Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google

Khách hàng sử dụng Dịch vụ đo lường đồng ý với các điều khoản này ("Khách hàng") đã ký kết một thoả thuận với Google hoặc một đại lý bên thứ ba (nếu có) về việc cung cấp Dịch vụ đo lường (gọi là "Thoả thuận", được sửa đổi tuỳ từng thời điểm) thông qua giao diện người dùng của dịch vụ mà Khách hàng đã bật Chế độ cài đặt cách chia sẻ dữ liệu.

Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google ("Điều khoản giữa các đơn vị kiểm soát") này được ký kết giữa Google và Khách hàng. Trong trường hợp đây là Thoả thuận giữa Khách hàng và Google, thì các Điều khoản giữa các đơn vị kiểm soát này sẽ bổ sung cho Thoả thuận. Trong trường hợp đây là Thoả thuận giữa Khách hàng và một đại lý bên thứ ba, thì các Điều khoản giữa các đơn vị kiểm soát này sẽ tạo thành một thoả thuận riêng giữa Google và Khách hàng.

Để tránh nhầm lẫn, việc cung cấp Dịch vụ đo lường sẽ chịu sự điều chỉnh của Thoả thuận này. Các Điều khoản giữa các đơn vị kiểm soát này chỉ nêu những quy định về việc bảo vệ dữ liệu liên quan đến Chế độ cài đặt cách chia sẻ dữ liệu, chứ không áp dụng cho việc cung cấp Dịch vụ đo lường.

Theo Mục 6.2 (Không ảnh hưởng đến Điều khoản xử lý dữ liệu), các Điều khoản giữa các đơn vị kiểm soát này sẽ có hiệu lực và thay thế cho mọi điều khoản áp dụng trước đó liên quan đến chủ đề, tính từ Ngày điều khoản có hiệu lực.

Nếu thay mặt cho Khách hàng chấp nhận các Điều khoản giữa các đơn vị kiểm soát này, bạn đảm bảo rằng: (a) bạn có đầy đủ quyền hạn pháp lý để ràng buộc Khách hàng với các Điều khoản giữa các đơn vị kiểm soát này; (b) bạn đã đọc và hiểu rõ các Điều khoản giữa các đơn vị kiểm soát này; và (c) bạn thay mặt cho Khách hàng đồng ý với các Điều khoản giữa các đơn vị kiểm soát này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Khách hàng, vui lòng không chấp nhận các Điều khoản giữa các đơn vị kiểm soát này.

Vui lòng không chấp nhận các Điều khoản giữa các đơn vị kiểm soát này nếu bạn là một đại lý. Các Điều khoản giữa các đơn vị kiểm soát này quy định các quyền và nghĩa vụ áp dụng cho người dùng Dịch vụ đo lường và Google.

Trên trang này

1. Giới thiệu

Các Điều khoản giữa các đơn vị kiểm soát này phản ánh thoả thuận giữa các bên về việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý theo Chế độ cài đặt cách chia sẻ dữ liệu.

2. Định nghĩa và diễn giải

2.1

Trong các Điều khoản giữa các đơn vị kiểm soát này:

"Điều khoản bổ sung" là những điều khoản bổ sung được đề cập trong Phụ lục 1, phản ánh thoả thuận giữa các bên về những điều khoản chi phối việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý liên quan đến một số Luật bảo vệ dữ liệu hiện hành.

"Đơn vị liên kết" là một pháp nhân kiểm soát trực tiếp hoặc gián tiếp một bên, chịu sự kiểm soát của bên đó hoặc chịu sự kiểm soát chung với bên đó.

"Luật bảo vệ dữ liệu hiện hành", áp dụng cho việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý, là luật hay quy định bảo mật dữ liệu, bảo vệ dữ liệu, quyền riêng tư ở cấp tỉnh, tiểu bang, Liên minh Châu Âu, liên bang, quốc gia, hoặc luật hay quy định bảo mật dữ liệu, bảo vệ dữ liệu, quyền riêng tư khác, bao gồm cả Luật bảo vệ dữ liệu ở Châu Âu, Luật chung về việc bảo vệ dữ liệu cá nhân (LGPD) và Luật về quyền riêng tư của các tiểu bang ở Hoa Kỳ.

"Thông tin mật" là các Điều khoản giữa các đơn vị kiểm soát này.

"Chủ thể dữ liệu của đơn vị kiểm soát" là chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân do đơn vị kiểm soát xử lý.

"Dữ liệu cá nhân do đơn vị kiểm soát xử lý" là dữ liệu cá nhân được một bên xử lý theo Chế độ cài đặt cách chia sẻ dữ liệu.

"Chế độ cài đặt cách chia sẻ dữ liệu" là chế độ cài đặt cách chia sẻ dữ liệu mà Khách hàng đã bật thông qua giao diện người dùng của Dịch vụ đo lường. Chế độ cài đặt này cho phép Google và Đơn vị liên kết của Google sử dụng dữ liệu cá nhân để cải thiện các sản phẩm và dịch vụ của Google cũng như Đơn vị liên kết của Google.

"Đơn vị kiểm soát cuối", đối với mỗi bên, là đơn vị cuối cùng sẽ kiểm soát Dữ liệu cá nhân do đơn vị kiểm soát xử lý.

"Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu (EU GDPR)" là Quy định (EU) 2016/679 ngày 27 tháng 4 năm 2016 của Nghị viện và Hội đồng Châu Âu về việc bảo vệ thể nhân liên quan đến việc xử lý dữ liệu cá nhân và di chuyển tự do dữ liệu này, cũng như việc bãi bỏ Chỉ thị 95/46/EC.

"Luật bảo vệ dữ liệu ở Châu Âu", tuỳ từng trường hợp, là: (a) Quy định chung về việc bảo vệ dữ liệu (GDPR); và/hoặc (b) Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ (Swiss FDPA).

"Quy định chung về việc bảo vệ dữ liệu (GDPR)", tuỳ từng trường hợp, là: (a) Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu (EU GDPR); và/hoặc (b) Quy định chung về việc bảo vệ dữ liệu của Vương quốc Anh (UK GDPR).

"Google" có nghĩa như sau:

  • (a) khi Pháp nhân Google là bên tham gia Thoả thuận, thì "Google" là Pháp nhân Google.
  • (b) khi Thỏa thuận được ký kết giữa Khách hàng và đại lý bên thứ ba và:
    • (i) đại lý bên thứ ba này có trụ sở tại Bắc Mỹ hoặc ở một khu vực khác ngoài Châu Âu, Trung Đông, Châu Phi, Châu Á và Châu Đại Dương, thì "Google" là Google LLC (trước đây là Google Inc.);
    • (ii) đại lý bên thứ ba này có trụ sở tại Châu Âu, Trung Đông hoặc Châu Phi, thì "Google" là Google Ireland Limited; hoặc
    • (iii) đại lý bên thứ ba này có trụ sở tại Châu Á và Châu Đại Dương, thì "Google" là Google Asia Pacific Pte. Ltd.

"Pháp nhân Google" là Google LLC, Google Ireland Limited hoặc mọi Đơn vị liên kết khác của Google LLC.

"Luật chung về việc bảo vệ dữ liệu cá nhân (LGPD)" là Luật chung về việc bảo vệ dữ liệu của Brazil (Lei Geral de Proteção de Dados Pessoais).

"Dịch vụ đo lường" là Google Analytics, Google Analytics 360, Google Analytics cho Firebase, Google Optimize hoặc Google Optimize 360, tuỳ thuộc vào Chế độ cài đặt cách chia sẻ dữ liệu mà các bên đã đồng ý theo các Điều khoản giữa các đơn vị kiểm soát này.

"Chính sách" là Chính sách của Google về sự đồng ý của người dùng cuối được đăng tại https://www.google.com/about/company/user-consent-policy.html.

"Điều khoản xử lý dữ liệu" có nghĩa như sau:

  • (a) khi Google là một bên tham gia Thoả thuận, điều khoản xử lý dữ liệu được đăng tại https://business.safety.google/adsprocessorterms; hoặc
  • (b) khi Thoả thuận được giao kết giữa Khách hàng và đại lý bên thứ ba, các điều khoản đó phản ánh mối quan hệ giữa đơn vị kiểm soát và đơn vị xử lý (nếu có) theo thoả thuận giữa Khách hàng và đại lý bên thứ ba.

"Đạo luật bảo vệ dữ liệu liên bang của Thuỵ Sĩ (Swiss FDPA)" là Đạo luật bảo vệ dữ liệu của liên bang Thuỵ Sĩ ngày 19 tháng 6 năm 1992.

"Ngày điều khoản có hiệu lực" là ngày mà Khách hàng nhấp để chấp nhận hoặc các bên đồng ý với các Điều khoản giữa các đơn vị kiểm soát này.

"Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh" là Dữ liệu cá nhân do đơn vị kiểm soát xử lý có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Vương quốc Anh.

"Quy định chung về việc bảo vệ dữ liệu của Vương quốc Anh (UK GDPR)" là Quy định chung về việc bảo vệ dữ liệu của Liên minh Châu Âu (EU GDPR) được sửa đổi và đưa vào luật của Vương quốc Anh theo Đạo luật (Rút lui khỏi) Liên minh Châu Âu của Vương quốc Anh năm 2018 và luật phái sinh hiện hành được ban hành theo Đạo luật đó.

"Luật về quyền riêng tư của các tiểu bang ở Hoa Kỳ" được định nghĩa tại đây.

2.2

Các thuật ngữ "đơn vị kiểm soát", "chủ thể dữ liệu", "dữ liệu cá nhân", "việc xử lý" và "đơn vị xử lý" được dùng trong các Điều khoản giữa các đơn vị kiểm soát này có ý nghĩa như đã nêu trong (a) Luật bảo vệ dữ liệu hiện hành; hoặc (b) Quy định chung về việc bảo vệ dữ liệu (GDPR) nếu Luật bảo vệ dữ liệu hiện hành không đưa ra định nghĩa hoặc luật nào cho các thuật ngữ đó.

2.3

Mọi ví dụ trong các Điều khoản giữa các đơn vị kiểm soát này chỉ mang tính minh hoạ và không phải là ví dụ duy nhất về một khái niệm cụ thể.

2.4

Mọi thông tin dẫn chiếu đến khung pháp lý, đạo luật hoặc hoạt động ban hành bộ luật khác đều là thông tin dẫn chiếu đến nội dung được sửa đổi hoặc ban hành lại của thông tin đó tuỳ từng thời điểm.

2.5

Trong bất kỳ trường hợp nào mà bản dịch của Thỏa thuận này không nhất quán với bản tiếng Anh, thì bản tiếng Anh sẽ được áp dụng.

2.6

Thông tin dẫn chiếu trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát đến "Điều khoản bảo vệ dữ liệu giữa các đơn vị kiểm soát của Google Ads" sẽ được xem là "Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google".

3. Phạm vi áp dụng của các Điều khoản giữa các đơn vị kiểm soát này

3.1 Quy định chung

Các Điều khoản giữa các đơn vị kiểm soát này sẽ chỉ áp dụng cho Chế độ cài đặt cách chia sẻ dữ liệu mà các bên đã đồng ý theo các Điều khoản giữa các đơn vị kiểm soát này (ví dụ: Chế độ cài đặt cách chia sẻ dữ liệu mà Khách hàng đã nhấp để chấp nhận các Điều khoản giữa các đơn vị kiểm soát này).

3.2 Thời hạn

Các Điều khoản giữa các đơn vị kiểm soát này sẽ áp dụng từ Ngày điều khoản có hiệu lực và duy trì hiệu lực trong thời gian Google hoặc Khách hàng xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý. Sau đó, các Điều khoản giữa các đơn vị kiểm soát này sẽ tự động chấm dứt.

4. Vai trò và quy định hạn chế về việc xử lý dữ liệu

4.1 Đơn vị kiểm soát độc lập

Theo Mục 4.4 (Đơn vị kiểm soát cuối), mỗi bên:

  • (a) là đơn vị độc lập sẽ kiểm soát Dữ liệu cá nhân do đơn vị kiểm soát xử lý;
  • (b) sẽ xác định riêng mục đích và phương tiện xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý; và
  • (c) sẽ tuân thủ nghĩa vụ hiện hành theo Luật bảo vệ dữ liệu hiện hành về việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý.

4.2 Quy định hạn chế về việc xử lý

Mục 4.1 (Đơn vị kiểm soát độc lập) sẽ không ảnh hưởng đến bất kỳ quy định hạn chế nào đối với quyền của một trong hai bên về việc sử dụng hoặc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý theo Thoả thuận.

4.3 Sự đồng ý của người dùng cuối

Khách hàng sẽ tuân thủ Chính sách liên quan đến Dữ liệu cá nhân do đơn vị kiểm soát xử lý được chia sẻ theo Chế độ cài đặt cách chia sẻ dữ liệu và sẽ luôn chịu trách nhiệm chứng minh sự tuân thủ đó.

4.4 Đơn vị kiểm soát cuối

Mỗi bên xác nhận, mà không làm giảm nghĩa vụ của mỗi bên theo các Điều khoản giữa các đơn vị kiểm soát này, rằng: (a) Đơn vị liên kết hoặc khách hàng của bên kia có thể là Đơn vị kiểm soát cuối; và (b) bên kia có thể đóng vai trò là một đơn vị xử lý thay mặt cho Đơn vị kiểm soát cuối của họ. Mỗi bên sẽ đảm bảo rằng Đơn vị kiểm soát cuối của mình tuân thủ Điều khoản giữa các đơn vị kiểm soát.

4.5 Tính minh bạch

Khách hàng công nhận rằng Google đã công bố thông tin về cách Google sử dụng thông tin trên những trang web, ứng dụng hoặc tài sản khác có sử dụng dịch vụ của Google tại https://business.safety.google/privacy/. Khách hàng có thể, mà không làm ảnh hưởng đến nghĩa vụ của mình theo Mục 4.1(c), liên kết với trang đó để cung cấp thông tin cho Chủ thể dữ liệu của Đơn vị kiểm soát về việc Google xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý.

5. Trách nhiệm pháp lý

5.1

Nếu Google:

  • (a) là bên tham gia Thoả thuận và Thoả thuận chịu sự điều chỉnh của luật tại:
    • (i) một tiểu bang của Hợp chúng quốc Hoa Kỳ, thì theo đó, bất kể có nội dung khác đi trong Thoả thuận, toàn bộ trách nhiệm pháp lý của một trong hai bên đối với bên kia theo hoặc liên quan đến các Điều khoản giữa các đơn vị kiểm soát này sẽ giới hạn ở số tiền hoặc khoản thanh toán tối đa mà bên đó phải chịu đối với trách nhiệm pháp lý theo Thoả thuận (và do đó, mọi trường hợp loại trừ yêu cầu bồi thường khỏi giới hạn trách nhiệm pháp lý của Thoả thuận sẽ không áp dụng cho yêu cầu bồi thường theo Thoả thuận liên quan đến Luật bảo vệ dữ liệu hiện hành); hoặc
    • (ii) một khu vực tài phán không thuộc một tiểu bang của Hợp chúng quốc Hoa Kỳ, thì trách nhiệm pháp lý của các bên theo hoặc liên quan đến các Điều khoản giữa các đơn vị kiểm soát này sẽ tuân theo quy định loại trừ và giới hạn trách nhiệm pháp lý trong Thoả thuận; hoặc
  • (b) không phải là bên tham gia Thoả thuận, thì trong phạm vi luật hiện hành cho phép, Google sẽ không chịu trách nhiệm pháp lý nếu Khách hàng bị mất doanh thu hay gặp phải những thiệt hại gián tiếp, đặc biệt, bất ngờ, do hậu quả, để làm gương hoặc có tính trừng phạt, ngay cả khi Google hay Đơn vị liên kết của Google đã được thông báo, đã biết hay lẽ ra phải biết rằng những thiệt hại đó không đủ điều kiện để Google bồi thường. Tổng trách nhiệm pháp lý tích luỹ của Google (và Đơn vị liên kết của Google) đối với Khách hàng hoặc bất kỳ bên nào khác cho mọi tổn thất hay thiệt hại phát sinh từ việc khiếu kiện, thiệt hại hay hành động xảy ra do hoặc liên quan đến các Điều khoản giữa các đơn vị kiểm soát này sẽ không vượt quá 500 đô la Mỹ (USD).

6. Hiệu lực của Điều khoản giữa các đơn vị kiểm soát

6.1 Thứ tự ưu tiên

Nếu có bất kỳ xung đột hoặc điểm không nhất quán nào giữa Điều khoản bổ sung, phần còn lại của các Điều khoản giữa các đơn vị kiểm soát này và/hoặc phần còn lại của Thoả thuận, thì theo Mục 4.2 (Quy định hạn chế về việc xử lý) và Mục 6.2 (Không ảnh hưởng đến Điều khoản xử lý dữ liệu), thứ tự ưu tiên sau đây sẽ được áp dụng: (a) Điều khoản bổ sung (nếu có); (b) phần còn lại của các Điều khoản giữa các đơn vị kiểm soát này; và (c) phần còn lại của Thoả thuận. Theo nội dung sửa đổi trong các Điều khoản giữa các đơn vị kiểm soát này, Thoả thuận giữa Google và Khách hàng vẫn có đầy đủ hiệu lực.

6.2 Không ảnh hưởng đến Điều khoản xử lý dữ liệu

Các Điều khoản giữa các đơn vị kiểm soát này sẽ không thay thế hoặc ảnh hưởng đến bất kỳ Điều khoản xử lý dữ liệu nào. Để tránh nhầm lẫn, nếu Khách hàng là bên ký kết Điều khoản xử lý dữ liệu liên quan đến Dịch vụ đo lường, thì Điều khoản xử lý dữ liệu sẽ tiếp tục áp dụng cho Dịch vụ đo lường, bất kể việc các Điều khoản giữa các đơn vị kiểm soát này áp dụng cho Dữ liệu cá nhân do đơn vị kiểm soát xử lý theo Chế độ cài đặt cách chia sẻ dữ liệu.

7. Những thay đổi đối với các Điều khoản giữa các đơn vị kiểm soát này

7.1 Những thay đổi đối với Điều khoản giữa các đơn vị kiểm soát

Google có thể thay đổi các Điều khoản giữa các đơn vị kiểm soát này nếu thay đổi đó:

  • (a) phản ánh việc thay đổi tên hoặc hình thức của một pháp nhân;
  • (b) cần thiết để tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành, hoặc nếu thay đổi đó phản ánh việc Google sử dụng Giải pháp chuyển giao thay thế (như được định nghĩa trong Phụ lục 1A);
  • (c) như mô tả trong Mục 7.2 (Thay đổi về URL) hoặc
  • (d) không: (i) tìm cách thay đổi cách phân loại của các bên là đơn vị kiểm soát của Dữ liệu cá nhân do đơn vị kiểm soát xử lý theo Luật bảo vệ dữ liệu hiện hành; (ii) mở rộng phạm vi hoặc gỡ bỏ bất kỳ quy định hạn chế nào đối với quyền sử dụng hoặc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý của một trong hai bên; hoặc (iii) tác động bất lợi đáng kể đến Khách hàng, theo quyết định hợp lý của Google.

7.2 Thay đổi về URL

Tuỳ từng thời điểm, Google có thể thay đổi URL bất kỳ được dẫn chiếu trong các Điều khoản giữa các đơn vị kiểm soát này và nội dung tại bất kỳ URL nào như vậy.

7.3 Thông báo thay đổi

Nếu Google có ý định thay đổi các Điều khoản giữa các đơn vị kiểm soát này theo Mục 7.1(b) và thay đổi đó sẽ có tác động bất lợi đáng kể đến Khách hàng (theo quyết định hợp lý của Google), thì Google sẽ thực hiện những nỗ lực hợp lý về phương diện thương mại để thông báo cho Khách hàng ít nhất 30 ngày trước khi thay đổi đó có hiệu lực (hoặc khoảng thời gian ngắn hơn nếu buộc phải tuân thủ luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành). Nếu phản đối bất kỳ thay đổi nào kể trên thì Khách hàng có thể tắt Chế độ cài đặt cách chia sẻ dữ liệu.

8. Các quy định bổ sung

8.1

Mục 8 (Các quy định bổ sung) này sẽ chỉ áp dụng trong trường hợp Google không phải là một bên tham gia Thoả thuận.

8.2

Mỗi bên sẽ thực hiện nghĩa vụ của mình theo các Điều khoản giữa các đơn vị kiểm soát này với kỹ năng và sự cẩn trọng ở mức hợp lý.

8.3

Không bên nào được phép sử dụng hoặc tiết lộ Thông tin mật của bên kia mà không có sự đồng ý trước bằng văn bản của bên kia, trừ trường hợp phục vụ cho mục đích thực thi quyền hoặc nghĩa vụ theo các Điều khoản giữa các đơn vị kiểm soát này hoặc theo yêu cầu của luật, quy định hoặc lệnh toà; trong trường hợp đó, bên buộc phải tiết lộ Thông tin mật sẽ nỗ lực hợp lý để thông báo cho bên kia càng sớm càng tốt trước khi tiết lộ Thông tin mật.

8.4

Trong phạm vi tối đa được luật hiện hành cho phép, trừ trường hợp được quy định rõ ràng trong các Điều khoản giữa các đơn vị kiểm soát này, Google không đảm bảo dưới bất kỳ hình thức nào, dù rõ ràng, ngụ ý, theo luật định hay hình thức khác, bao gồm nhưng không giới hạn ở việc đảm bảo về tính có thể bán được, sự thích hợp đối với một nhu cầu sử dụng cụ thể và khả năng không vi phạm.

8.5

Không bên nào phải chịu trách nhiệm pháp lý nếu không thực hiện được hoặc chậm trễ thực hiện trong phạm vi tình huống xảy ra ngoài khả năng kiểm soát hợp lý của bên đó.

8.6

Nếu bất kỳ điều khoản nào (hoặc một phần bất kỳ của điều khoản) trong các Điều khoản giữa các đơn vị kiểm soát này là không hợp lệ, bất hợp pháp hoặc không thể thi hành, thì các mục còn lại của các Điều khoản giữa các đơn vị kiểm soát này sẽ vẫn có hiệu lực.

8.7

(a) Trừ trường hợp được quy định trong mục (b) dưới đây, Điều khoản của đơn vị kiểm soát chịu sự điều chỉnh và được giải thích theo luật của tiểu bang California mà không cần xem xét đến nguyên tắc xung đột luật pháp tại tiểu bang này. Trong trường hợp có bất kỳ xung đột nào giữa luật pháp, quy tắc và quy định của nước ngoài và luật pháp, quy tắc và quy định của California, thì luật pháp, quy tắc và quy định của California sẽ được ưu tiên và có hiệu lực thi hành. Mỗi bên đồng ý tuân theo thẩm quyền riêng và độc quyền của toà án tại Hạt Santa Clara, California. Công ước Liên Hiệp Quốc về Hợp đồng mua bán hàng hoá quốc tế và Đạo luật thống nhất về giao dịch thông tin trên máy tính không áp dụng cho các Điều khoản giữa các đơn vị kiểm soát này.

(b) Trong trường hợp đây là Thoả thuận giữa Khách hàng và một đại lý bên thứ ba, và đại lý bên thứ ba này có trụ sở ở Châu Âu, Trung Đông hoặc Châu Phi, thì các Điều khoản giữa các đơn vị kiểm soát này sẽ chịu sự điều chỉnh của luật pháp Anh. Mỗi bên đồng ý tuân theo quyền tài phán độc quyền của các toà án ở Anh liên quan đến bất kỳ tranh chấp nào (theo hợp đồng hoặc ngoài hợp đồng) phát sinh từ hoặc liên quan đến các Điều khoản giữa các đơn vị kiểm soát này.

(c) Trong trường hợp Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát được áp dụng và đề ra luật điều chỉnh khác với luật đã nêu trong mục (a) và (b) ở trên, thì luật điều chỉnh trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ chỉ áp dụng đối với Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

(d) Công ước Liên Hiệp Quốc về Hợp đồng mua bán hàng hoá quốc tế và Đạo luật thống nhất về giao dịch thông tin trên máy tính không được áp dụng cho các Điều khoản giữa các đơn vị kiểm soát này.

8.8

Tất cả thông báo chấm dứt hoặc vi phạm đều phải được lập thành văn bản bằng tiếng Anh và được gửi tới bộ phận Pháp chế của bên kia. Địa chỉ nhận thông báo của bộ phận Pháp chế của Google là legal-notices@google.com. Thông báo sẽ được coi là đã đưa ra ngay khi bên kia nhận được thông báo, theo xác minh bằng văn bản báo nhận hoặc biên nhận tự động hoặc nhật ký điện tử (nếu có).

8.9

Không bên nào được coi là từ bỏ quyền của mình do không thực thi (hoặc trì hoãn thực thi) bất kỳ quyền nào theo các Điều khoản giữa các đơn vị kiểm soát này. Không bên nào được chuyển nhượng bất kỳ phần nào của các Điều khoản giữa các đơn vị kiểm soát này mà không có sự đồng ý bằng văn bản của bên kia, ngoại trừ trường hợp chuyển nhượng cho một Đơn vị liên kết, trong đó: (a) bên được chuyển nhượng đã đồng ý chịu ràng buộc bởi các điều khoản trong các Điều khoản giữa các đơn vị kiểm soát này; (b) bên chuyển nhượng tiếp tục chịu trách nhiệm pháp lý đối với nghĩa vụ theo các Điều khoản giữa các đơn vị kiểm soát này nếu bên được chuyển nhượng không thực hiện các nghĩa vụ đó; (c) trong trường hợp Khách hàng, bên chuyển nhượng đã chuyển (các) tài khoản Dịch vụ đo lường cho bên được chuyển nhượng; và (d) bên chuyển nhượng đã thông báo cho bên kia về việc chuyển nhượng. Mọi nỗ lực chuyển nhượng khác đều không có giá trị.

8.10

Các bên là những nhà thầu độc lập. Các Điều khoản giữa các đơn vị kiểm soát này không cấu thành mối quan hệ đại lý, đối tác hay liên doanh giữa các bên. Các Điều khoản giữa các đơn vị kiểm soát này không mang lại lợi ích nào cho bất kỳ bên thứ ba nào, trừ phi các Điều khoản giữa các đơn vị kiểm soát này nêu rõ lợi ích dành cho bên thứ ba.

8.11

Trong phạm vi tối đa được luật hiện hành cho phép, các Điều khoản giữa các đơn vị kiểm soát này nêu tất cả những điều khoản đã thống nhất giữa các bên. Sau khi các bên ký kết các Điều khoản giữa các đơn vị kiểm soát này, không bên nào được phép căn cứ vào cũng như hưởng quyền hoặc đòi bồi thường dựa trên bất kỳ tuyên bố, sự cam đoan hoặc đảm bảo nào (cho dù do sơ suất hay vô tình), trừ trường hợp các quyền hoặc biện pháp bồi thường đó được nêu rõ trong các Điều khoản giữa các đơn vị kiểm soát này.

Phụ lục 1: Điều khoản bổ sung cho Luật bảo vệ dữ liệu hiện hành

PHẦN A – ĐIỀU KHOẢN BỔ SUNG CHO LUẬT BẢO VỆ DỮ LIỆU Ở CHÂU ÂU

1. Giới thiệu

Phụ lục 1A này sẽ chỉ áp dụng trong phạm vi mà Luật bảo vệ dữ liệu ở Châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý.

2. Định nghĩa

2.1 Trong Phụ lục 1A này:

Quốc gia tương xứng” là:

  • (a) đối với dữ liệu được xử lý theo EU GDPR: Khu vực kinh tế Châu Âu (EEA) hoặc một quốc gia/vùng lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức tương xứng với EU GDPR;
  • (b) đối với dữ liệu được xử lý theo UK GDPR: Vương quốc Anh hoặc một quốc gia/vùng lãnh thổ được công nhận là đảm bảo việc bảo vệ dữ liệu ở mức tương xứng với UK GDPR và Đạo luật bảo vệ dữ liệu năm 2018; và/hoặc
  • (c) đối với dữ liệu được xử lý theo Swiss FDPA: Thuỵ Sĩ hoặc một quốc gia/vùng lãnh thổ: (i) nằm trong danh sách tiểu bang có luật pháp đảm bảo việc bảo vệ dữ liệu ở mức tương xứng với quy định của Uỷ ban thông tin và bảo vệ dữ liệu liên bang của Thuỵ Sĩ, hoặc (ii) được Hội đồng liên bang Thuỵ Sĩ công nhận là đảm bảo việc bảo vệ dữ liệu ở mức tương xứng với Swiss FDPA (tuỳ từng trường hợp), trừ trường hợp áp dụng theo cơ sở khung bảo vệ dữ liệu không bắt buộc.

"Giải pháp chuyển giao thay thế" là một giải pháp (ngoại trừ Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) cho phép chuyển hợp pháp dữ liệu cá nhân đến một quốc gia thứ ba theo Luật bảo vệ dữ liệu ở Châu Âu. Ví dụ: một khuôn khổ bảo vệ dữ liệu được công nhận là có thể đảm bảo rằng các pháp nhân tham gia xử lý dữ liệu sẽ bảo vệ dữ liệu ở mức độ thoả đáng.

"Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát" là các điều khoản được đăng tại business.safety.google/adscontrollerterms/sccs/c2c.

EEA” là Khu vực kinh tế Châu Âu.

"Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Châu Âu" là Dữ liệu cá nhân do đơn vị kiểm soát xử lý có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Khu vực kinh tế Châu Âu (EEA) hoặc Thuỵ Sĩ.

"Luật của Châu Âu", tuỳ từng trường hợp, là: (a) luật của Liên minh Châu Âu hoặc quốc gia thành viên của Liên minh Châu Âu (nếu EU GDPR áp dụng cho việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý); (b) luật của Vương quốc Anh hoặc một vùng lãnh thổ thuộc Vương quốc Anh (nếu UK GDPR áp dụng cho việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý); và (c) luật của Thuỵ Sĩ (nếu Swiss FDPA áp dụng cho việc xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý).

"Đơn vị kiểm soát cuối của Google" là Đơn vị kiểm soát cuối đối với Dữ liệu cá nhân do đơn vị kiểm soát của Google xử lý.

"Hoạt động chuyển dữ liệu được cho phép ở Châu Âu" là hoạt động xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý ở một Quốc gia thoả đáng hoặc hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý đến một Quốc gia thoả đáng.

"(Các) hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu" là (các) hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý: (a) tuân theo Luật bảo vệ dữ liệu ở Châu Âu; và (b) không phải là Hoạt động chuyển dữ liệu được cho phép ở Châu Âu.

"Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh" là Dữ liệu cá nhân do đơn vị kiểm soát xử lý có Chủ thể dữ liệu của đơn vị kiểm soát đang ở Vương quốc Anh.

2.2 Các thuật ngữ "đơn vị nhập dữ liệu" và "đơn vị xuất dữ liệu" có ý nghĩa như được nêu trong Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát.

3. Đơn vị kiểm soát cuối của Google

Đơn vị kiểm soát cuối của Google là: (i) Google Ireland Limited đối với Dữ liệu cá nhân do đơn vị kiểm soát của Google xử lý tại Châu Âu; và (ii) Google LLC đối với Dữ liệu cá nhân do đơn vị kiểm soát của Google xử lý tại Vương quốc Anh. Mỗi bên sẽ đảm bảo rằng Đơn vị kiểm soát cuối của mình tuân thủ SCC của đơn vị kiểm soát, nếu có.

4. Hoạt động chuyển dữ liệu

4.1 Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu. Một trong hai bên có thể thực hiện Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu nếu tuân thủ các quy định về Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu trong Luật bảo vệ dữ liệu ở Châu Âu.

4.2 Giải pháp chuyển giao thay thế.

  • (a) Nếu Google đã áp dụng Giải pháp chuyển giao thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì: (i) Google sẽ đảm bảo rằng Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu được tiến hành theo Giải pháp chuyển giao thay thế đó; và (ii) đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này sẽ không áp dụng cho Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu.
  • (b) Nếu Google chưa áp dụng hoặc chưa thông báo cho Khách hàng rằng Google không còn áp dụng Giải pháp chuyển giao thay thế cho mọi Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, thì đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này sẽ áp dụng cho Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu.

4.3 Quy định chuyển tiếp.

  • (a) Phạm vi áp dụng Đoạn 4.3. Đoạn 4.3(b) (Sử dụng Dữ liệu cá nhân của đơn vị cung cấp dữ liệu) và 4.3(c) (Bảo vệ Dữ liệu cá nhân của đơn vị cung cấp dữ liệu) của Phụ lục 1A này sẽ chỉ áp dụng trong phạm vi:
    • (i) một bên ("Đơn vị nhận dữ liệu") xử lý Dữ liệu cá nhân do đơn vị kiểm soát xử lý mà bên kia cung cấp ("Đơn vị cung cấp dữ liệu") liên quan đến Thoả thuận này (Dữ liệu cá nhân do đơn vị kiểm soát xử lý đó, "Dữ liệu cá nhân của đơn vị cung cấp dữ liệu");
    • (ii) Đơn vị cung cấp dữ liệu hoặc Đơn vị liên kết của Đơn vị cung cấp dữ liệu được chứng nhận theo Giải pháp chuyển giao thay thế; và
    • (iii) Đơn vị cung cấp dữ liệu thông báo bằng văn bản cho Đơn vị nhận dữ liệu về giấy chứng nhận theo Giải pháp chuyển giao thay thế đó.
  • (b) Sử dụng Dữ liệu cá nhân của đơn vị cung cấp dữ liệu.
    • (i) Trong trường hợp một Giải pháp chuyển giao thay thế hiện hành bao gồm cả nguyên tắc chuyển giao, thì căn cứ vào các nguyên tắc chuyển giao đó trong Giải pháp chuyển giao thay thế có liên quan, Đơn vị nhận dữ liệu sẽ chỉ sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu theo cách phù hợp với sự đồng ý của Chủ thể dữ liệu của Đơn vị kiểm soát có liên quan.
    • (ii) Trong trường hợp Đơn vị cung cấp dữ liệu không nhận được sự đồng ý của Chủ thể dữ liệu của đơn vị kiểm soát có liên quan theo yêu cầu của Thoả thuận, Đơn vị nhận dữ liệu sẽ không vi phạm đoạn 4.3(b)(i) nếu sử dụng Dữ liệu cá nhân của đơn vị cung cấp dữ liệu một cách phù hợp khi có sự đồng ý cần thiết.
  • (c) Bảo vệ Dữ liệu cá nhân của đơn vị cung cấp dữ liệu.
    • (i) Đơn vị nhận dữ liệu sẽ bảo vệ Dữ liệu cá nhân của đơn vị cung cấp dữ liệu, ít nhất là ở mức độ cần thiết theo Giải pháp chuyển giao thay thế hiện hành.
    • (ii) Nếu Đơn vị nhận dữ liệu xác định rằng mình không thể tuân thủ đoạn 4.3(c)(i), thì Đơn vị nhận dữ liệu sẽ: (A) thông báo bằng văn bản cho Đơn vị cung cấp dữ liệu; và (B) hoặc ngừng xử lý Dữ liệu cá nhân của đơn vị cung cấp dữ liệu hoặc thực hiện các bước hợp lý và thích hợp để khắc phục tình trạng không tuân thủ đó.
  • (d) Áp dụng và chứng nhận Giải pháp chuyển dữ liệu thay thế. Thông tin về việc Google và/hoặc Đơn vị liên kết của Google sử dụng hoặc chứng nhận theo Giải pháp chuyển dữ liệu thay thế bất kỳ đều có tại https://policies.google.com/privacy/frameworks. Đoạn 4.3(d) này cấu thành thông báo bằng văn bản về các chứng nhận hiện tại của Google và/hoặc Đơn vị liên kết của Google vào Ngày điều khoản có hiệu lực theo yêu cầu ở đoạn 4.3(a)(iii).

5. SCC của đơn vị kiểm soát

5.1 Hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Châu Âu tới Khách hàng. Trong trường hợp:

  • (a) Google chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Châu Âu tới Khách hàng; và
  • (b) việc chuyển dữ liệu này là Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, Khách hàng với tư cách là đơn vị nhập dữ liệu sẽ được xem là đã giao kết SCC của đơn vị kiểm soát với Google Ireland Limited (Đơn vị kiểm soát cuối của Google trong trường hợp này) với tư cách là đơn vị xuất dữ liệu; đồng thời, việc chuyển dữ liệu sẽ tuân theo SCC của đơn vị kiểm soát.

5.2 Hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh tới Khách hàng. Trong trường hợp:

  • (a) Google chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh tới Khách hàng; và
  • (b) việc chuyển dữ liệu này là Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu, Khách hàng với tư cách là đơn vị nhập dữ liệu sẽ được xem là đã giao kết SCC của đơn vị kiểm soát với Google LLC (Đơn vị kiểm soát cuối của Google trong trường hợp này) với tư cách là đơn vị xuất dữ liệu; đồng thời, việc chuyển dữ liệu sẽ tuân theo SCC của đơn vị kiểm soát.

5.3 Hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Châu Âu tới Google. Các bên xác nhận rằng trong trường hợp Khách hàng chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Châu Âu tới Google, thì không bắt buộc phải có Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát vì địa chỉ của Google Ireland Limited (trong trường hợp này là Đơn vị kiểm soát cuối của Google) nằm ở một Quốc gia thoả đáng và hoạt động chuyển dữ liệu đó là Hoạt động chuyển dữ liệu được cho phép ở Châu Âu. Điều này không ảnh hưởng đến nghĩa vụ của Google theo đoạn 4.1 (Hoạt động chuyển dữ liệu bị hạn chế ở Châu Âu) của Phụ lục 1A này.

5.4 Hoạt động chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh tới Google. Trong trường hợp Khách hàng chuyển Dữ liệu cá nhân do đơn vị kiểm soát xử lý tại Vương quốc Anh tới Google, Khách hàng với tư cách là đơn vị xuất dữ liệu sẽ được coi là đã ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát là Google LLC (trong trường hợp này là Đơn vị kiểm soát cuối của Google) với tư cách là đơn vị nhập dữ liệu, đồng thời, hoạt động chuyển dữ liệu sẽ tuân theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát vì địa chỉ của Google LLC không nằm ở một Quốc gia thoả đáng.

5.5 Liên hệ với Google; Thông tin khách hàng.

  • (a) Khách hàng có thể liên hệ với Google Ireland Limited và/hoặc Google LLC về SCC của đơn vị kiểm soát tại https://support.google.com/policies/troubleshooter/9009584 hoặc thông qua các phương thức khác mà có thể Google cung cấp tuỳ từng thời điểm.
  • (b) Khách hàng công nhận rằng, theo yêu cầu của SCC của đơn vị kiểm soát, Google phải ghi lại một số thông tin nhất định, bao gồm (i) danh tính và thông tin liên hệ của đơn vị nhập dữ liệu (bao gồm cả toàn bộ những người liên hệ chịu trách nhiệm bảo vệ dữ liệu); và (ii) các biện pháp về kỹ thuật và tổ chức do đơn vị nhập dữ liệu triển khai. Theo đó, khi được yêu cầu và nếu thích hợp, Khách hàng sẽ cung cấp thông tin đó cho Google thông qua các phương thức mà có thể Google cung cấp, đồng thời đảm bảo rằng tất cả thông tin được cung cấp đều là thông tin chính xác và mới nhất.

5.6 Phản hồi yêu cầu của Chủ thể dữ liệu. Đơn vị nhập dữ liệu thích hợp sẽ chịu trách nhiệm phản hồi yêu cầu của chủ thể dữ liệu cũng như của cơ quan giám sát về cách đơn vị nhập dữ liệu xử lý Dữ liệu cá nhân do đơn vị kiểm soát thích hợp xử lý.

5.7 Xoá dữ liệu khi Thoả thuận chấm dứt. Trong trường hợp:

  • (a) Google LLC đóng vai trò là đơn vị nhập dữ liệu và Khách hàng đóng vai trò là đơn vị xuất dữ liệu theo Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát; và
  • (b) Khách hàng chấm dứt Thoả thuận theo Khoản 16(c) của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, thì theo mục đích tại Khoản 16(d) của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, Khách hàng sẽ hướng dẫn Google xoá Dữ liệu cá nhân do đơn vị kiểm soát xử lý, đồng thời, trừ phi Luật của Châu Âu yêu cầu lưu trữ, Google sẽ hỗ trợ xoá dữ liệu ngay khi có thể một cách hợp lý, trong trường hợp việc xoá dữ liệu đó có thể là hợp lý (có tính đến việc Google là một Đơn vị kiểm soát độc lập với dữ liệu đó, cũng như tính chất và chức năng của Dịch vụ đo lường).

6. Trách nhiệm pháp lý nếu áp dụng SCC của đơn vị kiểm soát.

Nếu áp dụng SCC của đơn vị kiểm soát theo đoạn 5 (SCC của đơn vị kiểm soát) của Phụ lục 1A này, thì tổng trách nhiệm pháp lý kết hợp của:

  • (a) Google, Google LLC và Google Ireland Limited đối với Khách hàng; và
  • (b) Khách hàng đối với Google, Google LLC và Google Ireland Limited, theo hoặc liên quan đến sự kết hợp giữa Thoả thuận và Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ tuân theo Mục 5 (Trách nhiệm pháp lý). Khoản 12 của Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ không ảnh hưởng đến câu trước.

7. Đơn vị thụ hưởng bên thứ ba

Trong trường hợp Google LLC và/hoặc Google Ireland Limited không phải là một bên tham gia Thoả thuận nhưng là một bên ký kết Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát thích hợp theo quy định tại đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này, Google LLC và/hoặc Google Ireland Limited (tuỳ từng trường hợp) sẽ là đơn vị thụ hưởng bên thứ ba theo Mục 4.4 (Đơn vị kiểm soát cuối), đoạn 3 (Đơn vị kiểm soát cuối của Google), đoạn 5 (Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) và đoạn 6 (Trách nhiệm pháp lý nếu áp dụng Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát) của Phụ lục 1A này. Trong trường hợp đoạn 7 này (Đơn vị thụ hưởng bên thứ ba) xung đột hoặc không nhất quán với bất kỳ điều khoản nào khác trong Thoả thuận, thì đoạn 7 này (Đơn vị thụ hưởng bên thứ ba) sẽ được áp dụng.

8. Quyền ưu tiên

8.1 Nếu có xung đột hoặc điểm không nhất quán nào giữa Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát, Phụ lục 1A này, phần còn lại của các Điều khoản giữa các đơn vị kiểm soát này và/hoặc phần còn lại của Thoả thuận, thì Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát sẽ được ưu tiên áp dụng.

8.2 Các điều khoản thương mại bổ sung. Theo nội dung sửa đổi trong các Điều khoản giữa các đơn vị kiểm soát này, Thoả thuận vẫn có đầy đủ hiệu lực. Đoạn 5.5 (Liên hệ với Google) đến 5.7 (Xoá dữ liệu khi chấm dứt Thoả thuận) và đoạn 6 (Trách nhiệm pháp lý nếu áp dụng SCC của đơn vị kiểm soát) của Phụ lục 1A này là các điều khoản thương mại bổ sung liên quan đến SCC của đơn vị kiểm soát như được cho phép theo Khoản 2(a) (Hiệu lực và tính bất biến của Điều khoản) trong SCC của đơn vị kiểm soát.

8.3 Không sửa đổi Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát. Không có nội dung nào trong Thoả thuận (bao gồm cả các Điều khoản giữa các đơn vị kiểm soát này) được dùng để sửa đổi hoặc mâu thuẫn với Các điều khoản tiêu chuẩn trong hợp đồng (SCC) với đơn vị kiểm soát hoặc gây tổn hại đến các quyền cơ bản hay quyền tự do của chủ thể dữ liệu theo Luật bảo vệ dữ liệu ở Châu Âu.

PHẦN B – ĐIỀU KHOẢN BỔ SUNG CHO LUẬT VỀ QUYỀN RIÊNG TƯ CẤP TIỂU BANG CỦA HOA KỲ

1. Giới thiệu

Google có thể cung cấp và Khách hàng có thể bật một số chế độ cài đặt, cấu hình hoặc chức năng khác trong sản phẩm cho Dịch vụ đo lường liên quan đến việc xử lý dữ liệu bị hạn chế (theo mô tả trong tài liệu hỗ trợ được đăng tại business.safety.google/rdp) được cập nhật tuỳ từng thời điểm ("Xử lý dữ liệu bị hạn chế"). Phụ lục 1B này phản ánh thoả thuận giữa các bên về việc xử lý Dữ liệu cá nhân của Khách hàng và Dữ liệu đã loại bỏ thông tin nhận dạng (theo định nghĩa bên dưới) theo Thoả thuận liên quan đến Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ và chỉ có hiệu lực trong phạm vi áp dụng của từng Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

2. Định nghĩa và nội dung diễn giải bổ sung.

Trong Phụ lục 1B này:

  • (a) "Dữ liệu cá nhân của Khách hàng" là dữ liệu cá nhân do Google xử lý thay mặt cho Khách hàng khi cung cấp Dịch vụ đo lường.
  • (b) "Dữ liệu đã loại bỏ thông tin nhận dạng" là thông tin dữ liệu "đã loại bỏ thông tin nhận dạng" (theo định nghĩa của thuật ngữ đó trong Đạo luật về quyền riêng tư của người tiêu dùng tại California (CCPA)) và "dữ liệu đã loại bỏ thông tin nhận dạng" (theo định nghĩa trong các Luật khác về quyền riêng tư của các tiểu bang tại Hoa Kỳ), khi một bên tiết lộ cho bên kia.
  • (c) “Hướng dẫn” là tập hợp chỉ dẫn của Khách hàng hướng dẫn Google xử lý Dữ liệu cá nhân của Khách hàng theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ: (a) để cung cấp Dịch vụ RDP và dịch vụ hỗ trợ kỹ thuật bất kỳ có liên quan; (b) theo quy định cụ thể trong việc Khách hàng sử dụng Dịch vụ RDP (bao gồm cả trong phần cài đặt và chức năng khác của Dịch vụ RDP) cũng như mọi hoạt động hỗ trợ kỹ thuật có liên quan; (c) như nêu trong Thoả thuận, bao gồm cả Phụ lục 1B này; (d) như nêu chi tiết hơn trong mọi hướng dẫn bằng văn bản khác do Khách hàng đưa ra và được Google xác nhận là cấu thành hướng dẫn theo mục đích của Phụ lục 1B này; và (e) để xử lý Dữ liệu cá nhân của Khách hàng như được cho phép theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ dành cho đơn vị cung cấp dịch vụ và đơn vị xử lý.
  • (d) "Dịch vụ xử lý dữ liệu bị hạn chế (RDP)" là Dịch vụ của đơn vị kiểm soát hoạt động theo Quy trình xử lý dữ liệu bị hạn chế.
  • (e) "Thời hạn" là khoảng thời gian tính từ Ngày điều khoản có hiệu lực cho đến khi Google chấm dứt việc cung cấp Dịch vụ đo lường theo Thoả thuận.
  • (f) các thuật ngữ "doanh nghiệp", "người tiêu dùng", "thông tin cá nhân", "mua bán", "bán", "đơn vị cung cấp dịch vụ" và "chia sẻ" được dùng trong Phụ lục 1B này có ý nghĩa như được nêu trong Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.
  • (g) Khách hàng hoàn toàn chịu trách nhiệm pháp lý về việc tuân thủ từng Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ khi sử dụng các dịch vụ của Google, bao gồm cả Dịch vụ xử lý dữ liệu bị hạn chế.

3. Các điều khoản trong Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ (trong phần Xử lý dữ liệu bị hạn chế).

3.1 Xử lý dữ liệu.

3.1.1

  • (a) Trách nhiệm của Đơn vị xử lý và Đơn vị kiểm soát. Các bên xác nhận và đồng ý rằng:
    • (i) Đoạn 7 (Vấn đề và thông tin chi tiết về việc xử lý dữ liệu theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ) của Phụ lục 1B này mô tả vấn đề và thông tin chi tiết về việc xử lý Dữ liệu cá nhân của Khách hàng;
    • (ii) Google là đơn vị cung cấp dịch vụ và đơn vị xử lý Dữ liệu cá nhân của Khách hàng theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ; và
    • (iii) Khách hàng là đơn vị kiểm soát hoặc đơn vị xử lý Dữ liệu cá nhân của Khách hàng (tuỳ từng trường hợp) theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ
  • (b) Khách hàng là đơn vị xử lý. Nếu Khách hàng là đơn vị xử lý:
    • (i) Khách hàng đảm bảo liên tục rằng đơn vị kiểm soát có liên quan đã cấp phép: (A) Hướng dẫn, (B) Khách hàng chỉ định Google làm đơn vị xử lý khác và (C) Google tham gia làm nhà thầu phụ như mô tả trong đoạn 3.6 (Nhà thầu phụ) của Phụ lục 1B này;
    • (ii) Khách hàng sẽ chuyển tiếp ngay lập tức cho đơn vị kiểm soát có liên quan mọi thông báo do Google đưa ra theo đoạn 3.3.2(a) (Thông báo sự cố) và 3.6 (Nhà thầu phụ); và
    • (iii) Khách hàng có thể cung cấp cho đơn vị kiểm soát có liên quan thông tin bất kỳ do Google đưa ra theo đoạn 3.3.3(c) (Quyền kiểm tra của khách hàng) và 3.6 (Nhà thầu phụ).

3.1.2 Hướng dẫn của Khách hàng. Bằng việc ký kết Phụ lục 1B này, Khách hàng hướng dẫn Google xử lý Dữ liệu cá nhân của Khách hàng theo Hướng dẫn.

3.1.3 Sự tuân thủ của Google đối với Hướng dẫn. Google sẽ tuân thủ Hướng dẫn, trừ phi bị cấm theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ.

3.1.4 Sản phẩm khác. Nếu Khách hàng sử dụng sản phẩm, dịch vụ hoặc ứng dụng bất kỳ do Google hoặc bên thứ ba cung cấp: (a) không thuộc Dịch vụ RDP; và (b) có thể truy cập được để sử dụng trong giao diện người dùng của Dịch vụ RDP hoặc được tích hợp với Dịch vụ RDP (“Sản phẩm bổ sung”), thì Dịch vụ RDP có thể cho phép Sản phẩm bổ sung đó truy cập Dữ liệu cá nhân của Khách hàng nếu cần thiết cho hoạt động tương tác của Sản phẩm bổ sung với Dịch vụ RDP. Để cho rõ ràng, Phụ lục 1B này không áp dụng cho việc xử lý dữ liệu cá nhân liên quan đến việc cung cấp bất kỳ Sản phẩm bổ sung nào mà Khách hàng sử dụng, bao gồm cả dữ liệu cá nhân được truyền đến hoặc từ Sản phẩm bổ sung đó.

3.2 Xoá dữ liệu khi hết thời hạn. Khách hàng hướng dẫn Google xoá tất cả Dữ liệu cá nhân còn lại của Khách hàng (bao gồm cả mọi bản sao hiện có) khỏi hệ thống của Google khi hết Thời hạn theo luật hiện hành. Google sẽ tuân thủ hướng dẫn này ngay khi có thể một cách hợp lý và trong khoảng thời gian tối đa là 180 ngày, trừ phi luật hiện hành yêu cầu lưu trữ.

3.3 Bảo mật dữ liệu.

3.3.1 Biện pháp bảo mật và hỗ trợ bảo mật của Google.

  • (a) Biện pháp bảo mật của Google. Google sẽ triển khai và duy trì các biện pháp tổ chức và kỹ thuật để bảo vệ Dữ liệu cá nhân của Khách hàng khỏi bị huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật (“Biện pháp bảo mật”). Biện pháp bảo mật bao gồm cả các biện pháp: (i) để mã hoá dữ liệu cá nhân; (ii) để giúp đảm bảo tính bảo mật, tính toàn vẹn, khả năng cung cấp và khả năng phục hồi liên tục của hệ thống và dịch vụ của Google; (iii) để giúp khôi phục quyền truy cập kịp thời vào dữ liệu cá nhân sau sự cố; và (iv) để kiểm tra tính hiệu quả thường xuyên. Tuỳ từng thời điểm, Google có thể cập nhật hoặc sửa đổi Biện pháp bảo mật, miễn là các nội dung cập nhật và sửa đổi đó không làm giảm mức độ bảo mật tổng thể của Dữ liệu cá nhân của Khách hàng.
  • (b) Truy cập và tuân thủ. Google sẽ đảm bảo rằng tất cả người được uỷ quyền xử lý Dữ liệu cá nhân của Khách hàng đều đã cam kết bảo mật hoặc chịu trách nhiệm bảo mật theo quy định của pháp luật.
  • (c) Hỗ trợ bảo mật của Google. Google sẽ (có tính đến bản chất của việc xử lý Dữ liệu cá nhân của Khách hàng và thông tin hiện có cho Google) hỗ trợ Khách hàng trong việc đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) về mặt bảo mật dữ liệu cá nhân và trường hợp vi phạm dữ liệu cá nhân, bao gồm cả nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) liên quan đến việc bảo mật dữ liệu cá nhân và trường hợp vi phạm dữ liệu cá nhân theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ, bằng cách:
    • (i) triển khai và duy trì Biện pháp bảo mật theo đoạn 3.3.1(a) (Biện pháp bảo mật của Google);
    • (ii) tuân thủ các điều khoản trong đoạn 3.3.2 (Sự cố dữ liệu); và
    • (iii) cung cấp cho Khách hàng các quyền được cấp theo đoạn 3.3.3(c) (Quyền kiểm tra của khách hàng).

3.3.2 Sự cố dữ liệu

  • (a) Thông báo sự cố. Nếu phát hiện Sự cố dữ liệu (như xác định dưới đây) thì Google sẽ: (i) thông báo Sự cố dữ liệu cho Khách hàng mà không chậm trễ quá mức; và (ii) nhanh chóng thực hiện các bước hợp lý để giảm thiểu tác hại và bảo mật Dữ liệu cá nhân của Khách hàng. Trong Phụ lục 1B này, “Sự cố dữ liệu” là hành vi vi phạm đối với hoạt động bảo mật của Google dẫn đến việc huỷ, mất, sửa đổi, tiết lộ hoặc truy cập trái phép hoặc trái pháp luật Dữ liệu cá nhân của Khách hàng trên hệ thống do Google quản lý hoặc kiểm soát. “Sự cố dữ liệu” sẽ không bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến tính bảo mật của Dữ liệu cá nhân của Khách hàng, bao gồm cả nỗ lực đăng nhập, ping, quét cổng, tấn công từ chối dịch vụ cũng như các cuộc tấn công mạng khác vào tường lửa hoặc hệ thống có kết nối mạng.
  • (b) Gửi thông báo. Google sẽ gửi thông báo về mọi Sự cố dữ liệu tới địa chỉ email mà Khách hàng chỉ định, thông qua giao diện người dùng của Dịch vụ RDP hoặc các phương tiện khác do Google cung cấp, để nhận một số thông báo của Google liên quan đến Phụ lục 1B này (“Địa chỉ email nhận thông báo”) hoặc theo quyết định riêng của Google (bao gồm cả trường hợp Khách hàng chưa cung cấp Địa chỉ email nhận thông báo) bằng hình thức liên lạc trực tiếp khác (ví dụ: cuộc gọi điện thoại, email hoặc cuộc gặp trực tiếp). Khách hàng tự chịu trách nhiệm cung cấp Địa chỉ email nhận thông báo và đảm bảo rằng Địa chỉ email nhận thông báo còn sử dụng được và hợp lệ.
  • (c) Thông báo cho bên thứ ba. Khách hàng tự chịu trách nhiệm tuân thủ luật về thông báo sự cố áp dụng cho Khách hàng và thực hiện mọi nghĩa vụ thông báo cho bên thứ ba liên quan đến Sự cố dữ liệu.
  • (d) Google không xác nhận lỗi. Việc Google thông báo hoặc phản hồi về Sự cố dữ liệu theo đoạn 3.3.2 này (Sự cố dữ liệu) không cấu thành việc xác nhận lỗi hoặc trách nhiệm pháp lý nào của Google đối với Sự cố dữ liệu.

3.3.3 Trách nhiệm và đánh giá của Khách hàng về bảo mật.

  • (a) Trách nhiệm của Khách hàng về bảo mật. Khách hàng đồng ý rằng, không ảnh hưởng đến nghĩa vụ của Google theo các đoạn 3.3.1 (Biện pháp bảo mật và hỗ trợ bảo mật của Google) và 3.3.2 (Sự cố dữ liệu):
    • (i) Khách hàng chịu trách nhiệm về việc sử dụng Dịch vụ RDP, bao gồm cả: (1) sử dụng Dịch vụ RDP cho phù hợp để đảm bảo mức độ bảo mật thoả đáng trước rủi ro đối với Dữ liệu cá nhân của Khách hàng; và (2) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Khách hàng sử dụng để truy cập Dịch vụ RDP; và
    • (ii) Google không có nghĩa vụ bảo vệ Dữ liệu cá nhân của Khách hàng mà Khách hàng chọn lưu trữ hoặc chuyển ra bên ngoài hệ thống của Google và nhà thầu phụ của Google.
  • (b) Đánh giá của Khách hàng về bảo mật. Khách hàng công nhận và đồng ý rằng Biện pháp bảo mật do Google triển khai và duy trì như nêu trong đoạn 3.3.1(a) (Biện pháp bảo mật của Google) mang lại mức độ bảo mật thoả đáng trước rủi ro liên quan đến Dữ liệu cá nhân của Khách hàng, có tính đến công nghệ hiện đại, chi phí triển khai và bản chất, phạm vi, ngữ cảnh và mục đích xử lý Dữ liệu cá nhân của Khách hàng cũng như các rủi ro đối với cá nhân.
  • (c) Quyền kiểm tra của Khách hàng.
    • (i) Khách hàng có thể tiến hành kiểm tra để xác minh rằng Google tuân thủ các nghĩa vụ của Google theo Phụ lục 1B này bằng cách yêu cầu và xem xét (1) chứng chỉ được cấp để xác minh độ bảo mật phản ánh kết quả của cuộc kiểm tra do người kiểm tra bên thứ ba thực hiện (ví dụ: Giấy chứng nhận SOC 2 Type II, ISO/IEC 27001, giấy chứng nhận tương đương hoặc giấy chứng nhận bảo mật khác về một cuộc kiểm tra mà Khách hàng và Google cùng đồng ý để người kiểm tra bên thứ ba tiến hành) trong vòng 12 tháng kể từ ngày Khách hàng yêu cầu và (2) mọi thông tin khác mà Google xác định là hợp lý ở mức cần thiết để Khách hàng xác minh việc tuân thủ đó.
    • (ii) Ngoài ra, theo quyết định riêng của Google và dựa trên yêu cầu của Khách hàng, Google có thể tiến hành một cuộc kiểm tra của bên thứ ba để xác minh xem Google có tuân thủ các nghĩa vụ của Google theo Phụ lục 1B này hay không. Trong quá trình kiểm tra đó, Google sẽ cung cấp cho người kiểm tra bên thứ ba tất cả thông tin cần thiết để chứng minh sự tuân thủ đó. Khi Khách hàng yêu cầu tiến hành một cuộc kiểm tra như vậy, Google có thể tính phí kiểm tra (dựa trên chi phí hợp lý của Google). Google sẽ cung cấp cho Khách hàng thông tin chi tiết hơn về mọi khoản phí áp dụng và cơ sở tính toán trước khi tiến hành cuộc kiểm tra như vậy. Khách hàng sẽ chịu trách nhiệm thanh toán mọi khoản phí cho người kiểm tra bên thứ ba do Khách hàng chỉ định để người kiểm tra đó tiến hành kiểm tra.
    • (iii) Không có nội dung nào trong Phụ lục 1B này yêu cầu Google phải tiết lộ cho Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng, hoặc cho phép Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng truy cập:
      • (1) dữ liệu bất kỳ của khách hàng bất kỳ nào khác của Pháp nhân Google;
      • (2) thông tin kế toán hoặc tài chính nội bộ của Pháp nhân Google;
      • (3) bí mật thương mại của Pháp nhân Google;
      • (4) thông tin mà theo ý kiến hợp lý của Google, có thể: (A) xâm phạm tính bảo mật của các hệ thống hoặc cơ sở của Pháp nhân Google; hoặc (B) khiến Pháp nhân Google vi phạm nghĩa vụ theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ hoặc nghĩa vụ bảo mật và/hoặc nghĩa vụ về quyền riêng tư của Pháp nhân Google đối với Khách hàng hoặc bên thứ ba; hoặc
      • (5) thông tin mà Khách hàng hoặc người kiểm tra bên thứ ba của Khách hàng mong muốn truy cập vì lý do nào khác ngoài lý do thực hiện nghĩa vụ của Khách hàng một cách thành thực theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ.

3.4 Biện pháp hỗ trợ đánh giá tác động. Google sẽ (có tính đến bản chất của việc xử lý và thông tin hiện có cho Google) hỗ trợ Khách hàng đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) liên quan đến hoạt động đánh giá tác động của việc bảo vệ dữ liệu cũng như tham vấn trước theo quy định trong phạm vi được yêu cầu của Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ bằng cách:

  • (a) cung cấp Tài liệu về bảo mật;
  • (b) cung cấp thông tin có trong Thoả thuận (bao gồm cả Phụ lục 1B này); và
  • (c) cung cấp hoặc đưa ra theo thông lệ tiêu chuẩn của Google, các tài liệu khác có liên quan đến bản chất của Dịch vụ RDP và việc xử lý Dữ liệu cá nhân của Khách hàng (ví dụ: tài liệu trên trung tâm trợ giúp).

3.5 Quyền của chủ thể dữ liệu.

3.5.1 Phản hồi yêu cầu của chủ thể dữ liệu. Nếu Google nhận được yêu cầu của một chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân của Khách hàng, thì Khách hàng uỷ quyền cho Google và Google thông báo cho Khách hàng rằng Google sẽ:

  • (a) phản hồi trực tiếp yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của một công cụ (nếu có) do Pháp nhân Google cung cấp cho các chủ thể dữ liệu, cho phép Google phản hồi trực tiếp và theo cách thức chuẩn đối với một số yêu cầu nhất định của chủ thể dữ liệu có liên quan đến Dữ liệu cá nhân của Khách hàng (ví dụ: chế độ cài đặt quảng cáo trực tuyến hoặc trình bổ trợ để chọn không tham gia trên trình duyệt) ("Công cụ dành cho chủ thể dữ liệu") (nếu yêu cầu được gửi thông qua Công cụ dành cho chủ thể dữ liệu); hoặc
  • (b) tư vấn để chủ thể dữ liệu gửi yêu cầu của họ cho Khách hàng và Khách hàng sẽ chịu trách nhiệm phản hồi yêu cầu đó (nếu yêu cầu không được gửi thông qua Công cụ dành cho Chủ thể dữ liệu).

3.5.2 Biện pháp hỗ trợ của Google đối với yêu cầu của chủ thể dữ liệu. Google sẽ hỗ trợ Khách hàng đáp ứng nghĩa vụ của Khách hàng (hoặc nghĩa vụ của đơn vị kiểm soát có liên quan khi Khách hàng là đơn vị xử lý) theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ để phản hồi yêu cầu thực thi quyền của chủ thể dữ liệu, trong mọi trường hợp đều tính đến bản chất của việc xử lý Dữ liệu cá nhân của Khách hàng và bằng cách:

  • (a) cung cấp chức năng của Dịch vụ RDP;
  • (b) tuân thủ các cam kết nêu trong đoạn 3.5.1 (Phản hồi yêu cầu của chủ thể dữ liệu); và
  • (c) nếu có áp dụng cho Dịch vụ RDP thì cung cấp Công cụ của chủ thể dữ liệu.

3.5.3 Chỉnh sửa. Nếu biết rằng Dữ liệu cá nhân bất kỳ của Khách hàng là không chính xác hoặc đã cũ, thì Khách hàng sẽ chịu trách nhiệm chỉnh sửa hoặc xoá dữ liệu đó theo yêu cầu của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, kể cả (nếu thích hợp) bằng cách sử dụng chức năng của Dịch vụ RDP.

3.6 Nhà thầu phụ.

  • (a) Khách hàng thường uỷ quyền cho Google thuê các pháp nhân khác làm nhà thầu phụ liên quan đến việc cung cấp Dịch vụ RDP. Khi giao dịch với nhà thầu phụ bất kỳ, Google sẽ:
    • (i) đảm bảo thông qua một hợp đồng bằng văn bản rằng: (1) nhà thầu phụ chỉ truy cập và sử dụng Dữ liệu cá nhân của Khách hàng trong phạm vi được yêu cầu để thực hiện các nghĩa vụ đã ký hợp đồng phụ với họ cũng như tuân theo Thoả thuận (bao gồm cả Phụ lục 1B này); và (2) nếu việc xử lý Dữ liệu cá nhân của Khách hàng tuân theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ, thì đảm bảo rằng các nghĩa vụ bảo vệ dữ liệu trong Phụ lục 1B này cũng được áp dụng cho cả nhà thầu phụ;
    • (ii) khi thuê nhà thầu phụ mới, thông báo về nhà thầu phụ mới đó theo yêu cầu của Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ; đồng thời, theo yêu cầu của Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ, cho Khách hàng được lựa chọn từ chối nhà thầu phụ; và
    • (iii) hoàn toàn chịu trách nhiệm pháp lý đối với tất cả nghĩa vụ đã ký kết trong hợp đồng phụ, cũng như mọi hành vi và thiếu sót của nhà thầu phụ.
  • (b) Khách hàng có thể phản đối bất kỳ nhà thầu phụ mới nào bằng cách chấm dứt Thoả thuận ngay lập tức sau khi gửi thông báo bằng văn bản cho Google, miễn là Khách hàng gửi thông báo đó trong vòng 90 ngày kể từ ngày nhận được thông báo về sự tham gia của nhà thầu phụ mới theo mô tả trong đoạn 3.6(a)(ii) này.

3.7 Liên hệ với Google. Khách hàng có thể liên hệ với Google về việc thực thi quyền của Google theo Phụ lục 1B này thông qua các phương thức nêu tại privacy.google.com/businesses/processorsupport hoặc thông qua các phương thức khác mà có thể Google cung cấp tuỳ từng thời điểm.

4. Điều khoản của Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ

4.1 Dữ liệu đã loại bỏ thông tin nhận dạng. Đối với Dữ liệu cá nhân của Khách hàng được xử lý theo hoặc không theo Quy trình xử lý dữ liệu bị hạn chế, và trong trường hợp có áp dụng một hoặc nhiều Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ cho việc xử lý Dữ liệu cá nhân của Khách hàng, mỗi bên sẽ phải tuân thủ các yêu cầu về việc xử lý Dữ liệu đã loại bỏ thông tin nhận dạng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, đối với Dữ liệu đã loại bỏ thông tin nhận dạng mà bên kia cung cấp theo Thoả thuận. Theo mục đích của đoạn 4.1 này (Dữ liệu đã loại bỏ thông tin nhận dạng), Dữ liệu cá nhân của Khách hàng là mọi dữ liệu cá nhân được một bên xử lý theo Thoả thuận liên quan đến việc cung cấp hoặc sử dụng Dịch vụ đo lường.

5. Nghĩa vụ của Google theo Đạo luật về quyền riêng tư của người tiêu dùng tại California (CCPA).

5.1 Đối với Dữ liệu cá nhân của Khách hàng được xử lý theo Quy trình xử lý dữ liệu bị hạn chế và trong trường hợp có áp dụng Đạo luật về quyền riêng tư của người tiêu dùng tại California (CCPA) cho việc xử lý Dữ liệu cá nhân của Khách hàng, Google sẽ đóng vai trò là đơn vị cung cấp dịch vụ của Khách hàng và do đó, trừ trường hợp đơn vị cung cấp dịch vụ được cho phép theo CCPA, theo quyết định hợp lý của Google:

  • (a) Google sẽ không bán hay chia sẻ Dữ liệu cá nhân của Khách hàng mà Google thu được của Khách hàng liên quan đến Thoả thuận;
  • (b) Google sẽ không giữ lại, sử dụng hoặc tiết lộ Dữ liệu cá nhân của Khách hàng (bao gồm cả bên ngoài mối quan hệ kinh doanh trực tiếp giữa Google và Khách hàng), ngoài mục đích kinh doanh theo CCPA thay mặt cho Khách hàng và mục đích cụ thể để thực hiện Dịch vụ RDP, như nêu cụ thể hơn trong tài liệu hỗ trợ có tại business.safety.google/rdp (được cập nhật tuỳ từng thời điểm);
  • (c) Google sẽ không kết hợp Dữ liệu cá nhân của Khách hàng mà Google nhận được từ hoặc thay mặt cho Khách hàng với (i) thông tin cá nhân mà Google nhận được từ hoặc thay mặt cho một hoặc nhiều người khác hoặc (ii) thông tin cá nhân được thu thập qua hoạt động tương tác của Google với người tiêu dùng, như nêu cụ thể hơn trong tài liệu hỗ trợ có tại business.safety.google/rdp, ngoại trừ trong phạm vi được phép theo CCPA;
  • (d) Google sẽ xử lý Dữ liệu cá nhân của Khách hàng cho mục đích cụ thể là thực hiện Dịch vụ RDP, như nêu cụ thể hơn trong Thoả thuận và tài liệu hỗ trợ (ví dụ: bài viết trên trung tâm trợ giúp) hoặc theo cách khác được cho phép theo CCPA; đồng thời, các bên đồng ý rằng Khách hàng cung cấp Dữ liệu cá nhân của Khách hàng cho Google vì các mục đích như vậy;
  • (e) Google sẽ cho phép kiểm tra để xác minh xem Google có tuân thủ các nghĩa vụ của Google trong Phụ lục 1B này hay không, tuân theo đoạn 3.3.3(c) (Quyền kiểm tra của khách hàng) tại đây;
  • (f) Google sẽ thông báo cho Khách hàng nếu xác định rằng Google không còn đáp ứng được các nghĩa vụ của mình theo CCPA nữa. Đoạn 5.1(f) này không làm giảm các quyền và nghĩa vụ của một trong hai bên ở những phần khác trong Thoả thuận;
  • (g) Nếu Khách hàng có lý do hợp lý để cho rằng Google đang xử lý Dữ liệu cá nhân của Khách hàng theo cách trái phép, thì Khách hàng có quyền thông báo cho Google về việc đó thông qua các phương thức được mô tả tại privacy.google.com/businesses/processorsupport, và các bên sẽ cùng phối hợp một cách thành thực để khắc phục các hoạt động xử lý bị cáo buộc là vi phạm (nếu cần); và
  • (h) Google sẽ tuân thủ các nghĩa vụ hiện hành theo CCPA và sẽ bảo vệ quyền riêng tư ở mức tương đương theo yêu cầu của CCPA.

5.2 Đối với Dữ liệu cá nhân của Khách hàng được xử lý không theo Quy trình xử lý dữ liệu bị hạn chế và trong trường hợp có áp dụng CCPA cho việc xử lý Dữ liệu cá nhân của Khách hàng:

  • (a) Google sẽ xử lý Dữ liệu cá nhân của Khách hàng cho mục đích cụ thể là cung cấp Dịch vụ đo lường (nếu thích hợp), như được mô tả cụ thể hơn trong Thoả thuận và tài liệu hỗ trợ (ví dụ: bài viết trên trung tâm trợ giúp) hoặc bằng cách khác được cho phép theo CCPA; đồng thời, các bên đồng ý rằng Khách hàng cung cấp Dữ liệu cá nhân của Khách hàng cho Google theo các mục đích đó;
  • (b) Google sẽ cho phép kiểm tra để xác minh việc Google có tuân thủ các nghĩa vụ của Google trong Phụ lục 1B này hay không theo đoạn 3.3.3(c) (Quyền kiểm tra của Khách hàng) này;
  • (c) Google sẽ thông báo cho Khách hàng nếu Google xác định rằng Google không còn đáp ứng được các nghĩa vụ của mình theo CCPA nữa;
  • (d) Nếu Khách hàng có lý do hợp lý để cho rằng Google đang xử lý Dữ liệu cá nhân của Khách hàng theo cách trái phép, thì Khách hàng có quyền thông báo cho Google về việc đó thông qua các phương thức được mô tả tại privacy.google.com/businesses/processorsupport, và các bên sẽ cùng phối hợp một cách thành thực để khắc phục các hoạt động xử lý bị cáo buộc là vi phạm (nếu cần); và
  • (e) Google sẽ tuân thủ các nghĩa vụ hiện hành theo CCPA và sẽ bảo vệ quyền riêng tư ở mức cần thiết theo yêu cầu của CCPA.

6. Những thay đổi đối với Phụ lục 1B này.

Ngoài Mục 7 trong Điều khoản giữa các đơn vị kiểm soát (Những thay đổi đối với các Điều khoản giữa các đơn vị kiểm soát này), tuỳ từng thời điểm, Google có thể thay đổi Phụ lục 1B này mà không cần thông báo nếu thay đổi đó (a) dựa trên luật hiện hành, quy định hiện hành, lệnh toà hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành hoặc (b) không có tác động bất lợi đáng kể đến Khách hàng theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ, theo quyết định hợp lý của Google.

7. Chủ đề và thông tin chi tiết về việc xử lý dữ liệu theo Luật về quyền riêng tư của các tiểu bang tại Hoa Kỳ

Google cung cấp Dịch vụ RDP và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Khách hàng.

Thời gian xử lý

Thời hạn cộng với khoảng thời gian từ khi kết thúc Thời hạn cho đến khi Google xoá tất cả Dữ liệu cá nhân của Khách hàng theo Phụ lục 1B.

Bản chất và mục đích của quy trình xử lý

Google sẽ xử lý (đối với Dịch vụ RDP và Hướng dẫn thì bao gồm cả việc thu thập, ghi lại, sắp xếp, tạo cấu trúc, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xoá và hủy) Dữ liệu cá nhân của Khách hàng nhằm mục đích cung cấp Dịch vụ RDP và mọi dịch vụ hỗ trợ kỹ thuật có liên quan cho Khách hàng theo Phụ lục 1B hoặc theo cách khác được các đơn vị xử lý cho phép theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ.

Các loại dữ liệu cá nhân

Dữ liệu cá nhân của Khách hàng có thể bao gồm cả loại dữ liệu cá nhân được mô tả theo Luật về quyền riêng tư cấp tiểu bang của Hoa Kỳ.

Danh mục chủ thể dữ liệu

Dữ liệu cá nhân của Khách hàng sẽ liên quan đến các danh mục chủ thể dữ liệu sau đây:

  • chủ thể dữ liệu mà Google thu thập dữ liệu cá nhân của chủ thể đó khi cung cấp Dịch vụ RDP; và/hoặc
  • chủ thể dữ liệu mà dữ liệu cá nhân của chủ thể đó được chuyển cho Google liên quan đến Dịch vụ RDP theo hướng dẫn của Khách hàng, thay mặt cho Khách hàng hoặc do Khách hàng thực hiện.

Tuỳ thuộc vào bản chất của Dịch vụ RDP, các chủ thể dữ liệu này có thể bao gồm cả những cá nhân: (a) mà quảng cáo trực tuyến đã hoặc sẽ hướng đến; (b) đã truy cập một số trang web hoặc ứng dụng cụ thể liên quan đến các trang web hoặc ứng dụng mà Google cung cấp Dịch vụ RDP; và/hoặc (c) là khách hàng hoặc người dùng sản phẩm hoặc dịch vụ của Khách hàng.

Các điều khoản bảo vệ dữ liệu giữa đơn vị kiểm soát và đơn vị kiểm soát thông tin đo lường của Google, Phiên bản 4.0

Các phiên bản trước

Ngày 1 tháng 1 năm 2023

Ngày 21 tháng 9 năm 2022

Ngày 27 tháng 9 năm 2021

Ngày 16 tháng 8 năm 2020

Ngày 12 tháng 8 năm 2020

Ngày 4 tháng 11 năm 2019

Thông tin này có hữu ích không?

Chúng tôi có thể cải thiện trang này bằng cách nào?

Bạn cần trợ giúp thêm?

Hãy thử các bước tiếp theo sau:

Đăng lên cộng đồng trợ giúp Nhận câu trả lời từ các thành viên cộng đồng
Liên hệ với chúng tôi Hãy giải thích thêm để chúng tôi hỗ trợ bạn tốt hơn
false
learning path
Chọn lộ trình học tập của riêng bạn

Mời bạn cùng tìm hiểu google.com/analytics/learn, một trang thông tin mới giúp bạn khai thác tối đa Google Analytics 4. Trang web mới này gồm nhiều video, bài viết và quy trình có hướng dẫn, đồng thời cung cấp đường liên kết đến các nguồn thông tin về Google Analytics (Discord, Blog, kênh YouTube và kho lưu trữ GitHub).

Hãy bắt đầu học hỏi ngay từ hôm nay!

Tìm kiếm
Xóa nội dung tìm kiếm
Đóng tìm kiếm
Các ứng dụng của Google
Trình đơn chính
11195274545326796319
true
Tìm kiếm trong Trung tâm trợ giúp
false
true
true
true
true
true
69256
false
false
false
false