Google dan Pelanggan telah menyepakati Persyaratan Perlindungan Data Pengukuran Google untuk Antar-Pengontrol (“Persyaratan Pengontrol”), yang melengkapi Perjanjian tersebut. Adendum Pengontrol State Privacy Laws Amerika Serikat untuk Persyaratan Pengontrol ini (“Adendum Pengontrol State Privacy Laws” ini) disepakati oleh Google dan Pelanggan dan juga melengkapi Perjanjian tersebut. Adendum ini akan berlaku paling lambat 1 Januari 2023 atau pada tanggal saat Pelanggan mengklik untuk menyetujui atau para pihak telah menyetujui Adendum ini.
1. Pengantar.
Google dapat menawarkan dan Pelanggan dapat mengaktifkan setelan, konfigurasi, atau fungsi lainnya dalam produk tertentu untuk Layanan Pengukuran yang berkaitan dengan pemrosesan data yang dibatasi, sebagaimana dijelaskan dalam dokumentasi pendukung yang tersedia di business.safety.google/rdp, sebagaimana diperbarui dari waktu ke waktu (“Pemrosesan Data yang Dibatasi”). Adendum Pengontrol State Privacy Laws ini menetapkan ketentuan perlindungan data yang berkaitan dengan Setelan Berbagi Data saja (jika Pemrosesan Data yang Dibatasi tidak diaktifkan) dan tidak berlaku pada penyediaan Layanan Pengukuran. Pelanggan sepenuhnya bertanggung jawab atas kepatuhannya terhadap setiap State Privacy Laws yang Berlaku dalam penggunaan layanan Google, termasuk Pemrosesan Data yang Dibatasi.
Adendum Pengontrol State Privacy Laws ini mencerminkan perjanjian antarpihak terkait pemrosesan Data Pribadi Pelanggan dan Data yang Dideidentifikasi (sebagaimana dijelaskan di bawah) sesuai dengan Setelan Berbagi Data sehubungan dengan State Privacy Laws yang Berlaku (sebagaimana dijelaskan di bawah), dan hanya berlaku selama setiap State Privacy Laws yang Berlaku diterapkan.
2. Definisi dan Penafsiran.
2.1 “State Privacy Laws yang Berlaku” berarti, sebagaimana berlaku: (a) CCPA; (b) Consumer Data Protection Act Virginia, Va. Code Ann. § 59.1-571 et seq.; (c) Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 et seq., bersama dengan semua peraturan yang menerapkannya; (d) Connecticut’s Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015; dan (e) Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 et seq.
2.2 “CCPA” berarti California Consumer Privacy Act tahun 2018, sebagaimana telah diamendemen, termasuk sebagaimana telah diamendemen oleh California Privacy Rights Act tahun 2020, beserta semua peraturan yang menerapkannya.
2.3 “Data yang Dide-identifikasi” berarti informasi data yang “dideidentifikasi” (sebagaimana istilah tersebut didefinisikan oleh CCPA) dan “data yang dideidentifikasi” (sebagaimana didefinisikan oleh State Privacy Laws yang Berlaku lainnya), saat diungkapkan oleh satu pihak kepada pihak lainnya.
2.4 Istilah “bisnis”, “konsumen”, “pengontrol”, “data pribadi”, “informasi pribadi”, “proses”, “pemrosesan”, “promo”, dan “penjualan”, seperti yang digunakan dalam Adendum Pengontrol State Privacy Laws ini memiliki arti yang diberikan dalam State Privacy Laws yang Berlaku.
2.5 Istilah dalam huruf besar yang digunakan tetapi tidak didefinisikan dalam Adendum Pengontrol State Privacy Laws ini akan memiliki arti yang diberikan dalam Persyaratan Pengontrol.
3. Persyaratan State Privacy Laws yang Berlaku.
3.1 Data yang Dideidentifikasi. Setiap pihak akan mematuhi persyaratan untuk memproses Data yang Dideidentifikasi yang ditetapkan dalam State Privacy Laws yang Berlaku, sehubungan dengan Data yang Dideidentifikasi yang diterimanya dari pihak lain sesuai Setelan Berbagi Data.
3.2 Kewajiban CCPA Google. Sehubungan dengan Data Pribadi Pelanggan yang diproses tanpa mengaktifkan Pemrosesan Data yang Dibatasi sesuai Setelan Berbagi Data, dan jika CCPA berlaku untuk pemrosesan Data Pribadi Pelanggan:
- (a) Google akan memproses Data Pribadi Pelanggan tersebut sesuai Setelan Berbagi Data, sebagaimana dijelaskan lebih lanjut dalam Perjanjian dan dokumentasi pendukung (misalnya, artikel pusat bantuan), atau sebagaimana diizinkan menurut CCPA, dan para pihak setuju bahwa Pelanggan menyediakan Data Pribadi Pelanggan tersebut kepada Google untuk tujuan tersebut;
- (b) Google akan mengizinkan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Adendum Pengontrol State Privacy Laws ini sebagai berikut:
- (i) Pelanggan dapat melakukan audit untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Adendum Pengontrol State Privacy Laws ini dengan meminta dan meninjau (1) sertifikat yang dikeluarkan untuk verifikasi keamanan yang mencerminkan hasil audit yang dilakukan oleh auditor pihak ketiga (misalnya, Sertifikasi ISO/IEC 27001 atau sertifikasi serupa atau sertifikasi keamanan lainnya dari audit yang dilakukan oleh auditor pihak ketiga yang disetujui oleh Pelanggan dan Google) dalam waktu 12 bulan sejak tanggal permintaan Pelanggan dan (2) informasi lain yang menurut Google secara wajar diperlukan Pelanggan untuk memverifikasi kepatuhan tersebut.
- (ii) Atau, Google dapat, atas pertimbangannya sendiri dan sebagai respons atas permintaan Pelanggan, memulai audit dengan auditor pihak ketiga untuk memverifikasi kepatuhan Google terhadap kewajibannya berdasarkan Adendum Pengontrol State Privacy Laws ini. Selama audit tersebut, Google akan menyediakan semua informasi yang diperlukan untuk menunjukkan kepatuhan tersebut kepada auditor pihak ketiga. Jika Pelanggan meminta audit semacam itu, Google dapat mengenakan biaya (berdasarkan harga yang wajar dari Google) untuk audit apa pun. Google akan memberikan detail lebih lanjut kepada Pelanggan terkait biaya apa pun yang berlaku, dan dasar penghitungannya, sebelum audit tersebut dilakukan. Pelanggan akan bertanggung jawab atas semua biaya yang dibebankan auditor pihak ketiga untuk melaksanakan audit tersebut.
- (iii) Tidak satu pun dalam Adendum Pengontrol State Privacy Laws ini yang akan mewajibkan Google mengungkapkan kepada Pelanggan atau auditor pihak ketiganya, atau mengizinkan Pelanggan atau auditor pihak ketiganya untuk mengakses:
- (1) data apa pun dari pelanggan lain mana pun di Entitas Google;
- (2) informasi keuangan atau akuntansi internal Entitas Google;
- (3) rahasia dagang Entitas Google;
- (4) informasi yang, menurut opini yang wajar dari Google, dapat: (A) membahayakan keamanan sistem atau lokasi Entitas Google; atau (B) menyebabkan Entitas Google melanggar kewajibannya berdasarkan State Privacy Laws yang Berlaku atau kewajiban keamanan dan/atau privasinya terhadap Pelanggan atau pihak ketiga; atau
- (5) informasi yang coba diakses oleh Pelanggan atau auditor pihak ketiganya untuk alasan selain dari niat baik untuk memenuhi kewajiban Pelanggan berdasarkan State Privacy Laws yang Berlaku;
- (c) Google akan memberi tahu Pelanggan jika Google membuat keputusan bahwa Google tidak dapat lagi memenuhi kewajibannya berdasarkan CCPA;
- (d) Jika Pelanggan secara wajar meyakini bahwa Google memproses Data Pribadi Pelanggan secara tidak sah, Pelanggan berhak memberi tahu Google tentang keyakinan tersebut melalui metode yang dijelaskan di privacy.google.com/businesses/processorsupport, dan para pihak akan bekerja sama dengan niat baik untuk memperbaiki aktivitas pemrosesan yang diduga melanggar, jika diperlukan; dan
- (e) Google akan mematuhi kewajiban yang berlaku berdasarkan CCPA dan akan memberikan tingkat perlindungan privasi yang sama seperti yang diwajibkan oleh CCPA.
4. Perubahan pada Adendum Pengontrol State Privacy Laws ini.
Selain Pasal 9 dari Persyaratan Pengontrol (Perubahan pada Persyaratan Pengontrol ini), Google dapat mengubah Adendum Pengontrol State Privacy Laws ini tanpa pemberitahuan jika perubahan tersebut (a) didasarkan pada hukum yang berlaku, peraturan yang berlaku, perintah pengadilan, atau panduan yang dikeluarkan oleh badan pengatur atau lembaga pemerintah atau (b) tidak berdampak negatif secara material terhadap Pelanggan berdasarkan State Privacy Laws yang Berlaku, sebagaimana yang ditentukan secara wajar oleh Google.
1 Januari 2023