Клиент Сервисов отслеживания, принимающий настоящие условия (далее – Клиент), заключил с Google или со сторонним реселлером (в зависимости от обстоятельств) соглашение о предоставлении Сервисов отслеживания, в которое время от времени могут вноситься поправки (далее – Соглашение). В пользовательском интерфейсе этих сервисов Клиент включил Настройку доступа к данным.
Настоящие Условия Google в отношении защиты данных при взаимодействии между контролерами данных (далее – Условия для контролеров данных) принимаются Google и Клиентом. Если Соглашение заключено между Клиентом и Google, то настоящие Условия для контролеров данных дополняют Соглашение. Если Соглашение заключено между Клиентом и сторонним реселлером, то настоящие Условия для контролеров данных являются отдельным соглашением между Google и Клиентом.
Во избежание недоразумений уточняется, что предоставление Сервисов отслеживания регулируется Соглашением. Настоящие Условия для контролеров данных содержат только положения о защите данных в связи с использованием Настроек доступа к данным. Они не регулируют никакие другие аспекты Сервисов отслеживания.
Настоящие Условия для контролеров данных начинают применяться и заменяют ранее действовавшие условия с Даты вступления условий в силу и в соответствии с положениями раздела 6.2 ("Нераспространение на Условия для обработчиков данных").
Принимая настоящие Условия для контролеров данных от имени Клиента, вы гарантируете следующее: а) у вас имеются полные правовые полномочия связать Клиента настоящими Условиями для контролеров данных; б) вы прочитали и поняли настоящие Условия для контролеров данных; в) вы соглашаетесь с настоящими Условиями для контролеров данных от имени Клиента. Если у вас нет правовых полномочий связывать Клиента какими-либо условиями, не принимайте настоящие Условия для контролеров данных.
Если вы являетесь реселлером, не принимайте настоящие Условия для контролеров данных. В настоящих Условиях для контролеров данных указаны права и обязанности Google и пользователей Сервисов отслеживания.
1. Введение
Настоящие Условия для контролеров данных отражают соглашение сторон в отношении Персональных данных в ведении контролера с учетом Настроек доступа к данным.
2. Определения терминов и их интерпретация
2.1
В настоящих Условиях для контролеров данных используются следующие термины:
"Дополнительные условия" – это дополнительные условия, которые приведены в Приложении 1 и отражают соглашение сторон об условиях, регулирующих обработку Персональных данных в ведении контролера в соответствии с Действующим законодательством о защите данных.
"Аффилированное лицо" – это лицо, которое прямо или косвенно контролирует одну из сторон, контролируется ей или находится вместе с ней под контролем третьих лиц.
"Действующее законодательство о защите данных" (применительно к обработке Персональных данных в ведении контролера) – это любой европейский, государственный, национальный, федеральный, региональный или иной закон или нормативный акт в отношении конфиденциальности, безопасности или защиты данных, включая Европейское законодательство о защите данных, Общий закон Бразилии "О защите персональных данных" (LGPD) и Законы штатов США о конфиденциальности.
"Конфиденциальная информация" – это настоящие Условия для контролеров данных.
"Субъект данных в ведении контролера" – это субъект, к которому относятся Персональные данные в ведении контролера.
"Персональные данные в ведении контролера" – это персональные данные, обрабатываемые одной из сторон с учетом Настроек доступа к данным.
"Настройка доступа к данным" – это настройка, которую Клиент включил в пользовательском интерфейсе Сервисов отслеживания и которая разрешает компании Google и ее Аффилированным лицам использовать персональные данные для улучшения продуктов и услуг компании Google и ее Аффилированных лиц.
"Конечный контролер данных" – это последнее звено в цепи контролеров персональных данных для каждой из сторон.
"Генеральный регламент ЕС о защите персональных данных (EU GDPR)" – это Регламент 2016/679 Европейского парламента и Совета Европейского союза от 27 апреля 2016 года о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных. Регламент отменяет Директиву 95/46/EC.
"Европейское законодательство о защите данных" – это (в зависимости от обстоятельств) Генеральный регламент ЕС о защите персональных данных (GDPR) и/или федеральный закон Швейцарии "О защите данных" (FDPA).
"Генеральный регламент ЕС о защите персональных данных (GDPR)" – это следующие законодательные акты (в зависимости от того, какие из них применимы): а) Генеральный регламент ЕС о защите персональных данных (EU GDPR) и (или) б) Генеральный регламент Великобритании о защите персональных данных (UK GDPR).
Термин "Google" означает:
- а) Подразделение Google, если оно является стороной Соглашения;
- б) одно из указанных ниже, если Соглашение заключено между Клиентом и сторонним реселлером:
- 1) Google LLC (прежнее название – Google Inc.), если сторонний реселлер является организацией, учрежденной в Северной Америке или в каком-либо другом регионе, кроме Европы, Ближнего Востока, Африки, Азии и Океании;
- 2) Google Ireland Limited, если сторонний реселлер является организацией, учрежденной в Европе, на Ближнем Востоке или в Африке;
- 3) Google Asia Pacific Pte. Ltd, если сторонний реселлер является организацией, учрежденной в Азии или Океании.
"Подразделение Google" – это Google LLC, Google Ireland Limited или любое другое Аффилированное лицо компании Google LLC.
"Общий закон Бразилии "О защите персональных данных" (LGPD)" – это закон о защите персональных данных (Lei Geral de Proteção de Dados Pessoais), принятый в Бразилии.
"Сервисы отслеживания" – это Google Аналитика, Google Аналитика 360, Google Аналитика для Firebase, Google Оптимизация или Google Оптимизация 360 в зависимости от того, в каком сервисе включены Настройки доступа к данным, в связи с которыми стороны приняли настоящие Условия для контролеров данных.
"Правила" – это Правила Google в отношении получения согласия пользователей из ЕС, приведенные на странице https://google.com/about/company/user-consent-policy.html.
Термин "Условия для обработчиков данных" означает:
- а) условия, приведенные на странице https://business.safety.google/adsprocessorterms, если Google является одной из сторон Соглашения;
- б) условия, регулирующие отношения между контролером и обработчиком данных (при наличии таких условий), если Соглашение заключено между Клиентом и сторонним реселлером.
"Федеральный закон Швейцарии "О защите данных (FDPA)" – это закон о защите данных, принятый в Швейцарии 19 июня 1992 г.
"Дата вступления условий в силу" – это день, когда Клиент принял настоящие Условия для контролеров данных в интерфейсе сервиса или стороны приняли их иным образом.
"Персональные данные жителей Великобритании в ведении контролера" – это Персональные данные в ведении контролера, которые относятся к субъектам, находящимся в Великобритании.
"Генеральный регламент Великобритании о защите персональных данных (UK GDPR)" – это Генеральный регламент ЕС о защите персональных данных (EU GDPR), дополненный и включенный в законодательство Великобритании согласно Закону о выходе Великобритании из ЕС от 2018 г. (UK European Union (Withdrawal) Act 2018), а также соответствующие подзаконные акты.
Значение термина "Законы штатов США о конфиденциальности" объясняется здесь.
2.2
Значения терминов "контролер", "субъект данных", "персональные данные", "обработка" и "обработчик", используемых в настоящих Условиях для контролеров данных, определяются Действующим законодательством о защите данных, а при отсутствии таких значений или законов – Генеральным регламентом ЕС о защите персональных данных (GDPR).
2.3
Все примеры, приведенные в настоящих Условиях для контролеров данных, имеют иллюстративный характер и не являются единственно возможными.
2.4
Все упоминания нормативной базы, законодательных актов и других юридических документов предполагают последние версии соответствующих документов со всеми поправками, которые могут время от времени в них вноситься.
2.5
Если переведенная версия настоящего Соглашения в каком-либо аспекте противоречит англоязычной версии, то приоритет имеет англоязычная версия.
2.6
В случаях, когда в Стандартных условиях договора контролера упоминаются Условия Google Рекламы в отношении защиты данных при взаимодействии между контролерами данных, подразумеваются Условия Google в отношении защиты данных при взаимодействии между контролерами данных.
3. Применимость настоящих Условий для контролеров данных
3.1. Общие положения
Настоящие Условия для контролеров данных применимы только к Настройкам доступа к данным, в отношении которых стороны приняли эти условия (например, к Настройкам доступа к данным, при включении которых в интерфейсе сервиса Клиент принял настоящие Условия для контролеров данных).
3.2. Срок действия
Настоящие Условия для контролеров данных начинают действовать с Даты вступления условий в силу и действуют до тех пор, пока Google или Клиент продолжают обрабатывать Персональные данные в ведении контролера, после чего настоящие Условия для контролеров данных автоматически прекращают действовать.
4. Роли и ограничения при обработке данных
4.1. Независимые контролеры данных
В соответствии с положениями раздела 4.4 ("Конечные контролеры данных") каждая сторона:
- а) является независимым контролером персональных данных;
- б) самостоятельно определяет цели и средства обработки Персональных данных в ведении контролера;
- в) соглашается выполнять свои обязательства в отношении обработки Персональных данных в ведении контролера, предусмотренные Действующим законодательством о защите данных.
4.2. Ограничения при обработке данных
Положения раздела 4.1 ("Независимые контролеры данных") не накладывают никаких ограничений на права сторон в отношении использования и обработки Персональных данных в ведении контролера в рамках Соглашения.
4.3. Согласие конечных пользователей
Клиент обязуется соблюдать правила, связанные с Персональными данными в ведении контролера, предоставляемыми в соответствии с Настройками доступа к данным. Обязанность доказывать соблюдение этих правил всегда возлагается на Клиента.
4.4. Конечные контролеры данных
Без ущерба для обязательств сторон по настоящим Условиям для контролеров данных каждая сторона подтверждает следующее: а) Аффилированные лица или клиенты другой стороны могут быть Конечными контролерами данных; б) другая сторона может действовать в качестве обработчика данных от имени своих Конечных контролеров данных. Каждая сторона обязуется обеспечить соблюдение своими Конечными контролерами данных Условий для контролеров данных.
4.5. Прозрачность
Клиент подтверждает, что компания Google опубликовала информацию о том, как обрабатывает данные сайтов, приложений и других ресурсов, использующих сервисы компании, на странице https://business.safety.google/privacy/. Без ограничения обязательств, изложенных в разделе 4.1(в), Клиент может приводить ссылку на указанную страницу, чтобы предоставить Субъектам данных в ведении контролера информацию о том, как Google обрабатывает Персональные данные в ведении контролера.
5. Ответственность
5.1
Действуют перечисленные ниже положения.
- а) Если Google является одной из сторон Соглашения, то:
- 1) если Соглашение регулируется законами одного из штатов США, то, независимо от любых других положений Соглашения, общая сумма ответственности любой из сторон по отношению к другой стороне в связи с настоящими Условиями для контролеров данных не может превышать максимальную сумму, которой ограничена ответственность этой стороны в рамках Соглашения (соответственно, положения об исключении исков о компенсации ответственности, приведенные в разделе об ограничении ответственности в Соглашении, неприменимы к искам о компенсации ответственности в рамках Соглашения, связанным с Действующим законодательством о защите данных);
- 2) если Соглашение регулируется законами какой-либо другой юрисдикции, а не одного из штатов США, то ответственность сторон в связи с настоящими Условиями для контролеров данных регулируется положениями об исключении и ограничении ответственности, приведенными в Соглашении.
- б) Если Google не является одной из сторон Соглашения, то в тех случаях, когда это не противоречит действующему законодательству, Google не несет ответственности за упущенную выгоду Клиента или какой-либо косвенный, специальный, случайный, опосредованный, штрафной или карательный ущерб, даже если компания Google или ее Аффилированные лица были поставлены в известность, знали или должны были знать о том, что компенсация таких убытков является недостаточным взысканием для защиты нарушенных прав. Общая совокупная ответственность компании Google (и ее Аффилированных лиц) перед Клиентом или другими лицами в отношении убытков или ущерба, возникших в результате исков, претензий или судебных процессов, имеющих отношение к настоящим Условиям для контролеров данных, не может превышать 500 долларов США.
6. Действие Условий для контролеров данных
6.1. Порядок приоритетности
В случае противоречий или несоответствий между Дополнительными условиями и остальными положениями настоящих Условий для контролеров данных и/или Соглашения, в соответствии с положениями разделов 4.2 ("Ограничения при обработке данных") и 6.2 ("Нераспространение на Условия для обработчиков данных"), приоритет определяется следующим образом: а) Дополнительные условия (если они применимы); б) остальные положения настоящих Условий для контролеров данных; в) остальные положения Соглашения. В случае изменения или дополнения настоящих Условий для контролеров данных Соглашение между Google и Клиентом сохраняет полную силу.
6.2. Нераспространение на Условия для обработчиков данных
Настоящие Условия для контролеров данных не заменяют и не затрагивают Условия для обработчиков данных. Во избежание недоразумений уточняется, что если Клиент является одной из сторон, на которую распространяются Условия для обработчиков данных в связи с использованием Сервисов отслеживания, то Условия для обработчиков данных продолжают применяться в отношении Сервисов отслеживания несмотря на то, что настоящие Условия для контролеров данных действуют в отношении Персональных данных в ведении контролера, обрабатываемых в соответствии с Настройками доступа к данным.
7. Изменение настоящих Условий для контролеров данных
7.1. Изменение Условий для контролеров данных
Google может изменить настоящие Условия для контролеров данных в любом из следующих случаев:
- а) если такое изменение связано с переменами в наименовании или организационно-правовой форме юридического лица;
- б) если такое изменение требуется для соблюдения действующих законов и нормативных актов, распоряжений суда или предписаний государственных регулирующих органов или связано с использованием компанией Google Альтернативного решения для передачи данных (согласно определению, данному в Приложении 1А);
- в) в соответствии с положениями раздела 7.2 ("Изменение URL");
- г) если такое изменение: 1) не призвано изменить классификацию сторон как контролеров персональных данных согласно Действующему законодательству о защите данных; 2) не расширяет права (и не отменяет ограничения прав) какой-либо из сторон на использование или иную обработку Персональных данных в ведении контролера; 3) не будет иметь существенных негативных последствий для Клиента согласно обоснованной оценке Google.
7.2. Изменение URL
Google может время от времени изменять любые URL, указанные в настоящих Условиях для контролеров данных, а также контент, доступный по таким URL.
7.3. Уведомление об изменениях
Если Google планирует изменить настоящие Условия для контролеров данных согласно разделу 7.1(б) и это изменение будет иметь существенные негативные последствия для Клиента согласно обоснованной оценке Google, то Google обязуется предпринять все усилия в той мере, в которой это экономически обоснованно, чтобы уведомить Клиента как минимум за 30 дней до вступления изменений в силу (или в более короткий срок, если это необходимо для соблюдения требований применимых законов, постановлений, распоряжений суда или предписаний от государственного регламентирующего органа или ведомства). Если Клиент возражает против такого изменения, Клиент может отключить Настройки доступа к данным.
8. Дополнительные положения
8.1
Положения раздела 8 ("Дополнительные положения") действуют только в том случае, если Google не является одной из сторон Соглашения.
8.2
Каждая сторона соглашается выполнять свои обязательства по настоящим Условиям для контролеров данных добросовестно и на должном профессиональном уровне.
8.3
Ни одна из сторон не вправе использовать или раскрывать Конфиденциальную информацию другой стороны без ее предварительного письменного согласия за исключением случаев, когда это необходимо для реализации прав или выполнения обязательств по настоящим Условиям для контролеров данных, а также случаев, когда это необходимо сделать в соответствии с действующими законами, нормативными актами или распоряжением суда; в любом из этих случаев сторона, вынужденная раскрыть Конфиденциальную информацию, должна как можно раньше уведомить об этом другую сторону.
8.4
В той степени, в какой это не противоречит действующему законодательству, Google не предоставляет никаких явных, подразумеваемых, нормативных или иных гарантий, в том числе в отношении товарной пригодности, пригодности для определенной цели или отсутствия нарушений, за исключением гарантий, явно указанных в настоящих Условиях для контролеров данных.
8.5
Ни одна из сторон не несет ответственности за невыполнение или задержку выполнения обязательств вследствие обстоятельств непреодолимой силы.
8.6
Если какие-либо положения настоящих Условий для контролеров данных признаются полностью или частично недействительными, незаконными или не имеющими исковой силы, остальные положения сохраняют полную силу.
8.7
а) За исключением случаев, указанных в разделе (б) ниже, настоящие Условия для контролеров данных регулируются и истолковываются в соответствии с законодательством штата Калифорния без учета принципов международного частного права. В случае любых противоречий между иностранными законами, правилами и нормативными актами и законами, правилами и нормативными актами штата Калифорния преимущественную силу и приоритетное значение имеют законы, правила и нормативные акты штата Калифорния. Обе стороны соглашаются подчиняться исключительной и персональной юрисдикции судов, расположенных в округе Санта-Клара, штат Калифорния. Конвенция ООН о договорах международной купли-продажи товаров и Единый закон об операциях с компьютерной информацией не применяются к настоящим Условиям для контролеров данных.
б) Если Соглашение заключено между Клиентом и сторонним реселлером, который является организацией, учрежденной в Европе, на Ближнем Востоке или в Африке, то настоящие Условия для контролеров данных регулируются в соответствии с английским правом. Обе стороны соглашаются подчиняться исключительной юрисдикции судов Англии в отношении любых споров (как договорных, так и недоговорных), возникших на основании настоящих Условий для контролеров данных или в связи с ними.
в) Если действуют Стандартные условия договора контролера и в них предусмотрено регулирующее законодательство, отличное от указанного в разделах (а) и (б) выше, то регулирующее законодательство, предусмотренное Стандартными условиями договора контролера, действует только в отношении Стандартных условий договора контролера.
г) Конвенция ООН о договорах международной купли-продажи товаров и Единый закон об операциях с компьютерной информацией не применяются к настоящим Условиям для контролеров данных.
8.8
Все уведомления о расторжении или нарушении должны быть письменно изложены на английском языке и отправлены в юридический отдел другой стороны. Электронный адрес юридического отдела Google для таких уведомлений: [email protected]. Уведомление считается врученным с момента его получения. Факт получения должен быть подтвержден письменно, автоматическим сообщением о доставке или записью в электронном журнале (в зависимости от обстоятельств).
8.9
Неосуществление (или отсрочка осуществления) любой из сторон прав, предусмотренных настоящими Условиями для контролеров данных, не считается отказом от этих прав. Ни одна из сторон не имеет права передавать свои права и обязанности по настоящим Условиям для контролеров данных без письменного согласия другой стороны. Исключение составляет уступка их Аффилированному лицу при соблюдении следующих условий: а) принимающая сторона письменно подтвердила принятие настоящих Условий для контролеров данных; б) уступающая сторона продолжает нести ответственность за соблюдение настоящих Условий для контролеров данных, если принимающая нарушит их; в) если уступающей стороной является Клиент, то он передал свои аккаунты Сервисов отслеживания принимающей стороне; г) уступающая сторона уведомила об уступке другую сторону, связанную настоящими Условиями для контролеров данных. Любые другие попытки передачи прав и обязанностей не имеют силы.
8.10
Стороны являются независимыми подрядчиками. Настоящие Условия для контролеров данных не предусматривают никаких агентских или партнерских отношений между сторонами или создания ими совместного предприятия. Настоящие Условия для контролеров данных не предоставляют никаких преимуществ третьим лицам, если иное не указано прямо.
8.11
В той степени, в которой это не противоречит действующему законодательству, настоящие Условия для контролеров данных являются полным списком условий, согласованных между сторонами. При принятии настоящих Условий для контролеров данных стороны не полагались на утверждения, заявления или гарантии (данные по халатности или незнанию), не содержащиеся в настоящих Условиях для контролеров данных, и не имеют прав и средств судебной защиты, основанных на таких утверждениях, заявлениях или гарантиях.
Приложение 1. Дополнительные условия для Действующего законодательства о защите данных
ЧАСТЬ A. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ ДЛЯ ЕВРОПЕЙСКОГО ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ДАННЫХ
1. Введение
Настоящее Приложение 1А применимо только в той степени, в которой Европейское законодательство о защите данных применимо к обработке Персональных данных в ведении контролера.
2. Определения терминов
2.1. В настоящем Приложении 1А используются следующие термины:
Страна с адекватной защитой персональных данных:
- а) для данных, обрабатываемых в соответствии с Генеральным регламентом ЕС о защите персональных данных (EU GDPR), это ЕЭЗ или страна/территория, обеспечивающие достаточную защиту данных согласно EU GDPR;
- б) для данных, обрабатываемых в соответствии с Генеральным регламентом Великобритании о защите персональных данных (UK GDPR), это Великобритания или страна/территория, обеспечивающие достаточный уровень защиты согласно UK GDPR и Закону о защите данных 2018 г.;
- в) для данных, обрабатываемых в соответствии с федеральным законом Швейцарии "О защите данных" (FDPA), это Швейцария или страна/территория: 1) включенные в опубликованный Федеральным комиссаром Швейцарии по защите данных и информации список стран, законодательство которых обеспечивает достаточный уровень защиты; 2) обеспечивающие, в соответствии с решением Федерального совета Швейцарии, достаточный уровень защиты согласно федеральному закону Швейцарии "О защите данных" (FDPA) (во всех случаях, а не только в рамках дополнительной защиты данных).
Альтернативное решение для передачи данных – это механизм (кроме Стандартных условий договора контролера), который используется для законной передачи персональных данных в третью страну в соответствии с Европейским законодательством о защите данных, например правила в отношении защиты данных, гарантирующие, что участвующие лица обеспечивают достаточный уровень защиты.
Стандартные условия договора контролера – это условия, приведенные на странице business.safety.google/adscontrollerterms/sccs/c2c.
ЕЭЗ – это Европейская экономическая зона.
Персональные данные жителей Европы в ведении контролера – это Персональные данные в ведении контролера, которые относятся к субъектам, находящимся в ЕЭЗ или Швейцарии.
Европейское законодательство – это (в зависимости от обстоятельств): а) закон ЕС или государства – члена ЕС, если в отношении обработки Персональных данных в ведении контролера применяется Генеральный регламент ЕС о защите персональных данных (EU GDPR); б) закон Великобритании или ее части, если в отношении обработки Персональных данных в ведении контролера применяется Генеральный регламент Великобритании о защите персональных данных (UK GDPR); в) закон Швейцарии, если в отношении обработки Персональных данных в ведении контролера применяется федеральный закон Швейцарии "О защите данных" (FDPA).
Конечные контролеры данных на стороне Google – это конечные контролеры персональных данных, обрабатываемых Google.
Разрешенная передача европейских данных – это обработка Персональных данных в ведении контролера на территории Страны с адекватной защитой персональных данных или передача этих данных на территорию такой страны.
Ограниченная передача европейских данных – это передача Персональных данных в ведении контролера, которая: a) осуществляется в соответствии с Европейским законодательством о защите данных; б) не является Разрешенной передачей европейских данных.
Персональные данные жителей Великобритании в ведении контролера – это Персональные данные в ведении контролера, которые относятся к субъектам, находящимся в Великобритании.
2.2. Значения терминов импортер данных и экспортер данных определены в Стандартных условиях договора контролера.
3. Конечные контролеры данных на стороне Google
Конечными контролерами данных на стороне Google являются: 1) Google Ireland Limited (для Персональных данных жителей Европы в ведении контролера, обрабатываемых Google); 2) Google LLC (для Персональных данных жителей Великобритании в ведении контролера, обрабатываемых Google). Каждая сторона обязуется обеспечить соблюдение своими Конечными контролерами данных Стандартных условий договора контролера (если применимо).
4. Передача данных
4.1. Ограниченная передача европейских данных. Любая из сторон может выполнять Ограниченную передачу европейских данных, если соблюдает положения о такой передаче, содержащиеся в Европейском законодательстве о защите данных.
4.2. Альтернативное решение для передачи данных.
- А. Если компания Google решила использовать альтернативное решение для Ограниченной передачи европейских данных, то: 1) Google гарантирует, что Ограниченная передача европейских данных будет выполняться в соответствии с выбранным альтернативным решением; 2) к Ограниченной передаче европейских данных не будут применяться положения раздела 5 ("Стандартные условия договора контролера") настоящего Приложения 1А.
- Б. Если компания Google решила не использовать альтернативное решение для Ограниченной передачи европейских данных или проинформировала Клиента о том, что прекращает использование такого решения, то к Ограниченной передаче европейских данных будут применяться положения раздела 5 ("Стандартные условия договора контролера") настоящего Приложения 1А.
4.3. Положения о дальнейшей передаче данных.
- а) Применимость раздела 4.3. Разделы 4.3(б) ("Использование Персональных данных в ведении поставщика") и 4.3(в) ("Защита Персональных данных в ведении поставщика") настоящего Приложения 1A применяются только при соблюдении следующих условий:
- 1) одна из сторон (Получатель данных) обрабатывает Персональные данные в ведении контролера, предоставленные другой стороной (Поставщиком данных) в соответствии с Соглашением (такие данные считаются Персональными данными в ведении поставщика);
- 2) Поставщик данных или его Аффилированное лицо сертифицированы использовать Альтернативное решение для передачи данных;
- 3) Поставщик данных письменно уведомил Получателя данных о прохождении сертификации по использованию Альтернативного решения для передачи данных.
- б) Использование Персональных данных в ведении поставщика.
- 1) Если в применяемом Альтернативном решении для передачи данных используется принцип дальнейшей передачи, то в соответствии с такими принципами Получатель данных обязуется использовать Персональные данные в ведении поставщика только при наличии согласия Субъектов данных в ведении контролера.
- 2) Если Поставщик данных не получил согласие от Субъектов данных в ведении контролера, как того требует Соглашение, Получатель данных обязуется не нарушать положения раздела 4.3(б)(1), если для использования им Персональных данных в ведении поставщика требуется такое согласие.
- в) Защита Персональных данных в ведении поставщика.
- 1) Получатель данных должен обеспечивать защиту Персональных данных в ведении поставщика на уровне не ниже того, который требуется в рамках применяемого Альтернативного решения для передачи данных.
- 2) Если Получатель данных не может выполнить требования раздела 4.3(в)(1), он обязан: а) письменно уведомить об этом Поставщика данных; б) прекратить обработку Персональных данных в ведении поставщика или принять необходимые меры, чтобы обеспечить соответствие таким требованиям.
- г) Использование Альтернативного решения для передачи данных и прохождение сертификации. Информация об использовании компанией Google и/или ее Аффилированными лицами Альтернативных решений для передачи данных или прохождении сертификации размещена на странице https://policies.google.com/privacy/frameworks. Данный раздел 4.3(г) является письменным уведомлением о наличии сертификации у компании Google и/или ее Аффилированных лиц на Дату вступления условий в силу для целей раздела 4.3(а)(3).
5. Стандартные условия договора контролера
5.1. Передача Клиенту Персональных данных жителей Европы в ведении контролера. Указанные ниже условия применяются, если:
- a) Google передает Клиенту Персональные данные жителей Европы в ведении контролера;
- б) этот процесс классифицируется как Ограниченная передача европейских данных, подразумевается, что Клиент в качестве импортера данных принял Стандартные условия договора контролера, предложенные компанией Google Ireland Limited (Конечным контролером данных на стороне Google) в качестве экспортера данных, и такая передача будет регулироваться Стандартными условиями договора контролера.
5.2. Передача Клиенту Персональных данных жителей Великобритании в ведении контролера. Указанные ниже условия применяются, если:
- a) Google передает Клиенту Персональные данные жителей Великобритании в ведении контролера;
- б) этот процесс классифицируется как Ограниченная передача европейских данных, подразумевается, что Клиент в качестве импортера данных принял Стандартные условия договора контролера, предложенные компанией Google LLC (Конечным контролером данных на стороне Google) в качестве экспортера данных, и такая передача будет регулироваться Стандартными условиями договора контролера.
5.3. Передача в Google Персональных данных жителей Европы в ведении контролера. Стороны подтверждают, что если Клиент передает в Google Персональные данные в ведении контролера, касающиеся жителей Европы, то соблюдение Стандартных условий договора контролера не требуется, поскольку компания Google Ireland Limited (Конечный контролер данных на стороне Google) зарегистрирована в Стране с адекватной защитой персональных данных, а потому этот процесс классифицируется как Разрешенная передача европейских данных. Данное положение не влияет на обязательства Google в соответствии с разделом 4.1 ("Ограниченная передача европейских данных") настоящего Приложения 1А.
5.4. Передача в Google Персональных данных жителей Великобритании в ведении контролера. Если Клиент передает в Google Персональные данные жителей Великобритании в ведении контролера, то Клиент считается экспортером данных, принявшим Стандартные условия договора контролера совместно с компанией Google LLC (Конечным контролером данных на стороне Google), которая считается импортером данных. Передача данных регулируется Стандартными условиями договора контролера, поскольку компания Google LLC не зарегистрирована в Стране с адекватной защитой персональных данных.
5.5. Связь с Google и информация о клиенте.
- а) Клиент может обратиться в компанию Google Ireland Limited и/или Google LLC в связи со Стандартными условиями договора контролера, используя страницу https://google-support.mirrorblogs.com/policies/troubleshooter/9009584 или любые другие средства, которые Google может время от времени предоставлять.
- б) Клиент признаёт, что в соответствии со Стандартными условиями договора контролера компания Google обязана записывать определенную информацию, включая: 1) сведения о личности и контактную информацию импортера данных (включая любое контактное лицо, отвечающее за защиту данных); и 2) технические и организационные меры, принятые импортером данных. Клиент обязуется по запросу и в соответствии с Условиями предоставлять такую информацию компании Google с помощью средств, которые могут быть предоставлены Google, а также обеспечивать точность и актуальность всей предоставленной информации.
5.6. Ответы на запросы субъектов данных. Соответствующий импортер данных обязуется отвечать на запросы от субъектов данных и надзорных органов в отношении обработки соответствующих Персональных данных в ведении контролера, выполняемой импортером данных.
5.7. Удаление данных при прекращении действия Соглашения. Указанные ниже условия применяются, если:
- а) Google LLC действует в качестве импортера данных, а Клиент – в качестве экспортера данных согласно Стандартным условиям договора контролера; и
- б) Клиент расторгает Соглашение в соответствии с пунктом 16(c) Стандартных условий договора контролера. В таком случае в целях соблюдения пункта 16(d) Стандартных условий договора контролера Клиент поручает Google удалить Персональные данные в ведении контролера. Если Европейское законодательство не требует хранения таких данных, Google будет способствовать их удалению, как только это станет возможно осуществить практически и в той степени, в которой такое удаление возможно (учитывая то, что Google является независимым контролером таких данных, а также характер и функциональность Сервисов отслеживания).
6. Ответственность в случае, если действуют Стандартные условия договора контролера.
Если Стандартные условия договора контролера действуют в соответствии с разделом 5 ("Стандартные условия договора контролера") настоящего Приложения 1A, то общая совокупная ответственность:
- a) Google, Google LLC и Google Ireland Limited перед Клиентом и
- б) Клиента перед Google, Google LLC и Google Ireland Limited в связи с настоящим Соглашением и Стандартными условиями договора контролера регулируются разделом 5 ("Ответственность"). Пункт 12 Стандартных условий договора контролера не влияет на предыдущее предложение.
7. Третьи лица, извлекающие выгоду
Если Google LLC и/или Google Ireland Limited не являются стороной Соглашения, но на них распространяются действующие Стандартные условия договора контролера в соответствии с разделом 5 ("Стандартные условия договора контролера") настоящего Приложения 1A, то Google LLC и/или Google Ireland Limited (в зависимости от того, что применимо) будут считаться третьими лицами, извлекающими выгоду, в соответствии с разделом 4.4 ("Конечные контролеры данных"), а также разделами 3 ("Конечные контролеры данных на стороне Google"), 5 ("Стандартные условия договора контролера") и 6 ("Ответственность в случае, если действуют Стандартные условия договора контролера") настоящего Приложения 1A. Если настоящий раздел 7 ("Третьи лица, извлекающие выгоду") противоречит или не соответствует любым другим положениям Соглашения, то приоритетными являются положения настоящего раздела 7.
8. Приоритет
8.1. Если имеется какое-либо противоречие или несоответствие между Стандартными условиями договора контролера, настоящим Приложением 1A, остальными Условиями для контролеров данных и/или остальными условиями Соглашения, то приоритет имеют Стандартные условия договора контролера.
8.2. Дополнительные коммерческие положения. При изменении настоящих Условий для контролеров данных Соглашение сохраняет полную силу. Разделы с 5.5 ("Связь с Google") по 5.7 ("Удаление данных при прекращении действия Соглашения"), а также раздел 6 ("Ответственность в случае, если действуют Стандартные условия договора контролера") настоящего Приложения 1A содержат дополнительные коммерческие положения согласно разделу 2(a) о вариативности положений (Effect and invariability of the Clauses) в Стандартных условиях договора контролера.
8.3. Неизменяемость Стандартных условий договора контролера. Никакая часть Соглашения (включая настоящие Условия для контролеров данных) не предназначена для изменения или отмены каких-либо положений Стандартных условий договора контролера либо для ущемления основных прав или свобод субъектов данных в соответствии с Европейским законодательством о защите данных.
ЧАСТЬ Б. ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ ДЛЯ ЗАКОНОВ ШТАТОВ США О КОНФИДЕНЦИАЛЬНОСТИ
1. Введение
Google может предложить, а Клиент может включить определенные встроенные в продукт настройки, конфигурации или другие функции для Сервисов отслеживания, связанные с ограничением обработки данных, как описано в документации, доступной по адресу business.safety.google/rdp, которая время от времени обновляется (далее – Ограничение обработки данных). Настоящее Приложение 1Б отражает соглашение сторон относительно обработки Персональных данных Клиента и Деидентифицированных данных (согласно определению ниже) в соответствии с Соглашением в связи с Законами штатов США о конфиденциальности и действует только в той мере, в какой на него распространяется каждый из Применимых законов штатов США о конфиденциальности.
2. Другие определения и интерпретация терминов
В настоящем Приложении 1Б:
- а) Персональные данные Клиента – это любые персональные данные, обрабатываемые компанией Google от имени Клиента при предоставлении Сервисов отслеживания Google.
- б) Деидентифицированные данные – данные, которые прошли "деидентификацию" (согласно определению в CCPA), и "деидентифицированные данные" (согласно определениям других Законов штатов США о конфиденциальности) в случаях, когда одна сторона раскрывает информацию для другой.
- в) Инструкции – поручения Клиента компании Google осуществлять обработку Персональных данных Клиента только в соответствии с Законами штатов США о конфиденциальности: 1) для предоставления услуг ограниченной обработки данных и любой сопутствующей технической поддержки; 2) как дополнительно указано в связи с использованием Клиентом Услуг ограниченной обработки данных (в том числе в настройках и других функциях таких сервисов) и любой сопутствующей технической поддержки; 3) как изложено в Соглашении, включая Приложение 1Б; 4) как дополнительно изложено в любых других письменных инструкциях Клиента, которые, как подтверждено компанией Google, относятся к инструкциям для целей Приложения 1Б; а также 5) для обработки Персональных данных Клиента в соответствии с положениями Законов штатов США о конфиденциальности, касающихся поставщиков услуг и обработчиков данных.
- г) Услуги ограниченной обработки данных – услуги контролера, на которые распространяются условия Ограничения обработки данных.
- д) Срок – это период с даты вступления Условий в силу до момента, когда компания Google завершит предоставление Сервисов отслеживания в соответствии с Соглашением.
- е) Термины компания, потребитель, персональные данные, продажа, продавать, поставщик услуг и предоставление доступа, используемые в настоящем Приложении 1Б, имеют значения, указанные в Законах штатов США о конфиденциальности.
- ж) Ответственность за соблюдение требований Законов штатов США о конфиденциальности при использовании сервисов Google, в том числе функции "Ограничение обработки данных", лежит исключительно на Клиенте.
3. Условия Законов штатов США о конфиденциальности (при Ограничении обработки данных)
3.1. Обработка данных.
3.1.1
- а) Обязанности обработчика и контролера. Стороны подтверждают и соглашаются с нижеследующим:
- 1) в разделе 7 ("Обработка данных в соответствии с Законами штатов США о конфиденциальности") настоящего Приложения 1Б изложены суть и подробности обработки Персональных данных Клиента;
- 2) Google является поставщиком услуг и обработчиком Персональных данных Клиента в соответствии с Законами штатов США о конфиденциальности;
- 3) Клиент является контролером или обработчиком Персональных данных Клиента в соответствии с Законами штатов США о конфиденциальности.
- б) Если Клиент является обработчиком данных:
- 1) Клиент гарантирует на постоянной основе, что соответствующий контролер согласовал: а) инструкции; б) назначение Клиентом компании Google в качестве другого обработчика; в) привлечение компанией Google субподрядчиков, как описано в разделе 3.6 ("Субподрядчики") настоящего Приложения 1Б;
- 2) Клиент должен незамедлительно перенаправлять соответствующему контролеру любое уведомление от компании Google в соответствии с разделами 3.3.2(а) ("Уведомление об инциденте") и 3.6 ("Субподрядчики");
- 3) Клиент должен предоставлять соответствующему контролеру любую информацию, предоставленную компанией Google в соответствии с разделами 3.3.3(в) ("Права Клиента на проведение проверок") и 3.6 ("Субподрядчики").
3.1.2. Инструкции Клиента. Соглашаясь с условиями настоящего Приложения 1Б, Клиент поручает компании Google осуществлять обработку Персональных данных Клиента только в соответствии с инструкциями.
3.1.3. Соблюдение инструкций компанией Google. Google обязуется соблюдать инструкции, если это не запрещено Законами штатов США о конфиденциальности.
3.1.4. Дополнительные продукты. Если Клиент использует любой продукт, услугу или приложение, предоставляемые компанией Google или третьей стороной, которые: а) не связаны с Услугами ограниченной обработки данных и б) доступны для использования в интерфейсе Услуг ограниченной обработки данных или иным образом интегрированы с такими услугами (как "Дополнительные продукты"), то в рамках Услуг ограниченной обработки данных эти Дополнительные продукты могут получать доступ к Персональным данным Клиента в соответствии с требованиями совместимости Дополнительных продуктов с Услугами ограниченной обработки данных. Примечание. Настоящее Приложение 1Б не применимо к обработке персональных данных в связи с предоставлением Клиенту Дополнительных продуктов, включая персональные данные, передаваемые этому Дополнительному продукту или получаемые от него.
3.2. Удаление данных после прекращения действия Условий. Клиент поручает компании Google удалить все оставшиеся Персональные данные Клиента (включая их дубликаты) из систем Google по окончании срока действия Условий в соответствии с действующим законодательством. Компания Google обязуется выполнить эту инструкцию в разумные сроки, но не позднее чем через 180 дней, если действующим законодательством не установлено иное.
3.3. Защита данных.
3.3.1. Меры и помощь компании Google по обеспечению безопасности.
- а) Меры безопасности компании Google. Компания Google обязуется внедрить и поддерживать меры технического и организационного характера для защиты Персональных данных Клиента от случайного, несанкционированного или незаконного уничтожения, потери, изменения, раскрытия или доступа (Меры безопасности). Меры безопасности включают меры по: 1) шифрованию персональных данных; 2) обеспечению непрерывной конфиденциальности, целостности, доступности и надежности систем и сервисов Google; 3) своевременному восстановлению доступа к персональным данным после инцидента; 4) проведению регулярных проверок эффективности. Google вправе время от времени изменять Меры безопасности при условии, что такие изменения не снижают общий уровень безопасности Персональных данных Клиента.
- б) Доступ и соответствие. Компания Google гарантирует, что все лица, уполномоченные обрабатывать Персональные данные Клиента, будут соблюдать конфиденциальность этих данных или несут соответствующие установленные законом обязательства в области конфиденциальности.
- в) Помощь компании Google по обеспечению безопасности. Принимая во внимание характер обработки Персональных данных Клиента и информацию, доступную компании Google, последняя обязуется помогать Клиенту соблюдать обязательства Клиента (или, если Клиент является обработчиком данных, – обязательства контролера) по обеспечению безопасности и предотвращению утечки персональных данных, включая такие обязательства, предусмотренные Законами штатов США о конфиденциальности, путем:
- 1) внедрения и поддержания Мер безопасности в соответствии с разделом 3.3.1(а) ("Меры безопасности компании Google");
- 2) соблюдения положений раздела 3.3.2 ("Инциденты с данными");
- 3) соблюдения прав Клиента в соответствии с разделом 3.3.3(в) ("Права Клиента на проведение проверок").
3.3.2. Инциденты с данными.
- а) Уведомление об инциденте. Если компании Google становится известно об инциденте с данными (как описано ниже), то она обязуется: 1) без лишнего промедления уведомить об этом Клиента; 2) оперативно принять разумные меры для минимизации вреда и обеспечения безопасности Персональных данных Клиента. В настоящем Приложении 1Б под Инцидентом с данными следует понимать нарушение мер безопасности компании Google, которое привело к случайному, несанкционированному или незаконному уничтожению, потере, изменению, раскрытию или доступу к Персональным данным Клиента в системах, находящихся под управлением или контролем компании Google. К "инцидентам с данными" не относятся безуспешные попытки или действия, не угрожающие безопасности Персональных данных Клиента, в том числе неудачные попытки авторизации, запросы ping, сканирования портов, атаки типа "отказ в обслуживании" и другие сетевые атаки на брандмауэр или сетевые системы.
- б) Способ уведомления. Компания Google обязуется уведомлять о любых инцидентах с данными по адресу электронной почты Клиента, через интерфейс пользователя Услуг ограниченной обработки данных или другими аналогичными способами, предоставляемыми компанией Google с целью получения Клиентом уведомлений в соответствии с настоящим Приложением 1Б (Электронный адрес для уведомлений), или, по усмотрению компании Google (в том числе если Клиент не предоставил электронный адрес для уведомлений), другими способами прямого общения с Клиентом (например, по телефону, электронной почте или при личной встрече). Клиент несет единоличную ответственность за предоставление электронного адреса для уведомлений и гарантирует, что этот адрес является действительным.
- в) Уведомление третьих сторон. Клиент несет единоличную ответственность за соблюдение действующего законодательства и любых обязательств перед третьими сторонами в отношении уведомлений в связи с инцидентом с данными.
- г) Отсутствие вины компании Google. Уведомление, поступившее от компании Google, или ее ответ на инцидент с данными в соответствии с разделом 3.3.2 ("Инциденты с данными") не должны толковаться как признание вины или обязательства компании Google в отношении инцидента с данными.
3.3.3. Обязательства Клиента по обеспечению безопасности и оценка мер безопасности.
- а) Обязательства Клиента по обеспечению безопасности. Без ограничения обязательств компании Google в соответствии с разделами 3.3.1 ("Меры и помощь компании Google по обеспечению безопасности") и 3.3.2 ("Инциденты с данными") Клиент соглашается, что:
- 1) Клиент несет ответственность за использование им Услуг ограниченной обработки данных, в том числе: а) надлежащее использование таких Услуг для обеспечения уровня безопасности, соответствующего риску, которому подвергаются Персональные данные Клиента; б) безопасную аутентификацию учетных данных в аккаунте, а также обеспечение безопасности систем и устройств, используемых Клиентом для доступа к Услугам ограниченной обработки данных;
- 2) компания Google не несет ответственности за защиту Персональных данных Клиента, которые он хранит вне систем компании Google и ее субподрядчиков или передает за пределы таких систем.
- б) Оценка мер безопасности Клиентом. Клиент признает и соглашается, что меры безопасности, внедренные и поддерживаемые компанией Google, как описано в разделе 3.3.1(a) ("Меры безопасности компании Google"), обеспечивают уровень безопасности, соответствующий риску, которому подвергаются Персональные данные Клиента с точки зрения характера, стоимости внедрения, масштаба, контекста и целей обработки Персональных данных Клиента, а также рисков, которым подвергаются физические лица.
- в) Права Клиента на проведение проверок.
- 1) Клиент вправе провести проверку, чтобы убедиться в соблюдении компанией Google обязательств в соответствии с настоящими Приложением 1Б, путем запроса и анализа: а) сертификата, выданного по результатам проверки безопасности сторонним аудитором (например, сертификата ISO/IEC 27001 либо аналогичного или же другого сертификата безопасности по результатам проверки, проведенной сторонним аудитором по согласованию между Клиентом и компаний Google) в течение 12 месяцев с даты запроса Клиента; б) любой другой информации, которую Google считает разумно необходимой Клиенту для проведения такой проверки.
- 2) В качестве альтернативы Google может по своему усмотрению и в ответ на запрос Клиента привлечь стороннего аудитора для проверки соблюдения компанией Google обязательств в соответствии с настоящим Приложением 1Б. Во время такого аудита Google предоставит стороннему аудитору всю информацию, необходимую для того, чтобы подтвердить такое соответствие. Если Клиент запросит такой аудит, Google может взимать за его проведение плату, основанную на обоснованных расходах Google. Google обязуется предоставить Клиенту подробные сведения о взимаемой плате и о том, как она вычисляется, до проведения любого такого аудита. Клиент самостоятельно покрывает все расходы на услуги стороннего аудитора, выбранного Клиентом, для проведения любой такой проверки.
- 3) Никакие положения настоящего Приложения 1Б не требуют от компании Google раскрывать либо предоставлять Клиенту или стороннему аудитору:
- а) данные другого клиента Подразделения Google;
- б) внутреннюю бухгалтерскую или финансовую информацию Подразделения Google;
- в) коммерческие тайны Подразделения Google;
- г) данные, предоставление которых, согласно обоснованному мнению Google, может: 1) угрожать безопасности каких-либо компьютерных систем или объектов имущества Подразделения Google; 2) представлять собой факт нарушения Подразделением Google каких-либо обязательств согласно Законам штатов США о конфиденциальности либо обязательств перед Клиентом или третьим лицом в отношении безопасности или конфиденциальности данных;
- д) данные, к которым Клиент или стороннее лицо пытается получить доступ в иных целях, кроме добросовестного исполнения обязательств Клиента согласно Законам штатов США о конфиденциальности.
3.4. Помощь в оценке воздействия. Принимая во внимание характер обработки и информацию, доступную компании Google, последняя обязуется помогать Клиенту соблюдать обязательства Клиента (или, если Клиент является обработчиком данных, – обязательства контролера), связанные с оценкой воздействия на защиту данных и предварительными нормативными консультациями, в степени, требуемой Законами штатов США о конфиденциальности, путем предоставления:
- а) документации по безопасности;
- б) информации, содержащейся в Соглашении (в том числе настоящем Приложении 1Б);
- в) других материалов, связанных с характером услуг ограниченной обработки данных и обработки Персональных данных Клиента (например, материалов Справочного центра), в соответствии со стандартной практикой компании Google.
3.5. Права субъекта данных.
3.5.1. Ответы на запросы от субъектов данных. При получении компанией Google запроса от субъекта данных в отношении Персональных данных Клиента последний разрешает компании Google перечисленные далее действия, а компания Google в связи с этим уведомляет Клиента, что она:
- а) ответит на запрос субъекта данных в соответствии со стандартной функциональностью инструмента (при его наличии), предоставленного Подразделением Google субъектам данных и позволяющего Google отвечать прямо и в стандартизированной форме на определенные запросы от субъектов данных в отношении Персональных данных Клиента (например, настроек интернет-рекламы или отказа от использования плагина в браузере) ("Инструмент субъекта данных") (если запрос был выполнен через Инструмент субъекта данных); или
- б) посоветует субъекту данных отправить запрос Клиенту, и Клиент будет нести ответственность за ответ на такой запрос (если он сделан не через Инструмент субъекта данных).
3.5.2. Помощь Google при поступлении запросов от субъектов данных. Компания Google обязуется помогать Клиенту выполнять обязательства Клиента (или, если Клиент является обработчиком, – обязательства соответствующего контролера), предусмотренные Законами штатов США о конфиденциальности, отвечать на запросы с целью соблюдения прав субъектов данных во всех случаях с учетом характера обработки Персональных данных Клиента, а также:
- а) обеспечивать доступность Услуг ограниченной обработки данных;
- б) соблюдать обязательства, изложенные в разделе 3.5.1 ("Ответы на запросы от субъектов данных");
- в) обеспечивать доступность Инструментов субъектов данных, если это применимо к Услугам ограниченной обработки данных.
3.5.3. Исправление. Если Клиенту становится известно, что какие-либо Персональные данные Клиента являются неточными или устаревшими, то Клиент несет ответственность за исправление или удаление этих данных в соответствии с Законами штатов США о конфиденциальности, в том числе (когда это необходимо) путем использования Услуг ограниченной обработки данных.
3.6. Субподрядчики.
- а) Клиент разрешает компании Google привлекать других лиц в качестве субподрядчиков в связи с предоставлением Услуг ограниченной обработки данных. При привлечении субподрядчиков компания Google:
- 1) гарантирует в письменном виде, что: а) субподрядчик получает доступ к Персональным данным Клиента и использует их только в той степени, в какой это необходимо для выполнения его обязательств по субконтракту, и в соответствии с положениями Соглашения (включая настоящее Приложение 1Б); б) гарантирует, что субподрядчик несет ответственность по выполнению обязательств в области защиты данных, изложенных в настоящем Приложении 1Б, если обработка Персональных данных Клиента регулируется Законами штатов США о конфиденциальности;
- 2) уведомляет о привлечении любых субподрядчиков, а также дает возможность Клиенту возражать против привлечения таких субподрядчиков, если этого требуют Законы штатов США о конфиденциальности;
- 3) несет полную ответственность по обязательствам субконтракта, а также отвечает за любые действия и бездействие субподрядчика.
- б) Клиент может возразить против привлечения любого нового субподрядчика, расторгнув Соглашение немедленно после отправки письменного уведомления в компанию Google, при условии, что Клиент предоставит такое уведомление в течение 90 дней с момента получения уведомления о привлечении нового субподрядчика, как описано в разделе 3.6(а)(2) данного документа.
3.7. Обращение в Google. Клиент может обратиться в компанию для реализации своих прав в соответствии с настоящим Приложением 1Б способами, описанными по адресу privacy.google.com/businesses/processorsupport, или другими аналогичными способами, которые время от времени могут предоставляться компанией Google.
4. Положения Законов штатов США о конфиденциальности
4.1. Деидентифицированные данные. В отношении персональных данных Клиента, обрабатываемых с или без включенной функции "Ограничение обработки данных" и в той степени, в какой обработка Персональных данных Клиента регулируется одним или несколькими Законами штатов США о конфиденциальности, каждая из сторон обязуется соблюдать требования к обработке Деидентифицированных данных, изложенные в Законах штатов США о конфиденциальности, в отношении любых Деидентифицированных данных, полученных ею от другой стороны в соответствии с Соглашением. В контексте настоящего пункта 4.1 (Деидентифицированные данные) Персональные данные Клиента – это любые персональные данные, которые в соответствии с Соглашением обрабатываются стороной в связи с предоставлением или использованием Сервисов отслеживания.
5. Обязательства Google согласно CCPA
5.1. В отношении Персональных данных Клиента, обрабатываемых в рамках процедуры Ограниченной обработки данных и в той мере, в какой обработка Персональных данных Клиента регулируется CCPA, компания Google будет действовать как поставщик услуг для Клиента и при этом, если CCPA не разрешает иное в отношении поставщиков услуг, обязуется:
- а) не продавать и не передавать Персональные данные Клиента, полученные от него в соответствии с Соглашением;
- б) не хранить, не использовать и не раскрывать Персональные данные Клиента от его имени (в том числе вне прямых деловых отношений с Клиентом), если это не предусмотрено бизнес-целью в соответствии с CCPA или целью осуществления Услуг ограниченной обработки данных, как описано в справочной документации на странице business.safety.google/rdp, которая время от времени может обновляться;
- в) не объединять Персональные данные Клиента, которые компания Google получает от или от имени Клиента, с 1) персональными данными, полученными компанией Google от или от имени другого лица либо лиц; 2) персональными данными, полученными в результате взаимодействия компании Google с Клиентом, как описано в справочной документации на странице business.safety.google/rdp, если только это не разрешено CCPA;
- г) обрабатывать такие Персональные данные Клиента для целей осуществления Услуг ограниченной обработки данных, как описано в Соглашении и справочной документации (например, статьях Справочного центра) или как разрешено CCPA; стороны при этом соглашаются, что Клиент предоставляет компании Google Персональные данные Клиента для таких целей;
- д) разрешать проводить проверки соблюдения компанией Google своих обязательств в соответствии с разделом 3.3.3(в) ("Права Клиента на проведение проверок") настоящего Приложения 1Б;
- е) уведомлять Клиента, если компания Google определит, что больше не может выполнять свои обязательства в соответствии с CCPA. Настоящий раздел 5.1(е) не ограничивает прав и обязательств любой из сторон, предусмотренных остальными разделами Соглашения;
- ж) если у Клиента есть основания полагать, что Google обрабатывает Персональные данные Клиента несанкционированным образом, у Клиента есть право уведомить об этом Google любым из способов, описанных на странице privacy.google.com/businesses/processorsupport, после чего стороны должны будут приложить совместные усилия, чтобы исправить последствия предположительно несанкционированных действий по обработке, если это необходимо;
- з) соблюдать применимые обязательства в соответствии с CCPA и обеспечивать тот уровень защиты конфиденциальности, которого требует CCPA.
5.2. В отношении Персональных данных Клиента, обрабатываемых без включенной функции "Ограничение обработки данных" и в той степени, в какой CCPA применяется к обработке Персональных данных Клиента, компания Google обязуется:
- а) обрабатывать такие Персональные данные Клиента для целей предоставления Сервисов отслеживания, как описано в Соглашении и справочной документации (например, статьях Справочного центра) или как разрешено CCPA; стороны при этом соглашаются, что Клиент предоставляет компании Google Персональные данные Клиента для таких целей;
- б) разрешать проводить проверки соблюдения компанией Google своих обязательств в соответствии с разделом 3.3.3(в) ("Права Клиента на проведение проверок") настоящего Приложения 1Б;
- в) сообщить Клиенту, если определит, что больше не может выполнять свои обязательства в соответствии с CCPA;
- г) если у Клиента есть обоснованные основания полагать, что Google обрабатывает Персональные данные Клиента несанкционированным образом, у Клиента есть право уведомить об этом Google любым из способов, описанных на странице privacy.google.com/businesses/processorsupport, после чего стороны должны будут приложить совместные усилия, чтобы исправить последствия предположительно несанкционированных действий по обработке, если это необходимо;
- д) соблюдать применимые обязательства в соответствии с CCPA и обеспечивать тот уровень защиты конфиденциальности, которого требует CCPA.
6. Внесение изменений в настоящее Приложение 1Б
В дополнение к разделу 7 Условий для контролеров данных ("Изменения настоящих Условий для контролеров данных") Google может без предварительного уведомления изменять настоящее Приложение 1Б, если это изменение: а) основано на действующем законе, нормативном акте, распоряжении суда или государственного регламентирующего органа либо ведомства или б) не будет иметь существенных негативных последствий для Клиента в соответствии с Законами штатов США о конфиденциальности согласно обоснованной оценке Google.
7. Обработка данных в соответствии с Законами штатов США о конфиденциальности
Предоставление Клиенту компанией Google Услуг ограниченной обработки данных и любой сопутствующей технической поддержки.
Продолжительность обработки
Срок действия согласно Условиям плюс период от окончания срока действия до удаления всех Персональных данных Клиента компанией Google в соответствии с Приложением 1Б.
Характер и цель обработки
Компания Google обязуется выполнять обработку Персональных данных Клиента (в том числе – в той степени, в которой это применимо к Услугам ограниченной обработки данных и инструкциям, – их сбор, запись, организацию, структурирование, хранение, изменение, извлечение, использование, раскрытие, объединение, удаление и уничтожение) для целей предоставления Клиенту Услуг ограниченной обработки данных и любой сопутствующей технической поддержки в соответствии с Приложением 1Б или как иначе разрешено обработчиками в соответствии с Законами штатов США о конфиденциальности.
Типы персональных данных
Персональные данные Клиента могут включать в себя типы персональных данных, описанные в Законах штатов США о конфиденциальности.
Категории субъектов данных
Персональные данные Клиента затрагивают следующие категории субъектов данных:
- субъекты данных, о которых компания Google собирает персональные данные в рамках предоставления Услуг ограниченной обработки данных;
- субъекты данных, персональные данные которых передаются Клиентом, от его лица или по его поручению компании Google в связи с предоставлением Услуг ограниченной обработки данных.
В зависимости от характера Услуг ограниченной обработки данных эти субъекты данных могут включать в себя физических лиц: а) которым показывается или будет показываться интернет-реклама; б) которые посещали определенные сайты или приложения, в отношении которых компания Google предоставляет услуги ограниченной обработки данных; в) которые являются потребителями или пользователями продуктов или услуг Клиента.
Условия Google в отношении защиты данных при взаимодействии между контролерами данных, версия 4.0