Google sẽ cập nhật như sau, có hiệu lực từ ngày 1 tháng 1 năm 2020:
- Điều khoản bảo vệ dữ liệu của Bộ điều khiển quảng cáo Google ( phiên bản hiện tại | phiên bản mới )
- Điều khoản xử lý dữ liệu quảng cáo của Google ( phiên bản hiện tại | phiên bản mới )
Điều khoản nhà cung cấp dịch vụ
- Phụ lục nhà cung cấp dịch vụ CCPA bổ sung cho Điều khoản bảo vệ dữ liệu của bộ điều khiển quảng cáo Google
- Phụ lục nhà cung cấp dịch vụ CCPA cho Điều khoản xử lý dữ liệu quảng cáo của Google
Điều khoản bảo vệ dữ liệu điều khiển-điều khiển quảng cáo của Google
Google và đối tác đồng ý với các điều khoản này ( Khách hàng trực tiếp ) đã tham gia vào một thỏa thuận cung cấp Dịch vụ kiểm soát (được sửa đổi theo thời gian, Thỏa thuận ràng buộc ).
Các Điều khoản bảo vệ dữ liệu của Trình điều khiển quảng cáo của Trình điều khiển quảng cáo Google (bao gồm cả phụ lục, Điều khoản của Bộ điều khiển Quảng cáo ) được Google và Khách hàng nhập vào và bổ sung Thỏa thuận. Các Điều khoản của Kiểm soát viên này sẽ có hiệu lực và thay thế mọi điều khoản áp dụng trước đây liên quan đến vấn đề của họ, kể từ Ngày Điều khoản có hiệu lực.
Nếu bạn chấp nhận các Điều khoản của Người kiểm soát này thay mặt cho Khách hàng, bạn đảm bảo rằng:
(a) bạn có toàn quyền pháp lý để ràng buộc Khách hàng với các Điều khoản của Người kiểm soát này;
(b) bạn đã đọc và hiểu các Điều khoản của Người kiểm soát này;
(c) bạn đồng ý, thay mặt cho Khách hàng, với các Điều khoản của Người kiểm soát này.
Nếu bạn không có thẩm quyền pháp lý để ràng buộc Khách hàng, vui lòng không chấp nhận các Điều khoản của Kiểm soát viên này.
1. Giới thiệu
Các Điều khoản của Kiểm soát viên này phản ánh thỏa thuận của các bên về việc xử lý một số dữ liệu nhất định liên quan đến Pháp luật bảo vệ dữ liệu châu Âu và một số Pháp luật bảo vệ dữ liệu ngoài châu Âu.
2. Định nghĩa và giải thích
2.1 Trong các Điều khoản của Bộ điều khiển:
“ Điều khoản bổ sung cho Bảo vệ dữ liệu Luật pháp không châu Âu ” có nghĩa là các điều khoản bổ sung quy định tại Phụ lục 1, phản ánh thỏa thuận của các bên về các điều khoản chi phối quá trình xử lý dữ liệu nhất định liên quan đến Bảo vệ dữ liệu Pháp luật nhất định không châu Âu.
“ Affiliate ” có nghĩa là một thực thể trực tiếp hoặc gián tiếp điều khiển, được kiểm soát bởi, hoặc dưới sự kiểm soát chung với một bữa tiệc.
“ Bộ điều khiển dữ liệu Tiêu đề ” có nghĩa là một chủ đề dữ liệu mà điều khiển dữ liệu cá nhân liên quan.
“ Bộ điều khiển dữ liệu cá nhân ” có nghĩa là bất kỳ dữ liệu cá nhân mà được xử lý bởi một bên theo Hiệp định liên quan đến việc cung cấp hoặc sử dụng (nếu có) của các Dịch vụ Controller.
“ Bộ điều khiển dịch vụ ” có nghĩa là các dịch vụ áp dụng được liệt kê ở privacy.google.com/businesses/adsservices .
“ GDPR EU ” có nghĩa là Quy chế (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 Tháng Tư năm 2016 về bảo vệ người tự nhiên có liên quan đến quá trình xử lý dữ liệu cá nhân và trên di chuyển tự do của những dữ liệu này với, và thay thế Chỉ thị 95/46 / EC.
“ Châu Âu Dữ liệu Luật pháp bảo vệ ” có nghĩa là, có thể áp dụng: (a) GDPR; và / hoặc (b) Đạo luật bảo vệ dữ liệu liên bang ngày 19 tháng 6 năm 1992 (Thụy Sĩ).
“ GDPR ” có nghĩa là, có thể áp dụng: (a) GDPR EU; và / hoặc (b) GDPR của Anh.
“ Google ” có nghĩa là các Entity Google đó là bên tham gia Hiệp định.
Nhật ký Google Entity có nghĩa là Google LLC (trước đây gọi là Google Inc.), Google Ireland Limited hoặc bất kỳ Chi nhánh nào khác của Google LLC.
“ Non-châu Âu Dữ liệu Luật pháp bảo vệ pháp luật” bảo vệ phương tiện dữ liệu hoặc tính riêng tư có hiệu lực bên ngoài Khu vực Kinh tế châu Âu, Thụy Sĩ và Anh.
“ Privacy lá chắn ” có nghĩa là EU-Mỹ Privacy khiên khuôn khổ pháp lý, Swiss-Mỹ Privacy khiên khuôn khổ pháp lý, và bất kỳ khuôn khổ pháp lý tương đương có thể áp dụng giữa Vương quốc Anh và Hoa Kỳ.
“ Ngày Điều khoản hiệu quả ” có nghĩa là, có thể áp dụng:
(a) 25 tháng 5 năm 2018, nếu Khách hàng nhấp để chấp nhận hoặc các bên có thỏa thuận khác với các Điều khoản của Kiểm soát viên này trước hoặc vào ngày đó; hoặc là
(b) ngày mà Khách hàng nhấp vào để chấp nhận hoặc các bên đã đồng ý với các Điều khoản của Kiểm soát viên này, nếu ngày đó là sau ngày 25 tháng 5 năm 2018.
“ Anh GDPR ” có nghĩa là GDPR EU đã được sửa đổi và đưa vào luật Anh dưới (Rút) Đạo luật Anh Liên minh châu Âu năm 2018, nếu có hiệu lực.
2.2 Các thuật ngữ “ điều khiển ”, “ đối tượng dữ liệu ”, “ dữ liệu cá nhân ”, “ chế biến ” và “ xử lý ” được sử dụng trong các Điều khoản điều khiển có ý nghĩa nhất định trong GDPR.
2.3 Những lời “ bao gồm ” và “ bao gồm ” có nghĩa là “bao gồm nhưng không giới hạn”. Bất kỳ ví dụ nào trong các Điều khoản của Bộ điều khiển này đều mang tính minh họa và không phải là ví dụ duy nhất của một khái niệm cụ thể.
2.4 Bất kỳ tài liệu tham khảo nào về khung pháp lý, quy chế hoặc ban hành luật pháp khác là một tài liệu tham khảo về nó như được sửa đổi hoặc ban hành lại theo thời gian.
2.5 Nếu các Điều khoản của Trình điều khiển này được dịch sang bất kỳ ngôn ngữ nào khác và có sự khác biệt giữa văn bản tiếng Anh và văn bản dịch, văn bản tiếng Anh sẽ chi phối.
3. Áp dụng các Điều khoản này
3.1 Áp dụng pháp luật bảo vệ dữ liệu châu Âu . Phần 4 (Vai trò và Hạn chế khi xử lý) đến 6 (Quy định bảo vệ chuyển tiếp quyền riêng tư) (bao gồm) sẽ chỉ áp dụng trong phạm vi Luật pháp bảo vệ dữ liệu châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của người kiểm soát.
3.2 Ứng dụng vào Dịch vụ điều khiển . Các Điều khoản của Bộ điều khiển này sẽ chỉ áp dụng cho các Dịch vụ của Bộ điều khiển mà các bên đã đồng ý với các Điều khoản của Bộ điều khiển này (ví dụ: (a) Dịch vụ của Bộ điều khiển mà Khách hàng đã nhấp để chấp nhận các Điều khoản của Bộ điều khiển này hoặc (b) nếu Thỏa thuận kết hợp các Điều khoản của Bộ điều khiển này bằng cách tham khảo, Dịch vụ kiểm soát là đối tượng của Thỏa thuận).
3.3 Kết hợp các điều khoản bổ sung cho luật pháp bảo vệ dữ liệu ngoài châu Âu . Các Điều khoản bổ sung cho Pháp luật bảo vệ dữ liệu ngoài châu Âu bổ sung cho các Điều khoản kiểm soát này.
4. Vai trò và hạn chế trong xử lý
4.1 Bộ điều khiển độc lập . Mỗi bữa tiệc:
(a) là bộ điều khiển độc lập của Dữ liệu cá nhân của Người kiểm soát theo Luật pháp bảo vệ dữ liệu châu Âu;
(b) sẽ xác định riêng mục đích và phương tiện xử lý Dữ liệu Cá nhân của Người kiểm soát; và
(c) sẽ tuân thủ các nghĩa vụ áp dụng theo Luật pháp bảo vệ dữ liệu châu Âu liên quan đến việc xử lý Dữ liệu cá nhân của người kiểm soát.
4.2 Hạn chế trong chế biến . Mục 4.1 (Kiểm soát viên độc lập) sẽ không ảnh hưởng đến bất kỳ hạn chế nào đối với quyền sử dụng hoặc xử lý Dữ liệu cá nhân của Kiểm soát viên theo Thỏa thuận.
5. Truyền dữ liệu
5.1 Chuyển dữ liệu . Một trong hai bên có thể chuyển Dữ liệu cá nhân của Người kiểm soát sang các nước thứ ba nếu họ tuân thủ các quy định về việc chuyển dữ liệu cá nhân sang các nước thứ ba trong Luật pháp bảo vệ dữ liệu châu Âu.
5.2 Chứng nhận bảo vệ quyền riêng tư của Google . Vào ngày Khách hàng nhấp để chấp nhận hoặc các bên đã đồng ý với các Điều khoản của Người kiểm soát này, công ty mẹ của nhóm Google, Google LLC, được chứng nhận theo Privacy Shield. Phần 5.2 này (Chứng nhận bảo vệ quyền riêng tư của Google) tạo thành thông báo bằng văn bản từ Google cho khách hàng cho mục đích của Mục 6.1 (c).
6. Bảo vệ quyền riêng tư Điều khoản chuyển nhượng
6.1 Áp dụng Mục 6 . Phần 6.2 (Sử dụng dữ liệu cá nhân của nhà cung cấp dữ liệu) và 6.3 (Bảo vệ dữ liệu cá nhân của nhà cung cấp dữ liệu) sẽ chỉ áp dụng trong phạm vi:
(a) một bên ( Người nhận dữ liệu của người nhận dữ liệu ) xử lý Dữ liệu cá nhân của người điều khiển được cung cấp bởi bên kia ( Nhà cung cấp dữ liệu trên mạng ) liên quan đến Thỏa thuận (như Dữ liệu cá nhân của người kiểm soát, Dữ liệu cá nhân của Nhà cung cấp dữ liệu );
(b) Nhà cung cấp dữ liệu hoặc Chi nhánh của nó được chứng nhận theo Privacy Shield; và
(c) Nhà cung cấp dữ liệu thông báo cho Người nhận dữ liệu về chứng nhận Quyền riêng tư đó bằng văn bản.
6.2 Sử dụng dữ liệu cá nhân của nhà cung cấp dữ liệu .
(a) Theo nguyên tắc chuyển tiếp theo Quyền riêng tư, Người nhận dữ liệu sẽ chỉ sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu theo cách phù hợp với sự đồng ý của Chủ thể dữ liệu điều khiển có liên quan.
(b) Trong phạm vi Nhà cung cấp dữ liệu không nhận được sự đồng ý từ Chủ thể dữ liệu điều khiển có liên quan theo yêu cầu trong Thỏa thuận, Người nhận dữ liệu sẽ không vi phạm Mục 6.2 (a) nếu sử dụng Dữ liệu cá nhân của nhà cung cấp dữ liệu phù hợp với yêu cầu bằng lòng.
6.3 Bảo vệ dữ liệu cá nhân của nhà cung cấp dữ liệu .
(a) Người nhận dữ liệu sẽ cung cấp mức độ bảo vệ cho Dữ liệu cá nhân của nhà cung cấp dữ liệu ít nhất tương đương với mức được yêu cầu trong Privacy Shield.
(b) Nếu Người nhận dữ liệu xác định rằng nó không thể tuân thủ Mục 6.3 (a), thì nó sẽ: (i) thông báo cho Nhà cung cấp dữ liệu bằng văn bản; và (ii) ngừng xử lý Dữ liệu cá nhân của Nhà cung cấp dữ liệu hoặc thực hiện các bước hợp lý và phù hợp để khắc phục sự không tuân thủ đó.
7. Trách nhiệm
Nếu Thỏa thuận được điều chỉnh bởi pháp luật của:
(a) một tiểu bang của Hợp chủng quốc Hoa Kỳ, sau đó, bất kể điều gì khác trong Thỏa thuận, toàn bộ trách nhiệm của một bên đối với bên kia theo hoặc liên quan đến các Điều khoản của Kiểm soát viên này sẽ được giới hạn ở mức tối đa dựa trên tiền tệ hoặc thanh toán số tiền mà trách nhiệm pháp lý của bên đó được giới hạn theo Thỏa thuận (để rõ ràng, mọi trường hợp loại trừ khiếu nại bồi thường khỏi giới hạn trách nhiệm của Thỏa thuận sẽ không áp dụng cho các khiếu nại bồi thường theo Thỏa thuận liên quan đến Pháp luật bảo vệ dữ liệu châu Âu hoặc Pháp luật bảo vệ dữ liệu phi châu Âu ); hoặc là
(b) khu vực tài phán không phải là tiểu bang của Hoa Kỳ, sau đó trách nhiệm pháp lý của các bên theo hoặc liên quan đến các Điều khoản của Kiểm soát viên này sẽ phải tuân theo các loại trừ và giới hạn trách nhiệm trong Thỏa thuận.
8. Ưu tiên
8.1 Hiệu lực của các Điều khoản này . Nếu có bất kỳ mâu thuẫn hoặc mâu thuẫn nào giữa các điều khoản của Điều khoản bổ sung cho Luật pháp bảo vệ dữ liệu ngoài châu Âu, phần còn lại của các Điều khoản kiểm soát này và / hoặc phần còn lại của Thỏa thuận, theo Điều 4.2 (Hạn chế khi xử lý) và 8.2 ( Điều khoản của Bộ xử lý), thứ tự ưu tiên sau sẽ được áp dụng: (a) Điều khoản bổ sung cho Luật pháp bảo vệ dữ liệu ngoài châu Âu; (b) phần còn lại của các Điều khoản kiểm soát này; và (c) phần còn lại của Thỏa thuận. Theo các sửa đổi trong các Điều khoản của Kiểm soát viên này, Thỏa thuận vẫn có hiệu lực đầy đủ.
8.2 Điều khoản xử lý . Các Điều khoản của Bộ điều khiển này sẽ không ảnh hưởng đến bất kỳ điều khoản riêng biệt nào giữa Google và Khách hàng phản ánh mối quan hệ giữa bộ điều khiển - bộ xử lý đối với một dịch vụ không phải là Dịch vụ của Bộ điều khiển.
9. Thay đổi các Điều khoản này
9.1 Thay đổi dịch vụ điều khiển trong phạm vi . Google chỉ có thể thay đổi danh sách Dịch vụ điều khiển tiềm năng tại Privacy.google.com/businesses/adsservice :
(a) để phản ánh sự thay đổi tên của dịch vụ;
(b) để thêm một dịch vụ mới; hoặc là
(c) để xóa dịch vụ trong đó: (i) tất cả các hợp đồng cung cấp dịch vụ đó bị chấm dứt; hoặc (ii) Google có sự đồng ý của Khách hàng.
9.2 Thay đổi Điều khoản của Bộ điều khiển . Google có thể thay đổi các Điều khoản kiểm soát này nếu thay đổi:
(a) như được mô tả trong Phần 9.1 (Thay đổi đối với Dịch vụ điều khiển trong Phạm vi);
(b) được yêu cầu tuân thủ luật pháp hiện hành, quy định hiện hành, lệnh của tòa án hoặc hướng dẫn của cơ quan quản lý hoặc cơ quan chính phủ; hoặc là
(c) không: (i) tìm cách thay đổi việc phân loại các bên thành những người kiểm soát độc lập Dữ liệu cá nhân của Người kiểm soát theo Luật pháp bảo vệ dữ liệu châu Âu; (ii) mở rộng phạm vi hoặc xóa bất kỳ hạn chế nào đối với quyền sử dụng hoặc xử lý (x) của một bên trong trường hợp Điều khoản bổ sung cho Luật pháp bảo vệ dữ liệu ngoài châu Âu, dữ liệu trong phạm vi Điều khoản bổ sung cho không - Pháp luật bảo vệ dữ liệu của châu Âu hoặc (y) trong trường hợp còn lại của các Điều khoản kiểm soát, dữ liệu cá nhân của người kiểm soát; hoặc (iii) có tác động bất lợi nghiêm trọng đến Khách hàng, như được xác định hợp lý bởi Google.
9.3 Thông báo về các thay đổi . Nếu Google có ý định thay đổi các Điều khoản kiểm soát này theo Mục 9.2 (b) và thay đổi đó sẽ có tác động bất lợi nghiêm trọng đến Khách hàng, như được xác định hợp lý bởi Google, thì Google sẽ sử dụng các nỗ lực hợp lý về mặt thương mại để thông báo cho Khách hàng ít nhất 30 ngày (hoặc ngắn hơn như vậy khoảng thời gian có thể được yêu cầu để tuân thủ luật pháp hiện hành, quy định hiện hành, lệnh của tòa án hoặc hướng dẫn của cơ quan quản lý hoặc cơ quan chính phủ) trước khi thay đổi sẽ có hiệu lực. Nếu Khách hàng phản đối bất kỳ thay đổi nào như vậy, Khách hàng có thể chấm dứt Thỏa thuận bằng cách gửi thông báo bằng văn bản cho Google trong vòng 90 ngày kể từ khi được Google thông báo về thay đổi đó.
Phụ lục 1: Điều khoản bổ sung cho Pháp luật bảo vệ dữ liệu ngoài châu Âu
Các Điều khoản bổ sung sau đây đối với Pháp luật bảo vệ dữ liệu ngoài châu Âu bổ sung cho các Điều khoản kiểm soát này:
- Hợp đồng bổ sung của nhà cung cấp dịch vụ CCPA tại Privacy.google.com/businesses/controllterms/ccpa (ngày 1 tháng 1 năm 2020)
Điều khoản bảo vệ dữ liệu điều khiển-điều khiển quảng cáo Google, phiên bản 1.3
Ngày 1 tháng 1 năm 2020
Điều khoản xử lý dữ liệu quảng cáo của Google
Google và đối tác đồng ý với các điều khoản này ( Khách hàng trực tuyến ) đã tham gia vào một thỏa thuận cung cấp Dịch vụ xử lý (được sửa đổi theo thời gian, Thỏa thuận trên giấy phép ).
Các Điều khoản xử lý dữ liệu quảng cáo Google này (bao gồm các phụ lục, Điều khoản xử lý dữ liệu trực tuyến ) được Google và Khách hàng nhập vào và bổ sung Thỏa thuận. Các Điều khoản xử lý dữ liệu này sẽ có hiệu lực và thay thế mọi điều khoản có thể áp dụng trước đây liên quan đến vấn đề của họ (bao gồm mọi sửa đổi xử lý dữ liệu hoặc phụ lục xử lý dữ liệu liên quan đến Dịch vụ xử lý), từ Điều khoản có hiệu lực.
Nếu bạn chấp nhận các Điều khoản xử lý dữ liệu này thay mặt cho Khách hàng, bạn đảm bảo rằng: (a) bạn có toàn quyền pháp lý để ràng buộc Khách hàng với các Điều khoản xử lý dữ liệu này; (b) bạn đã đọc và hiểu các Điều khoản xử lý dữ liệu này; và (c) bạn đồng ý, thay mặt cho Khách hàng, với các Điều khoản xử lý dữ liệu này. Nếu bạn không có thẩm quyền pháp lý để ràng buộc Khách hàng, vui lòng không chấp nhận các Điều khoản xử lý dữ liệu này.
1. Giới thiệu
Các Điều khoản xử lý dữ liệu này phản ánh thỏa thuận của các bên về các điều khoản quản lý việc xử lý một số dữ liệu nhất định liên quan đến Pháp luật bảo vệ dữ liệu châu Âu và Pháp luật bảo vệ dữ liệu phi châu Âu nhất định.
2. Định nghĩa và giải thích
2.1 Trong các Điều khoản xử lý dữ liệu này:
“ Sản phẩm bổ sung ” có nghĩa là một sản phẩm, dịch vụ hoặc ứng dụng được cung cấp bởi Google hoặc bên thứ ba rằng: (a) không phải là một phần của dịch vụ xử lý; và (b) có thể truy cập để sử dụng trong giao diện người dùng của Dịch vụ Bộ xử lý hoặc được tích hợp với Dịch vụ Bộ xử lý.
“ Điều khoản bổ sung cho Bảo vệ dữ liệu Luật pháp không châu Âu ” có nghĩa là các điều khoản bổ sung quy định tại Phụ lục 3, trong đó phản ánh thỏa thuận của các bên về các điều khoản chi phối quá trình xử lý dữ liệu nhất định liên quan đến Bảo vệ dữ liệu Pháp luật nhất định không châu Âu.
“ Affiliate ” có nghĩa là một thực thể trực tiếp hoặc gián tiếp điều khiển, được kiểm soát bởi, hoặc dưới sự kiểm soát chung với một bữa tiệc.
“ Dữ liệu khách hàng cá nhân ” có nghĩa là dữ liệu cá nhân được xử lý bởi Google thay mặt cho khách hàng trong việc cung cấp các Dịch vụ xử lý của Google.
“ Incident dữ liệu ” có nghĩa là một sự vi phạm bảo mật của Google dẫn đến việc vô tình hay phá hủy trái pháp luật, mất mát, thay đổi, tiết lộ trái phép, hoặc truy cập vào, Dữ liệu cá nhân trên hệ thống bằng cách quản lý hoặc kiểm soát bởi Google. Các sự cố dữ liệu trên mạng không thể bao gồm các nỗ lực hoặc hoạt động không thành công không ảnh hưởng đến bảo mật dữ liệu cá nhân của khách hàng, bao gồm các nỗ lực đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và các cuộc tấn công mạng khác trên tường lửa hoặc hệ thống mạng.
“ Dữ liệu Tiêu đề cụ ” có nghĩa là một công cụ (nếu có) làm sẵn bởi một Entity Google cho các đối tượng dữ liệu, cho phép Google phản ứng trực tiếp và một cách tiêu chuẩn hóa các yêu cầu nhất định từ các đối tượng dữ liệu liên quan đến dữ liệu khách hàng cá nhân (ví dụ, quảng cáo trực tuyến cài đặt hoặc plugin trình duyệt từ chối).
“ EEA ” có nghĩa là Khu vực Kinh tế châu Âu.
“ GDPR EU ” có nghĩa là Quy chế (EU) 2016/679 của Nghị viện Châu Âu và của Hội đồng ngày 27 Tháng Tư năm 2016 về bảo vệ người tự nhiên có liên quan đến quá trình xử lý dữ liệu cá nhân và trên di chuyển tự do của những dữ liệu này với, và thay thế Chỉ thị 95/46 / EC.
“ Châu Âu Dữ liệu Luật pháp bảo vệ ” có nghĩa là, có thể áp dụng: (a) GDPR; và / hoặc (b) Đạo luật bảo vệ dữ liệu liên bang ngày 19 tháng 6 năm 1992 (Thụy Sĩ).
“ Châu Âu hoặc luật quốc gia ” có nghĩa là, có thể áp dụng: (a) Liên minh châu Âu hoặc pháp luật Nhà nước thành viên EU (nếu GDPR EU áp dụng cho quá trình xử lý Dữ liệu cá nhân); và / hoặc (b) luật pháp của Vương quốc Anh hoặc một phần của Vương quốc Anh (nếu GDPR của Vương quốc Anh áp dụng cho việc xử lý Dữ liệu Cá nhân của Khách hàng).
“ GDPR ” có nghĩa là, có thể áp dụng: (a) GDPR EU; và / hoặc (b) GDPR của Anh.
“ Google ” có nghĩa là các Entity Google đó là bên tham gia Hiệp định.
Bộ xử lý liên kết của Google Google có nghĩa được đưa ra trong Phần 11.1 (Đồng ý với sự tham gia của bộ vi xử lý).
Nhật ký Google Entity có nghĩa là Google LLC (trước đây gọi là Google Inc.), Google Ireland Limited hoặc bất kỳ Chi nhánh nào khác của Google LLC.
“ ISO 27001 Chứng nhận ” có nghĩa là tiêu chuẩn ISO / IEC 27001: 2013 cấp giấy chứng nhận hoặc chứng chỉ tương đương đối với Dịch vụ xử lý.
“ Non-châu Âu Dữ liệu Luật pháp bảo vệ pháp luật” bảo vệ phương tiện dữ liệu hoặc tính riêng tư có hiệu lực bên ngoài EEA, Thụy Sĩ và Anh.
“ Địa chỉ Email Notification ” là địa chỉ email (nếu có) do khách hàng, thông qua giao diện người sử dụng của Dịch vụ xử lý hoặc các phương tiện khác như cung cấp bởi Google, để nhận thông báo nhất định từ Google liên quan đến các điều khoản xử lý dữ liệu.
“ Privacy lá chắn ” có nghĩa là EU-Mỹ Privacy khiên khuôn khổ pháp lý, Swiss-Mỹ Privacy khiên khuôn khổ pháp lý, và bất kỳ khuôn khổ pháp lý tương đương có thể áp dụng giữa Vương quốc Anh và Hoa Kỳ.
“ Dịch vụ xử lý ” có nghĩa là các dịch vụ áp dụng được liệt kê ở privacy.google.com/businesses/adsservices .
“ An ninh Tài liệu ” có nghĩa là giấy chứng nhận cấp cho các tiêu chuẩn ISO 27001 Chứng nhận và bất kỳ chứng nhận bảo đảm khác hoặc tài liệu mà Google có thể làm cho có sẵn đối với các dịch vụ xử lý.
“ Các biện pháp an ninh ” có ý nghĩa đưa ra trong mục 7.1.1 (Các biện pháp an ninh của Google).
“ Subprocessors ” có nghĩa là các bên thứ ba có thẩm quyền theo các Điều khoản Xử lý dữ liệu để có thể tiếp cận hợp lý để và xử lý Dữ liệu cá nhân để cung cấp các bộ phận của Dịch vụ xử lý và bất kỳ hỗ trợ kỹ thuật có liên quan.
“ Cơ quan giám sát ” có nghĩa là, có thể áp dụng: (a) “giám sát quyền lực” theo quy định tại GDPR EU; và / hoặc (b) Ủy viên hội đồng ban đầu được xác định trong GDPR của Vương quốc Anh.
“ Thời hạn ” có nghĩa là khoảng thời gian từ Điều khoản Ngày hiệu lực cho đến khi kết thúc việc cung cấp các Dịch vụ xử lý theo Hiệp định của Google.
“ Ngày Điều khoản hiệu quả ” có nghĩa là, có thể áp dụng:
(a) 25 tháng 5 năm 2018, nếu Khách hàng nhấp để chấp nhận hoặc các bên đã đồng ý với các Điều khoản xử lý dữ liệu này trước hoặc vào ngày đó; hoặc là
(b) ngày mà Khách hàng đã nhấp để chấp nhận hoặc các bên đã đồng ý với các Điều khoản xử lý dữ liệu này, nếu ngày đó là sau ngày 25 tháng 5 năm 2018.
Bộ xử lý bên thứ ba của bên thứ ba có nghĩa là được đưa ra trong Phần 11.1 (Đồng ý với sự tham gia của bộ vi xử lý).
“ Anh GDPR ” có nghĩa là GDPR EU đã được sửa đổi và đưa vào luật Anh dưới (Rút) Đạo luật Anh Liên minh châu Âu năm 2018, nếu có hiệu lực.
2.2 Các thuật ngữ “ điều khiển ”, “ đối tượng dữ liệu ”, “ dữ liệu cá nhân ”, “ chế biến ” và “ xử lý ” được sử dụng trong các Điều khoản Xử lý dữ liệu có ý nghĩa nhất định trong GDPR.
2.3 Những lời “ bao gồm ” và “ bao gồm ” có nghĩa là “bao gồm nhưng không giới hạn”. Bất kỳ ví dụ nào trong các Điều khoản xử lý dữ liệu này đều mang tính minh họa và không phải là ví dụ duy nhất của một khái niệm cụ thể.
2.4 Bất kỳ tài liệu tham khảo nào về khung pháp lý, quy chế hoặc ban hành luật pháp khác là một tài liệu tham khảo về nó như được sửa đổi hoặc ban hành lại theo thời gian.
2.5 Nếu các Điều khoản xử lý dữ liệu này được dịch sang bất kỳ ngôn ngữ nào khác và có sự khác biệt giữa văn bản tiếng Anh và văn bản dịch, văn bản tiếng Anh sẽ chi phối.
3. Thời lượng của các Điều khoản xử lý dữ liệu này
Các Điều khoản xử lý dữ liệu này sẽ có hiệu lực vào Ngày có hiệu lực và, mặc dù đã hết thời hạn, vẫn có hiệu lực cho đến khi và tự động hết hạn khi xóa tất cả dữ liệu cá nhân của khách hàng như được mô tả trong các Điều khoản xử lý dữ liệu này.
4. Áp dụng các Điều khoản xử lý dữ liệu này
4.1 Áp dụng pháp luật bảo vệ dữ liệu châu Âu . Phần 5 (Xử lý dữ liệu) đến 12 (Liên hệ với Google; Xử lý hồ sơ) (bao gồm) sẽ chỉ áp dụng trong phạm vi Luật pháp bảo vệ dữ liệu châu Âu áp dụng cho việc xử lý Dữ liệu cá nhân của khách hàng, bao gồm:
(a) việc xử lý nằm trong bối cảnh các hoạt động của một cơ sở của Khách hàng tại EEA hoặc Vương quốc Anh; và / hoặc
(b) Dữ liệu cá nhân của khách hàng là dữ liệu cá nhân liên quan đến các chủ thể dữ liệu ở EEA hoặc Vương quốc Anh và việc xử lý liên quan đến việc cung cấp cho họ hàng hóa hoặc dịch vụ hoặc giám sát hành vi của họ trong EEA hoặc Vương quốc Anh.
4.2 Ứng dụng vào Dịch vụ xử lý . Các Điều khoản xử lý dữ liệu này sẽ chỉ áp dụng cho Dịch vụ xử lý mà các bên đã đồng ý với các Điều khoản xử lý dữ liệu này (ví dụ: (a) Dịch vụ xử lý mà Khách hàng đã nhấp để chấp nhận các Điều khoản xử lý dữ liệu này hoặc (b) nếu Thỏa thuận kết hợp các Điều khoản xử lý dữ liệu này bằng cách tham chiếu, Dịch vụ xử lý là đối tượng của Thỏa thuận).
4.3 Kết hợp các điều khoản bổ sung cho luật pháp bảo vệ dữ liệu ngoài châu Âu . Các Điều khoản bổ sung cho Pháp luật bảo vệ dữ liệu ngoài châu Âu bổ sung cho các Điều khoản xử lý dữ liệu này.
5. Xử lý dữ liệu
5.1 Vai trò và Tuân thủ quy định; Ủy quyền .
5.1.1 Trách nhiệm của bộ xử lý và bộ điều khiển . Các bên thừa nhận và đồng ý rằng:
(a) Phụ lục 1 mô tả các vấn đề và chi tiết về việc xử lý Dữ liệu Cá nhân của Khách hàng;
(b) Google là bộ xử lý Dữ liệu Cá nhân của Khách hàng theo Luật pháp Bảo vệ Dữ liệu Châu Âu;
(c) Customer is a controller or processor, as applicable, of Customer Personal Data under the European Data Protection Legislation; and
(d) each party will comply with the obligations applicable to it under the European Data Protection Legislation with respect to the processing of Customer Personal Data.
5.1.2 Authorisation by Third Party Controller. If Customer is a processor, Customer warrants to Google that Customer’s instructions and actions with respect to Customer Personal Data, including its appointment of Google as another processor, have been authorised by the relevant controller.
5.2 Customer’s Instructions. By entering into these Data Processing Terms, Customer instructs Google to process Customer Personal Data only in accordance with applicable law: (a) to provide the Processor Services and any related technical support; (b) as further specified via Customer’s use of the Processor Services (including in the settings and other functionality of the Processor Services) and any related technical support; (c) as documented in the form of the Agreement, including these Data Processing Terms; and (d) as further documented in any other written instructions given by Customer and acknowledged by Google as constituting instructions for purposes of these Data Processing Terms.
5.3 Google Tuân thủ hướng dẫn . Google sẽ tuân thủ các hướng dẫn được mô tả trong Phần 5.2 (Hướng dẫn của khách hàng) (bao gồm cả liên quan đến chuyển dữ liệu) trừ khi Luật pháp châu Âu hoặc quốc gia mà Google phải tuân thủ yêu cầu xử lý dữ liệu cá nhân khác của khách hàng, trong trường hợp đó Google sẽ thông báo cho khách hàng ( trừ khi bất kỳ luật nào như vậy cấm Google làm như vậy với lý do quan trọng là lợi ích công cộng).
5.4 Sản phẩm bổ sung . Nếu Khách hàng sử dụng bất kỳ Sản phẩm bổ sung nào, Dịch vụ của Bộ xử lý có thể cho phép Sản phẩm bổ sung đó truy cập Dữ liệu cá nhân của khách hàng theo yêu cầu để tương tác với Sản phẩm bổ sung với Dịch vụ của bộ xử lý. Để rõ ràng, các Điều khoản xử lý dữ liệu này không áp dụng cho việc xử lý dữ liệu cá nhân liên quan đến việc cung cấp bất kỳ Sản phẩm bổ sung nào được sử dụng bởi Khách hàng, bao gồm dữ liệu cá nhân được truyền đến hoặc từ Sản phẩm bổ sung đó.
6. Xóa dữ liệu
6.1 Xóa trong suốt nhiệm kỳ .
6.1.1 Dịch vụ xử lý với chức năng xóa . Trong Thời hạn, nếu:
(a) chức năng của Dịch vụ Bộ xử lý bao gồm tùy chọn cho Khách hàng xóa Dữ liệu Cá nhân của Khách hàng;
(b) Khách hàng sử dụng Dịch vụ của Bộ xử lý để xóa một số Dữ liệu Cá nhân của Khách hàng; và
(c) Dữ liệu cá nhân của khách hàng đã xóa không thể được phục hồi bởi Khách hàng (ví dụ: từ thùng rác rác),
sau đó Google sẽ xóa Dữ liệu cá nhân của khách hàng đó khỏi hệ thống của mình ngay khi có thể thực hiện được và trong thời gian tối đa 180 ngày, trừ khi Luật pháp châu Âu hoặc quốc gia yêu cầu lưu trữ.
6.1.2 Dịch vụ xử lý không có chức năng xóa . Trong Thời hạn, nếu chức năng của Dịch vụ Bộ xử lý không bao gồm tùy chọn cho Khách hàng xóa Dữ liệu Cá nhân của Khách hàng, thì Google sẽ tuân thủ:
(a) mọi yêu cầu hợp lý từ Khách hàng để tạo điều kiện cho việc xóa như vậy, trong trường hợp có thể có tính đến tính chất và chức năng của Dịch vụ Bộ xử lý và trừ khi Luật pháp Châu Âu hoặc Quốc gia yêu cầu lưu trữ; và
(b) thực hiện lưu giữ dữ liệu được mô tả tại policies.google.com/technologies/ads .
Google có thể tính phí (dựa trên chi phí hợp lý của Google) cho mọi trường hợp xóa dữ liệu theo Mục 6.1.2 (a). Google sẽ cung cấp cho Khách hàng chi tiết thêm về bất kỳ khoản phí áp dụng nào và cơ sở tính toán của mình trước khi xóa bất kỳ dữ liệu nào như vậy.
6.2 Xóa khi hết hạn . Hết thời hạn, Khách hàng hướng dẫn Google xóa tất cả Dữ liệu cá nhân của khách hàng (bao gồm các bản sao hiện có) khỏi các hệ thống của Google theo luật hiện hành. Google sẽ tuân thủ hướng dẫn này ngay khi có thể thực hiện được và trong thời gian tối đa 180 ngày, trừ khi Luật pháp Châu Âu hoặc Quốc gia yêu cầu lưu trữ.
7. Bảo mật dữ liệu
7.1 Các biện pháp và hỗ trợ bảo mật của Google .
7.1.1 Các biện pháp bảo mật Google Google . Google sẽ triển khai và duy trì các biện pháp kỹ thuật và tổ chức để bảo vệ Dữ liệu Cá nhân của Khách hàng trước sự phá hủy, mất mát, thay đổi, tiết lộ hoặc truy cập trái phép như được mô tả trong Phụ lục 2 ( Các biện pháp bảo mật của Hồi giáoNÓI). Như được mô tả trong Phụ lục 2, các Biện pháp bảo mật bao gồm các biện pháp: (a) để mã hóa dữ liệu cá nhân; (b) để giúp đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống và dịch vụ của Google; (c) để giúp khôi phục quyền truy cập kịp thời vào dữ liệu cá nhân sau sự cố; và (d) để kiểm tra hiệu quả thường xuyên. Google có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật theo thời gian, miễn là các cập nhật và sửa đổi đó không dẫn đến suy giảm tính bảo mật chung của Dịch vụ Bộ xử lý.
7.1.2 Tuân thủ bảo mật của nhân viên Google . Google sẽ thực hiện các bước thích hợp để đảm bảo tuân thủ các Biện pháp bảo mật của nhân viên, nhà thầu và Bộ xử lý của mình trong phạm vi áp dụng cho phạm vi hoạt động của họ, bao gồm đảm bảo rằng tất cả những người được ủy quyền xử lý Dữ liệu cá nhân của khách hàng đều cam kết bảo mật hoặc theo một quy định phù hợp nghĩa vụ pháp lý của bảo mật.
7.1.3 Hỗ trợ bảo mật của Google . Khách hàng đồng ý rằng Google sẽ (tính đến bản chất của việc xử lý Dữ liệu Cá nhân của Khách hàng và thông tin có sẵn cho Google) hỗ trợ Khách hàng đảm bảo tuân thủ mọi nghĩa vụ của Khách hàng đối với việc bảo mật dữ liệu cá nhân và vi phạm dữ liệu cá nhân, bao gồm (nếu áp dụng) Nghĩa vụ của khách hàng theo Điều 32 đến 34 (đã bao gồm) GDPR, theo:
(a) triển khai và duy trì các Biện pháp bảo mật theo Mục 7.1.1 (Các biện pháp bảo mật của Google);
(b) tuân thủ các điều khoản của Mục 7.2 (Sự cố dữ liệu); và
(c) cung cấp cho Khách hàng Tài liệu bảo mật theo Mục 7.5.1 (Nhận xét về Tài liệu bảo mật) và thông tin có trong các Điều khoản xử lý dữ liệu này.
7.2 Sự cố dữ liệu .
7.2.1 Thông báo sự cố . Nếu Google biết về Sự cố Dữ liệu, Google sẽ: (a) thông báo cho Khách hàng về Sự cố Dữ liệu kịp thời và không có sự chậm trễ quá đáng; và (b) kịp thời thực hiện các bước hợp lý để giảm thiểu tác hại và bảo mật Dữ liệu Cá nhân của Khách hàng.
7.2.2 Chi tiết về sự cố dữ liệu . Thông báo được thực hiện theo Mục 7.2.1 (Thông báo sự cố) sẽ mô tả, trong phạm vi có thể, chi tiết về Sự cố dữ liệu, bao gồm các bước được thực hiện để giảm thiểu rủi ro tiềm ẩn và các bước Google khuyến nghị Khách hàng thực hiện để giải quyết sự cố dữ liệu.
7.2.3 Cung cấp thông báo . Google sẽ gửi thông báo về bất kỳ Sự cố dữ liệu nào tới Địa chỉ email thông báo hoặc, theo quyết định của Google (bao gồm cả nếu Khách hàng chưa cung cấp Địa chỉ email thông báo), bằng cách liên lạc trực tiếp khác (ví dụ: qua cuộc gọi điện thoại hoặc gặp mặt trực tiếp) . Khách hàng tự chịu trách nhiệm cung cấp Địa chỉ Email Thông báo và đảm bảo rằng Địa chỉ Email Thông báo là hiện tại và hợp lệ.
7.2.4 Thông báo của bên thứ ba . Khách hàng hoàn toàn chịu trách nhiệm tuân thủ luật thông báo sự cố áp dụng cho Khách hàng và thực hiện mọi nghĩa vụ thông báo của bên thứ ba liên quan đến bất kỳ Sự cố dữ liệu nào.
7.2.5 Không có xác nhận lỗi của Google . Thông báo hoặc phản hồi của Google về Sự cố dữ liệu theo Mục 7.2 (Sự cố dữ liệu) này sẽ không được hiểu là sự thừa nhận của Google về bất kỳ lỗi hoặc trách nhiệm pháp lý nào đối với Sự cố dữ liệu.
7.3 Đánh giá và trách nhiệm bảo mật của khách hàng .
7.3.1 Trách nhiệm bảo mật của khách hàng . Khách hàng đồng ý rằng, không ảnh hưởng đến nghĩa vụ của Google theo Mục 7.1 (Các biện pháp và hỗ trợ bảo mật của Google) và 7.2 (Sự cố dữ liệu):
(a) Khách hàng tự chịu trách nhiệm về việc sử dụng Dịch vụ của Bộ xử lý, bao gồm:
(i) sử dụng Dịch vụ Bộ xử lý phù hợp để đảm bảo mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu Cá nhân của Khách hàng; và
(ii) bảo mật thông tin xác thực tài khoản, hệ thống và thiết bị mà Khách hàng sử dụng để truy cập Dịch vụ của Bộ xử lý; và
(b) Google không có nghĩa vụ bảo vệ Dữ liệu Cá nhân của Khách hàng mà Khách hàng chọn lưu trữ hoặc chuyển giao bên ngoài các hệ thống của Google và Bộ xử lý của Google.
7.3.2 Đánh giá bảo mật của khách hàng . Khách hàng thừa nhận và đồng ý rằng (có tính đến tình trạng hiện đại, chi phí thực hiện và tính chất, phạm vi, bối cảnh và mục đích của việc xử lý Dữ liệu Cá nhân của Khách hàng cũng như các rủi ro đối với cá nhân) Các biện pháp Bảo mật được thực hiện và duy trì bởi Google như được nêu trong Phần 7.1.1 (Các biện pháp bảo mật của Google) cung cấp mức độ bảo mật phù hợp với rủi ro đối với Dữ liệu cá nhân của khách hàng.
7.4 Chứng nhận bảo mật . Để đánh giá và giúp đảm bảo tính hiệu quả liên tục của các Biện pháp bảo mật, Google sẽ duy trì Chứng nhận ISO 27001.
7.5 Đánh giá và Kiểm toán tuân thủ .
7.5.1 Nhận xét về Tài liệu bảo mật . Để chứng minh sự tuân thủ của Google với các nghĩa vụ của mình theo các Điều khoản xử lý dữ liệu này, Google sẽ cung cấp Tài liệu bảo mật để Khách hàng xem xét.
7.5.2 Quyền kiểm toán của khách hàng .
(a) Google sẽ cho phép Khách hàng hoặc kiểm toán viên bên thứ ba do Khách hàng chỉ định thực hiện kiểm toán (bao gồm cả kiểm tra) để xác minh sự tuân thủ của Google với các nghĩa vụ của mình theo các Điều khoản xử lý dữ liệu này theo Mục 7.5.3 (Điều khoản kinh doanh bổ sung cho kiểm toán). Google sẽ đóng góp cho các cuộc kiểm toán như được mô tả trong Phần 7.4 (Chứng nhận bảo mật) và Phần 7.5 (Đánh giá và kiểm toán tuân thủ).
(b) Khách hàng cũng có thể tiến hành kiểm toán để xác minh sự tuân thủ của Google đối với các nghĩa vụ của mình theo các Điều khoản xử lý dữ liệu này bằng cách xem xét chứng chỉ được cấp cho Chứng nhận ISO 27001 (phản ánh kết quả của cuộc kiểm toán do kiểm toán viên bên thứ ba thực hiện).
7.5.3 Điều khoản kinh doanh bổ sung cho kiểm toán .
(a) Khách hàng sẽ gửi bất kỳ yêu cầu kiểm toán nào theo Mục 7.5.2 (a) tới Google như được mô tả trong Phần 12.1 (Liên hệ với Google).
(b) Sau khi Google nhận được yêu cầu theo Mục 7.5.3 (a), Google và Khách hàng sẽ thảo luận và đồng ý trước về ngày bắt đầu hợp lý, phạm vi và thời gian và kiểm soát bảo mật và bảo mật áp dụng cho bất kỳ cuộc kiểm toán nào theo Mục 7.5.2 (a).
(c) Google có thể tính phí (dựa trên chi phí hợp lý của Google) cho bất kỳ cuộc kiểm toán nào theo Mục 7.5.2 (a). Google sẽ cung cấp cho Khách hàng chi tiết thêm về bất kỳ khoản phí áp dụng nào và cơ sở tính toán của mình trước bất kỳ cuộc kiểm toán nào như vậy. Khách hàng sẽ chịu trách nhiệm cho bất kỳ khoản phí nào được tính bởi bất kỳ kiểm toán viên bên thứ ba nào do Khách hàng chỉ định để thực hiện bất kỳ cuộc kiểm toán nào như vậy.
(d) Google có thể phản đối bất kỳ kiểm toán viên bên thứ ba nào được Khách hàng chỉ định thực hiện bất kỳ cuộc kiểm toán nào theo Mục 7.5.2 (a) nếu kiểm toán viên, theo ý kiến hợp lý của Google, không đủ điều kiện phù hợp hoặc độc lập, đối thủ cạnh tranh của Google hoặc không phù hợp . Bất kỳ sự phản đối nào của Google sẽ yêu cầu Khách hàng chỉ định một kiểm toán viên khác hoặc tự thực hiện kiểm toán.
(e) Không có gì trong các Điều khoản xử lý dữ liệu này sẽ yêu cầu Google tiết lộ cho Khách hàng hoặc kiểm toán viên bên thứ ba của mình hoặc cho phép Khách hàng hoặc kiểm toán viên bên thứ ba của mình truy cập:
(i) mọi dữ liệu của bất kỳ khách hàng nào khác của Thực thể Google;
(ii) mọi thông tin tài chính hoặc kế toán nội bộ của Google Entity;
(iii) mọi bí mật thương mại của Thực thể Google;
(iv) mọi thông tin mà theo ý kiến hợp lý của Google có thể: (A) xâm phạm tính bảo mật của bất kỳ hệ thống hoặc cơ sở nào của Google Entity; hoặc (B) khiến bất kỳ Thực thể Google nào vi phạm nghĩa vụ của mình theo Luật pháp bảo vệ dữ liệu châu Âu hoặc nghĩa vụ bảo mật và / hoặc quyền riêng tư của Khách hàng đối với Khách hàng hoặc bất kỳ bên thứ ba nào; hoặc là
(v) mọi thông tin mà Khách hàng hoặc kiểm toán viên bên thứ ba của họ tìm cách truy cập vì bất kỳ lý do nào khác ngoài việc thực hiện đúng nghĩa vụ của Khách hàng theo Luật pháp Bảo vệ Dữ liệu Châu Âu.
8. Đánh giá và tư vấn tác động
Khách hàng đồng ý rằng Google sẽ (tính đến bản chất của việc xử lý và thông tin có sẵn cho Google) giúp Khách hàng đảm bảo tuân thủ mọi nghĩa vụ của Khách hàng đối với các đánh giá tác động bảo vệ dữ liệu và tư vấn trước, bao gồm (nếu có) theo nghĩa vụ của Khách hàng Điều 35 và 36 của GDPR, bởi:
(a) cung cấp Tài liệu bảo mật theo Mục 7.5.1 (Nhận xét về Tài liệu bảo mật);
(b) cung cấp thông tin trong các Điều khoản xử lý dữ liệu này; và
(c) cung cấp hoặc cung cấp theo cách khác, theo thông lệ tiêu chuẩn của Google, các tài liệu khác liên quan đến bản chất của Dịch vụ Bộ xử lý và xử lý Dữ liệu Cá nhân của Khách hàng (ví dụ: tài liệu của trung tâm trợ giúp).
9. Quyền đối tượng dữ liệu
9.1 Phản hồi cho các yêu cầu chủ đề dữ liệu . Nếu Google nhận được yêu cầu từ chủ đề dữ liệu liên quan đến Dữ liệu cá nhân của khách hàng, Google sẽ:
(a) nếu yêu cầu được thực hiện thông qua Công cụ chủ đề dữ liệu, hãy trả lời trực tiếp yêu cầu của chủ thể dữ liệu theo chức năng tiêu chuẩn của Công cụ chủ đề dữ liệu đó; hoặc là
(b) nếu yêu cầu không được thực hiện thông qua Công cụ chủ đề dữ liệu, khuyên chủ thể dữ liệu gửi yêu cầu của mình cho Khách hàng và Khách hàng sẽ chịu trách nhiệm trả lời yêu cầu đó.
9.2 Hỗ trợ yêu cầu chủ đề dữ liệu của Google . Khách hàng đồng ý rằng Google sẽ (có tính đến việc xử lý Dữ liệu Cá nhân của Khách hàng và, nếu có, Điều 11 của GDPR) hỗ trợ Khách hàng thực hiện bất kỳ nghĩa vụ nào của Khách hàng để đáp ứng yêu cầu của các chủ thể dữ liệu, bao gồm (nếu có) Nghĩa vụ của khách hàng trong việc đáp ứng các yêu cầu thực hiện các quyền của chủ thể dữ liệu được nêu trong Chương III của GDPR, bởi:
(a) cung cấp chức năng của Dịch vụ Bộ xử lý;
(b) tuân thủ các cam kết được nêu trong Phần 9.1 (Phản hồi các yêu cầu chủ đề dữ liệu); và
(c) nếu áp dụng cho Dịch vụ Bộ xử lý, cung cấp Công cụ Chủ đề Dữ liệu có sẵn.
10. Truyền dữ liệu
10.1 Thiết bị lưu trữ và xử lý dữ liệu . Khách hàng đồng ý rằng Google có thể, theo Mục 10.2 (Truyền dữ liệu), lưu trữ và xử lý Dữ liệu cá nhân của khách hàng tại Hoa Kỳ và bất kỳ quốc gia nào khác mà Google hoặc bất kỳ Bộ xử lý nào của Google duy trì các cơ sở.
10.2 Truyền dữ liệu . Google sẽ đảm bảo rằng:
(a) công ty mẹ của nhóm Google, Google LLC, vẫn tự chứng nhận theo Privacy Shield; và
(b) phạm vi chứng nhận Quyền riêng tư của Google LLC bao gồm Dữ liệu cá nhân của khách hàng.
10.3 Thông tin trung tâm dữ liệu . Thông tin về các vị trí của các trung tâm dữ liệu của Google có sẵn tại www.google.com.vn/about/datighborers/inside/locations/index.html .
11. Subprocessors
11.1 Đồng ý tham gia của bộ vi xử lý . Khách hàng đặc biệt cho phép sự tham gia của các Chi nhánh của Google dưới dạng Bộ xử lý (Bộ xử lý liên kết của Google Google ). Bên cạnh đó, khách hàng thường cho phép sự tham gia của bất kỳ bên thứ ba khác như Subprocessors ( “ Bên Thứ Ba Subprocessors ”).
11.2 Thông tin về các bộ vi xử lý . Thông tin về Bộ xử lý có sẵn tại Privacy.google.com/businesses/sub Processors .
11.3 Yêu cầu đối với sự tham gia của bộ vi xử lý . Khi tham gia bất kỳ Bộ vi xử lý nào, Google sẽ:
(a) đảm bảo thông qua hợp đồng bằng văn bản rằng:
(i) Bộ xử lý chỉ truy cập và sử dụng Dữ liệu cá nhân của khách hàng trong phạm vi cần thiết để thực hiện các nghĩa vụ được ký hợp đồng với nó và thực hiện theo Thỏa thuận (bao gồm các Điều khoản xử lý dữ liệu này) và Bảo vệ quyền riêng tư; và
(ii) nếu GDPR áp dụng cho việc xử lý Dữ liệu Cá nhân của Khách hàng, nghĩa vụ bảo vệ dữ liệu được nêu trong Điều 28 (3) của GDPR được áp dụng cho Bộ xử lý; và
(b) vẫn hoàn toàn chịu trách nhiệm đối với tất cả các nghĩa vụ được ký hợp đồng phụ, và tất cả các hành vi và thiếu sót của Bộ xử lý.
11.4 Cơ hội để phản đối các thay đổi của bộ vi xử lý .
(a) Khi bất kỳ Bộ xử lý bên thứ ba mới nào được tham gia trong Thời hạn, Google sẽ, ít nhất 30 ngày trước khi Bộ xử lý bên thứ ba mới xử lý bất kỳ Dữ liệu cá nhân nào của khách hàng, thông báo cho Khách hàng về sự tham gia (bao gồm tên và vị trí của bộ xử lý có liên quan và các hoạt động mà nó sẽ thực hiện) bằng cách gửi email đến Địa chỉ email thông báo.
(b) Khách hàng có thể phản đối bất kỳ Bộ xử lý bên thứ ba mới nào bằng cách chấm dứt Thỏa thuận ngay sau khi có thông báo bằng văn bản cho Google, với điều kiện Khách hàng cung cấp thông báo như vậy trong vòng 90 ngày kể từ khi được thông báo về sự tham gia của Bộ xử lý bên thứ ba mới như được mô tả trong Phần 11.4 (a). Quyền chấm dứt này là biện pháp khắc phục độc quyền và duy nhất của Khách hàng nếu Khách hàng phản đối bất kỳ Bộ xử lý bên thứ ba mới nào.
12. Liên hệ với Google; Hồ sơ xử lý
12.1 Liên hệ với Google . Khách hàng có thể liên hệ với Google liên quan đến việc thực hiện các quyền của mình theo các Điều khoản xử lý dữ liệu này thông qua các phương thức được mô tả tại Privacy.google.com/businesses/ Processorsupport hoặc thông qua các phương tiện khác mà Google có thể cung cấp theo thời gian.
12.2 Bản ghi xử lý Google Google . Khách hàng thừa nhận rằng Google được yêu cầu theo GDPR để: (a) thu thập và lưu giữ hồ sơ về một số thông tin nhất định, bao gồm tên và chi tiết liên hệ của từng bộ xử lý và / hoặc bộ điều khiển thay mặt Google hoạt động và (nếu có thể) của bộ xử lý đó hoặc đại diện địa phương và nhân viên bảo vệ dữ liệu của bộ điều khiển; và (b) cung cấp thông tin đó cho bất kỳ Cơ quan giám sát nào. Theo đó, Khách hàng sẽ, khi được yêu cầu và áp dụng cho Khách hàng, cung cấp thông tin đó cho Google thông qua giao diện người dùng của Dịch vụ Bộ xử lý hoặc thông qua các phương tiện khác có thể được cung cấp bởi Google và sẽ sử dụng giao diện người dùng đó hoặc các phương tiện khác để đảm bảo rằng tất cả các thông tin được cung cấp được giữ chính xác và cập nhật.
13. Trách nhiệm
Nếu Thỏa thuận được điều chỉnh bởi pháp luật của:
(a) một tiểu bang của Hợp chủng quốc Hoa Kỳ, sau đó, bất kể điều gì khác trong Thỏa thuận, toàn bộ trách nhiệm của một trong hai bên đối với bên kia theo hoặc liên quan đến các Điều khoản xử lý dữ liệu này sẽ được giới hạn ở mức tối đa bằng tiền hoặc thanh toán- dựa trên số tiền mà trách nhiệm pháp lý của bên đó được giới hạn theo Thỏa thuận (để rõ ràng, mọi trường hợp loại trừ khiếu nại bồi thường khỏi giới hạn trách nhiệm của Thỏa thuận sẽ không áp dụng cho các khiếu nại bồi thường theo Thỏa thuận liên quan đến Pháp luật bảo vệ dữ liệu châu Âu hoặc Bảo vệ dữ liệu phi châu Âu Pháp luật); hoặc là
(b) khu vực tài phán không phải là tiểu bang của Hoa Kỳ, sau đó trách nhiệm pháp lý của các bên theo hoặc liên quan đến các Điều khoản xử lý dữ liệu này sẽ phải tuân theo các loại trừ và giới hạn trách nhiệm trong Thỏa thuận.
14. Hiệu lực của các Điều khoản xử lý dữ liệu này
Nếu có bất kỳ mâu thuẫn hoặc mâu thuẫn nào giữa các điều khoản của Điều khoản bổ sung cho Pháp luật bảo vệ dữ liệu ngoài châu Âu, phần còn lại của các Điều khoản xử lý dữ liệu này và / hoặc phần còn lại của Thỏa thuận, thì thứ tự ưu tiên sau sẽ được áp dụng: (a) các Điều khoản bổ sung cho Pháp luật bảo vệ dữ liệu ngoài châu Âu; (b) phần còn lại của các Điều khoản xử lý dữ liệu này; và (c) phần còn lại của Thỏa thuận. Theo các sửa đổi trong các Điều khoản xử lý dữ liệu này, Thỏa thuận vẫn có hiệu lực đầy đủ.
15. Thay đổi các Điều khoản xử lý dữ liệu này
15.1 Thay đổi URL . Thỉnh thoảng, Google có thể thay đổi bất kỳ URL nào được tham chiếu trong các Điều khoản xử lý dữ liệu này và nội dung tại bất kỳ URL nào như vậy. Google chỉ có thể thay đổi danh sách Dịch vụ Bộ xử lý tiềm năng tại Privacy.google.com/businesses/adsservice :
(a) để phản ánh sự thay đổi tên của dịch vụ;
(b) để thêm một dịch vụ mới; hoặc là
(c) để xóa dịch vụ trong đó: (i) tất cả các hợp đồng cung cấp dịch vụ đó bị chấm dứt; hoặc (ii) Google có sự đồng ý của Khách hàng.
15.2 Thay đổi về Điều khoản xử lý dữ liệu . Google có thể thay đổi các Điều khoản xử lý dữ liệu này nếu thay đổi:
(a) được cho phép rõ ràng bởi các Điều khoản xử lý dữ liệu này, bao gồm như được mô tả trong Phần 15.1 (Thay đổi đối với URL);
(b) phản ánh sự thay đổi trong tên hoặc hình thức của một pháp nhân;
(c) được yêu cầu tuân thủ luật pháp hiện hành, quy định hiện hành, lệnh của tòa án hoặc hướng dẫn của cơ quan quản lý hoặc cơ quan chính phủ; hoặc là
(d) không: (i) dẫn đến suy giảm tính bảo mật chung của Dịch vụ Bộ xử lý; (ii) mở rộng phạm vi hoặc xóa bất kỳ hạn chế nào đối với (x) trong trường hợp Điều khoản bổ sung cho Pháp lý bảo vệ dữ liệu ngoài châu Âu, quyền của Google sử dụng hoặc xử lý dữ liệu theo phạm vi Điều khoản bổ sung cho Không Pháp luật bảo vệ dữ liệu châu Âu hoặc (y) trong trường hợp còn lại của các Điều khoản xử lý dữ liệu này, xử lý dữ liệu cá nhân của khách hàng của Google, như được mô tả trong Phần 5.3 (Tuân thủ hướng dẫn của Google); và (iii) mặt khác có tác động bất lợi nghiêm trọng đến quyền của Khách hàng theo các Điều khoản xử lý dữ liệu này, như được xác định hợp lý bởi Google.
15.3 Thông báo về các thay đổi . Nếu Google dự định thay đổi các Điều khoản xử lý dữ liệu này theo Mục 15.2 (c) hoặc (d), Google sẽ thông báo cho Khách hàng ít nhất 30 ngày (hoặc khoảng thời gian ngắn hơn có thể được yêu cầu để tuân thủ luật pháp hiện hành, quy định hiện hành, lệnh của tòa án hoặc hướng dẫn do cơ quan quản lý hoặc cơ quan chính phủ ban hành) trước khi thay đổi sẽ có hiệu lực bằng cách: (a) gửi email đến Địa chỉ Email Thông báo; hoặc (b) thông báo cho Khách hàng thông qua giao diện người dùng cho Dịch vụ Bộ xử lý. Nếu Khách hàng phản đối bất kỳ thay đổi nào như vậy, Khách hàng có thể chấm dứt Thỏa thuận bằng cách gửi thông báo bằng văn bản cho Google trong vòng 90 ngày kể từ khi được Google thông báo về thay đổi đó.
Phụ lục 1: Vấn đề và chi tiết xử lý dữ liệu
Chủ đề
Việc cung cấp Dịch vụ Bộ xử lý của Google và mọi hỗ trợ kỹ thuật liên quan cho Khách hàng.
Thời gian xử lý
Thời hạn cộng với thời hạn từ khi hết thời hạn cho đến khi xóa tất cả Dữ liệu cá nhân của khách hàng theo Google theo các Điều khoản xử lý dữ liệu này.
Bản chất và mục đích của chế biến
Google sẽ xử lý (bao gồm, như áp dụng cho Dịch vụ của Bộ xử lý và các hướng dẫn được mô tả trong Phần 5.2 (Hướng dẫn của khách hàng), thu thập, ghi lại, sắp xếp, cấu trúc, lưu trữ, thay đổi, truy xuất, sử dụng, tiết lộ, kết hợp, xóa và hủy) Dữ liệu cho mục đích cung cấp Dịch vụ xử lý và mọi hỗ trợ kỹ thuật liên quan cho Khách hàng theo các Điều khoản xử lý dữ liệu này.
Các loại dữ liệu cá nhân
Dữ liệu cá nhân của khách hàng có thể bao gồm các loại dữ liệu cá nhân được mô tả tại Privacy.google.com/businesses/adsservice .
Danh mục đối tượng dữ liệu
Dữ liệu cá nhân của khách hàng sẽ liên quan đến các loại đối tượng dữ liệu sau:
- chủ đề dữ liệu về người mà Google thu thập dữ liệu cá nhân trong việc cung cấp Dịch vụ xử lý; và / hoặc
- chủ đề dữ liệu về người mà dữ liệu cá nhân được chuyển đến Google liên quan đến Dịch vụ của Bộ xử lý theo hướng, hoặc thay mặt cho Khách hàng.
Tùy thuộc vào bản chất của Dịch vụ Bộ xử lý, các chủ thể dữ liệu này có thể bao gồm các cá nhân: (a) người mà quảng cáo trực tuyến đã hoặc sẽ được hướng dẫn; (b) đã truy cập các trang web hoặc ứng dụng cụ thể liên quan đến việc Google cung cấp Dịch vụ Bộ xử lý; và / hoặc (c) là khách hàng hoặc người dùng sản phẩm hoặc dịch vụ của Khách hàng.
Phụ lục 2: Các biện pháp bảo mật
Kể từ Ngày Điều khoản có hiệu lực, Google sẽ triển khai và duy trì các Biện pháp bảo mật được nêu trong Phụ lục 2. Google có thể cập nhật hoặc sửa đổi các Biện pháp bảo mật đó theo thời gian, miễn là các cập nhật và sửa đổi đó không dẫn đến sự xuống cấp của tổng thể bảo mật của Dịch vụ xử lý.
1. Trung tâm dữ liệu & bảo mật mạng
(a) Trung tâm dữ liệu .
Cơ sở hạ tầng . Google duy trì các trung tâm dữ liệu phân phối theo địa lý. Google lưu trữ tất cả dữ liệu sản xuất trong các trung tâm dữ liệu an toàn vật lý.
Dự phòng . Các hệ thống cơ sở hạ tầng đã được thiết kế để loại bỏ các điểm thất bại duy nhất và giảm thiểu tác động của các rủi ro môi trường dự kiến. Mạch kép, công tắc, mạng hoặc các thiết bị cần thiết khác giúp cung cấp dự phòng này. Dịch vụ Bộ xử lý được thiết kế để cho phép Google thực hiện một số loại bảo trì phòng ngừa và khắc phục nhất định mà không bị gián đoạn. Tất cả các thiết bị và phương tiện môi trường đã ghi lại các quy trình bảo trì phòng ngừa, chi tiết quy trình và tần suất thực hiện theo thông số kỹ thuật của nhà sản xuất hoặc nội bộ. Bảo dưỡng phòng ngừa và khắc phục các thiết bị của trung tâm dữ liệu được lên lịch thông qua một quy trình chuẩn theo quy trình được ghi chép lại.
Quyền lực. Các hệ thống điện trung tâm dữ liệu được thiết kế dự phòng và có thể bảo trì mà không ảnh hưởng đến hoạt động liên tục, 24 giờ một ngày và 7 ngày một tuần. Trong hầu hết các trường hợp, một nguồn điện chính cũng như nguồn điện thay thế, mỗi nguồn có công suất bằng nhau, được cung cấp cho các thành phần cơ sở hạ tầng quan trọng trong trung tâm dữ liệu. Nguồn dự phòng được cung cấp bởi các cơ chế khác nhau như pin cung cấp điện liên tục (UPS), cung cấp khả năng bảo vệ nguồn đáng tin cậy liên tục trong thời gian mất điện, mất điện, quá điện áp, dưới điện áp và các điều kiện tần số vượt quá dung sai. Nếu nguồn điện bị gián đoạn, nguồn điện dự phòng được thiết kế để cung cấp năng lượng tạm thời cho trung tâm dữ liệu, ở công suất tối đa, trong tối đa 10 phút cho đến khi hệ thống máy phát điện diesel tiếp quản.
Hệ điều hành máy chủ . Máy chủ Google sử dụng các hệ điều hành cứng được tùy chỉnh cho các nhu cầu máy chủ duy nhất của doanh nghiệp. Dữ liệu được lưu trữ bằng thuật toán độc quyền để tăng cường bảo mật và dự phòng dữ liệu. Google sử dụng quy trình xem xét mã để tăng tính bảo mật của mã được sử dụng để cung cấp Dịch vụ Bộ xử lý và tăng cường các sản phẩm bảo mật trong môi trường sản xuất.
Doanh nghiệp liên tục . Google sao chép dữ liệu trên nhiều hệ thống để giúp bảo vệ chống lại sự phá hủy hoặc mất mát do tai nạn. Google đã thiết kế và thường xuyên lên kế hoạch và kiểm tra các chương trình lập kế hoạch / khắc phục thảm họa kinh doanh liên tục.
(b) Mạng & Truyền dẫn .
Truyền dữ liệu . Các trung tâm dữ liệu thường được kết nối thông qua các liên kết riêng tốc độ cao để cung cấp truyền dữ liệu nhanh chóng và an toàn giữa các trung tâm dữ liệu. Điều này được thiết kế để ngăn chặn dữ liệu được đọc, sao chép, thay đổi hoặc xóa mà không được phép trong quá trình chuyển hoặc vận chuyển điện tử hoặc trong khi được ghi vào phương tiện lưu trữ dữ liệu. Google chuyển dữ liệu qua các giao thức chuẩn Internet.
Bề mặt tấn công bên ngoài . Google sử dụng nhiều lớp thiết bị mạng và phát hiện xâm nhập để bảo vệ bề mặt tấn công bên ngoài của nó. Google xem xét các vectơ tấn công tiềm năng và kết hợp các công nghệ được xây dựng có mục đích phù hợp vào các hệ thống đối mặt bên ngoài.
Phát hiện xâm nhập . Phát hiện xâm nhập nhằm cung cấp cái nhìn sâu sắc về các hoạt động tấn công đang diễn ra và cung cấp thông tin đầy đủ để ứng phó với các sự cố. Phát hiện xâm nhập của Google bao gồm:
1. Kiểm soát chặt chẽ kích thước và cấu tạo bề mặt tấn công của Google thông qua các biện pháp phòng ngừa;
2. Sử dụng các điều khiển phát hiện thông minh tại các điểm nhập dữ liệu; và
3. Sử dụng các công nghệ tự động khắc phục một số tình huống nguy hiểm.
Ứng phó sự cố . Google giám sát nhiều kênh liên lạc khác nhau về các sự cố bảo mật và nhân viên bảo mật của Google sẽ phản ứng kịp thời với các sự cố đã biết.
Công nghệ mã hóa . Google cung cấp mã hóa HTTPS (còn được gọi là kết nối SSL hoặc TLS). Các máy chủ của Google hỗ trợ trao đổi khóa mật mã hình elip Diffie Hellman được ký kết với RSA và ECDSA. Các phương thức bảo mật hoàn hảo về phía trước (PFS) này giúp bảo vệ lưu lượng truy cập và giảm thiểu tác động của khóa bị xâm phạm hoặc đột phá về mật mã.
2. Kiểm soát truy cập và trang web
(a) Kiểm soát trang web .
Hoạt động bảo mật trung tâm dữ liệu tại chỗ . Các trung tâm dữ liệu của Google duy trì hoạt động bảo mật tại chỗ chịu trách nhiệm cho tất cả các chức năng bảo mật của trung tâm dữ liệu vật lý 24 giờ một ngày, 7 ngày một tuần. Nhân viên vận hành an ninh tại chỗ giám sát các camera kín (TV CCTV CCTV ) và tất cả các hệ thống báo động. Nhân viên vận hành an ninh tại chỗ thường xuyên thực hiện các cuộc tuần tra bên trong và bên ngoài của trung tâm dữ liệu.
Thủ tục truy cập trung tâm dữ liệu. Google duy trì các thủ tục truy cập chính thức để cho phép truy cập vật lý vào các trung tâm dữ liệu. Các trung tâm dữ liệu được đặt trong các cơ sở yêu cầu truy cập khóa thẻ điện tử, với các báo động được liên kết với hoạt động bảo mật tại chỗ. Tất cả những người tham gia vào trung tâm dữ liệu được yêu cầu xác định chính họ cũng như hiển thị bằng chứng nhận dạng cho các hoạt động bảo mật tại chỗ. Chỉ có nhân viên được ủy quyền, nhà thầu và khách truy cập mới được phép vào trung tâm dữ liệu. Chỉ có nhân viên và nhà thầu được ủy quyền mới được phép yêu cầu quyền truy cập khóa thẻ điện tử vào các cơ sở này. Yêu cầu truy cập khóa thẻ điện tử của trung tâm dữ liệu phải được thực hiện trước và bằng văn bản, đồng thời yêu cầu sự chấp thuận của người quản lý người yêu cầu và giám đốc trung tâm dữ liệu. Tất cả những người đăng ký khác yêu cầu truy cập trung tâm dữ liệu tạm thời phải: (i) có được sự chấp thuận trước từ các nhà quản lý trung tâm dữ liệu cho trung tâm dữ liệu cụ thể và các khu vực nội bộ mà họ muốn ghé thăm; (ii) đăng nhập tại các hoạt động bảo mật tại chỗ; và (iii) tham chiếu hồ sơ truy cập trung tâm dữ liệu được phê duyệt xác định cá nhân được phê duyệt.
Thiết bị bảo mật trung tâm dữ liệu tại chỗ. Các trung tâm dữ liệu của Google sử dụng khóa thẻ điện tử và hệ thống kiểm soát truy cập sinh trắc học được liên kết với báo động hệ thống. Hệ thống kiểm soát truy cập giám sát và ghi lại khóa thẻ điện tử của mỗi cá nhân và khi họ truy cập cửa chu vi, vận chuyển và nhận và các khu vực quan trọng khác. Hoạt động trái phép và các nỗ lực truy cập không thành công được ghi lại bởi hệ thống kiểm soát truy cập và được điều tra, nếu phù hợp. Quyền truy cập được ủy quyền trong toàn bộ hoạt động kinh doanh và trung tâm dữ liệu bị hạn chế dựa trên các khu vực và trách nhiệm công việc của từng cá nhân. Các cửa chống cháy tại các trung tâm dữ liệu được báo động. Camera quan sát đang hoạt động cả bên trong và bên ngoài trung tâm dữ liệu. Vị trí của các camera đã được thiết kế để bao gồm các khu vực chiến lược bao gồm, trong số các khu vực khác, chu vi, cửa vào tòa nhà trung tâm dữ liệu và vận chuyển / nhận. Nhân viên hoạt động an ninh tại chỗ quản lý các thiết bị giám sát, ghi hình và điều khiển camera quan sát. Cáp an toàn trên khắp các trung tâm dữ liệu kết nối thiết bị camera quan sát. Máy ảnh ghi lại tại chỗ thông qua máy quay video kỹ thuật số 24 giờ một ngày, 7 ngày một tuần. Các hồ sơ giám sát được lưu giữ ít nhất 7 ngày dựa trên hoạt động.
(b) Kiểm soát truy cập .
Nhân viên an ninh cơ sở hạ tầng . Google có và duy trì chính sách bảo mật cho nhân viên của mình và yêu cầu đào tạo bảo mật như một phần của gói đào tạo cho nhân viên của mình. Nhân viên bảo mật cơ sở hạ tầng của Google chịu trách nhiệm theo dõi liên tục cơ sở hạ tầng bảo mật của Google, đánh giá Dịch vụ của Bộ xử lý và ứng phó với các sự cố bảo mật.
Kiểm soát truy cập và quản lý đặc quyền . Quản trị viên và người dùng của khách hàng phải tự xác thực thông qua hệ thống xác thực trung tâm hoặc thông qua một dấu hiệu duy nhất trên hệ thống để sử dụng Dịch vụ xử lý.
Chính sách và quy trình truy cập dữ liệu nội bộ - Chính sách truy cập. Các quy trình và chính sách truy cập dữ liệu nội bộ của Google được thiết kế để ngăn chặn người và / hoặc hệ thống trái phép truy cập vào các hệ thống được sử dụng để xử lý dữ liệu cá nhân. Google đặt mục tiêu thiết kế các hệ thống của mình để: (i) chỉ cho phép người được ủy quyền truy cập dữ liệu mà họ được phép truy cập; và (ii) đảm bảo rằng dữ liệu cá nhân không thể được đọc, sao chép, thay đổi hoặc xóa mà không được phép trong quá trình xử lý, sử dụng và sau khi ghi. Các hệ thống được thiết kế để phát hiện bất kỳ truy cập không phù hợp. Google sử dụng một hệ thống quản lý truy cập tập trung để kiểm soát nhân viên truy cập vào các máy chủ sản xuất và chỉ cung cấp quyền truy cập vào một số lượng hạn chế nhân viên được ủy quyền. LDAP, Kerberos và một hệ thống độc quyền sử dụng chứng chỉ SSH được thiết kế để cung cấp cho Google các cơ chế truy cập an toàn và linh hoạt. Các cơ chế này được thiết kế để chỉ cấp quyền truy cập được phê duyệt cho máy chủ trang web, nhật ký, dữ liệu và thông tin cấu hình. Google yêu cầu sử dụng ID người dùng duy nhất, mật khẩu mạnh, xác thực hai yếu tố và danh sách truy cập được theo dõi cẩn thận để giảm thiểu khả năng sử dụng tài khoản trái phép. Việc cấp hoặc sửa đổi quyền truy cập dựa trên: trách nhiệm công việc của nhân viên được ủy quyền; yêu cầu nhiệm vụ công việc cần thiết để thực hiện các nhiệm vụ được ủy quyền; và cần phải biết cơ sở. Việc cấp hoặc sửa đổi quyền truy cập cũng phải tuân theo các chính sách và đào tạo về truy cập dữ liệu nội bộ của Google. Phê duyệt được quản lý bởi các công cụ quy trình công việc duy trì hồ sơ kiểm toán của tất cả các thay đổi. Truy cập vào hệ thống được ghi lại để tạo ra một dấu vết kiểm toán cho trách nhiệm. Nơi mật khẩu được sử dụng để xác thực (ví dụ: đăng nhập vào máy trạm), chính sách mật khẩu tuân theo ít nhất các tiêu chuẩn thực hành ngành được thực hiện. Các tiêu chuẩn này bao gồm các hạn chế về tái sử dụng mật khẩu và cường độ mật khẩu đủ.
3. Dữ liệu
(a) Lưu trữ, cách ly và xác thực dữ liệu .
Google lưu trữ dữ liệu trong môi trường nhiều người thuê trên các máy chủ do Google sở hữu. Dữ liệu, cơ sở dữ liệu Dịch vụ xử lý và kiến trúc hệ thống tệp được sao chép giữa nhiều trung tâm dữ liệu phân tán theo địa lý. Google cô lập một cách hợp lý dữ liệu của mỗi khách hàng. Một hệ thống xác thực trung tâm được sử dụng trên tất cả các Dịch vụ của Bộ xử lý để tăng tính bảo mật dữ liệu thống nhất.
(b) Các đĩa ngừng hoạt động và Nguyên tắc phá hủy đĩa .
Một số ổ đĩa chứa dữ liệu có thể gặp sự cố về hiệu năng, lỗi hoặc lỗi phần cứng dẫn đến việc chúng bị ngừng hoạt động ( Đĩa bị ngừng hoạt động ). Mỗi đĩa ngừng hoạt động phải tuân theo một loạt các quy trình hủy dữ liệu ( Nguyên tắc hủy dữ liệu trên mạngTrước khi rời khỏi cơ sở của Google để tái sử dụng hoặc phá hủy. Đĩa ngừng hoạt động được xóa trong một quy trình gồm nhiều bước và được xác minh hoàn thành bởi ít nhất hai trình xác nhận độc lập. Các kết quả xóa được ghi lại bằng số sê-ri của Đĩa ngừng hoạt động để theo dõi. Cuối cùng, đĩa Decommissioned đã bị xóa được phát hành vào kho để tái sử dụng và triển khai lại. Nếu, do lỗi phần cứng, Đĩa ngừng hoạt động không thể bị xóa, nó được lưu trữ an toàn cho đến khi có thể bị phá hủy. Mỗi cơ sở được kiểm toán thường xuyên để theo dõi việc tuân thủ Nguyên tắc hủy dữ liệu.
4. An ninh nhân sự
Nhân viên của Google được yêu cầu tự thực hiện theo cách phù hợp với hướng dẫn của công ty về bảo mật, đạo đức kinh doanh, cách sử dụng phù hợp và tiêu chuẩn chuyên nghiệp. Google tiến hành kiểm tra lý lịch phù hợp hợp lý đến mức cho phép về mặt pháp lý và phù hợp với luật lao động địa phương và các quy định theo luật định hiện hành.
Nhân viên được yêu cầu thực hiện thỏa thuận bảo mật và phải xác nhận đã nhận và tuân thủ các chính sách bảo mật và quyền riêng tư của Google. Nhân sự được cung cấp đào tạo an ninh. Xử lý nhân sự Dữ liệu cá nhân của khách hàng được yêu cầu để hoàn thành các yêu cầu bổ sung phù hợp với vai trò của họ. Nhân viên của Google sẽ không xử lý Dữ liệu cá nhân của khách hàng mà không được phép.
5. Bảo mật bộ vi xử lý
Trước khi đưa lên Bộ xử lý, Google tiến hành kiểm toán các thực tiễn về bảo mật và quyền riêng tư của Bộ xử lý để đảm bảo Bộ xử lý cung cấp mức bảo mật và quyền riêng tư phù hợp với quyền truy cập dữ liệu của họ và phạm vi dịch vụ mà họ tham gia cung cấp. Khi Google đã đánh giá các rủi ro do Bộ xử lý phụ đưa ra, luôn tuân theo các yêu cầu được nêu trong Phần 11.3 (Yêu cầu đối với Tham gia của Bộ xử lý), Bộ xử lý được yêu cầu phải tuân thủ các điều khoản hợp đồng bảo mật, bảo mật và bảo mật thích hợp.
Phụ lục 3: Điều khoản bổ sung cho luật pháp bảo vệ dữ liệu ngoài châu Âu
Các Điều khoản bổ sung sau đây cho Pháp luật bảo vệ dữ liệu ngoài châu Âu bổ sung cho các Điều khoản xử lý dữ liệu này:
- Phụ lục nhà cung cấp dịch vụ CCPA tại Privacy.google.com/businesses/ Processorterms/ccpa (ngày 1 tháng 1 năm 2020)
Điều khoản xử lý dữ liệu quảng cáo của Google, phiên bản 1.4
Ngày 1 tháng 1 năm 2020
Nguồn : https://privacy.google.com/businesses/ccpatermsupdates/
