụ đo lường (gọi chung là "Thoả thuận" và được sửa đổi tuỳ từng thời điểm) thông qua giao diện người dùng của dịch vụ mà Khách hàng đã bật Chế độ cài đặt cách chia sẻ dữ liệu.

Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google ("Điều khoản của đơn vị kiểm soát") này được ký kết giữa Google và Khách hàng. Trong trường hợp đây là Thoả thuận giữa Khách hàng và Google, thì Điều khoản của đơn vị kiểm soát này sẽ bổ sung cho Thoả thuận. Trong trường hợp đây là Thoả thuận giữa Khách hàng và đại lý bên thứ ba, thì Điều khoản của đơn vị kiểm soát này sẽ tạo thành một thoả thuận riêng giữa Google và Khách hàng.

Để tránh nhầm lẫn, việc cung cấp Dịch vụ đo lường sẽ chịu sự điều chỉnh của Thoả thuận này. Điều khoản của đơn vị kiểm soát này chỉ đặt ra những điều khoản về việc bảo vệ dữ liệu liên quan đến Chế độ cài đặt cách chia sẻ dữ liệu, chứ không áp dụng cho việc cung cấp Dịch vụ đo lường.

Theo Mục 6.2 (Không ảnh hưởng đến Điều khoản xử lý dữ liệu), các Điều khoản của đơn vị kiểm soát này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đó liên quan đến chủ đề, tính từ Ngày Điều khoản có hiệu lực.

Nếu thay mặt cho Khách hàng đồng ý với Điều khoản của đơn vị kiểm soát này, bạn đảm bảo rằng: (a) bạn có đầy đủ quyền hạn pháp lý để ràng buộc Khách hàng với Điều khoản của đơn vị kiểm soát này; (b) bạn đã đọc và hiểu rõ Điều khoản của đơn vị kiểm soát này; và (c) bạn thay mặt cho Khách hàng đồng ý với Điều khoản của đơn vị kiểm soát này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Khách hàng, vui lòng không chấp nhận Điều khoản của đơn vị kiểm soát này.

Vui lòng không chấp nhận Điều khoản của đơn vị kiểm soát này nếu bạn là đại lý. Điều khoản của đơn vị kiểm soát này đặt ra các quyền và nghĩa vụ áp dụng cho người dùng Dịch vụ đo lường và Google.

1. Giới thiệu

Điều khoản của đơn vị kiểm soát này phản ánh thoả thuận giữa các bên về việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát theo Chế độ cài đặt cách chia sẻ dữ liệu.

2. Định nghĩa và diễn giải

2.1

Trong Điều khoản của đơn vị kiểm soát này:

"Điều khoản bổ sung" là những điều khoản bổ sung được đề cập trong Phụ lục 1, phản ánh thoả thuận của các bên về những điều khoản điều chỉnh việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát liên quan đến một số Luật bảo vệ dữ liệu hiện hành.

"Đơn vị liên kết" là pháp nhân kiểm soát trực tiếp hoặc gián tiếp một bên, chịu sự kiểm soát của bên đó hoặc chịu sự kiểm soát chung với bên đó.

"Luật bảo vệ dữ liệu hiện hành", tuỳ thuộc vào quy trình xử lý Dữ liệu cá nhân của đơn vị kiểm soát, là luật hay quy định bảo mật dữ liệu, bảo vệ dữ liệu, quyền riêng tư bất kỳ ở cấp tỉnh, tiểu bang, Liên minh Châu Âu, liên bang, quốc gia, hoặc luật hay quy định bảo mật dữ liệu, bảo vệ dữ liệu, quyền riêng tư khác, kể cả Luật bảo vệ dữ liệu ở Châu Âu, Luật chung về việc bảo vệ dữ liệu cá nhân (LGPD) và Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

"Thông tin mật" là Điều khoản của đơn vị kiểm soát này.

"Chủ thể dữ liệu của đơn vị kiểm soát" là chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân của đơn vị kiểm soát.

"Dữ liệu cá nhân của đơn vị kiểm soát" là dữ liệu cá nhân được một bên xử lý theo Chế độ cài đặt cách chia sẻ dữ liệu.

"Chế độ cài đặt cách chia sẻ dữ liệu" là chế độ cài đặt cách chia sẻ dữ liệu mà Khách hàng đã bật thông qua giao diện người dùng của Dịch vụ đo lường, đồng thời cho phép Google cũng như Đơn vị liên kết của Google sử dụng dữ liệu cá nhân để cải thiện các sản phẩm và dịch vụ của Google cũng như của Đơn vị liên kết của Google.

"Đơn vị kiểm soát cuối" là đơn vị cuối cùng sẽ kiểm soát Dữ liệu cá nhân của đơn vị kiểm soát (đối với mỗi bên).

"GDPR EU" là Quy định (Liên minh Châu Âu) 2016/679 ngày 27 tháng 4 năm 2016 của Nghị viện và Hội đồng Châu Âu về việc bảo vệ thể nhân có liên quan đến việc xử lý dữ liệu cá nhân và việc di chuyển tự do dữ liệu này. Quy định này cũng bãi bỏ Chỉ thị 95/46/EC.

"Luật bảo vệ dữ liệu ở Châu Âu", tuỳ từng trường hợp, là: (a) Quy định chung về việc bảo vệ dữ liệu (GDPR); và/hoặc (b) Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ (Swiss FDPA).

“GDPR”, tuỳ từng trường hợp, là: (a) GDPR EU; và/hoặc (b) GDPR UK.

“Google” có nghĩa cụ thể trong từng trường hợp như sau:

  • (a) khi Pháp nhân Google là bên tham gia vào Thỏa thuận này, thì "Google" là Pháp nhân Google.
  • (b) khi Thỏa thuận được ký kết giữa Khách hàng và đại lý bên thứ ba và:
    • (i) đại lý bên thứ ba có trụ sở ở Bắc Mỹ hoặc ở một khu vực khác ngoài Châu Âu, Trung Đông, Châu Phi, Châu Á và Châu Đại Dương, thì "Google" là Google LLC (trước đây là Google Inc.);
    • (ii) đại lý bên thứ ba có trụ sở tại Châu Âu, Trung Đông hoặc Châu Phi, thì "Google" là Google Ireland Limited; hoặc
    • (iii) đại lý bên thứ ba có trụ sở tại Châu Á và Châu Đại Dương, thì "Google" là Google Asia Pacific Pte. Ltd.

"Pháp nhân Google" là Google LLC, Google Ireland Limited hoặc mọi Đơn vị liên kết khác của Google LLC.

"LGPD" là Luật chung về việc bảo vệ dữ liệu (Lei Geral de Proteção de Dados Pessoais) của Brazil.

"Dịch vụ đo lường" là Google Analytics, Google Analytics 360, Google Analytics cho Firebase, Google Optimize hoặc Google Optimize 360, tuỳ thuộc vào Chế độ cài đặt cách chia sẻ dữ liệu mà các bên đã đồng ý theo Điều khoản của đơn vị kiểm soát này.

“Chính sách” là Chính sách về sự đồng ý của người dùng cuối của Google có tại https://www.google.com/about/company/user-consent-policy.html.

“Điều khoản xử lý dữ liệu” có nghĩa cụ thể trong từng trường hợp như sau:

  • (a) khi Google là một bên tham gia Thoả thuận, các điều khoản xử lý dữ liệu sẽ có tại https://business.safety.google/adsprocessorterms; hoặc
  • (b) khi Thoả thuận được ký kết giữa Khách hàng và đại lý bên thứ ba, các điều khoản đó phản ánh mối quan hệ giữa đơn vị kiểm soát và đơn vị xử lý (nếu có) theo thoả thuận giữa Khách hàng và đại lý bên thứ ba.

"Swiss FDPA" là Đạo luật bảo vệ dữ liệu của liên bang có hiệu lực từ ngày 19 tháng 6 năm 1992 (Thuỵ Sĩ).

"Ngày Điều khoản có hiệu lực" là ngày mà Khách hàng nhấp để chấp nhận hoặc ngày mà các bên đồng ý với Điều khoản của đơn vị kiểm soát này.

"Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh" là Dữ liệu cá nhân của đơn vị kiểm soát có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Vương quốc Anh.

"GDPR UK" là GDPR EU như được sửa đổi và đưa vào luật của Vương quốc Anh theo Đạo luật (Rút lui khỏi) Liên minh Châu Âu của Vương quốc Anh năm 2018 và văn bản luật pháp thứ cấp hiện hành được ban hành theo Đạo luật đó.

"Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ", tuỳ từng trường hợp, là: (i) Đạo luật về quyền riêng tư của người tiêu dùng tại California năm 2018 (bao gồm cả nội dung sửa đổi theo Đạo luật về quyền riêng tư của California năm 2020) cùng với tất cả các quy định thực thi ("CCPA"); (ii) Đạo luật bảo vệ dữ liệu người tiêu dùng của Virginia, Điều § 59.1-571 trở đi trong mục chú giải của Đạo luật của Virginia; và (iii) Đạo luật về quyền riêng tư của Colorado, Điều § 6-1-1301 trở đi trong Đạo luật được sửa đổi của Colorado; (iv) Đạo luật về giám sát trực tuyến và quyền riêng tư dữ liệu của Connecticut, Đạo luật công cộng số 22015; và (v) Đạo luật về quyền riêng tư của người tiêu dùng tại Utah, Điều § 13-61-101 trở đi trong mục chú giải của Đạo luật của Utah.

2.2

Các thuật ngữ "đơn vị kiểm soát", "chủ thể dữ liệu", "dữ liệu cá nhân", "việc xử lý" và "đơn vị xử lý" khi được sử dụng trong Điều khoản của đơn vị kiểm soát này có ý nghĩa như đã nêu trong (a) Luật bảo vệ dữ liệu hiện hành; hoặc (b) GDPR nếu Luật bảo vệ dữ liệu hiện hành không đưa ra quy định hoặc định nghĩa nào cho những thuật ngữ đó.

2.3

Mọi ví dụ trong Điều khoản của đơn vị kiểm soát này chỉ nhằm mục đích minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.

2.4

Mọi thông tin dẫn chiếu đến khung pháp lý, đạo luật hoặc hoạt động ban hành bộ luật khác đều là thông tin dẫn chiếu đến nội dung được sửa đổi hoặc ban hành lại của thông tin đó tuỳ từng thời điểm.

2.5

Trong bất kỳ trường hợp nào mà bản dịch của Thỏa thuận này không nhất quán với bản tiếng Anh, thì bản tiếng Anh sẽ được áp dụng.

2.6

Thông tin dẫn chiếu trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát đến "Điều khoản bảo vệ dữ liệu giữa các đơn vị kiểm soát của Google Ads" sẽ được xem là "Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google".

3. Phạm vi áp dụng Điều khoản của đơn vị kiểm soát này

3.1 Quy định chung

Điều khoản của đơn vị kiểm soát này sẽ chỉ áp dụng cho Chế độ cài đặt cách chia sẻ dữ liệu mà các bên đã đồng ý với Điều khoản của đơn vị kiểm soát này (ví dụ: Chế độ cài đặt cách chia sẻ dữ liệu mà Khách hàng đã nhấp để chấp nhận Điều khoản của đơn vị kiểm soát này).

3.2 Thời hạn áp dụng

Điều khoản của đơn vị kiểm soát này sẽ áp dụng từ Ngày Điều khoản có hiệu lực và tiếp tục có hiệu lực trong thời gian Google hoặc Khách hàng xử lý Dữ liệu cá nhân của đơn vị kiểm soát, sau đó, Điều khoản của đơn vị kiểm soát này sẽ tự động chấm dứt.

4. Vai trò và quy định hạn chế về việc xử lý dữ liệu

4.1 Đơn vị kiểm soát độc lập

Theo Mục 4.4 (Đơn vị kiểm soát cuối), mỗi bên:

  • (a) là một đơn vị kiểm soát độc lập đối với Dữ liệu cá nhân của đơn vị kiểm soát;
  • (b) sẽ xác định riêng mục đích và phương tiện xử lý Dữ liệu cá nhân của đơn vị kiểm soát; và
  • (c) sẽ tuân thủ nghĩa vụ hiện hành theo Luật bảo vệ dữ liệu hiện hành về việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát.

4.2 Quy định hạn chế về việc xử lý dữ liệu

Mục 4.1 (Đơn vị kiểm soát độc lập) sẽ không làm ảnh hưởng đến bất kỳ quy định hạn chế nào đối với quyền sử dụng của một trong hai bên hoặc việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát theo Thoả thuận này.

4.3 Sự đồng ý của người dùng cuối

Khách hàng sẽ tuân thủ Chính sách về Dữ liệu cá nhân của đơn vị kiểm soát được chia sẻ theo Chế độ cài đặt cách chia sẻ dữ liệu và sẽ luôn chịu trách nhiệm chứng minh sự tuân thủ đó.

4.4 Đơn vị kiểm soát cuối

Với nghĩa vụ không thay đổi của mỗi bên theo Điều khoản của đơn vị kiểm soát này, mỗi bên xác nhận rằng: (a) Đơn vị liên kết hoặc khách hàng của bên kia có thể là Đơn vị kiểm soát cuối; và (b) bên kia có thể đóng vai trò là đơn vị xử lý thay mặt cho Đơn vị kiểm soát cuối của họ. Mỗi bên sẽ đảm bảo rằng Đơn vị kiểm soát cuối của mình tuân thủ Điều khoản của đơn vị kiểm soát.

4.5 Tính minh bạch

Khách hàng xác nhận rằng Google đã công bố thông tin về cách Google sử dụng thông tin từ những trang web, ứng dụng hoặc tài sản khác có sử dụng dịch vụ của Google tại https://business.safety.google/privacy/. Khi không ảnh hưởng đến nghĩa vụ của Đơn vị kiểm soát theo Mục 4.1(c), Khách hàng có thể liên kết với trang đó để cung cấp thông tin cho Chủ thể dữ liệu của đơn vị kiểm soát về việc Google xử lý Dữ liệu cá nhân của đơn vị kiểm soát.

5. Trách nhiệm pháp lý

5.1

Nếu Google:

  • (a) là bên tham gia Thoả thuận và Thoả thuận này chịu sự điều chỉnh của luật pháp tại:
    • (i) một tiểu bang của Hợp chúng quốc Hoa Kỳ, thì theo đó, bất kể có nội dung khác đi trong Thoả thuận này, toàn bộ trách nhiệm pháp lý của một trong hai bên đối với bên kia theo hoặc liên quan đến Điều khoản của đơn vị kiểm soát này sẽ giới hạn ở số tiền hoặc khoản thanh toán tối đa mà bên đó phải chịu đối với trách nhiệm pháp lý theo Thoả thuận này (và do đó, mọi trường hợp loại trừ yêu cầu bồi thường khỏi giới hạn trách nhiệm pháp lý của Thoả thuận sẽ không áp dụng cho yêu cầu bồi thường theo Thoả thuận liên quan đến Luật bảo vệ dữ liệu hiện hành); hoặc
    • (ii) một khu vực tài phán không thuộc một tiểu bang của Hợp chúng quốc Hoa Kỳ, thì trách nhiệm pháp lý của các bên theo hoặc liên quan đến Điều khoản của đơn vị kiểm soát này sẽ tuân theo quy định loại trừ và giới hạn trách nhiệm pháp lý trong Thoả thuận này; hoặc
  • (b) không phải là bên tham gia Thoả thuận này, thì trong phạm vi luật hiện hành cho phép, Google sẽ không chịu trách nhiệm pháp lý nếu Khách hàng bị mất doanh thu hay gặp phải những thiệt hại gián tiếp, đặc biệt, bất ngờ, do hậu quả, để làm gương hoặc trừng phạt, ngay cả khi Google hay Đơn vị liên kết của Google đã được thông báo, đã biết hay lẽ ra phải biết rằng những thiệt hại đó không đủ điều kiện để Google thực hiện biện pháp khắc phục. Tổng trách nhiệm pháp lý tích luỹ của Google (và Đơn vị liên kết của Google) đối với Khách hàng hoặc bất kỳ bên nào khác cho mọi tổn thất hay thiệt hại phát sinh từ việc khiếu nại, thiệt hại hay hành động xảy ra do hoặc liên quan đến Điều khoản của đơn vị kiểm soát này sẽ không vượt quá 500 đô la Mỹ (USD).

6. Hiệu lực của Điều khoản của đơn vị kiểm soát

6.1 Thứ tự ưu tiên

Nếu có bất kỳ xung đột hoặc điểm không nhất quán nào giữa Điều khoản bổ sung, phần còn lại của Điều khoản của đơn vị kiểm soát này và/hoặc phần còn lại của Thoả thuận này, thì theo Mục 4.2 (Quy định hạn chế về việc xử lý dữ liệu) và Mục 6.2 (Không ảnh hưởng đến Điều khoản xử lý dữ liệu), thứ tự ưu tiên sau đây sẽ được áp dụng: (a) Điều khoản bổ sung (nếu có); (b) phần còn lại của Điều khoản của đơn vị kiểm soát này; và (c) phần còn lại của Thoả thuận này. Theo nội dung sửa đổi trong Điều khoản của đơn vị kiểm soát này, Thoả thuận giữa Google và Khách hàng sẽ vẫn có đầy đủ hiệu lực.

6.2 Không ảnh hưởng đến Điều khoản xử lý dữ liệu

Điều khoản của đơn vị kiểm soát này sẽ không thay thế hay làm ảnh hưởng đến bất kỳ Điều khoản xử lý dữ liệu nào. Để tránh nhầm lẫn, nếu Khách hàng là bên ký kết Điều khoản xử lý dữ liệu liên quan đến Dịch vụ đo lường, thì Điều khoản xử lý dữ liệu sẽ tiếp tục áp dụng cho Dịch vụ đo lường, bất kể việc Điều khoản của đơn vị kiểm soát này sẽ áp dụng cho Dữ liệu cá nhân của đơn vị kiểm soát được xử lý theo Chế độ cài đặt cách chia sẻ dữ liệu.

7. Các thay đổi đối với Điều khoản của đơn vị kiểm soát này

7.1 Các thay đổi đối với Điều khoản của đơn vị kiểm soát

Google có thể thay đổi Điều khoản của đơn vị kiểm soát này nếu thay đổi đó:

  • (a) phản ánh việc thay đổi tên hoặc hình thức của một pháp nhân;
  • (b) cần thiết để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành, hoặc nếu thay đổi đó phản ánh việc Google sử dụng Giải pháp chuyển giao thay thế (như định nghĩa trong Phụ lục 1A);
  • (c) được quy định trong Mục 7.2 (Các thay đổi đối với URL) hoặc
  • (d) không: (i) tìm cách thay đổi cách phân loại của các bên là đơn vị kiểm soát Dữ liệu cá nhân của đơn vị kiểm soát theo Luật bảo vệ dữ liệu hiện hành; (ii) mở rộng phạm vi hoặc gỡ bỏ bất kỳ quy định hạn chế nào đối với quyền sử dụng hoặc xử lý Dữ liệu cá nhân của đơn vị kiểm soát của một trong hai bên; hoặc (iii) tác động bất lợi đáng kể đến Khách hàng, theo quyết định hợp lý của Google.

7.2 Các thay đổi đối với URL

Tuỳ từng thời điểm, Google có thể thay đổi URL bất kỳ được dẫn chiếu trong Điều khoản của đơn vị kiểm soát này và nội dung tại bất kỳ URL nào như vậy.

7.3 Thông báo về các thay đổi

Nếu Google có ý định thay đổi Điều khoản của đơn vị kiểm soát này theo Mục 7.1(b) và thay đổi đó sẽ có tác động bất lợi đáng kể đến Khách hàng (theo quyết định hợp lý của Google), thì Google sẽ thực hiện những nỗ lực hợp lý về phương diện thương mại để thông báo cho Khách hàng ít nhất 30 ngày trước khi thay đổi đó có hiệu lực (hoặc khoảng thời gian ngắn hơn nếu buộc phải tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành). Nếu phản đối bất kỳ thay đổi nào nêu trên, Khách hàng có thể tắt Chế độ cài đặt cách chia sẻ dữ liệu.

8. Các điều khoản bổ sung

8.1

Mục 8 (Các điều khoản bổ sung) này sẽ chỉ áp dụng trong trường hợp Google không phải là một bên tham gia Thoả thuận này.

8.2

Mỗi bên sẽ thực hiện nghĩa vụ của mình theo Điều khoản của đơn vị kiểm soát này với kỹ năng và sự cẩn trọng ở mức hợp lý.

8.3

Không bên nào được sử dụng hoặc tiết lộ Thông tin mật của bên kia mà không có sự đồng ý trước bằng văn bản của bên kia, trừ trường hợp phục vụ cho mục đích thực thi quyền hoặc thực hiện nghĩa vụ theo Điều khoản của đơn vị kiểm soát này hoặc theo yêu cầu của pháp luật, quy định hoặc lệnh toà; trong trường hợp đó, bên buộc phải tiết lộ Thông tin mật sẽ nỗ lực hợp lý để thông báo cho bên kia càng sớm càng tốt trước khi tiết lộ Thông tin mật.

8.4

Trong phạm vi tối đa được luật hiện hành cho phép, trừ trường hợp được quy định rõ ràng trong Điều khoản của đơn vị kiểm soát này, Google không đảm bảo dưới bất kỳ hình thức nào, dù rõ ràng, ngụ ý, theo luật định hay hình thức khác, bao gồm nhưng không giới hạn ở việc đảm bảo về tính có thể bán được, sự thích hợp đối với một nhu cầu sử dụng cụ thể và khả năng không vi phạm.

8.5

Không bên nào phải chịu trách nhiệm pháp lý về việc không thực hiện hoặc trì hoãn thực hiện do các tình huống nằm ngoài khả năng kiểm soát hợp lý của bên đó.

8.6

Nếu bất kỳ điều khoản nào (hoặc một phần của điều khoản) trong Điều khoản của đơn vị kiểm soát này không hợp lệ, bất hợp pháp hoặc không thể thi hành, thì các mục còn lại của Điều khoản của đơn vị kiểm soát này sẽ vẫn có hiệu lực.

8.7

(a) Trừ trường hợp được quy định trong mục (b) bên dưới, Điều khoản của đơn vị kiểm soát này sẽ chịu sự điều chỉnh và được giải thích theo luật của tiểu bang California mà không cần dẫn chiếu đến nguyên tắc xung đột pháp luật tại tiểu bang này. Trong trường hợp có bất kỳ xung đột nào giữa luật pháp, quy tắc và quy định của nước ngoài và luật pháp, quy tắc và quy định của California, thì luật pháp, quy tắc và quy định của California sẽ được ưu tiên và có hiệu lực thi hành. Mỗi bên đồng ý tuân theo thẩm quyền riêng và độc quyền của toà án tại Hạt Santa Clara, California. Công ước Liên Hiệp Quốc về Hợp đồng mua bán hàng hoá quốc tế và Đạo luật thống nhất về giao dịch thông tin trên máy tính không được áp dụng cho Điều khoản của đơn vị kiểm soát này.

(b) Trong trường hợp đây là Thoả thuận giữa Khách hàng và đại lý bên thứ ba, và đại lý bên thứ ba đó được thành lập ở Châu Âu, Trung Đông hoặc Châu Phi, thì Điều khoản của đơn vị kiểm soát này sẽ chịu sự điều chỉnh của luật pháp Anh. Mỗi bên đồng ý tuân theo quyền tài phán độc quyền của các toà án ở Anh liên quan đến bất kỳ tranh chấp nào (có hoặc không liên quan đến hợp đồng) phát sinh từ hoặc liên quan đến Điều khoản của đơn vị kiểm soát này.

(c) Trong trường hợp Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát được áp dụng và đề ra luật điều chỉnh khác với luật đã nêu trong mục (a) và (b) ở trên, thì luật điều chỉnh trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ chỉ áp dụng đối với Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

(d) Công ước Liên Hiệp Quốc về Hợp đồng mua bán hàng hoá quốc tế và Đạo luật thống nhất về giao dịch thông tin trên máy tính không được áp dụng cho Điều khoản của đơn vị kiểm soát này.

8.8

Tất cả thông báo về việc chấm dứt hoặc vi phạm phải được lập thành văn bản bằng tiếng Anh và gửi tới Bộ phận pháp chế của bên kia. Địa chỉ nhận thông báo của Bộ phận pháp chế của Google là legal-notices@google.com. Thông báo sẽ được coi là đã ban hành ngay khi bên kia nhận được thư thông báo, được xác minh văn bản báo nhận hay biên nhận tự động hoặc bằng nhật ký điện tử (nếu có).

8.9

Không bên nào được coi là từ bỏ quyền của mình do không thực thi (hoặc trì hoãn thực thi) bất kỳ quyền nào theo Điều khoản của đơn vị kiểm soát này. Không bên nào được chuyển nhượng bất kỳ phần nào của Điều khoản của đơn vị kiểm soát này mà không có sự đồng ý bằng văn bản của bên kia, ngoại trừ trường hợp chuyển nhượng cho Đơn vị liên kết trong đó: (a) bên được chuyển nhượng đã đồng ý chịu ràng buộc bởi các điều khoản trong Điều khoản của đơn vị kiểm soát này; (b) bên chuyển nhượng tiếp tục chịu trách nhiệm pháp lý đối với các nghĩa vụ trong Điều khoản của đơn vị kiểm soát này nếu bên được chuyển nhượng không thực hiện các nghĩa vụ đó; (c) trong trường hợp Khách hàng, bên chuyển nhượng đã chuyển (các) tài khoản Dịch vụ đo lường cho bên được chuyển nhượng; và (d) bên chuyển nhượng đã thông báo cho bên kia về việc chuyển nhượng. Mọi nỗ lực chuyển nhượng khác đều không có hiệu lực.

8.10

Các bên là những nhà thầu độc lập. Điều khoản của đơn vị kiểm soát này không cấu thành mối quan hệ đại lý, đối tác hay liên doanh giữa các bên. Điều khoản của đơn vị kiểm soát này không mang lại bất kỳ lợi ích nào cho bất kỳ bên thứ ba nào, trừ trường hợp Điều khoản của đơn vị kiểm soát này nêu rõ các lợi ích dành cho bên thứ ba.

8.11

Trong phạm vi tối đa được luật pháp hiện hành cho phép, Điều khoản của đơn vị kiểm soát này nêu rõ tất cả các điều khoản đã thoả thuận giữa các bên. Sau khi các bên ký kết Điều khoản của đơn vị kiểm soát này, không bên nào được căn cứ vào cũng như được hưởng quyền hoặc đòi bồi thường dựa trên bất kỳ tuyên bố, sự cam đoan hoặc đảm bảo nào (cho dù do sơ suất hay vô tình), trừ trường hợp được nêu rõ trong Điều khoản của đơn vị kiểm soát này.

 

Phụ lục 1: Điều khoản bổ sung cho Luật bảo vệ dữ liệu hiện hành

PHẦN A – ĐIỀU KHOẢN BỔ SUNG CHO LUẬT BẢO VỆ DỮ LIỆU Ở CHÂU ÂU

1. Giới thiệu

Phụ lục 1A này sẽ chỉ áp dụng trong trường hợp Luật bảo vệ dữ liệu ở Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát.

2. Định nghĩa

2.1 Trong Phụ lục 1A này:

"Quốc gia thoả đáng" là:

  • (a) đối với dữ liệu được xử lý theo GDPR EU: Khu vực kinh tế Châu Âu (EEA) hoặc một quốc gia/lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo GDPR EU;
  • (b) đối với dữ liệu được xử lý theo GDPR UK: Vương quốc Anh hoặc một quốc gia/lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo GDPR UK và Đạo luật bảo vệ dữ liệu năm 2018; và/hoặc
  • (c) đối với dữ liệu được xử lý theo Swiss FDPA: Thuỵ Sĩ hoặc một quốc gia/lãnh thổ (i) nằm trong danh sách những tiểu bang có luật pháp đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo quy định của Uỷ ban thông tin và bảo vệ dữ liệu liên bang của Thuỵ Sĩ, hoặc (ii) được Hội đồng liên bang Thuỵ Sĩ công nhận là đảm bảo việc bảo vệ dữ liệu ở mức độ thoả đáng theo Swiss FDPA (tuỳ từng trường hợp), trừ trường hợp áp dụng trên cơ sở khung bảo vệ dữ liệu không bắt buộc.

"Giải pháp chuyển giao thay thế" là một giải pháp (ngoại trừ Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) cho phép chuyển hợp pháp dữ liệu cá nhân đến một quốc gia thứ ba theo Luật bảo vệ dữ liệu ở Châu Âu. Ví dụ: một khung bảo vệ dữ liệu được công nhận là có thể đảm bảo rằng các pháp nhân tham gia xử lý dữ liệu sẽ bảo vệ dữ liệu ở mức độ thoả đáng.

"Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát" là những điều khoản có tại business.safety.google/adscontrollerterms/sccs/c2c.

"EEA" là Khu vực kinh tế Châu Âu.

"Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu" là Dữ liệu cá nhân của đơn vị kiểm soát có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Khu vực kinh tế Châu Âu (EEA) hoặc Thuỵ Sĩ.

"Luật của Châu Âu", tuỳ từng trường hợp, là: (a) luật của Liên minh Châu Âu hoặc quốc gia thành viên Liên minh Châu Âu (nếu GDPR EU áp dụng cho việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát); (b) luật của Vương quốc Anh hoặc một phần của Vương quốc Anh (nếu GDPR UK áp dụng cho việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát); và (c) luật của Thuỵ Sĩ (nếu Swiss FDPA áp dụng cho việc xử lý Dữ liệu cá nhân của đơn vị kiểm soát).

"Đơn vị kiểm soát cuối của Google" là Đơn vị kiểm soát cuối đối với Dữ liệu cá nhân của đơn vị kiểm soát do Google xử lý.

"Hoạt động chuyển dữ liệu được cho phép ở Châu Âu" là hoạt động xử lý Dữ liệu cá nhân của đơn vị kiểm soát ở một Quốc gia thoả đáng hoặc hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát đến một Quốc gia thoả đáng.

"(Các) hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu" là (các) hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát: (a) tuân thủ Luật bảo vệ dữ liệu ở Châu Âu; và (b) không phải là Hoạt động chuyển dữ liệu được cho phép ở Châu Âu.

"Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh" là Dữ liệu cá nhân của đơn vị kiểm soát có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Vương quốc Anh.

2.2 Các thuật ngữ "đơn vị nhập dữ liệu" và "đơn vị xuất dữ liệu" có ý nghĩa như trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

3. Đơn vị kiểm soát cuối của Google

Đơn vị kiểm soát cuối của Google là: (i) Google Ireland Limited đối với Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu do Google xử lý; và (ii) Google LLC đối với Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh do Google xử lý. Mỗi bên sẽ đảm bảo rằng Đơn vị kiểm soát cuối của mình tuân thủ Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát (nếu có).

4. Hoạt động chuyển dữ liệu

4.1 Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu. Một trong hai bên có thể thực hiện Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu nếu tuân thủ các điều khoản về Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu trong Luật bảo vệ dữ liệu ở Châu Âu.

4.2 Giải pháp chuyển giao thay thế.

  • (a) Nếu Google đã áp dụng Giải pháp chuyển giao thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì: (i) Google sẽ đảm bảo rằng Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu được tiến hành theo Giải pháp chuyển giao thay thế đó; và (ii) đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này sẽ không áp dụng cho Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu đó.
  • (b) Nếu Google chưa sử dụng hoặc chưa thông báo cho Khách hàng rằng Google không còn sử dụng Giải pháp chuyển giao thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này sẽ áp dụng cho các Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu đó.

4.3 Điều khoản chuyển tiếp.

  • (a) Phạm vi áp dụng Đoạn 4.3. Đoạn 4.3(b) (Sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu) và đoạn 4.3(c) (Bảo vệ Dữ liệu cá nhân của nhà cung cấp dữ liệu) của Phụ lục 1A này sẽ chỉ áp dụng trong trường hợp:
    • (i) một bên ("Đơn vị nhận dữ liệu") xử lý Dữ liệu cá nhân của đơn vị kiểm soát do bên kia cung cấp ("Nhà cung cấp dữ liệu") liên quan đến Thoả thuận này (Dữ liệu cá nhân của đơn vị kiểm soát, "Dữ liệu cá nhân của nhà cung cấp dữ liệu");
    • (ii) Nhà cung cấp dữ liệu hoặc Đơn vị liên kết của Nhà cung cấp dữ liệu được chứng nhận theo Giải pháp chuyển giao thay thế; và
    • (iii) Nhà cung cấp dữ liệu thông báo bằng văn bản cho Đơn vị nhận dữ liệu về chứng chỉ Giải pháp chuyển giao thay thế đó.
  • (b) Sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu.
    • (i) Trong trường hợp một Giải pháp chuyển giao thay thế hiện hành bao gồm cả nguyên tắc chuyển giao, thì căn cứ vào các nguyên tắc chuyển giao đó trong Giải pháp chuyển giao thay thế có liên quan, Đơn vị nhận dữ liệu sẽ chỉ sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu theo cách phù hợp với sự đồng ý của Chủ thể dữ liệu của Đơn vị kiểm soát có liên quan.
    • (ii) Trong trường hợp Nhà cung cấp dữ liệu không nhận được sự đồng ý của Chủ thể dữ liệu của đơn vị kiểm soát có liên quan theo yêu cầu của Thoả thuận, Đơn vị nhận dữ liệu sẽ không vi phạm đoạn 4.3(b)(i) nếu sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu một cách phù hợp khi có sự đồng ý cần thiết.
  • (c) Bảo vệ Dữ liệu cá nhân của nhà cung cấp dữ liệu.
    • (i) Đơn vị nhận dữ liệu sẽ bảo vệ Dữ liệu cá nhân của nhà cung cấp dữ liệu, ít nhất là ở mức độ cần thiết theo Giải pháp chuyển giao thay thế hiện hành.
    • (ii) Nếu Đơn vị nhận dữ liệu xác định rằng mình không thể tuân thủ đoạn 4.3(c)(i), thì Đơn vị nhận dữ liệu sẽ: (A) thông báo bằng văn bản cho Nhà cung cấp dữ liệu; và (B) ngừng xử lý Dữ liệu cá nhân của nhà cung cấp dữ liệu hoặc thực hiện các bước hợp lý và thích hợp để khắc phục tình trạng không tuân thủ đó.
  • (d) Việc sử dụng và cấp giấy chứng nhận cho Giải pháp chuyển giao thay thế. Thông tin về việc Google và/hoặc Đơn vị liên kết của Google sử dụng hoặc cấp giấy chứng nhận theo bất kỳ Giải pháp chuyển giao thay thế nào đều có tại https://policies.google.com/privacy/frameworks. Đoạn 4.3(d) này cấu thành thông báo bằng văn bản về chứng chỉ hiện tại của Google và/hoặc Đơn vị liên kết của Google vào Ngày Điều khoản có hiệu lực theo mục đích của đoạn 4.3(a)(iii).

5. Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát

5.1 Hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu cho Khách hàng. Trong trường hợp:

  • (a) Google chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu cho Khách hàng; và
  • (b) việc chuyển dữ liệu này là Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, Khách hàng có vai trò là đơn vị nhập dữ liệu sẽ được xem là đã ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát với Google Ireland Limited (trong trường hợp này là Đơn vị kiểm soát cuối của Google) có vai trò là đơn vị xuất dữ liệu; đồng thời, việc chuyển dữ liệu sẽ tuân theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

5.2 Hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh cho Khách hàng. Trong trường hợp:

  • (a) Google chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh cho Khách hàng; và
  • (b) việc chuyển dữ liệu này là Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, Khách hàng có vai trò là đơn vị nhập dữ liệu sẽ được xem là đã ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát với Google LLC (trong trường hợp này là Đơn vị kiểm soát cuối của Google) có vai trò là đơn vị xuất dữ liệu; đồng thời, việc chuyển dữ liệu sẽ tuân theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

5.3 Hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu cho Google. Các bên xác nhận rằng trong trường hợp Khách hàng chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Châu Âu cho Google, bạn không bắt buộc phải có Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát vì địa chỉ của Google Ireland Limited (trong trường hợp này là Đơn vị kiểm soát cuối của Google) nằm ở một Quốc gia thoả đáng và việc chuyển dữ liệu đó là Hoạt động chuyển dữ liệu được cho phép ở Châu Âu. Điều này không ảnh hưởng đến nghĩa vụ của Google theo đoạn 4.1 (Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu) của Phụ lục 1A này.

5.4 Hoạt động chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh cho Google. Trong trường hợp Khách hàng chuyển Dữ liệu cá nhân của đơn vị kiểm soát tại Vương quốc Anh cho Google, Khách hàng có vai trò là đơn vị xuất dữ liệu sẽ được coi là đã ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát với Google LLC (trong trường hợp này là Đơn vị kiểm soát cuối của Google) có vai trò là đơn vị nhập dữ liệu và việc chuyển dữ liệu sẽ tuân theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, vì địa chỉ của Google LLC không nằm ở Quốc gia thoả đáng.

5.5 Liên hệ với Google; Thông tin khách hàng.

  • (a) Khách hàng có thể liên hệ với Google Ireland Limited và/hoặc Google LLC về Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát tại https://support.google.com/policies/troubleshooter/9009584 hoặc thông qua các phương thức khác mà Google có thể cung cấp tuỳ từng thời điểm.
  • (b) Khách hàng xác nhận rằng theo yêu cầu của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, Google phải ghi lại một số thông tin nhất định, bao gồm (i) danh tính và thông tin liên hệ của đơn vị nhập dữ liệu (bao gồm tất cả những người liên hệ chịu trách nhiệm về việc bảo vệ dữ liệu); và (ii) các biện pháp tổ chức và kỹ thuật do đơn vị nhập dữ liệu triển khai. Theo đó, khi được yêu cầu và nếu thích hợp, Khách hàng sẽ cung cấp thông tin đó cho Google thông qua các phương thức mà có thể Google cung cấp, đồng thời đảm bảo rằng tất cả thông tin được cung cấp đều là thông tin chính xác và mới nhất.

5.6 Phản hồi yêu cầu của Chủ thể dữ liệu. Đơn vị nhập dữ liệu thích hợp sẽ chịu trách nhiệm phản hồi các yêu cầu của các chủ thể dữ liệu và cơ quan giám sát về cách đơn vị nhập dữ liệu xử lý Dữ liệu cá nhân của đơn vị kiểm soát.

5.7 Xoá dữ liệu khi chấm dứt thoả thuận. Trong trường hợp:

  • (a) Google LLC đóng vai trò là đơn vị nhập dữ liệu và Khách hàng đóng vai trò là đơn vị xuất dữ liệu theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát; và
  • (b) Khách hàng chấm dứt Thoả thuận theo Khoản 16(c) của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, thì theo mục đích tại Khoản 16(d) của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, Khách hàng sẽ hướng dẫn Google xoá Dữ liệu cá nhân của đơn vị kiểm soát, đồng thời, trừ trường hợp Luật của Châu Âu yêu cầu lưu trữ, Google sẽ hỗ trợ xoá dữ liệu ngay khi có thể một cách hợp lý, trong trường hợp việc xoá dữ liệu đó có thể là hợp lý (có tính đến việc Google là một Đơn vị kiểm soát độc lập với dữ liệu đó, cũng như tính chất và chức năng của Dịch vụ đo lường).

6. Trách nhiệm pháp lý trong trường hợp áp dụng Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

Nếu áp dụng Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát theo đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này, thì tổng trách nhiệm pháp lý cộng lại của:

  • (a) Google, Google LLC và Google Ireland Limited đối với Khách hàng; và
  • (b) Khách hàng đối với Google, Google LLC và Google Ireland Limited, theo hoặc liên quan đến Thoả thuận và Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát cộng lại sẽ tuân theo Mục 5 (Trách nhiệm pháp lý). Khoản 12 trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ không ảnh hưởng đến câu trước.

7. Đơn vị thụ hưởng bên thứ ba

Trong trường hợp Google LLC và/hoặc Google Ireland Limited không phải là một bên tham gia Thoả thuận nhưng là một bên ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát theo quy định tại đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này, Google LLC và/hoặc Google Ireland Limited (tuỳ từng trường hợp) sẽ là đơn vị thụ hưởng bên thứ ba theo Mục 4.4 (Đơn vị kiểm soát cuối), đoạn 3 (Đơn vị kiểm soát cuối của Google), đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) và đoạn 6 (Trách nhiệm pháp lý trong trường hợp áp dụng Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này. Trong trường hợp đoạn 7 này (Đơn vị thụ hưởng bên thứ ba) xung đột hoặc không nhất quán với bất kỳ điều khoản nào khác trong Thoả thuận, thì đoạn 7 này (Đơn vị thụ hưởng bên thứ ba) sẽ được áp dụng.

8. Quyền ưu tiên

8.1 Nếu có bất kỳ xung đột hoặc điểm không nhất quán nào giữa Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, Phụ lục 1A này, phần còn lại của Điều khoản của đơn vị kiểm soát này và/hoặc phần còn lại của Thoả thuận, thì Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ được ưu tiên áp dụng.

8.2 Các điều khoản thương mại bổ sung. Theo nội dung sửa đổi trong Điều khoản của đơn vị kiểm soát này, Thoả thuận này vẫn có đầy đủ hiệu lực. Đoạn 5.5 (Liên hệ với Google) đến đoạn 5.7 (Xoá dữ liệu khi chấm dứt thoả thuận) và đoạn 6 (Trách nhiệm pháp lý trong trường hợp áp dụng Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này là các điều khoản thương mại bổ sung liên quan đến Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát như đã được cho phép theo Khoản 2(a) (Hiệu lực và tính bất biến của các Điều khoản) trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

8.3 Không sửa đổi Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát. Không có nội dung nào trong Thoả thuận này (kể cả các Điều khoản của đơn vị kiểm soát này) được dùng để sửa đổi hoặc có mâu thuẫn với bất kỳ Điều khoản tiêu chuẩn nào trong hợp đồng (SCC) với đơn vị kiểm soát hoặc gây tổn hại đến các quyền cơ bản hay quyền tự do của các chủ thể dữ liệu theo Luật bảo vệ dữ liệu ở Châu Âu.

PHẦN B – ĐIỀU KHOẢN BỔ SUNG CHO LUẬT VỀ QUYỀN RIÊNG TƯ CỦA CÁC TIỂU BANG TẠI HOA KỲ

1. Giới thiệu

Google có thể cung cấp và Khách hàng có thể bật một số chế độ cài đặt, cấu hình hoặc chức năng khác trong sản phẩm cho Dịch vụ đo lường liên quan đến việc xử lý dữ liệu bị hạn chế (theo mô tả trong tài liệu hỗ trợ có tại business.safety.google/rdp) được cập nhật tuỳ từng thời điểm ("Xử lý dữ liệu bị hạn chế"). Phụ lục 1B này phản ánh thoả thuận của các bên về việc xử lý Dữ liệu cá nhân của Khách hàng và Dữ liệu đã loại bỏ thông tin nhận dạng (theo định nghĩa bên dưới) theo Thoả thuận liên quan đến Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ và chỉ có hiệu lực trong phạm vi áp dụng của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

2. Định nghĩa và cách diễn giải bổ sung.

Trong Phụ lục 1B này:

  • (a) "Dữ liệu cá nhân của Khách hàng" là dữ liệu cá nhân được Google xử lý thay mặt cho Khách hàng trong việc cung cấp Dịch vụ đo lường của Google.
  • (b) "Dữ liệu đã loại bỏ thông tin nhận dạng" là thông tin dữ liệu "đã loại bỏ thông tin nhận dạng cá nhân" (theo định nghĩa của thuật ngữ đó trong CCPA) và "dữ liệu đã loại bỏ thông tin nhận dạng" (theo định nghĩa trong các Luật khác về quyền riêng tư của các tiểu bang tại Hoa Kỳ), khi một bên tiết lộ cho bên kia.
  • (c) "Hướng dẫn" là chỉ dẫn chung của Khách hàng hướng dẫn Google xử lý Dữ liệu cá nhân của Khách hàng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ: (a) để cung cấp Dịch vụ RDP và mọi dịch vụ hỗ trợ kỹ thuật có liên quan; (b) theo quy định cụ thể trong việc Khách hàng sử dụng Dịch vụ RDP (bao gồm cả trong phần cài đặt và chức năng khác của Dịch vụ RDP đó) và mọi hoạt động hỗ trợ kỹ thuật có liên quan; (c) như được nêu trong Thoả thuận, bao gồm cả Phụ lục 1B này; (d) như được nêu chi tiết hơn trong mọi hướng dẫn bằng văn bản khác do Khách hàng đưa ra và được Google xác nhận là cấu thành hướng dẫn theo mục đích của Phụ lục 1B này; và (e) để xử lý Dữ liệu cá nhân của Khách hàng như được cho phép theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ dành cho nhà cung cấp dịch vụ và đơn vị xử lý.
  • (d) "Dịch vụ RDP" là các Dịch vụ của Đơn vị kiểm soát và hoạt động theo quy trình Xử lý dữ liệu bị hạn chế.
  • (e) "Thời hạn" là khoảng thời gian tính từ Ngày Điều khoản có hiệu lực cho đến khi Google chấm dứt việc cung cấp Dịch vụ đo lường theo Thoả thuận này.
  • (f) các cụm từ "doanh nghiệp", "người tiêu dùng", "thông tin cá nhân", "mua bán", "bán", "nhà cung cấp dịch vụ" và "chia sẻ" như được sử dụng trong Phụ lục 1B này có nghĩa như được nêu trong Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.
  • (g) Khách hàng hoàn toàn chịu trách nhiệm pháp lý về việc tuân thủ từng Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ khi sử dụng các dịch vụ của Google, bao gồm cả việc Xử lý dữ liệu bị hạn chế.

3. Điều khoản theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ (trong phần Xử lý dữ liệu bị hạn chế).

3.1 Xử lý dữ liệu.

3.1.1

  • (a) Trách nhiệm của Đơn vị xử lý và Đơn vị kiểm soát. Các bên xác nhận và đồng ý rằng:
    • (i) Đoạn 7 (Chủ đề và Thông tin chi tiết về việc xử lý dữ liệu theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ) của Phụ lục 1B này mô tả chủ đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của Khách hàng;
    • (ii) Google là nhà cung cấp dịch vụ và đơn vị xử lý Dữ liệu cá nhân của Khách hàng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ; và
    • (iii) Khách hàng là đơn vị kiểm soát hoặc đơn vị xử lý (nếu có) Dữ liệu cá nhân của Khách hàng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ
  • (b) Khách hàng là Đơn vị xử lý. Trường hợp Khách hàng là đơn vị xử lý:
    • (i) Khách hàng đảm bảo liên tục rằng đơn vị kiểm soát có liên quan đã cấp phép: (A) Hướng dẫn, (B) Khách hàng chỉ định Google làm một đơn vị xử lý khác và (C) Google tham gia làm nhà thầu phụ theo mô tả trong đoạn 3.6 (Nhà thầu phụ) của Phụ lục 1B này;
    • (ii) Khách hàng sẽ chuyển tiếp ngay lập tức đến đơn vị kiểm soát có liên quan bất kỳ thông báo nào do Google cung cấp theo đoạn 3.3.2(a) (Thông báo về sự cố) và đoạn 3.6 (Nhà thầu phụ); và
    • (iii) Khách hàng có thể cung cấp cho đơn vị kiểm soát có liên quan bất kỳ thông tin nào do Google cung cấp theo đoạn 3.3.3(c) (Quyền kiểm tra của Khách hàng) và đoạn 3.6 (Nhà thầu phụ).

3.1.2 Hướng dẫn của Khách hàng. Bằng việc ký kết Phụ lục 1B này, Khách hàng hướng dẫn Google xử lý Dữ liệu cá nhân của Khách hàng theo Hướng dẫn.

3.1.3 Sự tuân thủ của Google đối với Hướng dẫn. Google sẽ tuân thủ Hướng dẫn trừ phi bị cấm theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

3.1.4 Sản phẩm bổ sung. Nếu Khách hàng sử dụng bất kỳ sản phẩm, dịch vụ hoặc ứng dụng nào do Google hoặc bên thứ ba cung cấp: (a) không thuộc Dịch vụ RDP; và (b) có thể truy cập được để sử dụng trong giao diện người dùng của Dịch vụ RDP hoặc được tích hợp với Dịch vụ RDP ("Sản phẩm bổ sung"), thì Dịch vụ RDP có thể cho phép Sản phẩm bổ sung đó truy cập Dữ liệu cá nhân của Khách hàng theo yêu cầu cho hoạt động tương tác của Sản phẩm bổ sung với Dịch vụ RDP. Để cho rõ ràng, Phụ lục 1B này không áp dụng cho việc xử lý dữ liệu cá nhân liên quan đến việc cung cấp bất kỳ Sản phẩm bổ sung nào mà Khách hàng sử dụng, bao gồm cả dữ liệu cá nhân được truyền đến hoặc từ Sản phẩm bổ sung đó.

3.2. Xoá dữ liệu khi hết Thời hạn. Khách hàng hướng dẫn Google xoá tất cả Dữ liệu cá nhân còn lại của Khách hàng (bao gồm cả bản sao hiện có) khỏi hệ thống của Google khi hết Thời hạn theo luật hiện hành. Google sẽ tuân thủ hướng dẫn này ngay khi có thể một cách hợp lý và trong thời gian tối đa là 180 ngày, trừ trường hợp luật hiện hành yêu cầu lưu trữ.

3.3. Bảo mật dữ liệu.

3.3.1 Biện pháp bảo mật và hỗ trợ bảo mật của Google.

  • (a) Biện pháp bảo mật của Google. Google sẽ triển khai và duy trì các biện pháp tổ chức và kỹ thuật để bảo vệ Dữ liệu cá nhân của Khách hàng khỏi bị huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật ("Biện pháp bảo mật"). Biện pháp bảo mật bao gồm cả các biện pháp: (i) để mã hoá dữ liệu cá nhân; (ii) để giúp đảm bảo tính bảo mật, tính toàn vẹn, khả năng cung cấp và khả năng phục hồi liên tục của hệ thống và dịch vụ của Google; (iii) để giúp khôi phục quyền truy cập kịp thời vào dữ liệu cá nhân sau sự cố; và (iv) để kiểm tra tính hiệu quả thường xuyên. Tuỳ từng thời điểm, Google có thể cập nhật hoặc sửa đổi Biện pháp bảo mật, miễn là những bản cập nhật và sửa đổi đó không làm giảm tính bảo mật tổng thể của Dữ liệu cá nhân của Khách hàng.
  • (b) Quyền truy cập và Tình trạng tuân thủ. Google sẽ đảm bảo rằng tất cả những người được uỷ quyền xử lý Dữ liệu cá nhân của Khách hàng đều đã cam kết bảo mật hoặc chịu trách nhiệm bảo mật theo quy định của pháp luật.
  • (c) Biện pháp hỗ trợ bảo mật của Google. Google sẽ (có tính đến bản chất của việc xử lý Dữ liệu cá nhân của Khách hàng và thông tin hiện có cho Google) hỗ trợ Khách hàng trong việc đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) về mặt bảo mật dữ liệu cá nhân và trường hợp vi phạm dữ liệu cá nhân, bao gồm cả nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) liên quan đến việc bảo mật dữ liệu cá nhân và trường hợp vi phạm dữ liệu cá nhân theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, bằng cách:
    • (i) triển khai và duy trì các Biện pháp bảo mật theo đoạn 3.3.1(a) (Biện pháp bảo mật của Google);
    • (ii) tuân thủ các điều khoản trong đoạn 3.3.2 (Sự cố về dữ liệu); và
    • (iii) cung cấp cho Khách hàng các quyền được cấp theo đoạn 3.3.3(c) (Quyền kiểm tra của Khách hàng).

3.3.2 Sự cố về dữ liệu

  • (a) Thông báo về sự cố. Nếu phát hiện Sự cố về dữ liệu (như được định nghĩa bên dưới), thì Google sẽ: (i) thông báo Sự cố về dữ liệu cho Khách hàng mà không chậm trễ quá mức; và (ii) nhanh chóng thực hiện các bước hợp lý để giảm thiểu thiệt hại và bảo mật Dữ liệu cá nhân của Khách hàng. Trong Phụ lục 1B này, "Sự cố về dữ liệu" là hành vi vi phạm đối với hoạt động bảo mật của Google dẫn đến việc huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật Dữ liệu cá nhân của Khách hàng trên hệ thống do Google quản lý hoặc kiểm soát. "Sự cố về dữ liệu" sẽ không bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của Khách hàng, bao gồm cả nỗ lực đăng nhập, ping, quét cổng, tấn công từ chối dịch vụ cũng như các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống có kết nối mạng.
  • (b) Gửi Thông báo. Google sẽ gửi thông báo về mọi Sự cố về dữ liệu đến địa chỉ email mà Khách hàng chỉ định, thông qua giao diện người dùng của Dịch vụ RDP hoặc các phương tiện khác do Google cung cấp, để nhận một số thông báo của Google liên quan đến Phụ lục 1B này ("Địa chỉ email nhận thông báo") hoặc theo quyết định riêng của Google (bao gồm cả trường hợp Khách hàng chưa cung cấp Địa chỉ email nhận thông báo) bằng hình thức liên lạc trực tiếp khác (ví dụ: cuộc gọi điện thoại, email hoặc cuộc họp trực tiếp). Khách hàng tự chịu trách nhiệm cung cấp Địa chỉ email nhận thông báo và đảm bảo rằng Địa chỉ email nhận thông báo là hợp lệ và còn hiệu lực.
  • (c) Thông báo của bên thứ ba. Khách hàng tự chịu trách nhiệm tuân thủ luật thông báo về sự cố áp dụng cho Khách hàng và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến Sự cố về dữ liệu.
  • (d) Google không xác nhận lỗi. Việc Google thông báo hoặc phản hồi về Sự cố về dữ liệu theo đoạn 3.3.2 này (Sự cố về dữ liệu) không cấu thành việc xác nhận lỗi hoặc trách nhiệm pháp lý nào của Google đối với Sự cố về dữ liệu.

3.3.3 Trách nhiệm và đánh giá của Khách hàng về việc bảo mật.

  • (a) Trách nhiệm của Khách hàng về việc bảo mật. Khách hàng đồng ý rằng (không ảnh hưởng đến các nghĩa vụ của Google theo đoạn 3.3.1 (Biện pháp bảo mật và hỗ trợ bảo mật của Google) và đoạn 3.3.2 (Sự cố về dữ liệu)):
    • (i) Khách hàng chịu trách nhiệm về việc sử dụng Dịch vụ RDP, bao gồm cả: (1) sử dụng Dịch vụ RDP cho phù hợp để đảm bảo mức độ bảo mật thoả đáng trước rủi ro đối với Dữ liệu cá nhân của Khách hàng; và (2) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Khách hàng sử dụng để truy cập vào Dịch vụ RDP; và
    • (ii) Google không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Khách hàng mà Khách hàng chọn lưu trữ hoặc chuyển ra bên ngoài hệ thống của Google và các nhà thầu phụ của Google.
  • (b) Đánh giá của Khách hàng về việc bảo mật. Khách hàng xác nhận và đồng ý rằng Biện pháp bảo mật do Google triển khai và duy trì như nêu trong đoạn 3.3.1(a) (Biện pháp bảo mật của Google) mang lại mức độ bảo mật thoả đáng trước rủi ro liên quan đến Dữ liệu cá nhân của Khách hàng, có tính đến công nghệ hiện đại, chi phí triển khai và bản chất, phạm vi, bối cảnh và mục đích xử lý Dữ liệu cá nhân của Khách hàng cũng như các rủi ro đối với cá nhân.
  • (c) Quyền kiểm tra của Khách hàng.
    • (i) Khách hàng có thể tiến hành kiểm tra để xác minh rằng Google tuân thủ các nghĩa vụ của Google theo Phụ lục 1B này bằng cách yêu cầu và xem xét (1) chứng chỉ được cấp để xác minh mức độ bảo mật, phản ánh kết quả của cuộc kiểm tra do người kiểm tra bên thứ ba thực hiện (ví dụ: Giấy chứng nhận SOC 2 Type II, ISO/IEC 27001, giấy chứng nhận tương đương hoặc giấy chứng nhận bảo mật khác về một cuộc kiểm tra mà Khách hàng và Google cùng đồng ý để người kiểm tra bên thứ ba tiến hành) trong vòng 12 tháng kể từ ngày Khách hàng yêu cầu và (2) mọi thông tin khác mà Google xác định là hợp lý ở mức cần thiết để Khách hàng xác minh việc tuân thủ đó.
    • (ii) Ngoài ra, theo quyết định riêng của Google và dựa trên yêu cầu của Khách hàng, Google có thể tiến hành một cuộc kiểm tra của bên thứ ba để xác minh xem Google có tuân thủ các nghĩa vụ của Google theo Phụ lục 1B này hay không. Trong quá trình kiểm tra đó, Google sẽ cung cấp cho người kiểm tra bên thứ ba tất cả thông tin cần thiết để chứng minh sự tuân thủ đó. Khi Khách hàng yêu cầu tiến hành một cuộc kiểm tra như vậy, Google có thể tính phí kiểm tra (dựa trên chi phí hợp lý của Google). Google sẽ cung cấp cho Khách hàng thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi tiến hành cuộc kiểm tra như vậy. Khách hàng sẽ chịu trách nhiệm thanh toán mọi khoản phí cho người kiểm tra bên thứ ba do Khách hàng chỉ định để người kiểm tra đó tiến hành kiểm tra.
    • (iii) Không có nội dung nào trong Phụ lục 1B này yêu cầu Google tiết lộ cho Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng, hoặc cho phép Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng truy cập:
      • (1) dữ liệu bất kỳ của mọi khách hàng khác của Pháp nhân Google;
      • (2) thông tin kế toán hoặc tài chính nội bộ của Pháp nhân Google;
      • (3) bí mật thương mại của Pháp nhân Google;
      • (4) thông tin mà theo ý kiến hợp lý của Google, có thể: (A) xâm phạm tính bảo mật của các hệ thống hoặc cơ sở của Pháp nhân Google; hoặc (B) khiến một Pháp nhân Google vi phạm nghĩa vụ theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ hoặc nghĩa vụ bảo mật và/hoặc quyền riêng tư của Pháp nhân Google đối với Khách hàng hoặc bên thứ ba; hoặc
      • (5) thông tin mà Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng mong muốn truy cập vì lý do nào khác ngoài lý do thực hiện nghĩa vụ của Khách hàng một cách thành thực theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ;

3.4 Biện pháp hỗ trợ đánh giá mức tác động. Google sẽ (có tính đến bản chất của việc xử lý và thông tin hiện có cho Google) hỗ trợ Khách hàng đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) liên quan đến hoạt động đánh giá tác động của việc bảo vệ dữ liệu cũng như tham vấn trước theo quy định trong phạm vi được yêu cầu của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, bằng cách:

  • (a) cung cấp Tài liệu về việc bảo mật;
  • (b) cung cấp thông tin có trong Thoả thuận (bao gồm cả Phụ lục 1B này); và
  • (c) cung cấp hoặc đưa ra theo thông lệ tiêu chuẩn của Google, các tài liệu khác có liên quan đến bản chất của Dịch vụ RDP và việc xử lý Dữ liệu cá nhân của Khách hàng (ví dụ: tài liệu của trung tâm trợ giúp).

3.5. Quyền của chủ thể dữ liệu.

3.5.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Google nhận được yêu cầu của một chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân của Khách hàng, thì Khách hàng uỷ quyền cho Google và Google thông báo cho Khách hàng rằng Google sẽ:

  • (a) phản hồi trực tiếp yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của một công cụ (nếu có) do Pháp nhân Google cung cấp cho các chủ thể dữ liệu, cho phép Google phản hồi trực tiếp và theo cách thức chuẩn đối với một số yêu cầu nhất định của chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân của Khách hàng (ví dụ: cài đặt quảng cáo trực tuyến hoặc trình duyệt bổ trợ để chọn không tham gia) ("Công cụ chủ đề dữ liệu") (nếu yêu cầu được gửi thông qua Công cụ chủ đề dữ liệu); hoặc
  • (b) tư vấn để chủ thể dữ liệu gửi yêu cầu của họ cho Khách hàng và Khách hàng sẽ chịu trách nhiệm phản hồi yêu cầu đó (nếu yêu cầu không được gửi thông qua Công cụ dành cho Chủ thể dữ liệu).

3.5.2 Biện pháp hỗ trợ yêu cầu đối với Chủ thể dữ liệu của Google. Google sẽ hỗ trợ Khách hàng đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ để phản hồi yêu cầu thực thi quyền của chủ thể dữ liệu, trong mọi trường hợp đều tính đến bản chất của việc xử lý Dữ liệu cá nhân của Khách hàng và bằng cách:

  • (a) cung cấp chức năng của Dịch vụ RDP;
  • (b) tuân thủ các cam kết nêu trong đoạn 3.5.1 (Phản hồi yêu cầu của Chủ thể dữ liệu); và
  • (c) cung cấp Công cụ dành cho Chủ thể dữ liệu (nếu có áp dụng cho Dịch vụ RDP).

3.5.3 Chỉnh sửa. Nếu biết rằng Dữ liệu cá nhân bất kỳ của Khách hàng là không chính xác hoặc đã lỗi thời, thì Khách hàng sẽ chịu trách nhiệm chỉnh sửa hoặc xoá dữ liệu đó theo yêu cầu của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, bao gồm cả (nếu thích hợp) bằng cách sử dụng chức năng của Dịch vụ RDP.

3.6. Nhà thầu phụ.

  • (a) Khách hàng thường uỷ quyền cho Google thuê các pháp nhân khác làm nhà thầu phụ liên quan đến việc cung cấp Dịch vụ RDP. Khi giao dịch với một nhà thầu phụ bất kỳ, Google sẽ:
    • (i) đảm bảo thông qua một hợp đồng bằng văn bản rằng: (1) nhà thầu phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của Khách hàng trong phạm vi được yêu cầu để thực hiện các nghĩa vụ đã ký hợp đồng phụ với họ cũng như tuân theo Thoả thuận (bao gồm cả Phụ lục 1B này); và (2) nếu việc xử lý Dữ liệu cá nhân của Khách hàng tuân theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, hãy đảm bảo rằng các nghĩa vụ bảo vệ dữ liệu trong Phụ lục 1B này được áp dụng cho nhà thầu phụ;
    • (ii) khi thuê nhà thầu phụ mới, hãy thông báo về nhà thầu phụ mới đó theo yêu cầu của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ; đồng thời, theo yêu cầu của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, cho Khách hàng được lựa chọn từ chối nhà thầu phụ; và
    • (iii) hoàn toàn chịu trách nhiệm pháp lý đối với tất cả nghĩa vụ đã ký kết trong hợp đồng phụ, cũng như mọi hành vi và thiếu sót của nhà thầu phụ.
  • (b) Khách hàng có thể phản đối bất kỳ nhà thầu phụ mới nào bằng cách chấm dứt Thoả thuận ngay lập tức sau khi gửi thông báo bằng văn bản cho Google, với điều kiện Khách hàng cung cấp thông báo đó trong vòng 90 ngày kể từ ngày được thông báo về sự tham gia của nhà thầu phụ mới theo mô tả trong đoạn 3.6(a)(ii) này.

3.7 Liên hệ với Google. Khách hàng có thể liên hệ với Google về việc thực thi các quyền của Google theo Phụ lục 1B này thông qua các phương thức được mô tả tại privacy.google.com/businesses/processorsupport hoặc thông qua các phương thức khác mà có thể Google cung cấp tuỳ từng thời điểm.

4. Điều khoản của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ

4.1 Dữ liệu đã loại bỏ thông tin nhận dạng. Đối với Dữ liệu cá nhân của Khách hàng được xử lý theo hoặc không theo quy trình Xử lý dữ liệu bị hạn chế, và trong trường hợp có áp dụng một hoặc nhiều Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ cho việc xử lý Dữ liệu cá nhân của Khách hàng, mỗi bên sẽ phải tuân thủ các yêu cầu về việc xử lý Dữ liệu đã loại bỏ thông tin nhận dạng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, đối với Dữ liệu đã loại bỏ thông tin nhận dạng mà bên kia cung cấp theo Thoả thuận. Theo mục đích của đoạn 4.1 này (Dữ liệu đã loại bỏ thông tin nhận dạng), Dữ liệu cá nhân của Khách hàng là mọi dữ liệu cá nhân được một bên xử lý theo Thoả thuận liên quan đến việc cung cấp hoặc sử dụng Dịch vụ đo lường.

5. Nghĩa vụ của Google theo CCPA.

5.1 Đối với Dữ liệu cá nhân của Khách hàng được xử lý theo quy trình Xử lý dữ liệu bị hạn chế và trong trường hợp có áp dụng CCPA cho quy trình xử lý Dữ liệu cá nhân của Khách hàng, Google sẽ đóng vai trò là đơn vị cung cấp dịch vụ của Khách hàng và do đó, trừ trường hợp đơn vị cung cấp dịch vụ được cho phép theo CCPA, theo quyết định hợp lý của Google:

  • (a) Google sẽ không bán hay chia sẻ Dữ liệu cá nhân của Khách hàng mà Google thu được của Khách hàng liên quan đến Thoả thuận;
  • (b) Google sẽ không giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của Khách hàng (bao gồm cả dữ liệu bên ngoài mối quan hệ kinh doanh trực tiếp giữa Google và Khách hàng) ngoài mục đích kinh doanh theo CCPA thay mặt cho Khách hàng và cho mục đích cụ thể nhằm cung cấp Dịch vụ RDP, như được mô tả cụ thể hơn trong tài liệu hỗ trợ có tại business.safety.google/rdp (được cập nhật tuỳ từng thời điểm);
  • (c) Google sẽ không kết hợp Dữ liệu cá nhân của Khách hàng mà Google nhận được từ hoặc thay mặt cho Khách hàng với (i) thông tin cá nhân mà Google nhận được từ hoặc thay mặt cho một hoặc nhiều người khác hoặc (ii) thông tin cá nhân được thu thập qua hoạt động tương tác của Google với người tiêu dùng, như mô tả cụ thể hơn trong tài liệu hỗ trợ có tại business.safety.google/rdp, ngoại trừ trong phạm vi được cho phép theo CCPA;
  • (d) Google sẽ xử lý Dữ liệu cá nhân của Khách hàng cho mục đích cụ thể là cung cấp Dịch vụ RDP, như được mô tả cụ thể hơn trong Thoả thuận và tài liệu hỗ trợ (ví dụ: bài viết trên trung tâm trợ giúp) hoặc theo cách khác được cho phép theo CCPA; đồng thời, các bên đồng ý rằng Khách hàng cung cấp Dữ liệu cá nhân của Khách hàng cho Google theo các mục đích đó;
  • (e) Google sẽ cho phép kiểm tra để xác minh việc Google có tuân thủ các nghĩa vụ của Google trong Phụ lục 1B này hay không theo đoạn 3.3.3(c) (Quyền kiểm tra của Khách hàng) này;
  • (f) Google sẽ thông báo cho Khách hàng nếu Google xác định rằng Google không còn đáp ứng được các nghĩa vụ của mình theo CCPA nữa. Đoạn 5.1(f) này không làm giảm các quyền và nghĩa vụ của một trong hai bên ở những phần khác trong Thoả thuận này;
  • (g) Nếu Khách hàng có lý do hợp lý để cho rằng Google đang xử lý Dữ liệu cá nhân của Khách hàng theo cách trái phép, thì Khách hàng có quyền thông báo cho Google về việc đó thông qua các phương thức được mô tả tại privacy.google.com/businesses/processorsupport, và các bên sẽ cùng phối hợp một cách thành thực để khắc phục các hoạt động xử lý bị cáo buộc là vi phạm (nếu cần); và
  • (h) Google sẽ tuân thủ các nghĩa vụ hiện hành theo CCPA và sẽ bảo vệ quyền riêng tư ở mức tương đương theo yêu cầu của CCPA.

5.2 Đối với Dữ liệu cá nhân của Khách hàng được xử lý không theo quy trình Xử lý dữ liệu bị hạn chế và trong trường hợp có áp dụng CCPA cho quy trình xử lý Dữ liệu cá nhân của Khách hàng:

  • (a) Google sẽ xử lý Dữ liệu cá nhân của Khách hàng cho mục đích cụ thể là cung cấp dịch vụ đo lường, nếu phù hợp, như được mô tả cụ thể hơn trong Thoả thuận và tài liệu hỗ trợ (ví dụ: bài viết trên trung tâm trợ giúp) hoặc theo cách khác được cho phép theo CCPA; đồng thời, các bên đồng ý rằng Khách hàng cung cấp Dữ liệu cá nhân của Khách hàng cho Google theo các mục đích đó;
  • (b) Google sẽ cho phép kiểm tra để xác minh việc Google có tuân thủ các nghĩa vụ của Google trong Phụ lục 1B này hay không theo đoạn 3.3.3(c) (Quyền kiểm tra của Khách hàng) này;
  • (c) Google sẽ thông báo cho Khách hàng nếu Google xác định rằng Google không còn đáp ứng được các nghĩa vụ của mình theo CCPA nữa;
  • (d) Nếu Khách hàng có lý do hợp lý để cho rằng Google đang xử lý Dữ liệu cá nhân của Khách hàng theo cách trái phép, thì Khách hàng có quyền thông báo cho Google về việc đó thông qua các phương thức được mô tả tại privacy.google.com/businesses/processorsupport, và các bên sẽ cùng phối hợp một cách thành thực để khắc phục các hoạt động xử lý bị cáo buộc là vi phạm (nếu cần); và
  • (e) Google sẽ tuân thủ các nghĩa vụ hiện hành theo CCPA và sẽ bảo vệ quyền riêng tư ở mức tương đương theo yêu cầu của CCPA.

6. Thay đổi đối với Phụ lục 1B này.

Ngoài Mục 7 trong Điều khoản của đơn vị kiểm soát (Thay đổi đối với Điều khoản của đơn vị kiểm soát), tuỳ từng thời điểm, Google có thể thay đổi Phụ lục 1B này mà không cần thông báo nếu thay đổi đó (a) dựa trên luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành hoặc (b) không có tác động bất lợi đáng kể đến Khách hàng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, theo quyết định hợp lý của Google.

7. Chủ đề và Thông tin chi tiết về việc xử lý dữ liệu theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ

Google cung cấp Dịch vụ RDP và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Khách hàng.

Thời gian xử lý

Thời hạn cộng với khoảng thời gian từ khi kết thúc Thời hạn cho đến khi Google xoá tất cả Dữ liệu cá nhân của Khách hàng theo Phụ lục 1B.

Bản chất và mục đích của quá trình xử lý

Google sẽ xử lý (bao gồm cả việc thu thập, ghi lại, sắp xếp, tạo cấu trúc, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xoá và huỷ khi áp dụng cho Dịch vụ RDP và Hướng dẫn) Dữ liệu cá nhân của Khách hàng nhằm mục đích cung cấp Dịch vụ RDP và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Khách hàng theo Phụ lục 1B hoặc theo cách khác được các đơn vị xử lý cho phép theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

Các loại dữ liệu cá nhân

Dữ liệu cá nhân của Khách hàng có thể bao gồm cả loại dữ liệu cá nhân được mô tả theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

Danh mục Chủ thể dữ liệu

Dữ liệu cá nhân của Khách hàng sẽ liên quan đến các danh mục chủ thể dữ liệu sau đây:

  • chủ thể dữ liệu mà Google thu thập dữ liệu cá nhân của chủ thể đó khi cung cấp Dịch vụ RDP; và/hoặc
  • chủ thể dữ liệu mà dữ liệu cá nhân của chủ thể đó được chuyển cho Google liên quan đến Dịch vụ RDP bởi Khách hàng, theo hướng dẫn của Khách hàng hoặc thay mặt cho Khách hàng.

Tuỳ thuộc vào bản chất của Dịch vụ RDP, các chủ thể dữ liệu này có thể bao gồm các cá nhân: (a) mà quảng cáo trực tuyến đã hoặc sẽ được hướng đến; (b) đã truy cập vào các trang web hoặc ứng dụng cụ thể liên quan đến các trang web hoặc ứng dụng mà Google cung cấp Dịch vụ RDP; và/hoặc (c) là khách hàng hoặc người dùng sản phẩm hoặc dịch vụ của Khách hàng.

 

Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google, Phiên bản 4.0

Các phiên bản trước

 

Ngày 1 tháng 1 năm 2023

Ngày 21 tháng 9 năm 2022

Ngày 27 tháng 9 năm 2021

Ngày 16 tháng 8 năm 2020

Ngày 12 tháng 8 năm 2020

Ngày 4 tháng 11 năm 2019

Thông tin này có hữu ích không?

Chúng tôi có thể cải thiện trang này bằng cách nào?

Bạn cần trợ giúp thêm?

Hãy thử các bước tiếp theo sau:

Đăng lên cộng đồng trợ giúp Nhận câu trả lời từ các thành viên cộng đồng
Liên hệ với chúng tôi Hãy giải thích thêm để chúng tôi hỗ trợ bạn tốt hơn
true
learning path
Chọn lộ trình học tập của riêng bạn

Mời bạn cùng tìm hiểu google.com/analytics/learn, một trang thông tin mới giúp bạn khai thác tối đa Google Analytics 4. Trang web mới này gồm nhiều video, bài viết và quy trình có hướng dẫn, đồng thời cung cấp đường liên kết đến các nguồn thông tin về Google Analytics (Discord, Blog, kênh YouTube và kho lưu trữ GitHub).

Hãy bắt đầu học hỏi ngay từ hôm nay!

Tìm kiếm
Xóa nội dung tìm kiếm
Đóng tìm kiếm
Trình đơn chính
11328474200495303536
true
Tìm kiếm trong Trung tâm trợ giúp
true
true
true
true
true
69256
false
false