Olemme sitoutuneet noudattamaan sovellettavia tietosuojalakeja

Kun toimimme henkilötietojen käsittelijänä, julkaisemme datan käsittelyä koskevat ja rekisterinpitäjän ja käsittelijän suhdetta kuvaavat ehdot vaatimusten mukaisesti. Google toimii käsittelijänä seuraavien tuotteiden yhteydessä:

• Ads Data Hub
• Google Adsin asiakaskohdistus
• Google Adsin ostot kaupasta (suora lataus)
• Android Enterprise
• Google Marketing Platform (tähän sisältyvät Display & Video 360, Campaign Manager, Search Ads 360, Google Analytics, Tag Manager, Optimize, Data Studio, Attribution ja Google Analytics for Firebase)
• Google Cloud Platform
• G Suite.

Yllä mainittujen Ads-tuotteiden datan käsittelyä koskevat ehdot ovat saatavilla täällä. Lisätietoja näiden ehtojen piiriin kuuluvista henkilötiedoista on saatavilla kunkin Ads-tuotteen osalta täällä. Voit tutustua Google Cloud Platformin ja G Suiten GDPR-sitoumuksiin ja datan käsittelyä koskeviin ehtoihin täällä.

Lisäksi olemme päivittäneet sopimuksiamme tai julkaisseet ehtoja niiden tuotteiden osalta, joissa Google ja asiakas toimivat molemmat itsenäisinä henkilötietojen rekisterinpitäjinä. Näihin Google-tuotteisiin kuuluvat:

• Google AdMob
• Google AdSense
• Google Ads (Shopping ja Hotel Ads sisältyvät, mutta eivät Google Adsin ominaisuudet, joissa me toimimme henkilötietojen käsittelijänä – lisätietoja yllä)
• Google Ad Manager
• Google Customer Reviews
• Google Maps APIt
• Waze Audio SDK.

Yllä mainittuja Ads-tuotteita koskevat kahden rekisterinpitäjän väliset ehdot ovat saatavilla täällä. Olemme julkaisseet yleisiin kysymyksiin liittyviä lisätietoja ohjekeskuksessamme: Ad Manager, AdSense ja AdMob.

Tarjoamme myös eurooppalaisia mallisopimuslausekkeita, jotka auttavat täyttämään Google Cloud Platformia ja G Suitea koskevat EU:n tiedonsiirtovaatimukset. Hankimme aiemmin EU:n tietosuojaviranomaisilta yhteisiä lausuntoja, jotka vahvistavat mallisopimuslausekkeidemme vastaavan Euroopan komission julkaisemia mallisopimuslausekkeita.

Tarjoamme liiketoimintasopimuksen, joka auttaa täyttämään U.S. Health Insurance Portability and Accountability Act (HIPAA) ‑lain vaatimukset tiettyjen Google Cloud Platformiin ja G Suiteen sisältyvien tuotteiden osalta.

Mainonta- ja mittaustuotteitamme maailmanlaajuisesti käyttävien julkaisijoiden ja mainostajien on noudatettava EU-alueella asuvan käyttäjän suostumuskäytäntöämme ja hankittava sivustojensa tai sovellustensa ETA-alueella asuvilta käyttäjiltä suostumus mainosten personointiin ja evästeiden tai paikallisen tallennustilan käyttöön. Jos siis olet Googlen mainonta- ja mittauspalveluja käyttävä julkaisija tai mainostaja, sinun on varmistettava, että kunnioitat käyttäjien valintoja käytännön vaatimusten mukaisesti.

Markkinoijana sinun tulee käyttää henkilötietoja vaatimusten ja lakien mukaisesti ja valita myös niiden mukaisia tuotteita. Olemme sitoutuneet noudattamaan GDPR:ää ja suosittelemme, että organisaatiosi käy omat vaatimustenmukaisuutta koskevat suunnitelmansa läpi. Etenkin seuraavia asioita kannattaa miettiä:

• Miten organisaatiosi varmistaa käyttäjille läpinäkyvyyden ja hallittavuuden datan käyttöön liittyen? Kerrotko käyttäjillesi, millaista dataa organisaatiosi kerää ja mihin tarkoituksiin?
• Oletko varma, että organisaatiosi on hankkinut GDPR:n ja (soveltuvin osin) Googlen EU-alueella asuvan käyttäjän suostumuskäytännön edellyttämät suostumukset? Onko mainosten tuotantoketjullasi tarvittavat suostumukset?
• Onko organisaatiollasi käytössään oikeat järjestelmät käyttäjien valintojen ja suostumusten tallentamiseen?
• Miten osoitat sääntelyviranomaisille ja yhteistyökumppaneille, että organisaatiosi noudattaa GDPR:n periaatteita vastuullisesti?

Valmiutemme GDPR:n tietoturvavaatimusten noudattamiseen ovat vahvalla pohjalla. Suojaamme palvelujamme erittäin kehittyneiden teknisten ja organisaatiotason turvatoimien sekä erillisten tietoturva- ja tietosuojatiimien avulla. Lisäksi kolmannen osapuolen tarkastajat arvioivat ohjelmamme vuosittain.

Ilmoitamme sinulle nopeasti asiakasdataasi koskevista ongelmista sopimustemme mukaisesti. Ylläpidämme ja kehitämme myös tulevaisuudessa edistyneitä uhkien tunnistus- ja torjuntatekniikoita sekä tiukkaa, aina käynnissä olevaa tapahtumanhallintaohjelmaa, jonka avulla voit havaita tietoturvaa tai yksityisyyttä koskevat ongelmat sekä reagoida niihin nopeasti ja saatavilla olevia tietoja apuna käyttäen.

Kerromme avoimesti, miten dataa käytetään mainostuotteissamme. Pyydämme käyttäjältä lupaa dataan perustuvaan mainosten personointiin ja kerromme datan käytöstä läpinäkyvästi ja reaaliajassa Miksi tämä mainos? ‑sivulla. Tarjoamme yksityiskohtaisia tietoja datan käytöstä osoitteessa privacy.google.com ja tietosuojakäytännössämme. Lisäksi kerromme avoimesti Google-tilillä tallennettavasta käyttäjädatasta, ja tilillään käyttäjät voivat tarkistaa ja määrittää data-, tietosuoja- ja tietoturva-asetuksiaan. Mainosasetusten avulla käyttäjät voivat valita, käytetäänkö heidän dataansa mainosten personoinnissa ja kaikkien Googlen näyttämien mainosten yhteydessä (mukaan lukien Google Marketing Platform ‑tuotteissamme). Olemme myös päivittäneet käyttäjien tilinluontikokemusta linjassa GDPR:n kanssa ja osana jatkuvaa sitoumustamme antaa käyttäjille työkalut oman tietosuojansa hallinnoimiseen. Näin he voivat myös valita tarkemmin, mitä dataa heidän tileilleen tallennetaan.

Jatkamme erilaisten kansainvälisten tiedonsiirtovälineiden tarjoamista, ja meille on myönnetty EU:n ja Yhdysvaltojen ja Sveitsin ja Yhdysvaltojen välisen Privacy Shield ‑sopimuksen mukainen sertifikaatti. Privacy Shield on oikeudellinen mekanismi, joka mahdollistaa henkilötietojen siirron ETA-alueelta ja Sveitsistä Yhdysvaltoihin ja jonka puitteissa sertifioidut organisaatiot takaavat, että tietoja suojataan EU:n tietosuojalakien edellyttämällä tavalla. Tarjoamme tiettyjen palvelujen yhteydessä myös EU:n hyväksymiä mallisopimuslausekkeita.

Lisäksi jatkamme kansainvälisten tiedonsiirtovälineidemme kehittämistä GDPR:n alaisuudessa ja olemme sitoutuneet suorittamaan tiedonsiirrot laillisin perustein ja sovellettavia tietosuojalakeja noudattaen.

Otamme tietosuojan huomioon jo tuotekehityksemme varhaisimmissa vaiheissa. Lisäksi jatkamme tietosuojan vaikutuksen arvioinnin ja muiden käytäntöjemme kehittämistä, jotta voimme täyttää GDPR:n sisäänrakennettuun ja oletusarvoiseen tietosuojaan liittyvät edellytykset sekä muut maailmanlaajuisesti sovellettavat vaatimukset.

Katso lisätietoja tavoista, joilla Google on sitoutunut varmistamaan, että G Suite- ja Google Cloud Platform ‑palvelut noudattavat GDPR:ää.

Käyttöehdot ja käytännöt:

• Adsin rekisterinpitäjää koskevat ehdot
• Adsin käsittelijää koskevat ehdot
• Googlen rekisterinpito- ja käsittelytuotteiden erittely Adsin osalta
• Mainonta ja evästeet
• EU-alueella asuvan käyttäjän suostumuskäytäntö
• EU-alueella asuvan käyttäjän suostumuskäytäntöön liittyviä ohjeita.

Julkaisijoiden työkalut GDPR:n noudattamiseen:

• Ad Manager
• AdMob
• AdSense.

Mainostajien työkalut GDPR:n noudattamiseen:

• Display & Video 360
• Campaign Manager
• Search Ads 360.

Resurssit:

• Cookie Choices.org

Olemme päivittäneet mainosdatan säilytyskäytäntömme ja teemme tuotteisiimme muutoksia säilytyskäytäntöjen yhtenäistämiseksi.

ISO 27001 on laajalti tunnustettu ja kansainvälisesti hyväksytty itsenäinen tietoturvastandardi. Google on saanut ISO 27001 -sertifikaatin järjestelmille, sovelluksille, henkilöille, teknologialle, prosesseille ja palvelinkeskuksille, jotka liittyvät Google Cloud Platformiin, G Suiteen ja Google Adsiin.

ISO 27017 on kansainvälinen tietoturvan hallinnointimenetelmien standardi, joka perustuu ISO/IEC 27002 ‑standardiin ja koskee erityisesti pilvipalveluja.

Googlen Google Cloud Platform- ja G Suite ‑tuotteille on myönnetty ISO 27017 ‑sertifikaatti.

ISO 27018 on kansainvälinen julkisissa pilvipalveluissa olevien henkilökohtaisten tunnistetietojen (HTT) suojausstandardi.

Googlen Google Cloud Platform- ja G Suite ‑tuotteille on myönnetty ISO 27018 ‑sertifikaatti.

American Institute of Certified Public Accountantsin (AICPA) SOC 2- ja SOC 3 ‑tarkistuskehykset (Service Organization Controls) määrittelevät luotettavuusperiaatteet ja ‑ehdot, jotka koskevat datan turvallisuutta, saatavuutta, käsittelyn eheyttä ja luottamuksellisuutta.

Google on saanut sekä SOC 2- että SOC 3 ‑raportit Google Cloud Platformia ja G Suitea varten. Voit ladata SOC 3 ‑raporttimme. Lisäksi olemme saaneet Google Adsia, AdSensea, DoubleClick Campaign Manageria, DoubleClick for Publishersia ja DoubleClick Ad Exchangea koskevan SOC 1 Type 2 ‑raportin, joka on saatavilla NDA:n alaisille asiakkaille.

Privacy Shield ‑sopimusten tarkoituksena on tukea mannertenvälistä kaupankäyntiä tarjoamalla välineitä tietosuojavaatimusten noudattamiseen, kun henkilötietoja siirretään Euroopan unionista ja Sveitsistä Yhdysvaltoihin. Noudatamme EU:n ja Yhdysvaltojen sekä Sveitsin ja Yhdysvaltojen välistä Privacy Shield ‑sopimusta (katso sertifikaatti).

FedRAMP-ohjelma määrittelee tietoturvan arvioinnin, todennuksen ja jatkuvan valvonnan standardit, jotka koskevat Yhdysvaltojen liittovaltion viranomaisten käyttämiä pilvituotteita ja ‑palveluja. Googlella on FedRAMP-toimilupa (ATO) G Suitea ja Google App Enginea varten.

PCI DSS (Payment Card Industry Data Security Standard) koostuu teknisistä ja toiminnallisista vaatimuksista, jotka koskevat maksukorttien tietoja tallentavia, käsitteleviä tai lähettäviä tahoja. Itsenäinen Qualified Security Assessor ‑tarkastaja on arvioinut seuraavat Google-palvelut ja todennut niiden noudattavan PCI DSS:n nykyistä versiota: Android Pay, Google App Engine, Google Compute Engine, Google Cloud Storage, Google Cloud Datastore, Google Cloud SQL, Google BigQuery, Google Cloud Dataproc, Google Cloud Dataflow, Google Container Engine, Google Container Registry ja Google Cloud Bigtable.