1. Introdução
Este Apêndice 1A só se aplica na medida em que a Legislação Europeia em matéria de Proteção de Dados se aplica ao tratamento de Dados Pessoais do Controlador.
2. Definições
2.1 Neste Apêndice 1A:
“Controladores Finais do Google” significa os Controladores Finais dos Dados Pessoais do Controlador que são tratados pelo Google.
“Dados Pessoais do Controlador do Reino Unido” significa os Dados Pessoais do Controlador referentes aos Titulares dos Dados do Controlador localizados no Reino Unido.
“Dados Pessoais do Controlador Europeu” significa os Dados Pessoais do Controlador referentes aos Titulares dos Dados do Controlador localizados no EEE ou na Suíça.
“EEE” significa o Espaço Econômico Europeu.
“Legislação Europeia” significa, conforme aplicável: (a) a legislação da UE ou de um Estado-Membro da UE, caso o GDPR da UE seja aplicável ao tratamento de Dados Pessoais do Controlador; (b) a legislação do Reino Unido ou de uma parte do Reino Unido, caso o GDPR do Reino Unido seja aplicável ao tratamento de Dados Pessoais do Controlador; e (c) a legislação da Suíça, caso a FDPA da Suíça seja aplicável ao tratamento de Dados Pessoais do Controlador.
“País Adequado” significa:
(a) para dados tratados e sujeitos ao GDPR da UE: o EEE ou um país ou território que seja considerado como tendo proteções de dados adequadas de acordo com o GDPR da UE;
(b) para dados tratados e sujeitos ao GDPR do Reino Unido: o Reino Unido ou um país ou território que seja considerado como tendo proteções adequadas de acordo com o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018; e/ou
(c) para dados tratados e sujeitos à FDPA da Suíça: a Suíça ou um país ou território: (i) incluído na lista de estados cuja legislação garante a proteção de dados, conforme publicado pelo Comissário Federal de Proteção e Informação de Dados da Suíça; ou (ii) que cumpre a proteção de dados estabelecida pelo Conselho Federal da Suíça de acordo com a FDPA da Suíça;
em todos os casos, exceto quando há uma estrutura opcional de proteção de dados.
“SCCs de Controlador” significa os termos disponíveis em business.safety.google/adscontrollerterms/sccs/c2c.
“Solução de Transferência Alternativa” significa uma solução, que não seja as Cláusulas Contratuais Padrão de Controlador, que permita a transferência legal de informações pessoais para um terceiro país de acordo com a Legislação Europeia em matéria de Proteção de Dados, por exemplo, uma estrutura de proteção de dados que garanta que as entidades locais participantes forneçam a proteção adequada.
“Transferências Europeias Permitidas” significa o tratamento de Dados Pessoais do Controlador em um País Adequado ou a transferência de Dados Pessoais do Controlador para um País Adequado.
“Transferência(s) Europeia(s) Restrita(s)” significa a(s) transferência(s) de Dados Pessoais do Controlador que: (a) estão sujeitas à Legislação Europeia em matéria de Proteção de Dados; e (b) não sejam Transferências Europeias Permitidas.
2.2Os termos “importador de dados” e “exportador de dados” terão os significados atribuídos a eles nas SCCs do Controlador.
3. Controladores Finais do Google
Os Controladores Finais do Google são: (i) para os Dados Pessoais do Controlador Europeu tratados pelo Google, a Google Ireland Limited; e (ii) para os Dados Pessoais do Controlador do Reino Unido tratados pelo Google, a Google LLC. Cada uma das partes garantirá que os Controladores Finais cumpram as SCCs do Controlador (quando aplicável).
4. Transferências de Dados
4.1 Transferências Europeias Restritas. Qualquer uma das partes poderá fazer Transferências Europeias Restritas se cumprir com as disposições sobre Transferências Europeias Restritas previstas na Legislação Europeia em matéria de Proteção de Dados.
4.2 Solução de Transferência Alternativa.
(a)Caso o Google adote uma Solução de Transferência Alternativa para as Transferências Europeias Restritas, (i) o Google garantirá que essas Transferências Europeias Restritas sejam feitas de acordo com a Solução de Transferência Alternativa em questão; e (ii) o parágrafo 5 (SCCs do Controlador) deste Apêndice 1A não se aplicará a essas Transferências Europeias Restritas.
(b)Caso o Google não tenha adotado, ou tenha informado o Cliente de que não iria mais adotar uma Solução de Transferência Alternativa para as Transferências Europeias Restritas, aplica-se o parágrafo 5 (SCCs do Controlador) deste Apêndice 1A às Transferências Europeias Restritas em questão.
4.3 Disposições sobre transferências subsequentes.
(a) Aplicação do parágrafo 4.3. Os parágrafos 4.3(b) (Uso dos Dados Pessoais do Provedor de Dados) e 4.3(c) (Proteção dos Dados Pessoais do Provedor de Dados) deste Apêndice 1A se aplicarão somente na medida que:
(i)uma das partes (o “Destinatário dos Dados”) trata os Dados Pessoais do Controlador disponibilizados pela outra parte (o “Provedor de Dados”) em conexão com o Contrato (por exemplo, Dados Pessoais do Controlador, “Dados Pessoais do Provedor de Dados”;
(ii)o Provedor de Dados ou sua Afiliada tem um certificado de uma Solução de Transferência Alternativa; e
(iii)o Provedor de Dados notifica por escrito o Destinatário dos Dados sobre tal certificação de Solução de Transferência Alternativa.
(b)Uso dos Dados Pessoais do Provedor de Dados.
(i)Na medida em que uma Solução de Transferência Alternativa aplicável inclua princípios de transferência subsequente, então, de acordo com tais princípios sob a Solução de Transferência Alternativa relevante, o Destinatário dos Dados usará os Dados Pessoais do Provedor de Dados apenas da maneira aprovada pelos Titulares dos Dados do Controlador.
(ii)Quando o Provedor de Dados não receber aprovação dos Titulares dos Dados do Controlador relevantes, conforme exigido pelo Contrato, o Destinatário dos Dados não estará violando o parágrafo 4.3(b)(i) se usar os Dados Pessoais do Provedor de Dados de acordo com a aprovação exigida.
(c)Proteção dos Dados Pessoais do Provedor de Dados.
(i)O Destinatário dos Dados fornecerá um nível de proteção para os Dados Pessoais do Provedor de Dados que seja pelo menos equivalente ao exigido pela Solução de Transferência Alternativa aplicável.
(ii)Se o Destinatário dos Dados determinar que não pode cumprir o parágrafo 4.3(c)(i), ele: (A) notificará o Provedor de Dados por escrito e (B) cessará o tratamento dos Dados Pessoais do Provedor de Dados ou tomará medidas razoáveis e apropriadas para remediar a falta de compliance.
(d)Uso e Certificação da Solução de Transferência Alternativa. Informações sobre o uso de, ou certificação para, Soluções de Transferência Alternativas pelo Google e/ou os Afiliadas dele podem ser encontradas em https://business.safety.google/adsdatatransfers.
5. SCCs do Controlador
5.1 Transferências de Dados Pessoais do Controlador Europeu para o Cliente. Na medida em que:
(a)o Google transfira os Dados Pessoais do Controlador Europeu para o Cliente; e
(b)a transferência seja uma Transferência Europeia Restrita, considera-se que o Cliente, na qualidade de importador de dados, terá celebrado as SCCs do Controlador com a Google Ireland Limited (o Controlador Final do Google aplicável), na qualidade de exportadora de dados, e as transferências estarão sujeitas às SCCs do Controlador.
5.2 Transferências de Dados Pessoais do Controlador do Reino Unido para o Cliente. Na medida em que:
(a)o Google transfira os Dados Pessoais do Controlador do Reino Unido para o Cliente; e
(b) a transferência seja uma Transferência Europeia Restrita, considera-se que o Cliente, na qualidade de importador de dados, terá celebrado as SCCs do Controlador com a Google LLC (o Controlador Final do Google aplicável), na qualidade de exportadora de dados, e as transferências estarão sujeitas às SCCs do Controlador.
5.3 Transferências de Dados Pessoais do Controlador Europeu para o Google. As partes reconhecem que, nos casos em que o Cliente transfere Dados Pessoais do Controlador Europeu para o Google, as SCCs do Controlador não são obrigatórias, porque o endereço da Google Ireland Limited (o Controlador Final do Google aplicável) é de um País Adequado e essas transferências são Transferências Europeias Permitidas. Isso não afeta as obrigações do Google previstas no parágrafo 4.1 (Transferências Europeias Restritas) deste Apêndice 1A.
5.4Transferências de Dados Pessoais do Controlador do Reino Unido para o Google. Na medida em que o Cliente transfira Dados Pessoais do Controlador do Reino Unido para o Google, considera-se que o Cliente, na qualidade de exportador de dados, terá celebrado as SCCs do Controlador com a Google LLC (o Controlador Final do Google aplicável), na qualidade de importadora de dados, e as transferências estarão sujeitas às SCCs do Controlador, porque o endereço da Google LLC não é de um País Adequado.
5.5 Contato com o Google; Informações do Cliente.
(a)O Cliente pode entrar em contato com a Google Ireland Limited e/ou a Google LLC sobre as SCCs do Controlador em https://support.google.com/policies/troubleshooter/9009584 (em inglês) ou por outros meios periodicamente disponibilizados pelo Google.
(b)O Cliente reconhece que o Google precisa gravar determinadas informações de acordo com as SCCs do Controlador, incluindo (i) a identidade e os detalhes de contato do importador de dados (bem como de qualquer pessoa de contato responsável pela proteção de dados); e (ii) as medidas técnicas e organizacionais implementadas pelo importador de dados. Da mesma forma, o Cliente, quando solicitado e se aplicável, fornecerá tais informações pelos meios disponibilizados pelo Google e garantirá que todas as informações fornecidas estão corretas e atualizadas.
5.6Resposta a Consultas dos Titulares dos Dados. O importador de dados aplicável será responsável por responder a consultas dos titulares dos dados e da autoridade supervisora relativas ao tratamento dos Dados Pessoais do Controlador relevantes por parte do importador de dados.
5.7Exclusão de Dados após a Rescisão. Na medida em que:
(a) a Google LLC atue na qualidade de importadora de dados e o Cliente atue na qualidade de exportador de dados ao abrigo das SCCs do Controlador; e
(b)o Cliente rescinda o Contrato de acordo com a Cláusula 16(c) das SCCs do Controlador, para efeitos do disposto na Cláusula 16(d) das SCCs do Controlador, o Cliente dá instruções ao Google para excluir os Dados Pessoais do Controlador. Com exceção dos casos em que a Legislação Europeia exija o armazenamento, o Google promoverá essa exclusão assim que razoavelmente possível, na medida em que a exclusão em questão seja razoavelmente possível (considerando que o Google é um Controlador independente desses dados, bem como a natureza e a funcionalidade dos Serviços de Controlador).
6.Responsabilidade caso as SCCs do Controlador sejam aplicáveis.
Caso as SCCs do Controlador sejam aplicáveis de acordo com o parágrafo 5 (SCCs do Controlador) deste Apêndice 1A, o total combinado de responsabilidade:
(a)do Google, da Google LLC e da Google Ireland Limited perante o Cliente; e
(b)do Cliente perante o Google, a Google LLC e a Google Ireland Limited,
decorrente ou relacionado ao Contrato e às SCCs do Controlador conjuntamente, estará sujeito ao disposto na Seção 5 (Limite de Responsabilidade). O disposto na Cláusula 12 das SCCs do Controlador não afetará o previsto na frase anterior.
7.Terceiros Beneficiários
Quando a Google LLC e/ou a Google Ireland Limited não forem parte do Contrato, e sim uma parte das SCCs do Controlador aplicáveis de acordo com o parágrafo 5 (SCCs do Controlador) deste Apêndice 1A, a Google LLC e/ou a Google Ireland Limited (conforme aplicável) serão terceiros beneficiários da Seção 4.3 (Controladores Finais) e dos parágrafos 3 (Controladores Finais do Google), 5 (SCCs do Controlador) e 6 (Responsabilidade caso as SCCs do Controlador sejam aplicáveis) deste Apêndice 1A. Em caso de conflito ou inconsistência entre este parágrafo 7 (Terceiros Beneficiários) e qualquer outra cláusula do Contrato, este parágrafo 7 (Terceiros Beneficiários) terá precedência.
8. Ordem de Precedência
8.1Em caso de qualquer conflito ou inconsistência entre as SCCs do Controlador, este Apêndice 1A, as restantes disposições destes Termos aplicáveis a Controladores e/ou as restantes disposições do Contrato, então as SCCs do Controlador terão precedência.
8.2Cláusulas Comerciais Adicionais. Sujeito às alterações introduzidas por estes Termos aplicáveis a Controladores, o Contrato permanece em vigor e a produzir efeitos. Os parágrafos 5.5 (Contato com o Google) a 5.7 (Exclusão de Dados após a Rescisão) e o parágrafo 6 (Responsabilidade caso as SCCs do Controlador sejam aplicáveis) deste Apêndice 1A são cláusulas comerciais adicionais relacionadas às SCCs do Controlador, conforme permitido pela Cláusula 2(a) (Efeito e invariabilidade das Cláusulas) das SCCs do Controlador.
8.3Não Introdução de Alterações nas SCCs do Controlador. O Contrato (incluindo estes Termos aplicáveis a Controladores) não tem o objetivo de alterar ou contradizer as SCCs do Controlador ou prejudicar os direitos ou as liberdades fundamentais dos titulares dos dados previstos na Legislação Europeia em matéria de Proteção de Dados.
1. Introdução
O Google pode oferecer e o Cliente pode habilitar determinadas configurações no produto, ajustes ou outras funcionalidades para os Serviços de Controlador relacionados ao tratamento de dados restrito, conforme descrito na documentação de apoio disponível em business.safety.google/rdp e atualizada periodicamente (“Tratamento de Dados Restrito”). O Apêndice 1B reflete o acordo entre as partes para o tratamento de Dados Pessoais do Cliente e Dados Desidentificados (conforme definido abaixo) de acordo com o Contrato em conexão com as Leis Estaduais de Privacidade dos EUA e é vigente somente de acordo com a aplicabilidade de cada Lei Estadual de Privacidade dos EUA.
2. Definições Adicionais e Interpretação
Neste Apêndice 1B:
(a)“Dados Pessoais do Cliente” significa dados pessoais tratados pelo Google em nome do Cliente no fornecimento de Serviços de Controlador pelo Google.
(b)“Dados Desidentificados” significa informações de dados que foram “desidentificados”, de acordo com a definição do termo “deidentified” no CCPA e do termo “de-identified” em outras Leis Estaduais de Privacidade dos EUA, quando divulgados de uma parte para outra.
(c)“Instruções” significa, coletivamente, as instruções do Cliente ao Google para tratar os Dados Pessoais do Cliente somente de acordo com as Leis Estaduais de Privacidade dos EUA: (a) para fornecer os Serviços de RDP e qualquer suporte técnico relacionado; (b) conforme especificado pelo uso do Cliente dos Serviços de RDP (incluindo nas configurações e outras funcionalidades de tais Serviços de RDP) e qualquer suporte técnico relacionado; (c) conforme documentado no Contrato, incluindo este Apêndice 1B; (d) conforme documentado em quaisquer outras instruções escritas fornecidas pelo Cliente e confirmadas pelo Google como constituindo instruções para os fins deste Apêndice 1B; e (e) para tratar Dados Pessoais do Cliente conforme permitido pelas Leis Estaduais de Privacidade dos EUA para prestadores de serviços e operadores.
(d)“Serviços de RDP” significa os Serviços de Controlador sujeitos ao Tratamento de Dados Restrito (RDP, na sigla em inglês).
(e)“Período de Vigência” significa o período entre a Data de Vigência dos Termos até o término da prestação dos Serviços de Controlador do Google sob o Contrato.
(f) Os termos “comercial”, “cliente”, “informações pessoais”, “venda(s)”, “vender”, “prestador de serviço” e “compartilhamento” conforme usados neste Apêndice 1B foram definidos nas Leis Estaduais de Privacidade dos EUA.
(g)O Cliente é o único responsável por cumprir cada uma das Leis Estaduais de Privacidade dos EUA ao usar os serviços do Google, incluindo o Tratamento de Dados Restrito.
3. Termos das Leis Estaduais de Privacidade dos EUA (sob o Tratamento de Dados Restrito)
Em relação aos Dados Pessoais do Cliente tratados sob o Tratamento de Dados Restrito, e na medida em que uma ou mais das Leis Estaduais de Privacidade dos EUA se aplique ao tratamento de Dados Pessoais do Cliente:
3.1Tratamento dos Dados.
3.1.1Funções e Compliance Regulatória; Autorização.
(a)Responsabilidades do Operador e do Controlador. As partes reconhecem e concordam que:
(i)o parágrafo 7 (Objeto e Detalhes do Tratamento de Dados de acordo com as Leis Estaduais de Privacidade dos EUA) deste Apêndice 1B descreve o objeto e os detalhes do tratamento dos Dados Pessoais do Cliente;
(ii)o Google é um prestador de serviços e operador de Dados Pessoais do Cliente de acordo com as Leis Estaduais de Privacidade dos EUA;
(iii)o Cliente é um controlador ou operador, conforme aplicável, de Dados Pessoais do Cliente de acordo com as Leis Estaduais de Privacidade dos EUA; e
(b)Clientes Operadores. Se o Cliente for um operador:
(i)o Cliente garante, de maneira contínua, que o controlador relevante autorizou: (A) as Instruções, (B) a designação do Google como outro operador por parte do Cliente e (C) o envolvimento do Google com subcontratados, conforme descrito no parágrafo 3.6 (Subcontratados) deste Apêndice 1B;
(ii)o Cliente encaminhará imediatamente ao controlador relevante qualquer notificação fornecida pelo Google de acordo com os parágrafos 3.3.2(a) (Notificação de Incidentes) e 3.6 (Subcontratados); e
(iii)o Cliente pode disponibilizar ao controlador relevante qualquer informação fornecida pelo Google de acordo com os parágrafos 3.3.3(c) (Direitos de Auditoria do Cliente) e 3.6 (Subcontratados).
3.1.2Instruções do Cliente. Ao assinar este Apêndice 1B, o Cliente instrui o Google a tratar Dados Pessoais do Cliente apenas de acordo com as Instruções.
3.1.3Compliance do Google com as Instruções. O Google cumprirá as Instruções, exceto quando proibido pelas Leis Estaduais de Privacidade dos EUA.
3.1.4 Produtos Adicionais. Se o Cliente usar qualquer produto, serviço ou aplicativo fornecido pelo Google ou terceiros que: (a) não faça parte dos Serviços de RDP; e (b) esteja acessível para uso em uma interface do usuário dos Serviços de RDP ou integrado de outra forma aos Serviços de RDP (um “Produto Adicional”), os Serviços de RDP podem permitir que o Produto Adicional acesse os Dados Pessoais do Cliente conforme necessário para interoperação do Produto Adicional com os Serviços de RDP. Para deixar claro, o Apêndice 1B não se aplica ao tratamento de dados pessoais relacionado ao fornecimento de qualquer Produto Adicional usado pelo Cliente, incluindo os dados pessoais transmitidos para o Produto Adicional ou pelo Produto Adicional.
3.2Exclusão de Dados no final do Período de Vigência. O Cliente instrui o Google a excluir todos os Dados Pessoais do Cliente restantes (incluindo cópias existentes) dos sistemas do Google no final do Período de Vigência, de acordo com a lei aplicável. O Google cumprirá esta instrução assim que possível e dentro de um período máximo de 180 dias, a menos que as leis aplicáveis exijam armazenamento.
3.3 Segurança de dados.
3.3.1Medidas e Assistência de Segurança do Google.
(a)Medidas de Segurança do Google. O Google implementará e manterá medidas técnicas e organizacionais para proteger os Dados Pessoais do Cliente contra destruição, perda, alteração, divulgação ou acesso não autorizados acidentais ou ilegais (“Medidas de Segurança”). As Medidas de Segurança incluem medidas para: (i) criptografar dados pessoais; (ii) ajudar a garantir a confidencialidade, integridade, disponibilidade e resiliência contínuas dos sistemas e serviços do Google; (iii) ajudar a restaurar o acesso oportuno aos dados pessoais após um incidente; e (iv) testes regulares de eficácia. O Google pode atualizar ou modificar as Medidas de Segurança periodicamente, desde que tais atualizações e modificações não resultem na degradação da segurança geral dos Dados Pessoais do Cliente.
(b)Acesso e Compliance. O Google garantirá que todas as pessoas autorizadas a tratar Dados Pessoais do Cliente se comprometam com a confidencialidade ou estejam sob uma obrigação estatutária de confidencialidade apropriada.
(c)Assistência de Segurança do Google. O Google, considerando a natureza do tratamento dos Dados Pessoais do Cliente e as informações que dispõe, ajudará o Cliente a garantir o cumprimento das obrigações do Cliente (ou, caso o Cliente seja um operador, as obrigações do controlador relevante) em matéria de segurança e de violações de dados pessoais, incluindo as obrigações do Cliente (ou, quando o Cliente for um operador, as obrigações do controlador relevante) em matéria de segurança e de violações de dados pessoais de acordo com as Leis Estaduais de Privacidade dos EUA, das seguintes formas:
(i)implementando e mantendo as Medidas de Segurança de acordo com o parágrafo 3.3.1(a) (Medidas de Segurança do Google);
(ii)cumprindo o disposto no parágrafo 3.3.2 (Incidentes com Dados); e
(iii)garantindo ao Cliente os direitos concedidos no parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente).
3.3.2Incidentes com Dados.
(a)Notificação de Incidentes. Caso tome conhecimento de um Incidente com Dados (conforme definido abaixo), o Google: (i) notificará o Cliente sobre o Incidente com Dados sem atrasos indevidos e (ii) tomará providências razoáveis imediatas para minimizar os danos e proteger os Dados Pessoais do Cliente. Neste Apêndice 1B, "Incidentes com Dados" significa uma violação da segurança do Google que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a Dados Pessoais do Cliente em sistemas gerenciados ou controlados pelo Google. “Incidentes com Dados” não incluirão tentativas malsucedidas ou atividades que não comprometam a segurança dos Dados Pessoais do Cliente, incluindo tentativas malsucedidas de login, pings, verificações de portas, ataques de negação de serviço e outros ataques de rede contra firewalls ou sistemas em rede.
(b)Envio da Notificação. O Google enviará uma notificação sobre um Incidente com Dados para o endereço de e-mail que foi designado pelo Cliente, na interface do usuário dos Serviços de RDP ou em outros meios fornecidos pelo Google, para receber determinadas notificações do Google relacionadas a este Apêndice 1B (“Endereço de E-mail para Recebimento de Notificações”) ou, a critério do Google (incluindo se o Cliente não tiver fornecido esse endereço), por outra comunicação direta (por exemplo, telefonema, e-mail ou uma reunião presencial). O cliente é o único responsável por indicar o Endereço de E-mail para Recebimento de Notificações e garantir que está atualizado e válido.
(c)Notificações a Terceiros. O Cliente é a única parte responsável por cumprir o disposto nas leis em matéria de notificação de incidentes que sejam aplicáveis ao Cliente e por cumprir todas as obrigações de notificação a terceiros relacionadas a Incidentes com Dados.
(d) Não Reconhecimento de Falha por parte do Google. A notificação ou resposta do Google a um Incidente com Dados de acordo com este parágrafo 3.3.2 (Incidentes com Dados) não será interpretada como um reconhecimento pelo Google de qualquer falha ou responsabilidade relativamente ao Incidente com Dados em questão.
3.3.3 Responsabilidades e Avaliação de Segurança do Cliente.
(a)Responsabilidades de Segurança do Cliente. O Cliente concorda que, sem prejuízo das obrigações do Google nos parágrafos 3.3.1 (Medidas e Assistência de Segurança do Google) e 3.3.2 (Incidentes com Dados):
(i)O Cliente é responsável pelo uso que fizer dos Serviços de RDP, incluindo: (1) pelo uso apropriado dos Serviços de RDP a fim de garantir um nível de segurança adequado ao risco no que diz respeito aos Dados Pessoais do Cliente e (2) pela proteção das credenciais de autenticação de contas, sistemas e dispositivos que o Cliente usa para ter acesso aos Serviços de RDP; e
(ii)O Google não tem obrigação de proteger os Dados Pessoais do Cliente que o Cliente armazenar ou transferir para fora dos sistemas do Google e de seus subcontratados.
(b)Avaliação de Segurança do Cliente. O Cliente reconhece e concorda que as Medidas de Segurança implementadas e mantidas pelo Google, nos termos previstos do parágrafo 3.3.1(a) (Medidas de Segurança do Google), oferecem um nível de segurança apropriado ao risco no que diz respeito aos Dados Pessoais do Cliente, considerando as tecnologias atuais, os custos de implementação e a natureza, o escopo, o contexto e as finalidades do tratamento dos Dados Pessoais do Cliente, bem como os riscos para as pessoas físicas.
(c)Direitos de Auditoria do Cliente.
(i)O Cliente pode realizar uma auditoria para verificar a compliance do Google com as obrigações segundo este Apêndice 1B. Ele fará isso solicitando e analisando (1) um certificado emitido para verificação de segurança que mostre o resultado de uma auditoria por um auditor independente (por exemplo, certificação SOC 2 Tipo II ou ISO/IEC 27001 ou outra certificação similar, ou outra certificação de segurança referente a uma auditoria realizada por um auditor independente aceito pelo Cliente e pelo Google) em até 12 meses a partir da data de solicitação do Cliente e (2) qualquer outra informação que o Google determinar que é razoavelmente necessária para o Cliente verificar a compliance.
(ii)Como alternativa, o Google pode, a seu único e exclusivo critério e em resposta à solicitação do Cliente, iniciar uma auditoria independente para verificar a compliance do Google com suas obrigações listadas neste Apêndice 1B. Durante tal auditoria, o Google disponibilizará ao auditor independente todas as informações necessárias para demonstrar a compliance. Quando o Cliente solicitar esse tipo de auditoria, o Google pode cobrar uma taxa (baseada nos custos razoáveis do Google). O Google fornecerá ao Cliente mais detalhes sobre qualquer taxa aplicável e sobre a base de cálculo antes da realização da auditoria em questão. O Cliente será responsável por quaisquer taxas cobradas por um auditor independente indicado pelo Cliente para a execução da auditoria.
(iii)Nada neste Apêndice 1B requer que o Google dê acesso ou divulgue ao Cliente ou ao auditor independente:
(1)dados de outro cliente de uma Entidade do Google;
(2)informações internas financeiras ou contábeis de uma Entidade do Google;
(3)segredos comerciais da Entidade do Google;
(4)informações que, na opinião razoável do Google, possam: (A) comprometer a segurança dos sistemas ou instalações de qualquer Entidade do Google; ou (B) fazer com que uma Entidade do Google incumpra as obrigações decorrentes das Leis Estaduais de Privacidade dos EUA ou as obrigações de segurança e/ou privacidade para com o Cliente ou terceiros; ou
(5)informações que o Cliente ou o auditor independente tentem acessar por qualquer motivo que não seja o cumprimento de boa-fé das obrigações do Cliente decorrentes das Leis Estaduais de Privacidade dos EUA.
3.4Assistência para avaliação de impacto. O Google (levando em conta a natureza do tratamento e as informações disponíveis para o Google) auxiliará o Cliente a garantir o cumprimento das obrigações do Cliente (ou, caso o Cliente seja um operador, das obrigações do controlador relevante) relacionadas a relatórios de impacto à proteção de dados e consultas regulatórias prévias, na medida do exigido pelas Leis Estaduais de Privacidade dos EUA, das seguintes formas:
(a) fornecendo a Documentação de Segurança;
(b) fornecendo as informações contidas no Contrato (incluindo este Apêndice 1B); e
(c) fornecendo ou disponibilizando, de acordo com as práticas padrão do Google, outros materiais relacionados à natureza dos Serviços de RDP e ao tratamento de Dados Pessoais do Cliente (por exemplo, materiais da Central de Ajuda).
3.5Direitos dos Titulares dos Dados.
3.5.1Respostas a solicitações dos Titulares de Dados. Se o Google receber uma solicitação de um titular de dados relacionada a Dados Pessoais do Cliente, o Cliente autoriza o Google a (e o Google desde já notifica o Cliente que irá):
(a) responder diretamente à solicitação do titular dos dados de acordo com a funcionalidade padrão de uma ferramenta (se houver) disponibilizada por uma Entidade do Google aos titulares dos dados e que permite ao Google responder direta e padronizadamente a determinadas solicitações dos titulares dos dados relacionadas a Dados Pessoais do Cliente (por exemplo, configurações de publicidade on-line ou um plug-in de desativação no navegador) (“Ferramenta do Titular dos Dados”) (se a solicitação for feita em uma Ferramenta do Titular dos Dados); ou
(b) aconselhar o titular dos dados a enviar sua solicitação ao Cliente, e o Cliente será responsável por responder a solicitação (se ela não for feita em uma Ferramenta do Titular dos Dados).
3.5.2Assistência por parte do Google a Solicitações dos Titulares dos Dados. O Google ajudará o Cliente a cumprir as respectivas obrigações (ou, se o Cliente for um operador, as obrigações do controlador relevante) de acordo com as Leis Estaduais de Privacidade dos EUA no sentido de responder às solicitações para exercício dos direitos dos titulares dos dados, tendo em conta, em todo caso, a natureza do tratamento dos Dados Pessoais do Cliente e das seguintes formas:
(a) fornecendo a funcionalidade dos Serviços de RDP;
(b) cumprindo os compromissos previstos no parágrafo 3.5.1 (Respostas a Solicitações dos Titulares dos Dados); e
(c) se aplicável aos Serviços de RDP, disponibilizando as Ferramentas do Titular dos Dados.
3.5.3 Retificação. Se o Cliente tomar conhecimento de que os Dados Pessoais do Cliente estão incorretos ou desatualizados, o Cliente será responsável por retificar ou excluir esses dados, se tal for exigido pelas Leis Estaduais de Privacidade dos EUA, usando, inclusive, a funcionalidade dos Serviços de RDP (quando a mesma se encontrar disponível).
3.6Subcontratados.
(a) O Cliente autoriza, em geral, o Google a contratar outras entidades como subcontratados para o fornecimento dos Serviços de RDP. Nessas contratações, o Google:
(i) garantirá em um contrato escrito que: (1) o subcontratado use e acesse os Dados Pessoais do Cliente apenas para o que for necessário para executar as obrigações contratadas, seguindo o Contrato (incluindo o Apêndice 1B); e, (2) se o tratamento dos Dados Pessoais do Cliente estiver sujeito às Leis Estaduais de Privacidade dos EUA, garantir que as obrigações de proteção de dados neste Apêndice 1B sejam impostas ao subcontratado;
(ii) ao envolver novos subcontratados, o Google avisará ao Cliente sobre essas contratações e fornecerá a oportunidade de se opor às contratações, quando e onde for exigido pelas Leis Estaduais de Privacidade dos EUA; e
(iii) continuará totalmente responsável por todas as obrigações passadas ao subcontratado e por todos os atos e omissões do subcontratado.
(b) O Cliente poderá opor-se a qualquer novo subcontratado rescindindo unilateralmente o Contrato imediatamente mediante notificação por escrito ao Google, sob a condição de fornecer essa notificação em um prazo de até 90 dias após ter sido informado sobre o envolvimento do novo subcontratado, conforme descrito na Seção 3.6(a)(ii).
3.7Contato com o Google. O Cliente pode entrar em contato com o Google relativamente ao exercício de seus direitos sob este Apêndice 1B usando os métodos descritos em privacy.google.com/businesses/processorsupport ou outros meios que possam ser periodicamente disponibilizados pelo Google.
4. Termos das Leis Estaduais de Privacidade Aplicáveis
4.1Dados Desidentificados. Em relação aos Dados Pessoais do Cliente tratados com ou sem ativação do Tratamento de Dados Restrito, e na medida em que uma ou mais das Leis Estaduais de Privacidade dos EUA se aplique ao tratamento de Dados Pessoais do Cliente, cada parte cumprirá os requisitos para o tratamento de Dados Desidentificados descritos nas Leis Estaduais de Privacidade dos EUA, respeitando todos os Dados Desidentificados recebidos da outra parte, de acordo com o Contrato. Para os propósitos deste parágrafo 4.1 (Dados Desidentificados), os Dados Pessoais do Cliente são todos os dados pessoais tratados por uma das partes de acordo com este Contrato no âmbito da prestação ou do uso dos Serviços de Controlador.
5. Obrigações do Google relacionadas à CCPA.
5.1Em relação aos Dados Pessoais do Cliente tratados sob o Tratamento de Dados Restrito, e na medida em que a CCPA se aplique a tal tratamento, o Google agirá como prestador de serviços do Cliente e, portanto, a menos que permitido para prestadores de serviço pela CCPA, conforme razoavelmente determinado pelo Google:
(a)o Google não venderá ou compartilhará os Dados Pessoais do Cliente que forem recebidos do Cliente e relacionados ao Contrato;
(b)o Google não armazenará, usará ou divulgará os Dados Pessoais do Cliente (incluindo fora do relacionamento comercial direto entre o Google e o Cliente), exceto para fins comerciais provisionados na CCPA em nome do Cliente e para o propósito específico de executar os Serviços de RDP, conforme descrito na documentação de apoio disponível em business.safety.google/rdp e atualizado periodicamente;
(c)o Google não combinará Dados Pessoais do Cliente que o Google receber do Cliente ou em nome dele com (i) informações pessoais que o Google receber de outra(s) pessoa(s) ou em nome dela(s), ou (ii) informações pessoais coletadas da própria interação do Google com um cliente, conforme descrito em mais detalhes na documentação de apoio disponível em business.safety.google/rdp, exceto no limite do permitido pela CCPA;
(d)o Google tratará esses Dados Pessoais do Cliente para a finalidade específica de realizar os Serviços de RDP, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente está disponibilizando os Dados Pessoais do Cliente ao Google para tais fins;
(e)o Google permitirá auditorias para verificar a compliance do Google com suas obrigações de acordo com este Apêndice 1B, conforme descrito no parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente);
(f)o Google notificará o Cliente se determinar que não pode mais cumprir suas obrigações de acordo com a CCPA. Este parágrafo 5.1(f) não reduz os direitos e as obrigações das partes dispostas em outras seções do Contrato;
(g)se o Cliente acreditar razoavelmente que o Google está tratando Dados Pessoais do Cliente de maneira não autorizada, o Cliente tem o direito de notificar o Google sobre tal crença usando os métodos descritos em
privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas em boa-fé para remediar as atividades de tratamento supostamente violadoras, se necessário; e
(h)o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pela CCPA.
5.2 Em relação aos Dados Pessoais do Cliente tratados sem a ativação do Tratamento de Dados Restrito, e na medida em que a CCPA se aplica ao tratamento de Dados Pessoais do Cliente:
(a)o Google tratará esses Dados Pessoais do Cliente para a finalidade específica de realizar os Serviços de Controlador, conforme descrito no Contrato e na documentação de apoio (por exemplo, artigos da Central de Ajuda) ou conforme permitido pela CCPA, e as partes concordam que o Cliente está disponibilizando os Dados Pessoais do Cliente ao Google para tais fins;
(b)o Google permitirá auditorias para verificar a compliance do Google com suas obrigações de acordo com este Apêndice 1B, conforme descrito no parágrafo 3.3.3(c) (Direitos de Auditoria do Cliente);
(c)o Google notificará o Cliente se determinar que não pode mais cumprir suas obrigações de acordo com a CCPA;
(d)se o Cliente acreditar razoavelmente que o Google está tratando Dados Pessoais do Cliente de maneira não autorizada, o Cliente tem o direito de notificar o Google sobre tal crença usando os métodos descritos em
privacy.google.com/businesses/processorsupport, e as partes trabalharão juntas em boa-fé para remediar as atividades de tratamento supostamente violadoras, se necessário; e
(e)o Google cumprirá as obrigações aplicáveis de acordo com a CCPA e fornecerá o mesmo nível de proteção de privacidade exigido pela CCPA.
6. Alterações no Apêndice 1B.
Além da Seção 7 dos Termos aplicáveis a Controladores (Alterações nestes Termos aplicáveis a Controladores), conforme aplicável, o Google pode alterar este Apêndice 1B sem aviso prévio se a alteração for (a) baseada na legislação aplicável, em regulamentos aplicáveis, numa ordem judicial ou numa orientação emitida por um órgão regulador ou agência do governo, ou (b) não tenha um impacto material adverso sobre o Cliente de acordo com as Leis Estaduais de Privacidade dos EUA, conforme determinado razoavelmente pelo Google.
7. Objeto e Detalhes do Tratamento de Dados de acordo com as Leis Estaduais de Privacidade dos EUA)
Objeto
O fornecimento de Serviços de RDP pelo Google e qualquer suporte técnico relacionado ao Cliente.
Duração do Tratamento
O Período de Vigência, mais o tempo entre o Período de Vigência e a exclusão pelo Google de todos os Dados Pessoais do Cliente, de acordo com o Apêndice 1B.
Natureza e Propósito do Tratamento
O Google tratará (incluindo, conforme aplicável aos Serviços de RDP e as Instruções, as ações de coleta, registro, organização, estruturação, armazenamento, alteração, recuperação, uso, divulgação, combinação, exclusão e destruição) os Dados Pessoais do Cliente com a finalidade de fornecer os Serviços de RDP e qualquer suporte técnico relacionado ao Cliente de acordo com o Apêndice 1B, ou conforme permitido para operadores de acordo com as Leis Estaduais de Privacidade dos EUA.
Tipos de Dados Pessoais
Os Dados Pessoais do Cliente podem incluir os tipos de dados pessoais descritos ao abrigo das Leis Estaduais de Privacidade dos EUA.
Categorias de Titulares de Dados
Os Dados Pessoais do Cliente dizem respeito às seguintes categorias de titulares de dados:
- titulares de dados sobre os quais o Google coleta dados pessoais ao fornecer os Serviços de RDP; e/ou
- titulares de dados cujos dados pessoais são transferidos para o Google em conexão com os Serviços de RDP pelo Cliente, em nome do Cliente ou de acordo com as instruções do Cliente.
Dependendo da natureza dos Serviços de RDP, esses titulares de dados podem incluir indivíduos: (a) para quem a publicidade on-line foi ou será direcionada; (b) que visitaram sites ou aplicativos específicos para os quais o Google fornece os Serviços de RDP; e/ou (c) que sejam clientes ou usuários dos produtos ou serviços do Cliente.