Aneks dotyczący współpracy biznesowej zgodnej z ustawą HIPAA

Wersja: 22 grudnia 2022 r.

Stronami tego Aneksu dotyczącego współpracy biznesowej zgodnej z ustawą HIPAA („Aneks”)
są Google i klient akceptujący niniejsze warunki („Klient”). Aneks ten uzupełnia oraz zmienia Umowy (określone niżej) i jest w nie włączony wyłącznie w odniesieniu do Usług objętych
umową (określonych niżej). Aneks wchodzi w życie z datą kliknięcia przez Klienta przycisku
akceptacji warunków lub wyrażenia przez strony akceptacji Aneksu w inny sposób.

Aby niniejszy Aneks obowiązywał i był skuteczny, Klient musi mieć zawartą Umowę. W połączeniu z Umową Aneks będzie regulował obowiązki każdej ze stron w odniesieniu do Chronionych informacji zdrowotnych (PHI) (określonych niżej).

Osoba akceptująca warunki oświadcza i zapewnia, że: (i) dysponuje pełnomocnictwem do zobowiązania Klienta postanowieniami niniejszego Aneksu, (ii) zna i rozumie zapisy Aneksu
oraz (iii) wyraża zgodę na postanowienia Aneksu w imieniu Klienta. Osoba, która nie dysponuje pełnomocnictwem do zobowiązania Klienta postanowieniami tego Aneksu lub nie wyraża
zgody na te warunki, nie powinna go podpisywać ani klikać przycisku akceptacji.

Terminy pisane wielką literą, które nie zostały zdefiniowane w tym Aneksie, mają znaczenie przypisane im w (a) artykule Uproszczenie procedur administracyjnych (Administrative Simplification) amerykańskiej ustawy o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (Health Insurance Portability and Accountability Act) z 1996 r., amerykańskiej ustawie o wykorzystaniu technologii do przetwarzania informacji zdrowotnych w opiece zdrowotnej (Health Information Technology for Economic and Clinical Health Act) oraz ich przepisach wykonawczych z późniejszymi zmianami (zbiorczo: „HIPAA”) lub (b) Umowach.

1. Definicje.

„Umowy” oznaczają pisemne umowy zawarte między Google a Klientem, które dotyczą świadczenia Usług objętych umową i mogą mieć postać warunków korzystania z usługi dostępnych online.

„Usługi objęte umową” oznaczają Looker Studio, nie obejmują jednak Looker Studio Pro.

„Użytkownicy” mają definicję określoną w Umowie.

„Google” oznacza Podmiot Google, który jest stroną Umów.

„Podmiot Google” to firma Google LLC lub Google Ireland Limited albo dowolny inny Podmiot stowarzyszony firmy Google LLC.

„Poradnik na temat spełniania wymogów ustawy HIPAA” to udostępniany przez Google poradnik z informacjami o tym, jak Klient, który stara się zapewnić zgodność z przepisami HIPAA, może skonfigurować Usługi objęte umową. Poradnik na temat spełniania wymogów ustawy HIPAA odnoszący się do Usług objętych umową jest dostępny do wglądu pod tym adresem URL: https://support.google.com/looker-studio/answer/10043514.

„Chronione informacje zdrowotne” lub „PHI” mają definicję nadaną im w ustawie HIPAA i na potrzeby niniejszego Aneksu ograniczają się do Chronionych informacji zdrowotnych zawartych w Danych Klienta, do których Google ma dostęp poprzez Usługi objęte umową w związku z dozwolonym korzystaniem z tych Usług przez Klienta.

2. Zakres obowiązywania.
   1. Ten Aneks odnosi się do zakresu, w jakim Klient działa w charakterze Podmiotu objętego ustawą HIPAA lub Partnera biznesowego, aby tworzyć, otrzymywać, przechowywać lub przesyłać Chronione informacje zdrowotne za pomocą Usługi objętej umową, oraz do zakresu, w którym na mocy ustawy HIPAA uznaje się, że Google działa w charakterze Partnera biznesowego lub Podwykonawcy Klienta. Klient potwierdza, że niniejszy Aneks nie ma zastosowania do (i) żadnych innych produktów, usług ani funkcji Google, które nie stanowią Usługi objętej umową, ani do (ii) żadnych Chronionych informacji zdrowotnych, które Klient tworzy, otrzymuje, przechowuje lub przesyła poza Usługami objętymi umową (w tym w ramach korzystania przez Klienta z aplikacji innych firm lub z jego narzędzi do przechowywania danych offline lub w środowisku lokalnym).
   2. Zawarte w tym Aneksie odwołanie do określonego artykułu HIPAA oznacza wskazany artykuł z późniejszymi zmianami.

3. Wykorzystywanie i ujawnianie Chronionych informacji zdrowotnych.
   1. Google może wykorzystywać i ujawniać Chronione informacje zdrowotne wyłącznie (i) w sposób dozwolony lub wymagany przez Umowy bądź niniejszy Aneks lub (ii) zgodnie z wymogami przepisów prawa.
   2. Google może wykorzystywać i ujawniać Chronione informacje zdrowotne na potrzeby właściwego zarządzania i administrowania oraz wypełniania swoich obowiązków prawnych, przy czym ujawnienie Chronionych informacji zdrowotnych w takich celach jest możliwe tylko wtedy, gdy: (1) jest to wymagane przez przepisy prawa lub (2) Google uzyska odpowiednie pisemne zapewnienia od osoby, której zostaną ujawnione Chronione informacje zdrowotne, że będą one utrzymywane w tajemnicy oraz wykorzystywane lub ujawniane wyłącznie zgodnie z wymogami przepisów prawa lub w celu, w którym zostały ujawnione, oraz że Google otrzyma powiadomienie o każdym Naruszeniu lub Incydencie związanym z bezpieczeństwem.
   3. W zakresie określanym przez „minimalne niezbędne” wymogi ustawy HIPAA Google będzie jedynie żądać Chronionych informacji zdrowotnych oraz wykorzystywać je i ujawniać w minimalnej ilości, która jest konieczna do osiągnięcia celu danego żądania, wykorzystania lub ujawnienia.
   4. W zakresie, w jakim Google zobowiąże się na piśmie wykonywać jakiekolwiek zobowiązania Klienta wynikające z zasady prywatności zawartej w ustawie HIPAA, przy wykonywaniu takich zobowiązań Google będzie przestrzegać wymogów zasady prywatności zawartej w ustawie HIPAA, które odnoszą się do Klienta.

4. Zobowiązania Klienta.
   1. Wyłączną odpowiedzialność za kontrolowanie, czy Użytkownicy Klienta są upoważnieni do udostępniania, ujawniania, tworzenia lub używania Chronionych informacji zdrowotnych w obrębie Usług objętych umową, ponosi Klient.
   2. Klient nie będzie żądał, aby Chronione informacje zdrowotne były wykorzystywane lub ujawniane przez Google lub w Usługach objętych umową w sposób, który na mocy ustawy HIPAA byłby niedozwolony dla Klienta (gdy Klient jest Podmiotem objętym ustawą HIPAA) lub dla Podmiotu objętego ustawą HIPAA, dla którego
      Klient jest Partnerem biznesowym (o ile na mocy ustawy HIPAA nie jest to wyraźnie dozwolone dla Partnera biznesowego), z wyłączeniem zapisów zawartych w artykule 3 niniejszego Aneksu.
   3. Ujawniając Google Chronione informacje zdrowotne, Klient dostarczy Google minimalną ilość Chronionych informacji zdrowotnych niezbędną do osiągnięcia
      celu Google.
   4. W odniesieniu do Użytkowników, którzy korzystają z Usług objętych umową w związku z Chronionymi informacjami zdrowotnymi, Klient będzie stosował ustawienia dostępne w Usługach, w tym ustawienia opisane szczegółowo w Poradniku na temat spełniania wymogów ustawy HIPAA, aby mieć pewność,
      że korzystanie z Chronionych informacji zdrowotnych przez Klienta ogranicza
      się do Usług objętych umową. Klient przyjmuje do wiadomości i akceptuje fakt,
      że Google udostępnia Poradnik na temat spełniania wymogów ustawy HIPAA wyłącznie jako poradnik informacyjny w odniesieniu do opcji konfiguracji dostępnych dla Klienta oraz że wyłączna odpowiedzialność za zadbanie
      o to, aby sposób, w jaki Klient i jego Użytkownicy korzystają z Usług objętych umową, był zgodny z ustawą HIPAA, spoczywa na Kliencie.
   5. Klient zapewnia, że na potrzeby ujawniania Google Chronionych informacji zdrowotnych uzyskał i będzie uzyskiwał wszelkie zgody, upoważnienia lub inne zezwolenia prawne wymagane na mocy ustawy HIPAA lub innych obowiązujących przepisów prawa. Jeśli nastąpią jakiekolwiek zmiany w udzielonym przez Osobę fizyczną zezwoleniu na wykorzystywanie lub ujawnianie Chronionych informacji zdrowotnych lub jeśli takie zezwolenie zostanie wycofane, obowiązkiem Klienta jest takie zarządzanie swoim korzystaniem z Usług objętych umową, które zapewni aktualizację lub usunięcie stosownych Chronionych informacji zdrowotnych zawartych w Usługach objętych umową.
5. Środki ochrony. Google i Klient będą stosować uzasadnione i odpowiednie środki ochrony, aby zapobiegać wykorzystywaniu lub ujawnianiu Chronionych informacji zdrowotnych z wyjątkiem sytuacji dozwolonych lub wymaganych na mocy niniejszego Aneksu. Ponadto Google wdroży Administracyjne środki ochrony, Fizyczne środki ochrony i Techniczne środki ochrony, które w uzasadniony i odpowiedni sposób chronią Poufność, Integralność i Dostępność Chronionych informacji zdrowotnych przesyłanych lub przechowywanych na nośnikach elektronicznych („EPHI”) tworzonych, otrzymywanych, przechowywanych lub przesyłanych w imieniu Klienta. W odniesieniu do EPHI Google będzie przestrzegać obowiązujących zapisów zasady bezpieczeństwa zawartej
   w ustawie HIPAA.
6. Raportowanie i powiązane zobowiązania.
   1. Google niezwłocznie powiadomi Klienta o (i) wszelkich wykrytych przez Google Incydentach związanych z bezpieczeństwem, z zastrzeżeniem artykułu 6(c),
      oraz o (ii) wszelkich wykrytych przez Google Naruszeniach, przy czym każde powiadomienie o Naruszeniu zostanie przesłane bez nieuzasadnionej zwłoki, a w każdym wypadku przed upływem 60 dni kalendarzowych od wykrycia. Powiadomienia przesyłane na mocy tego artykułu będą w miarę możliwości zawierały opis szczegółów Naruszenia, w tym działania podjęte w celu zniwelowania potencjalnego ryzyka i działania, które Google w związku z Naruszeniem zaleca Klientowi.
   2. Google będzie wysyłać wszelkie stosowne powiadomienia na adres e-mail do powiadomień podany przez Klienta w Umowie (lub odpowiednim interfejsie usługi) lub w ramach bezpośredniej komunikacji z Klientem.
   3. Niezależnie od zapisów artykułu 6(a) niniejszy artykuł 6(c) będzie uznawany za powiadomienie Klienta, że Google co jakiś czas ma do czynienia z nieudanymi próbami nieautoryzowanego dostępu, wykorzystania, ujawnienia, modyfikacji
      lub zniszczenia informacji bądź zakłócenia ogólnego działania systemów informatycznych Google i Usług objętych umową. Klient przyjmuje do wiadomości i akceptuje fakt, że nawet jeśli takie zdarzenia stanowią Incydent związany z bezpieczeństwem, to na mocy niniejszego Aneksu Google nie ma obowiązku powiadamiać go o takich nieudanych próbach w sposób wykraczający poza powiadomienie zawarte w niniejszym artykule 6(c).
   4. Google będzie podejmować uzasadnione działania, aby w miarę możliwości niwelować wszelkie wykryte przez siebie szkodliwe efekty przypadków wykorzystania lub ujawnienia Chronionych informacji zdrowotnych przez
      Google w sposób niezgodny z zapisami Aneksu.
   5. Google będzie zgłaszać Klientowi wszelkie wykryte przez siebie przypadki wykorzystania lub ujawnienia Chronionych informacji zdrowotnych, które
      nie są dozwolone na mocy Aneksu.
7. Podwykonawcy. Google zawrze pisemną umowę spełniającą wymagania zawarte w paragrafach 164.504(e) i 164.314(a)(2) (zależnie od przypadku) amerykańskich przepisów 45 CFR z każdym Podwykonawcą, który tworzy, otrzymuje, przechowuje
   lub przesyła Chronione informacje zdrowotne w imieniu Google. Google zadba
   o to, aby pisemna umowa z każdym Podwykonawcą zobowiązywała Podwykonawcę
   do przestrzegania wszelkich ograniczeń i warunków, które zapewniają taki sam
   zasadniczy poziom ochrony Chronionych informacji zdrowotnych jak niniejszy
   Aneks.

8. Dostęp i zmiany. Klient przyjmuje do wiadomości i akceptuje fakt, że ponosi
   wyłączną odpowiedzialność za formę i zawartość Chronionych informacji zdrowotnych przechowywanych przez siebie w Usługach objętych umową, w tym za to, czy przechowuje takie Chronione informacje zdrowotne w Wyznaczonym zestawie rekordów w obrębie Usług objętych umową. Google zapewni Klientowi dostęp do Chronionych informacji zdrowotnych Klienta poprzez Usługi objęte umową, aby Klient mógł wypełniać swoje zobowiązania wynikające z ustawy HIPAA w odniesieniu do prawa dostępu
   i prawa do poprawiania przynależnego Osobom fizycznym. Google nie będzie jednak
   mieć żadnych innych zobowiązań wobec Klienta ani jakichkolwiek Osób fizycznych w odniesieniu do praw przyznanych Osobom fizycznym na mocy ustawy HIPAA
   w zakresie Wyznaczonych zestawów rekordów, w tym prawa dostępu i prawa do poprawiania Chronionych informacji zdrowotnych. Obowiązkiem Klienta jest takie zarządzanie korzystaniem z Usług objętych umową, aby odpowiednio reagować
   na takie żądania Osób fizycznych.

9. Wykaz przypadków ujawnienia. Google będzie dokumentować przypadki ujawnienia Chronionych informacji zdrowotnych przez siebie i dostarczy wykaz takich przypadków ujawnienia Klientowi w sposób i w zakresie wymaganym od Partnera biznesowego na mocy ustawy HIPAA oraz zgodnie z wymaganiami obowiązującymi Partnera biznesowego w myśl tej ustawy.

10. Dostępność ksiąg i dostęp do rejestrów. W zakresie wymaganym przez przepisy prawa i z uwzględnieniem stosownej tajemnicy adwokackiej Google będzie udostępniać swoje wewnętrzne procedury, księgi i rejestry odnoszące się do wykorzystywania i ujawniania Chronionych informacji zdrowotnych otrzymanych od Klienta lub utworzonych bądź otrzymanych przez Google w imieniu Klienta sekretarzowi amerykańskiego Departamentu Zdrowia i Opieki Społecznej („Sekretarz”), aby umożliwić mu ustalenie, czy zapisy niniejszego Aneksu są przestrzegane.

11. Wygaśnięcie i rozwiązanie.
    1. Niniejszy Aneks przestanie obowiązywać (i) w chwili dozwolonego wypowiedzenia zgodnie z poniższym artykułem 11(b) lub (ii) wraz z wygaśnięciem lub wypowiedzeniem wszystkich Umów, na mocy których Klient ma dostęp
       do Usługi objętej umową – w zależności od tego, co nastąpi wcześniej.
    2. Jeśli którakolwiek ze stron w istotny sposób naruszy niniejszy Aneks, wówczas strona nienaruszająca może go wypowiedzieć, przesyłając stronie naruszającej pisemne powiadomienie z zachowaniem 15-dniowego okresu wypowiedzenia, chyba że w trakcie tego 15-dniowego okresu naruszenie zostanie usunięte. Jeśli usunięcie naruszenia w myśl niniejszego artykułu 11(b) nie jest możliwe, wówczas strona nienaruszająca może wypowiedzieć Aneks ze skutkiem natychmiastowym, a jeśli nie jest możliwe ani wypowiedzenie, ani usunięcie naruszenia w myśl niniejszego artykułu 11(b), wówczas strona nienaruszająca może zgłosić
       naruszenie Sekretarzowi z zachowaniem wszelkiej obowiązującej ochrony prawnej.
    3. Jeśli Aneks zostanie rozwiązany wcześniej niż Umowy, Klient może w dalszym
       ciągu korzystać z Usług zgodnie z Umowami, musi jednak usunąć wszelkie Chronione informacje zdrowotne, które przechowuje w Usługach objętych
       umową, i zaprzestać dalszego tworzenia, otrzymywania, przechowywania
       lub przesyłania takich Chronionych informacji zdrowotnych do Google.
12. Zwrot lub zniszczenie informacji. Wraz z zakończeniem Umów Google zwróci lub zniszczy wszelkie Chronione informacje zdrowotne otrzymane od Klienta lub utworzone bądź otrzymane przez Google w imieniu Klienta. Jeśli jednak taki zwrot lub takie zniszczenie nie jest wykonalne, Google obejmie ochroną zapewnianą przez Aneks niezwrócone lub niezniszczone Chronione informacje zdrowotne oraz ograniczy ich
    dalsze wykorzystywanie i ujawnianie do tych celów, które uniemożliwiają zwrot lub usunięcie Chronionych informacji zdrowotnych.
13. Zmiany w Aneksie. Google może co jakiś czas modyfikować warunki niniejszego Aneksu (w tym adresy URL przywołane w tych warunkach oraz zawartość dostępną pod tymi adresami). Powiadomienie o takich zmianach będzie dostępne pod odpowiednim adresem URL (lub innym adresem URL wskazanym przez Google) lub w interfejsie odpowiedniej Usługi objętej umową. Zmiany niniejszych warunków (w tym zmiany treści znajdujących się pod adresami URL) nie będą działać wstecz i będą obowiązywać po upływie 14 dni od ich opublikowania. Wyjątkiem są zmiany odniesień adresów URL, które obowiązują od razu.
14. Inne postanowienia.
    1. Zachowanie mocy prawnej zobowiązań. Artykuły 12 (Zwrot lub zniszczenie informacji) i 14 (Inne postanowienia) pozostaną w mocy niezależnie od wypowiedzenia lub wygaśnięcia tego Aneksu.
    2. Skutki Aneksu. W zakresie, w którym postanowienia Aneksu są sprzeczne
       z innymi zapisami Umów, pierwszeństwo mają postanowienia Aneksu. Aneks podlega artykułowi „Prawo właściwe” w Umowach. Poza wyraźnymi zmianami wprowadzanymi na mocy niniejszego Aneksu warunki Umów pozostają w mocy.

Poprzednie wersje

16 listopada 2020 r.