Privacybeleid

Voorwaarden voor gegevensbescherming als verwerkingsverantwoordelijke van Google Ads

Google en de andere partij die akkoord gaat met deze voorwaarden (“Klant”), zijn een overeenkomst aangegaan voor de levering van de Services voor verwerkingsverantwoordelijken (zoals van tijd tot tijd gewijzigd, de “Overeenkomst”).

Deze Voorwaarden voor gegevensbescherming als verwerkingsverantwoordelijke van Google Ads (met inbegrip van de bijlage, de “Voorwaarden voor verwerkingsverantwoordelijken”) zijn gesloten tussen Google en de Klant en vormen een aanvulling op de Overeenkomst. Deze Voorwaarden voor verwerkingsverantwoordelijken zijn van kracht, en vervangen eventueel eerdere toepasselijke voorwaarden voor dit onderwerp, vanaf de Ingangsdatum van de Voorwaarden.

Als u deze Voorwaarden voor verwerkingsverantwoordelijken namens een Klant accepteert, garandeert u het volgende: (a) u heeft de volledige wettelijke bevoegdheid om de Klant aan deze Voorwaarden voor verwerkingsverantwoordelijken te binden, (b) u heeft deze Voorwaarden voor verwerkingsverantwoordelijken gelezen en begrepen, en (c) u gaat namens de Klant akkoord met deze Voorwaarden voor verwerkingsverantwoordelijken. Als u niet de juridische bevoegdheid heeft om de Klant te binden, stemt u niet in met deze Voorwaarden voor verwerkingsverantwoordelijken.

1. Inleiding

Deze Voorwaarden voor verwerkingsverantwoordelijken geven de overeenstemming tussen de partijen weer over de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke.

2. Definities en interpretatie

2.1 In deze Voorwaarden voor verwerkingsverantwoordelijken wordt verstaan onder:

Aangesloten entiteit” Een entiteit die direct of indirect zeggenschap uitoefent over, waarover zeggenschap wordt uitgevoerd door of die onder gezamenlijke zeggenschap staat met, een partij.

Aanvullende voorwaarden” De aanvullende voorwaarden zoals opgenomen in bijlage 1, die de overeenstemming weergeven tussen de partijen over de voorwaarden die van toepassing zijn op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke in verband met bepaalde toepasselijke wetgeving voor gegevensbescherming.

AVG” Zoals van toepassing: (a) de AVG van de EU, en/of (b) de UK GDPR.

AVG van de EU” Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Beperkte Europese overdracht(en)” De overdracht van Persoonsgegevens van de verwerkingsverantwoordelijke (a) waarop de Europese wetgeving inzake gegevensbescherming van toepassing is, en (b) die geen Toegestane Europese overdracht is.

Betrokkene van de verwerkingsverantwoordelijke” Een betrokkene waarop de Persoonsgegevens van de verwerkingsverantwoordelijke betrekking hebben.

Europese wetgeving inzake gegevensbescherming” Zoals van toepassing: (a) de AVG, en/of (b) de Zwitserse DSG.

Google” De Google-entiteit die partij is bij de Overeenkomst.

Google-entiteit” Google LLC (voorheen bekend als Google Inc.), Google Ireland Limited of een andere Aangesloten entiteit van Google LLC.

Ingangsdatum van de voorwaarden” de datum waarop de Klant heeft geklikt om akkoord te gaan of de partijen anderszins akkoord zijn gegaan met deze Voorwaarden voor verwerkingsverantwoordelijken.

LGPD” de Braziliaanse gegevensbeschermingsregelgeving “Persoonsgegevens van de verwerkingsverantwoordelijke” Persoonsgegevens die door een partij worden verwerkt op grond van de Overeenkomst in verband met de levering of het gebruik (zoals van toepassing) van de Services voor verwerkingsverantwoordelijken.

Services voor verwerkingsverantwoordelijken” De toepasselijke services, zoals vermeld op business.safety.google/adsservices.

Toepasselijke wetgeving inzake gegevensbescherming” betekent, voor zover van toepassing op de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke, elke nationale, federale, EU-, staats-, provinciale of andere privacy-, gegevensbeveiligings- of gegevensbeschermingswet- of regelgeving, met inbegrip van de Europese wetgeving inzake gegevensbescherming, de LGPD en de privacywetgeving van de Amerikaanse staat.

Uiteindelijke verwerkingsverantwoordelijke” Voor elke partij, de uiteindelijke verwerkingsverantwoordelijke voor de Persoonsgegevens van de verwerkingsverantwoordelijke.

UK GDPR” De AVG van de EU zoals gewijzigd bij en opgenomen in de wetgeving van het Verenigd Koninkrijk op grond van de Britse UK European Union (Withdrawal) Act 2018, en toepasselijke wetgeving die is opgesteld op grond van die wet.

Wetgeving inzake gegevensbescherming van de VS” voor zover van toepassing (i) de California Consumer Privacy Act van 2018 (inclusief zoals gewijzigd door de California Privacy Rights Act van 2020) samen met alle uitvoeringsvoorschriften ("CCPA") (ii) de Consumer Data Protection Act van Virginia, Va. Code Ann. § 59.1-571 et seq.; en (iii) de Colorado Privacy Act, Colo. Rev. Stat. § 6-1-1301 e.v.; (iv) de Connecticut's Act Concerning Data Privacy and Online Monitoring, Pub. Act No. 22015; en v) de Utah Consumer Privacy Act, Utah Code Ann. § 13-61-101 e.v.

Zwitserse FDPA” De Zwitserse Bundesgesetz über den Datenschutz (Federale wet voor gegevensbescherming) van 19 juni 1992 (met de verordening bij de federale wet op de gegevensbescherming van 14 juni 1993), of de herziene federale wet op de gegevensbescherming van 25 september 2020 (met de verordening bij de federale wet op de gegevensbescherming van 31 augustus 2022).

2.2 De termen “verwerkingsverantwoordelijke”, “betrokkene”, “persoonsgegevens”, “verwerking” en “verwerker” zoals deze worden gebruikt in deze Voorwaarden voor verwerkingsverantwoordelijken hebben de betekenis zoals daaraan is toegekend door ofwel (a) Toepasselijke wetgeving inzake gegevensbescherming, ofwel (b) bij afwezigheid van een dergelijke betekenis of wet, de AVG.

2.3 De woorden “waaronder” en “inclusief” hebben de betekenis “met inbegrip van, maar niet beperkt tot”. Eventuele voorbeelden in deze Voorwaarden voor verwerkingsverantwoordelijken zijn louter illustratief en zijn niet de enige voorbeelden van een specifiek concept.

2.4 Eventuele verwijzingen naar een juridisch kader, statuut of een andere wettelijke bekrachtiging is een verwijzing daarnaar zoals dit van tijd tot tijd wordt gewijzigd of opnieuw vastgesteld.

2.5 Voor zover een eventuele vertaalde versie van deze Voorwaarden voor verwerkingsverantwoordelijken afwijkt van de Engelse versie, is de Engelse versie van toepassing.

3. Toepassing van deze Voorwaarden voor verwerkingsverantwoordelijken

3.1 Algemeen. Deze Voorwaarden voor verwerkingsverantwoordelijken zijn alleen van toepassing op de Services voor verwerkingsverantwoordelijken waarvoor de partijen akkoord zijn gegaan met deze Voorwaarden voor verwerkingsverantwoordelijken, zoals: (a) de Services voor verwerkingsverantwoordelijken waarvoor de Klant heeft geklikt om akkoord te gaan met deze Voorwaarden voor verwerkingsverantwoordelijken, of (b) als deze Voorwaarden voor verwerkingsverantwoordelijken door middel van verwijzing zijn opgenomen in de Overeenkomst, de Services voor verwerkingsverantwoordelijken die het voorwerp vormen van de Overeenkomst.

3.2 Opname van de Aanvullende voorwaarden De Aanvullende voorwaarden vormen een aanvulling op deze Voorwaarden voor verwerkingsverantwoordelijken.

4. Rollen en beperkingen betreffende verwerking

4.1 Onafhankelijke verwerkingsverantwoordelijken. Onverminderd het bepaalde in artikel 4.3 (Uiteindelijke verwerkingsverantwoordelijken) geldt het volgende voor elke partij:

(a) de partij is een onafhankelijke verwerkingsverantwoordelijke van Persoonsgegevens van de verwerkingsverantwoordelijke.

(b) de partij bepaalt afzonderlijk de doeleinden en middelen voor de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke, en

(c) de partij voldoet aan de verplichtingen die op de partij van toepassing zijn op grond van de Toepasselijke wetgeving inzake gegevensbescherming gegevensbescherming met betrekking tot de verwerking van Persoonsgegevens van de verwerkingsverantwoordelijke.

4.2 Beperkingen aan de verwerking. Artikel 4.1 (Onafhankelijke verwerkingsverantwoordelijken) heeft geen gevolgen voor eventuele beperkingen van de rechten van een van beide partijen om Persoonsgegevens van de verwerkingsverantwoordelijke te gebruiken of anderszins te verwerken op grond van de Overeenkomst.

4.3 Uiteindelijke verwerkingsverantwoordelijken. Zonder de verplichtingen van de partijen op grond van deze Voorwaarden voor verwerkingsverantwoordelijken te beperken, erkent elk van beide partijen dat: (a) de Aangesloten entiteiten of cliënten van de andere partij Uiteindelijke verwerkingsverantwoordelijken kunnen zijn, en (b) de andere partij kan optreden als een verwerker namens diens Uiteindelijke verwerkingsverantwoordelijken. De Uiteindelijke verantwoordelijken van Google zijn: (i) Google Ireland Limited voor Persoonsgegevens van Europese verwerkingsverantwoordelijken die worden verwerkt door Google, en (ii) Google LLC voor Persoonsgegevens van verwerkingsverantwoordelijken in het Verenigd Koninkrijk die worden verwerkt door Google. Alle partijen waarborgen dat hun Uiteindelijke verwerkingsverantwoordelijken voldoen aan de Voorwaarden voor verwerkingsverantwoordelijken, waaronder (indien van toepassing) de Modelcontractbepalingen voor verwerkingsverantwoordelijken. Elke partij zorgt ervoor dat de Uiteindelijke verwerkingsverantwoordelijke voldaan aan de Voorwaarden voor verwerkingsverantwoordelijken.

4.4 Transparantie. Klant erkent dat Google informatie heeft gepubliceerd over hoe Google informatie gebruikt van sites, apps, of andere properties die gebruik maken van Google’s services op https://business.safety.google/privacy/. Onverminderd haar verplichtingen onder artikel 4.1(c), kan de Klant naar die pagina linken om Betrokkenen van de verwerkingsverantwoordelijke te voorzien van informatie over de verwerking door Google van Persoonsgegevens van de verwerkingsverantwoordelijke.

5. Aansprakelijkheid

Als de overeenkomst wordt beheerst door wetten van:

(a) een staat van de Verenigde Staten van Amerika, dan zal, ongeacht hetgeen opgenomen in de Overeenkomst, de totale aansprakelijkheid van een der partijen jegens de andere partij onder of in verband met deze Voorwaarden voor verwerkingsverantwoordelijken worden beperkt tot het maximale monetaire of op betaling gebaseerde bedrag waarop de aansprakelijkheid onder de Overeenkomst is gemaximeerd (Elke uitsluiting van vrijwaringsclaims van de aansprakelijkheidsbeperking van de Overeenkomst is niet van toepassing op vrijwaringsclaims op grond van de Overeenkomst met betrekking tot Toepasselijke wetgeving inzake gegevensbescherming);

(b) een jurisdictie die geen staat is van de Verenigde Staten van Amerika, dan is de aansprakelijkheid van de partijen onder of in verband met deze Voorwaarden voor verwerkingsverantwoordelijken onderworpen aan de uitsluitingen en beperkingen van aansprakelijkheid in de Overeenkomst.

6. Effect van de Voorwaarden voor verwerkingsverantwoordelijken

6.1 Voorrangsorde. Als er sprake is van strijdigheid of inconsistentie tussen de Aanvullende voorwaarden, de rest van deze Voorwaarden voor verwerkingsverantwoordelijken en/of de rest van de Overeenkomst dan is, met inachtneming van artikel 4.2 (Beperkingen aan de verwerking) en artikel 6.2 (geen effect op Voorwaarden voor verwerkers), de volgende rangorde van toepassing:

(a) de Aanvullende Voorwaarden (indien van toepassing);

(b) de rest van deze Voorwaarden voor verwerkingsverantwoordelijken; en

(c) de rest van de Overeenkomst.

6.2 Geen effect op Voorwaarden voor verwerkers. Deze voorwaarden voor verwerkingsverantwoordelijken hebben geen invloed op voorwaarden tussen Google en de Klant die een verwerkingsverantwoordelijke – verwerker, verwerker – verwerker of verwerker – verwerkingsverantwoordelijke relatie hebben voor een andere service dan Services voor verwerkingsverantwoordelijken.

7. Wijzigingen van deze Voorwaarden voor verwerkingsverantwoordelijken

7.1 Wijzigingen in URL’s. Google kan periodiek elke URL en de content van een dergelijke URL wijzigen waarnaar wordt verwezen in deze Voorwaarden voor verwerkingsverantwoordelijken, met dien verstande dat Google alleen de lijst met potentiële Services voor verwerkingsverantwoordelijken op business.safety.google/adsservices mag wijzigen:

(a) om een naamswijziging van een service weer te geven;

(b) om een nieuwe service toe te voegen; of

(c) om een dienst (of een kenmerk van een dienst) te verwijderen wanneer: (i) alle contracten voor de levering van die service zijn beëindigd; (ii) Google toestemming van de Klant heeft; of (iii) de service of een bepaald kenmerk van de service is gehercategoriseerd als een verwerker service.

7.2 Wijzigingen aan de Voorwaarden voor verwerkingsverantwoordelijken. Google mag deze Voorwaarden voor verwerkingsverantwoordelijken wijzigen als de wijziging:

(a) beschreven is in artikel 7.1 (Wijzigingen in URLs);

(b) een wijziging van de naam van een rechtspersoon is;

(c) verplicht is om te voldoen aan toepasselijke wet- en regelgeving, een gerechtelijke uitspraak, richtlijnen van een regelgevende instantie of overheidsinstelling of Google’s invoering van een Alternatieve overdrachtsoplossing (zoals gedefinieerd in bijlage 1A); of (d) niet anderszins: (i) de categorisering van de partijen als verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens onder de Toepasselijke wetgeving inzake gegevensbescherming aantast; (ii) de reikwijdte van het toepassingsgebied uitbreidt of beperkt of de rechten van een van de partijen om Persoonsgegevens te gebruiken of anderszins te verwerken, uitbreidt of opheft (x) in het geval van de Aanvullende Voorwaarden, de gegevens die binnen de reikwijdte van de Aanvullende Voorwaarden vallen of (y) in de rest van deze Voorwaarden voor verwerkingsverantwoordelijken, Persoonsgegevens van verwerkingsverantwoordelijken; of (iii) een wezenlijk nadelig effect heeft op de Klant, zoals redelijkerwijs bepaald door Google.

7.3 Melding van wijzigingen. Als Google van plan is deze Voorwaarden voor verwerkingsverantwoordelijken te wijzigen onder Artikel 7.2(c) en een dergelijke wijziging een wezenlijk nadelig effect heeft op de Klant, zoals redelijkerwijs bepaald door Google, dan zal Google commercieel redelijke inspanningen leveren om de Klant ten minste 30 dagen voordat de wijziging intreedt op de hoogte te stellen (of een kortere periode als nodig is om te voldoen aan geldende wet- en regelgeving, een gerechtelijk bevel of richtlijnen van een regelgevende instantie). Als de Klant bezwaar maakt tegen een dergelijke wijziging, kan de Klant de Overeenkomst beëindigen door schriftelijke kennisgeving aan Google binnen 90 dagen nadat de Klant op de hoogte is gesteld van de wijziging door Google.

BIJLAGE 1: Aanvullende voorwaarden voor Toepasselijke wetgeving inzake gegevensbescherming

DEEL A – AANVULLENDE VOORWAARDEN VOOR EUROPESE WETGEVING INZAKE GEGEVENSBESCHERMING

1. Inleiding

Deze bijlage 1A is alleen van toepassing voor zover de Europese wetgeving inzake gegevensbescherming van toepassing is op de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke.

2. Definities

2.1 In deze Bijlage 1A:

Adequaat land” betekent:

(a) Voor gegevens die verwerkt worden onder de EU AVG: de EER of een land of gebied dat erkend is als een land of gebied dat adequate gegevensbescherming biedt onder de EU AVG;

(b) voor gegevens die worden verwerkt in het kader van de AVG in het Verenigd Koninkrijk: het Verenigd Koninkrijk, of een land of gebied waarvan wordt erkend dat het een passende bescherming biedt in het kader van de AVG in het Verenigd Koninkrijk en de Data Protection Act 2018; en/of

(c) voor gegevens die worden verwerkt in het kader van de Zwitserse FDPA: Zwitserland, of een land of gebied dat: (i) is opgenomen in de lijst van staten waarvan de wetgeving een passende bescherming waarborgt, zoals gepubliceerd door de Zwitserse federale commissaris voor gegevensbescherming en informatie, of (ii) door de Zwitserse Bondsraad in het kader van de Zwitserse FDPA is erkend als een land dat een passende bescherming waarborgt, in elk geval anders dan op basis van een optioneel kader voor gegevensbescherming.

Alternatieve overdrachtsoplossing” betekent een andere oplossing dan de Modelcontractbepalingen voor verwerkingsverantwoordelijke(n), die de rechtmatige overdracht van persoonsgegevens naar een derde land mogelijk maakt in overeenstemming met de Europese wetgeving voor gegevensbescherming, bijvoorbeeld een gegevensbeschermingskader dat wordt erkend als waarborg dat de deelnemende entiteiten adequate bescherming bieden.

"Beperkte Europese Doorgifte(n)" betekent (betekenen) doorgifte(n) van Persoonsgegevens door de verwerkingsverantwoordelijke Persoonsgegevens door de Verwerkingsverantwoordelijke die: (a) onderworpen zijn aan de Europese wetgeving voorinzake gegevensbescherming; en (b) geen Toegestane Europese Doorgiften zijn.

EER” betekent de Europese Economische Ruimte

Europese Persoonsgegevens van verwerkingsverantwoordelijke” betekent Persoonsgegevens van verwerkingsverantwoordelijke van betrokkene van verwerkingsverantwoordelijke die zich in de EER of Zwitserland bevinden.

Europese Wetten” betekent, voor zover van toepassing: (a) EU-wetgeving of wetgeving van een EU-lidstaat (als de AVG van de EU van toepassing is op de verwerking van Persoonsgegevens van verwerkingsverantwoordelijke); en (b) de wetgeving van het Verenigd Koninkrijk of een deel van het Verenigd Koninkrijk (als de AVG van het Verenigd Koninkrijk van toepassing is op de verwerking van Persoonsgegevens van de verantwoordelijke); en (c) de wet van Zwitserland (als de Zwitserse FDPA van toepassing is op de verwerking van Persoonsgegevens van de verantwoordelijke).

Google uiteindelijke verwerkingsverantwoordelijken” betekent de uiteindelijke verwerkingsverantwoordelijken voor de verwerking van Persoonsgegevens door Google.

Toegestane Europese Doorgifte” betekent de verwerking van Persoonsgegevens van de Verwerkingsverantwoordelijke in, of de doorgifte van Persoonsgegevens van de Verwerkingsverantwoordelijke naar, een Adequaat land.

Modelcontractbepalingen voor verwerkingsverantwoordelijke(n)” betekent de voorwaarden op business.safety.google/adscontrollerterms/sccs/c2c

"VK persoonsgegevens van de verwerkingsverantwoordelijke" betekent Persoonsgegevens van de verwerkingsverantwoordelijke van Betrokkenen die zich in het Verenigd Koninkrijk bevinden.

2.2De termen “gegevensimporteur” en “gegevensexporteur” hebben de betekenis die wordt gegeven in de Modelcontractbepalingen voor de verwerkingsverantwoordelijke

3. Google uiteindelijke verwerkingsverantwoordelijken

De Google uiteindelijke verwerkingsverantwoordelijken voor de verwerking zijn: (i) voor Persoonsgegevens van Europese uiteindelijke verwerkingsverantwoordelijken die door Google worden verwerkt, Google Ireland Limited; en (ii) voor Persoonsgegevens van Britse uiteindelijke verwerkingsverantwoordelijken die door Google worden verwerkt, Google LLC. Elke partij zorgt ervoor dat haar uiteindelijke verwerkingsverantwoordelijken zich houden aan de Voorwaarden voor uiteindelijke verwerkingsverantwoordelijken indien van toepassing.

4. Gegevensoverdracht

4.1 Beperkte Europese overdrachten. Elk van beide partijen kan een Beperkte Europese overdracht uitvoeren als deze voldoet aan de bepalingen betreffende Beperkte Europese overdrachten in de Europese wetgeving inzake gegevensbescherming.

4.2 Alternatieve oplossing voor overdracht.

(a)Als Google aankondigt dat het een Alternatieve overdrachtoplossing heeft aangenomen voor Beperkte Europese overdrachten gaat gebruiken, dan geldt het volgende: (i) Google waarborgt dat deze Beperkte Europese overdrachten worden uitgevoerd in overeenstemming met die Alternatieve oplossing voor overdracht, en (ii) artikel 5(Modelcontractbepalingen voor verwerkingsverantwoordelijke(n)) van deze Bijlage 1A is niet van toepassing op deze Beperkte Europese overdrachten.

(b)Als Google geen Alternatieve oplossing voor Beperkte Europese overdrachten gebruikt of de Klant heeft geïnformeerd deze niet langer toe te passen, dan vinden dergelijke Beperkte Europese overdrachten plaats overeenkomstig artikel 5 van de Modelcontractbepalingen van deze Bijlage 1A voor verwerkingsverantwoordelijken.

4.3 bepalingen voor verdere overdracht.

(a) Toepassing van artikel 4.3. artikel 4.3(b) (gebruik van Persoonsgegevens van de gegevensverstrekker) en 4.3(c) (Bescherming Persoonsgegevens Gegevensverstrekker) van deze Bijlage 1A zijn alleen van toepassing voor zover:

(i)Een partij (de "Gegevensontvanger") verwerkt Persoonsgegevens van de Verwerkingsverantwoordelijke die door de andere partij (de "Gegevensverstrekker") beschikbaar worden gesteld in verband met de Overeenkomst (dergelijke Persoonsgegevens van de verwerkingsverantwoordelijke, "Persoonsgegevens van de Gegevensverstrekker");

(ii)de Gegevensverstrekker of een gelieerde gecertificeerd is volgens een Alternatieve Overdrachtsoplossing; en

(iii)de Gegevensverstrekker de Gegevensontvanger schriftelijk op de hoogte stelt van deze Alternatieve Overdrachtsoplossing.

(b)Gebruik van Persoonsgegevens van Gegevensverstrekkers.

(i)Voor zover een toepasselijke Alternatieve Overdrachtsoplossing principes voor verdere doorgifte bevat, dan zal de Gegevensontvanger, overeenkomstig deze principes voor verdere doorgifte onder de relevante Alternatieve Overdrachtsoplossing, de Persoonsgegevens van de Gegevensverstrekker alleen gebruiken op een manier die consistent is met de toestemming die door de relevante Betrokkene van de verwerkingsverantwoordelijke is gegeven.

(ii)Voor zover de Gegevensverstrekker er niet in slaagt toestemming te verkrijgen van de betreffende Betrokkene van verwerkingsverantwoordelijke zoals vereist onder de Overeenkomst, zal de Gegevensontvanger niet in overtreding zijn van artikel 4.3(b)(i) als hij Gegevensverstrekkers Persoonsgegevens gebruikt in overeenstemming met de vereiste toestemming.

(c) Bescherming van Persoonsgegevens van Gegevensverstrekkers.

(i)De Gegevensontvanger zal voor de Persoonsgegevens van de Gegevensverstrekker een beschermingsniveau bieden dat ten minste gelijkwaardig is aan het niveau dat vereist is onder de toepasselijke Alternatieve Overdrachtsoplossing.

(ii)Als de Gegevensontvanger vaststelt dat hij niet kan voldoen aan artikel 4.3(c)(i), zal hij: (A) de Gegevensverstrekker schriftelijk op de hoogte stellen; en (B) ofwel de verwerking van de Persoonsgegevens van de Gegevensverstrekker stopzetten of redelijke en gepaste stappen ondernemen om deze niet-naleving te verhelpen.

(d)Goedkeuring en certificering van Alternatieve overdrachtsoplossingen. Informatie over de goedkeuring of certificering door Google en/of haar Aangesloten entiteiten van Alternatieve Overdrachtsoplossingen is te vinden op https://business.safety.google/adsdatatransfers.

5. Modelcontractbepalingen voor verwerkingsverantwoordelijke(n)

5.1 Overdracht van Persoonsgegevens van Europese verwerkingsverantwoordelijken naar de Klant. Voor zover:

(a)Google Persoonsgegevens van Europese verwerkingsverantwoordelijken overdraagt naar de Klant, en

(b)de overdracht een Beperkte Europese overdracht is, wordt de Klant als gegevensimporteur geacht de Modelcontractbepalingen voor verwerkingsverantwoordelijken te zijn aangegaan met Google Ireland Limited (de toepasselijke Uiteindelijke verwerkingsverantwoordelijke van Google) als gegevensexporteur en zijn op de overdracht de Modelcontractbepalingen voor verwerkingsverantwoordelijken van toepassing.

5.2 Overdracht van Persoonsgegevens van verwerkingsverantwoordelijken in het Verenigd Koninkrijk naar de Klant. Voor zover:

(a)Google Persoonsgegevens van verwerkingsverantwoordelijken in het Verenigd Koninkrijk overdraagt naar de Klant, en

(b)de overdracht een Beperkte Europese overdracht is, wordt de Klant als gegevensimporteur geacht de Modelcontractbepalingen voor verwerkingsverantwoordelijke(n) te zijn aangegaan met Google LLC (de toepasselijke Uiteindelijke verwerkingsverantwoordelijke van Google) als gegevensexporteur. Op de overdracht zijn de Modelcontractbepalingen voor verwerkingsverantwoordelijke(n) van toepassing.

5.3 Overdracht van Persoonsgegevens van Europese verwerkingsverantwoordelijken naar Google. De partijen erkennen dat, voor zover de Klant Persoonsgegevens van Europese verwerkingsverantwoordelijken overdraagt naar Google, de Modelcontractbepalingen voor verwerkingsverantwoordelijken niet vereist zijn, aangezien het adres van Google Ireland Limited (de toepasselijke Uiteindelijke verwerkingsverantwoordelijke van Google) zich in een Adequaat land bevindt en deze overdracht een Toegestane Europese overdracht vormt. Dit is niet van invloed op de verplichtingen van Google op grond van artikel 5.1 (Beperkte Europese overdrachten).

5.4Overdracht van Persoonsgegevens van verwerkingsverantwoordelijken in het Verenigd Koninkrijk naar Google. Voor zover de Klant Persoonsgegevens van verwerkingsverantwoordelijken in het Verenigd Koninkrijk overdraagt naar Google, wordt de Klant als gegevensexporteur geacht de Modelcontractbepalingen voor verwerkingsverantwoordelijken te zijn aangegaan met Google LLC (de toepasselijke Uiteindelijke verwerkingsverantwoordelijke van Google) als gegevensimporteur. Op de overdracht zijn de Modelcontractbepalingen voor verwerkingsverantwoordelijken van toepassing, aangezien het adres van Google LLC zich niet in een Adequaat land bevindt.

5.5 Contact opnemen met Google, Klantinformatie.

(a)De Klant kan contact opnemen met Google Ireland Limited en/of Google LLC in verband met de Modelcontractbepalingen voor verwerkingsverantwoordelijke(n) op https://support.google.com/policies/troubleshooter/9009584 of via andere middelen, zoals die door Google van tijd tot tijd kunnen worden verstrekt.

(b)De Klant erkent dat Google op grond van de Modelcontractbepalingen voor verwerkingsverantwoordelijken verplicht is bepaalde informatie vast te leggen, waaronder (i) de identiteit en contactgegevens van de gegevensimporteur (inclusief een contactpersoon die verantwoordelijk is voor gegevensbescherming), en (ii) de technische en organisatorische maatregelen die de gegevensimporteur heeft geïmplementeerd. Dienovereenkomstig verstrekt de Klant, op verzoek en voor zover van toepassing op de Klant, dergelijke informatie aan Google via de middelen die door Google kunnen worden verstrekt, en waarborgt de Klant dat alle verstrekte informatie nauwkeurig is en actueel wordt gehouden.

5.6Reacties op vragen van betrokkenen. De betreffende gegevensimporteur is verantwoordelijk voor de reactie op vragen van betrokkenen en de toezichthoudende autoriteit met betrekking tot de verwerking van de betreffende Persoonsgegevens van de verwerkingsverantwoordelijke door de gegevensimporteur.

5.7Verwijdering van Persoonsgegevens na beëindiging: Voor zover dat

(a)Google LLC optreedt als gegevensimporteur en de Klant optreedt als gegevensexporteur overeenkomstig de Modelcontractbepalingen voor verwerkingsverantwoordelijken en

(b)de Klant de Overeenkomst beëindigt overeenkomstig bepaling 16(c) van de Modelcontractbepalingen voor verwerkingsverantwoordelijken, dient de Klant in het kader van bepaling 16(d) van de Modelcontractbepalingen voor verwerkingsverantwoordelijken Google opdracht te geven de Persoonsgegevens van de verwerkingsverantwoordelijke te verwijderen. Tenzij EU-wetgeving de opslag van deze gegevens verplicht, zal Google zo snel als praktisch mogelijk zorgdragen voor deze verwijdering, voor zover deze verwijdering ook redelijkerwijs kan plaatsvinden (rekening houdend met het feit dat dat Google optreedt als onafhankelijke verwerker van dergelijke persoonsgegevens en met de aard en functionaliteit van de Services voor verwerkingsverantwoordelijken).

6.Aansprakelijkheid indien de Modelcontractbepalingen voor

verwerkingsverantwoordelijken van toepassing zijn. Als de Modelcontractbepalingen voor verwerkingsverantwoordelijken van toepassing zijn op grond van artikel 5 van deze Bijlage !A (Modelcontractbepalingen voor verwerkingsverantwoordelijken), dan is op de totale gecombineerde aansprakelijkheid van:

(a)Google, Google LLC en Google Ireland Limited jegens de Klant, en

(b)de Klant jegens Google, Google LLC en Google Ireland Limited, op grond van of in verband met de Overeenkomst in combinatie met de Modelcontractbepalingen voor verwerkingsverantwoordelijken artikel 5(Aansprakelijkheid) van toepassing. Bepaling 12 van de Modelcontractbepalingen voor verwerkingsverantwoordelijken heeft geen invloed op de voorgaande zin.

7.Begunstigde derden

Als Google LLC en/of Google Ireland Limited geen partij zijn bij de Overeenkomst, maar wel partij zijn bij de toepasselijke Modelcontractbepalingen voor verwerkingsverantwoordelijken in overeenstemming met artikel 5 (Modelcontractbepalingen voor verwerkingsverantwoordelijken) van deze Bijlage 1A, is/zijn Google LLC en/of Google Ireland Limited (zoals van toepassing) een begunstigde derde(n) van artikel 4.3, (Uiteindelijke verwerkingsverantwoordelijken), artikel 5 (Modelcontractbepalingen voor verwerkingsverantwoordelijken) en artikel 6 (Aansprakelijkheid als de Modelcontractbepalingen voor verwerkingsverantwoordelijken van toepassing zijn) van deze Bijlage 1A. Voor zover dit artikel 7 (Begunstigde derden) strijdig is met of afwijkt van een andere bepaling in de Overeenkomst, is dit artikel 7 (Begunstigde derden) van toepassing.

8. Voorrangsregeling.

8.1 Als er sprake is van strijdigheid of inconsistentie tussen de toepasselijke Modelcontractbepalingen voor verwerkingsverantwoordelijken, deze Bijlage 1A, het overige van deze Voorwaarden voor verwerkingsverantwoordelijken en de rest van de Overeenkomst, zullen de Modelcontractbepalingen voor verwerkingsverantwoordelijken voorrang hebben.

8.2Aanvullende commerciële bepalingen. Onder voorbehoud van de wijzigingen in deze Voorwaarden voor verwerkingsverantwoordelijken blijft de Overeenkomst volledig van kracht. Artikel 5.5 (Contact opnemen met Google) tot en met artikel 5.7 (Verwijdering van persoonsgegevens na beëindiging) en artikel 6 (Aansprakelijkheid als de Modelcontractbepalingen voor verwerkingsverantwoordelijken van toepassing zijn) van deze bijlage 1A zijn aanvullende commerciële bepalingen die verband houden met de Modelcontractbepalingen voor verwerkingsverantwoordelijken, zoals toegestaan op grond van bepaling 2(a) (Gevolg en onveranderlijkheid van de bepalingen) van de Modelcontractbepalinge voor verwerkingsverantwoordelijken.

8.3Geen wijziging van de Modelcontractbepalingen voor verwerkingsverantwoordelijke(n). Niets in de Overeenkomst (inclusief deze Voorwaarden voor verwerkingsverantwoordelijken) is bedoeld als aanpassing van of strijdigheid ten aanzien van Modelcontractbepalingen voor verwerkingsverantwoordelijke(n) noch als aantasting van de grondrechten of fundamentele vrijheden van betrokkenen op grond van de Europese wetgeving inzake gegevensbescherming.

DEEL B - AANVULLENDE VOORWAARDEN VOOR PRIVACYWETTEN VAN STATEN

1. Inleiding

Google kan bepaalde productinstellingen, configuraties of andere functionaliteit voor de Services van de verwerkingsverantwoordelijke met betrekking tot beperkte gegevensverwerking (ook: ‘BGV’) aanbieden en de Klant kan deze inschakelen, zoals beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, en die van tijd tot tijd wordt bijgewerkt ('Beperkte gegevensverwerking'). Deze Bijlage 1B geeft de overeenkomst weer tussen de partijen over de verwerking van Persoonsgegevens van Klanten en Gedeïdentificeerde Gegevens (zoals hieronder gedefinieerd) op grond van de Overeenkomst in verband met de Privacywetgeving van de Amerikaanse staat, en is uitsluitend van kracht voor zover elke Privacywet van de Amerikaanse staat van toepassing is.

2. Aanvullende definities en interpretatie

In deze Bijlage 1B:

(a)"Persoonsgegevens van Klant": persoonsgegevens die door Google namens Klant worden verwerkt in het kader van de levering door Google van Services voor verwerkingsverantwoordelijke.

(b)"Gedeïdentificeerde gegevens" betekent gegevensinformatie die "gedeïdentificeerd" is (zoals die term wordt gedefinieerd door de CCPA) en "gedeïdentificeerde gegevens" (zoals gedefinieerd door andere privacywetten van Amerikaanse staten), wanneer deze door de ene partij aan de andere wordt bekendgemaakt.

(c)"Instructies" betekent collectief de instructies van de Klant aan Google om Persoonsgegevens van de Klant alleen te verwerken in overeenstemming met de Privacywetgeving van de Amerikaanse staat: (a) om de BGV-Services en eventuele bijbehorende technische ondersteuning te leveren; (b) zoals verder gespecificeerd door het gebruik van de BGV-Services door de Klant (inclusief in de instellingen en andere functionaliteit van dergelijke BGV-Services) en eventuele bijbehorende technische ondersteuning; (c) zoals gedocumenteerd in de vorm van de Overeenkomst, inclusief deze Bijlage 1B; (d) zoals verder gedocumenteerd in eventuele andere schriftelijke instructies die door de Klant zijn gegeven en door Google zijn erkend als zijnde instructies voor de doeleinden van deze Bijlage 1B; en (e) om Persoonsgegevens van de Klant te verwerken zoals is toegestaan onder Privacywetten van de Amerikaanse staat voor serviceproviders en verwerkers.

(d)"BGV-Services" betekent Services voor verwerkingsverantwoordelijken die werken onder Beperkte Gegevensverwerking.

(e)"Termijn" betekent de periode vanaf de Ingangsdatum van de Voorwaarden tot het einde van de levering door Google van Services voor de verwerkingsverantwoordelijken onder de Overeenkomst.

(f) de termen "bedrijf", "consument", "persoonlijke informatie", "verkoop", "verkopen", "dienstverlener" en "delen" zoals gebruikt in deze appendix 1B hebben de betekenis die eraan wordt gegeven in de privacywetgeving van de Amerikaanse staat.

(g)De Klant is als enige aansprakelijk voor de naleving van alle Privacywetten van de Amerikaanse staat bij het gebruik van Google-services, met inbegrip van Beperkte gegevensverwerking.

3. Voorwaarden privacywetgeving VS-staat (onder Beperkte gegevensverwerking).

Met betrekking tot Persoonsgegevens van Klanten die worden verwerkt onder Beperkte Gegevensverwerking, en voor zover een of meer van de Privacywetten van de VS van toepassing zijn op de verwerking van Persoonsgegevens van Klanten:

3.1Verwerking van gegevens.

3.1.1Rollen en naleving van regelgeving; Autorisatie.

(a)Verantwoordelijkheden van verwerker en verwerkingsverantwoordelijke. De partijen erkennen en komen overeen dat:

(i)Artikel 7 (Onderwerp en details van de gegevensverwerking onder de privacywetgeving van de VS-staten) van deze Bijlage 1B beschrijft het onderwerp en de details van de verwerking van de Persoonsgegevens van de Klant;

(ii)Google is een serviceprovider en verwerker van persoonsgegevens van klanten onder de privacywetgeving van de Amerikaanse staat;

(iii)de Klant een verwerkingsverantwoordelijke of verwerker is, zoals van toepassing, van Persoonsgegevens van de Klant onder de Privacywetgeving van de Amerikaanse staat; en

(b)Klanten met een verwerker. Als de klant een verwerker is:

(i)De Klant garandeert op doorlopende basis dat de betreffende verwerkingsverantwoordelijke toestemming heeft gegeven voor: (A) de Instructies, (B) de aanstelling van Google als andere verwerker door de Klant en (C) de inschakeling van onderaannemers door Google zoals beschreven in artikel 3.6 (Onderaannemers) van deze Bijlage 1B;

(ii)De Klant zal alle kennisgevingen van Google onder artikelen 3.3.2(a) (Incidentmelding) en 3.6 (Onderaannemers) onmiddellijk doorsturen naar de relevante verwerkingsverantwoordelijke; en

(iii)De Klant kan alle informatie die Google beschikbaar heeft gesteld onder artikelen 3.3.3(c) (Auditrechten van de Klant) en 3.6 (Onderaannemers) beschikbaar stellen aan de relevante verwerkingsverantwoordelijke.

3.1.2Instructies van de Klant. Door deze Bijlage 1B aan te gaan, instrueert de Klant Google om Persoonsgegevens van de Klant uitsluitend in overeenstemming met de Instructies te verwerken.

3.1.3Naleving van de Instructies door Google. Google zal de Instructies naleven, tenzij dit verboden is onder de privacywetgeving van de Amerikaanse staat.

3.1.4 Aanvullende producten. Als de Klant een product, service of applicatie gebruikt die wordt geleverd door Google of een derde partij en die: (a) geen onderdeel is van de BGV-Services; en (b) toegankelijk is voor gebruik binnen de gebruikersinterface van de BGV-Services of anderszins geïntegreerd is met de BGV-Services (een 'Additioneel Product'), kunnen de BGV-Services dat Additionele Product toegang geven tot Persoonsgegevens van de Klant, zoals vereist voor de interoperabiliteit van het Additionele Product met de BGV-Services. Voor de duidelijkheid, deze Bijlage 1B is niet van toepassing op de verwerking van persoonsgegevens in verband met de levering van een Additioneel Product dat door de Klant gebruikt wordt, inclusief persoonsgegevens die van of naar dat Additioneel Product verzonden worden.

3.2Verwijdering van gegevens na afloop van de Termijn. De Klant instrueert Google om alle resterende Persoonsgegevens van de Klant (inclusief bestaande kopieën) aan het einde van de Termijn uit de systemen van Google te verwijderen in overeenstemming met de toepasselijke wetgeving. Google voldoet zo snel als redelijkerwijs mogelijk is aan deze instructie en binnen een periode van maximaal 180 dagen, tenzij de toepasselijke wetgeving opslag vereist.

3.3 Gegevensbeveiliging.

3.3.1Beveiligingsmaatregelen en hulp van Google.

(a)Beveiligingsmaatregelen van Google. Google implementeert en onderhoudt technische en organisatorische maatregelen om Persoonsgegevens van Klanten te beschermen tegen onbedoelde of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang ('Beveiligingsmaatregelen'). De Beveiligingsmaatregelen omvatten maatregelen om: (i) om Persoonsgegevens te coderen; (ii) om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en services van Google te helpen waarborgen; (iii) om de toegang tot Persoonsgegevens tijdig te herstellen na een incident; en (iv) voor het regelmatig testen van de effectiviteit. Google kan de Beveiligingsmaatregelen van tijd tot tijd bijwerken of wijzigen, op voorwaarde dat dergelijke updates en wijzigingen niet leiden tot een verslechtering van de algemene beveiliging van de Persoonsgegevens van de Klant.

(b)Toegang en naleving. Google zorgt ervoor dat alle personen die bevoegd zijn om Persoonsgegevens van Klanten te verwerken, zich hebben verplicht tot geheimhouding of onder een toepasselijke wettelijke geheimhoudingsplicht vallen.

(c)Hulp van Google bij beveiliging. Google zal (rekening houdend met de aard van de verwerking van de Persoonsgegevens van de Klant en de informatie waarover Google beschikt) de Klant assisteren bij het voldoen aan de verplichtingen van de Klant (of, indien de Klant een verwerker is, de desbetreffende verwerkingsverantwoordelijke) met betrekking tot de beveiliging van Persoonsgegevens en inbreuken op Persoonsgegevens, met inbegrip van de verplichtingen van de Klant (of, indien de Klant een verwerker is, de desbetreffende verwerkingsverantwoordelijke) met betrekking tot de beveiliging van persoonsgegevens en inbreuken op persoonsgegevens onder de Privacywetten van de Amerikaanse staat, door:

(i)het implementeren en onderhouden van de Beveiligingsmaatregelen in overeenstemming met artikel 3.3.1(a) (Beveiligingsmaatregelen van Google);

(ii) voldoen aan de voorwaarden van artikel 3.3.2 (Gegevensincidenten); en

(iii)de Klant te voorzien van de rechten die worden verleend onder artikel 3.3.3(c) (Auditrechten van de Klant).

3.3.2Gegevensincidenten.

(a)Incidentmelding. Als Google zich bewust wordt van een Incident met Persoonsgegevens (zoals hieronder gedefinieerd), zal Google: (i) de Klant zonder onnodige vertraging op de hoogte stellen van het Incident met Gegevens; en (ii) onmiddellijk redelijke stappen ondernemen om de schade te minimaliseren en de Persoonsgegevens van de Klant te beveiligen. In deze Bijlage 1B betekent 'Gegevensincident' een inbreuk op de beveiliging van Google die leidt tot de toevallige of onwettige vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of toegang tot Persoonsegevens van de Klant op systemen die worden beheerd door of anderszins worden beheerd door Google. Onder 'Gegevensincidenten' vallen geen mislukte pogingen of activiteiten die de beveiliging van Persoonsgegevens van Klanten niet in gevaar brengen, zoals mislukte inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.

(b)Afgifte van Kennisgeving. Google stuurt een kennisgeving van een Incident met Persoonsgegevens naar het e-mailadres dat door de Klant is opgegeven via de gebruikersinterface van de BGVServices of op een andere manier die door Google is opgegeven voor het ontvangen van bepaalde kennisgevingen van Google met betrekking tot deze Bijlage 1B ('E-mailadres voor Kennisgeving') of, naar goeddunken van Google (ook als de Klant geen E-mailadres voor Kennisgeving heeft opgegeven), door middel van andere directe communicatie (bijvoorbeeld een telefoongesprek, e-mail of een persoonlijke ontmoeting). De Klant is als enige verantwoordelijk voor het verstrekken van het E-mailadres voor Kennisgeving en dient ervoor te zorgen dat het E-mailadres voor Kennisgeving actueel en geldig is.

(c)Kennisgevingen aan derden. De Klant is als enige verantwoordelijk voor het naleven van de wetgeving met betrekking tot het melden van incidenten die van toepassing is op de Klant en voor het voldoen aan alle verplichtingen met betrekking tot het melden aan derden in verband met een Data Incident.

(d)Geen erkenning van fouten door Google. Google's kennisgeving van of reactie op een Gegevensincident onder deze artikel 3.3.2 (Gegevensincidenten) zal niet worden opgevat als een erkenning door Google van enige fout of aansprakelijkheid met betrekking tot het Gegevensincident.

3.3.3Beveiligingsverantwoordelijkheden en -beoordeling van de klant.

(a)Beveiligingsverantwoordelijkheden van de Klant. De Klant stemt ermee in dat, zonder afbreuk te doen aan de verplichtingen van Google onder artikel 3.3.1 (Beveiligingsmaatregelen en assistentie van Google) en 3.3.2 (Gegevensincidenten):

(i)De Klant is verantwoordelijk voor zijn gebruik van de BGV-Services, inclusief: (1) het gepast gebruik maken van de BGV-Services om te zorgen voor een beveiligingsniveau passend bij het risico met betrekking tot de Persoonsgegevens van de Klant; en (2) het beveiligen van de authenticatiegegevens van de account, systemen en apparaten die de Klant gebruikt om toegang te krijgen tot de BGV-Services; en

(ii)Google is niet verplicht Persoonsgegevens van de Klant te beschermen die de Klant kiest op te slaan of over te dragen buiten de systemen van Google en haar onderaannemers.

(b)Beveiligingsbeoordeling door de Klant. De Klant erkent en stemt ermee in dat de Beveiligingsmaatregelen die zijn geïmplementeerd en worden onderhouden door Google, zoals uiteengezet in de Beveiligingsbeoordeling van Google. in artikel 3.3.1(a) (Beveiligingsmaatregelen van Google) een beveiligingsniveau bieden dat geschikt is voor het risico met betrekking tot Persoonsgegevens van Klanten, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking van Persoonsgegevens van Klanten, evenals de risico's voor personen.

(c)Auditrechten van de klant.

(i)De Klant kan een audit uitvoeren om te controleren of Google zijn verplichtingen onder deze Bijlage 1B nakomt door het volgende op te vragen en te bekijken (1) een certificaat dat is afgegeven voor beveiligingsverificatie en dat het resultaat weergeeft van een audit die is uitgevoerd door een externe auditor (bijvoorbeeld een SOC 2 Type II- of ISO/IEC 27001-certificering of een vergelijkbare certificering of een andere beveiligingscertificering van een audit die is uitgevoerd door een externe auditor die is overeengekomen door de Klant en Google) binnen 12 maanden na de datum van het verzoek van de Klant en (2) alle andere informatie die Google redelijkerwijs nodig acht voor de Klant om deze naleving te verifiëren.

(ii)Als alternatief kan Google naar eigen goeddunken en naar aanleiding van een verzoek van de Klant een audit door een derde partij laten uitvoeren om te controleren of Google voldoet aan haar verplichtingen onder deze Bijlage 1B. Tijdens een dergelijke audit zal Google aan de externe auditor alle informatie beschikbaar stellen die nodig is om deze naleving aan te tonen. Wanneer de Klant om een dergelijke audit verzoekt, kan Google kosten in rekening brengen (op basis van de redelijke kosten van Google) voor een audit. Google zal de Klant voorafgaand aan een dergelijke audit voorzien van nadere informatie over de toepasselijke vergoeding en de berekeningsgrondslag. De Klant is verantwoordelijk voor alle kosten die in rekening worden gebracht door een externe auditor die door de Klant is aangesteld om een dergelijke audit uit te voeren.

(iii)Niets in deze Bijlage 1B verplicht Google om aan de Klant of zijn externe accountant bekend te maken of om de Klant of zijn externe accountant toe te staan om zijn/haar gegevens te controleren. derde partij toegang heeft:

(1)gegevens van andere klanten van een Google-entiteit;

(2) interne boekhoudkundige of financiële informatie van een Google-entiteit;

(3) een handelsgeheim van een Google Entiteit;

(4) alle informatie die, naar de redelijke mening van Google: (A) de beveiliging van de systemen of terreinen van een Google Entiteit in gevaar brengen; of (B) ervoor zorgen dat een Google Entiteit haar verplichtingen onder de Privacywetten van de Amerikaanse staat of haar beveiligings- en/of privacyverplichtingen jegens de Klant of een derde schendt; of

(5) alle informatie waartoe de Klant of zijn derde toegang probeert te krijgen om een andere reden dan het te goeder trouw voldoen aan de verplichtingen van de Klant onder de Privacywetgeving van de Amerikaanse staat.

3.4Assistentie bij effectbeoordelingen. Google zal (rekening houdend met de aard van de verwerking en de informatie waarover Google beschikt) de Klant helpen om te voldoen aan de verplichtingen van de Klant (of, indien de Klant een verwerker is, van de betreffende verwerkingsverantwoordelijke) met betrekking tot de effectbeoordelingen voor gegevensbescherming en voorafgaande raadplegingen van regelgevende instanties, voor zover vereist onder de privacywetten van de Amerikaanse staat door:

(a) het verstrekken van de Beveiligingsdocumentatie;

(b) het verstrekken van de informatie in de Overeenkomst (inclusief deze Bijlage 1B); en

(c) het leveren of anderszins beschikbaar maken, in overeenstemming met de standaardpraktijken van Google, van ander materiaal met betrekking tot de aard van de BGV-Services en de verwerking van Persoonsgegevens van Klanten (bijvoorbeeld helpcentermateriaal).

3.5Rechten van betrokkenen.

3.5.1Antwoorden op verzoeken van betrokkenen. Als Google een verzoek ontvangt van een betrokkene met betrekking tot de Persoonsgegevens van de Klant, geeft de Klant Google toestemming om, en Google stelt de Klant er hierbij van in kennis dat zij dit zal doen:

(a) direct reageren op het verzoek van de betrokkene in overeenstemming met de standaardfunctionaliteit van een (eventuele) tool die door een Google-entiteit beschikbaar is gesteld aan betrokkenen en waarmee Google direct en op gestandaardiseerde wijze kan reageren op bepaalde verzoeken van betrokkenen met betrekking tot Persoonsgegevens van Klanten (bijvoorbeeld instellingen voor online adverteren of een afmeldmogelijkheid browser plugin) ("Tool voor betrokkenen") (als het verzoek wordt gedaan via een Tool voor betrokkenen); of

(b) de betrokkene adviseren om zijn verzoek bij de Klant in te dienen, en de Klant is verantwoordelijk voor de beantwoording van een dergelijk verzoek (als het verzoek niet via een Tool voor betrokkenen is ingediend).

3.5.2Hulp bij verzoeken van Google aan betrokkenen. Google helpt de Klant bij het voldoen aan zijn verplichtingen (of, als de Klant een verwerker is, de relevante verwerkingsverantwoordelijke) onder de privacywetgeving van de Amerikaanse staat om te reageren op verzoeken om de rechten van de betrokkene uit te oefenen, waarbij in alle gevallen rekening wordt gehouden met de aard van de verwerking van de Persoonsgegevens van de Klant en door:

(a) die de functionaliteit van de BGV-Service levert;

(b) voldoen aan de verplichtingen zoals uiteengezet in artikel 3.5.1 (Antwoorden op verzoeken van betrokkenen); en

(c) indien van toepassing op de BGV-Services, het beschikbaar stellen van Tools voor betrokkenen.

3.5.3Rectificatie. Als de Klant zich ervan bewust wordt dat Persoonsgegevens van de Klant onnauwkeurig of verouderd zijn, dan is de Klant verantwoordelijk voor het rectificeren of verwijderen van deze gegevens als dit door de Privacywetgeving van de Amerikaanse staat wordt vereist, waaronder (indien beschikbaar) door gebruik te maken van de functionaliteit van de BGV-Services.

3.6Onderaannemers.

(a) De Klant machtigt Google in het algemeen om andere entiteiten als onderaannemers in te schakelen in verband met de levering van de BGV-Services. Bij het inschakelen van onderaannemers zal Google:

(i) via een schriftelijk contract garanderen dat: (1) de onderaannemer alleen toegang heeft tot Persoonsgegevens van de Klant en deze alleen gebruikt voor zover dit nodig is om de aan hem uitbestede verplichtingen uit te voeren, en dit doet in overeenstemming met de Overeenkomst (inclusief deze Bijlage 1B); en (2) als de verwerking van Persoonsgegevens van de Klant onderworpen is aan de Privacywetgeving van de Amerikaanse staat, ervoor te zorgen dat de verplichtingen inzake gegevensbescherming in deze Bijlage 1B worden opgelegd aan de onderaannemer;

(ii) bij het in dienst nemen van nieuwe onderaannemers, informatie verstrekken over dergelijke nieuwe onderaannemers waar dit vereist is volgens de privacywetgeving van de VS-staat en, waar vereist door de privacywetgeving van de VS-staat, de Klant de mogelijkheid bieden om bezwaar te maken tegen dergelijke onderaannemers; en

(iii) volledig aansprakelijk blijven voor alle verplichtingen die zijn uitbesteed aan, en alle handelingen en nalatigheden van, de onderaannemer.

(b) De Klant kan bezwaar maken tegen elke nieuwe onderaannemer door de Overeenkomst onmiddellijk te beëindigen na schriftelijke kennisgeving aan Google, op voorwaarde dat de Klant een dergelijke kennisgeving doet binnen 90 dagen nadat hij op de hoogte is gesteld van de indienstneming van de nieuwe onderaannemer zoals beschreven in artikel 3.6(a)(ii) hierin.

3.7Contact opnemen met Google. De Klant kan contact opnemen met Google met betrekking tot de uitoefening van zijn rechten onder deze Bijlage 1B via de methoden beschreven op privacy.google.com/businesses/processorsupport of via andere middelen die van tijd tot tijd door Google worden verstrekt.

4. Privacywetgeving van Amerikaanse staten

4.1Gedeïdentificeerde gegevens. Met betrekking tot Persoonsgegevens van Klanten die worden verwerkt met of zonder ingeschakelde Beperkte Gegevensverwerking, en voor zover een of meer van de Privacywetten van de Amerikaanse staat van toepassing zijn op de verwerking van Persoonsgegevens van Klanten, zal elke partij voldoen aan de vereisten voor de verwerking van Geïdentificeerde Gegevens zoals uiteengezet in de Privacywetten van de Amerikaanse staat, met betrekking tot alle Geïdentificeerde Gegevens die zij van de andere partij ontvangt op grond van de Overeenkomst. Voor de toepassing van deze artikel 4.1 (Gedeïdentificeerde Gegevens) wordt onder Persoonsgegevens van Klanten verstaan alle Persoonsgegevens die door een partij op grond van de Overeenkomst worden verwerkt in verband met de levering of het gebruik van de Diensten voor de verwerkingsverantwoordelijke.

5. Google's CCPA-verplichtingen.

5.1Met betrekking tot Persoonsgegevens van de Klant die worden verwerkt onder Beperkte Gegevensverwerking en voor zover CCPA van toepassing is op dergelijke verwerking van Persoonsgegevens van de Klant, treedt Google op als serviceprovider van de Klant en als zodanig, tenzij anderszins is toegestaan voor serviceproviders onder CCPA, zoals redelijkerwijs bepaald door Google:

(a)Google verkoopt of deelt geen Persoonsgegevens van Klanten die het van Klanten verkrijgt in verband met de Overeenkomst;

(b)Google bewaart, gebruikt of openbaart geen Persoonsgegevens van Klanten (met inbegrip van buiten de directe zakelijke relatie tussen Google en de Klant), anders dan voor een zakelijk doel onder de CCPA namens de Klant en het specifieke doel van het uitvoeren van de BGV-Services, zoals verder beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, en die van tijd tot tijd wordt bijgewerkt;

(c)Google zal Persoonsgegevens van Klanten die Google ontvangt van of namens de Klant niet combineren met (i) persoonsgegevens die Google ontvangt van of namens een andere persoon of andere personen of (ii) persoonsgegevens die zijn verzameld tijdens de interactie van Google met een consument, zoals verder beschreven in ondersteunende documentatie die beschikbaar is op business.safety.google/rdp, behalve voor zover toegestaan onder CCPA;

(d)Google verwerkt deze Persoonsgegevens van de Klant voor het specifieke doel om de BGV-Services uit te voeren, zoals verder beschreven in de Overeenkomst en ondersteunende documentatie (bijv. artikelen in het Helpcentrum), of zoals anderszins is toegestaan onder de CCPA, en de partijen komen overeen dat de Klant deze Persoonsgegevens van de Klant beschikbaar stelt aan Google voor dergelijke doeleinden;

(e) Google zal audits toestaan om de naleving door Google van haar verplichtingen onder deze Bijlage 1B te controleren in overeenstemming met artikel 3.3.3(c) (Auditrechten van de Klant) hierin;

(f)Google zal de Klant op de hoogte stellen als Google vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen. Deze artikel 5.1(f) vermindert de rechten en verplichtingen van beide partijen elders in de Overeenkomst niet;

(g)Als de Klant redelijkerwijs van mening is dat Google Persoonsgegevens van de Klant op ongeoorloofde wijze verwerkt, heeft de Klant het recht om Google hiervan op de hoogte te stellen via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport, en zullen de partijen te goeder trouw samenwerken om de vermeende inbreukmakende verwerkingsactiviteiten te verhelpen, indien nodig; en

(h)Google zal voldoen aan de toepasselijke verplichtingen onder CCPA en zal hetzelfde niveau van privacybescherming bieden als wordt vereist door CCPA.

5.2 Met betrekking tot Persoonsgegevens van Klanten die zonder Beperkte Gegevens worden verwerkt, en voor zover CCPA van toepassing is op de verwerking van Persoonsgegevens van Klanten:

(a)Google verwerkt dergelijke Persoonsgegevens van Klanten voor het specifieke doel om de Services voor de verwerkingsverantwoordelijke uit te voeren, zoals van toepassing, zoals verder beschreven in de Overeenkomst en ondersteunende documentatie (bijv. artikelen in het Helpcentrum), of zoals anderszins is toegestaan onder de CCPA, en de partijen komen overeen dat de Klant dergelijke Persoonsgegevens van Klanten beschikbaar stelt aan Google voor dergelijke doeleinden;

(b)Google zal audits toestaan om de naleving door Google van haar verplichtingen onder deze Bijlage 1B te controleren in overeenstemming met artikel 3.3.3(c) (Auditrechten van de Klant) hierin; (c) Google zal de Klant op de hoogte stellen als Google vaststelt dat het niet langer aan zijn verplichtingen onder de CCPA kan voldoen;

(d)Als de Klant redelijkerwijs van mening is dat Google Persoonsgegevens van de Klant op ongeoorloofde wijze verwerkt, heeft de Klant het recht om Google hiervan op de hoogte te stellen via de methoden die worden beschreven op privacy.google.com/businesses/processorsupport, en zullen de partijen te goeder trouw samenwerken om de vermeende inbreukmakende verwerkingsactiviteiten te verhelpen, indien nodig; en

(e)Google zal voldoen aan de toepasselijke verplichtingen onder CCPA en zal hetzelfde niveau van privacybescherming bieden als wordt vereist door CCPA.

6. Wijzigingen aan deze Bijlage 1B

In aanvulling op artikel 7 van de Voorwaarden voor verwerkingsverantwoordelijken (Wijzigingen aan deze voorwaarden voor verwerkingsverantwoordelijken), mag Google deze Bijlage 1B wijzigen zonder kennisgeving als de wijziging (a) vereist is om te voldoen aan de toepasselijke wetgeving, toepasselijke regelgeving, een rechterlijk bevel of richtlijnen en maatregelen die zijn uitgevaardigd door een regelgevende overheidsinstantie of agentschap, of (b) geen materiële negatieve impact heeft op de Klant naar Privacywetten van de Amerikaanse staat naar het redelijke oordeel van Google.

7. Betrokkene en details van de gegevensverwerking volgens de privacywetgeving van de VS Google's levering van de BGV-Services en alle gerelateerde technische ondersteuning aan de Klant.

Duur van de verwerking

De Termijn plus de periode vanaf het einde van de Termijn tot het verwijderen van alle Persoonsgegevens van de Klant door Google in overeenstemming met Bijlage 1B.

Aard en doel van de verwerking

Google zal Persoonsgegevens van de Klant verwerken (waaronder, voor zover van toepassing op de BGV-Services en de Instructies verzamelen, vastleggen, ordenen, structureren, opslaan, wijzigen, ophalen, gebruiken, bekendmaken, combineren, wissen en vernietigen) ten behoeve van het leveren van de BGV-Services en eventuele gerelateerde technische ondersteuning aan de Klant in overeenstemming met Bijlage 1B, of zoals anderszins is toegestaan door verwerkers onder Privacywetten van Amerikaanse staten.

Soorten persoonlijke gegevens

Persoonsgegevens van klanten kunnen de soorten persoonsgegevens omvatten die worden beschreven in de privacywetgeving van de Amerikaanse staat.

Categorieën van betrokkenen

Persoonsgegevens van Klanten hebben betrekking op de volgende categorieën betrokkenen:

  • betrokkenen over wie Google Persoonsgegevens verzamelt bij het leveren van de BGV-Services; en/of
  • betrokkenen over wie Persoonsgegevens worden doorgegeven aan Google in verband met de BGV-Services door, op aanwijzing van of namens de Klant.

Afhankelijk van de aard van de BGV-Services, kunnen deze betrokkenen individuen zijn: (a) aan wie online advertenties zijn of worden gericht; (b) die specifieke websites of applicaties hebben bezocht waarvoor Google de BGV-Services levert; en/of (c) die Klanten of gebruikers zijn van producten of Services van de Klant.

Voorwaarden voor gegevensbescherming als verwerkingsverantwoordelijke van Google Ads, versie 7.0

1 September 2023

Voorgaande versies: