Detta tillägg för molndatabehandling (inklusive dess bilagor, ”Tillägg") är införlivat i avtalet/avtalen (enligt definitionen nedan) mellan Google och kunden. Detta tillägg var tidigare känt som ”Databehandlings- och säkerhetsvillkor” enligt ett avtal för Google Cloud Platform, Looker (ursprungligt) eller Google SecOps-tjänster eller ”Databehandlingstillägget” enligt ett avtal för Google Workspace eller Cloud Identity.
Allmänna villkor
1. Översikt
2. Definitioner
3. Varaktighet
4. Roller; Juridisk efterlevnad
5. Databehandling
6. Radering av data
7. Datasäkerhet
8. Konsekvensbedömningar och samråd
9. Tillgång; Rättigheter för den registrerade; Dataexport
10. Platser för databehandling
11. Underbiträden
12. Team för molndataskydd; Bearbetning av register
13. Meddelanden
14. Tolkning
Bilaga 1: Ämne och detaljer kring databehandlingen
Bilaga 2: Säkerhetsåtgärder
Bilaga 3: Specifika sekretesslagar
Europeisk dataskyddslag
CCPA
Turkiet
Israel
Bilaga 4: Specifika produkter
Google Cloud-plattformen
Bare Metal-lösning (Google Cloud Platform)
Google Distribuerade molnkant (Google Cloud Platform)
Google-hanterat multimoln (Google Cloud Platform)
Google Cloud VMware Engine (Google Cloud Platform)
NetApp-volymer (Google Cloud Platform)
Google Workspace och Cloud Identity
AppSheet (Google Workspace)
Tittare (original)
SecOps-tjänster
Allmänna villkor
Detta tillägg beskriver parternas skyldigheter, inklusive enligt tillämpliga lagar om integritet, datasäkerhet och dataskydd, med avseende på behandling och säkerhet av kunddata (enligt definitionen nedan). Detta tillägg träder i kraft på tilläggets ikraftträdandedatum (enligt definitionen nedan) och ersätter alla villkor som tidigare gällde för behandling och säkerhet av kunddata. Termer med versaler som används men inte definieras i detta tillägg har den betydelse som anges i avtalet.
2.1 I detta tillägg:
2.2 Termerna ”personuppgifter”, ”registrerad”, ”behandling”, ”registeransvarig” och ”personuppgiftsbehandlare” som används i detta tillägg har den betydelse som anges i tillämplig integritetslagstiftning eller, i avsaknad av sådan betydelse eller lag, i EU:s GDPR.
2.3 Termerna ”registrerad”, ”registeransvarig” och ”personuppgiftsbehandlare” inkluderar ”konsument”, ”företag” respektive ”tjänsteleverantör”, i enlighet med gällande integritetslagstiftning.
Oavsett om det tillämpliga avtalet har upphört eller löpt ut, ska detta tillägg förbli i kraft tills, och automatiskt upphöra att gälla när, Google raderar all kunddata enligt beskrivningen i detta tillägg.
4.1 Parternas roller. Google är personuppgiftsbehandlare och Kunden är personuppgiftsansvarig eller personuppgiftsbehandlare, beroende på vad som är tillämpligt, för Kundens personuppgifter.
4.2 Bearbetningssammanfattning. Ämnet för och detaljerna kring behandlingen av Kundens Personuppgifter beskrivs i Bilaga 1 (Ämnet för och detaljer kring behandlingen).
4.3 Efterlevnad av lag. Varje part ska uppfylla sina skyldigheter avseende behandlingen av kunders personuppgifter enligt tillämplig integritetslagstiftning.
4.4 Ytterligare juridiska villkor. I den utsträckning behandlingen av Kundens Personuppgifter omfattas av en Tillämplig Sekretesslag som beskrivs i Bilaga 3 (Specifika Sekretesslagar), ska motsvarande villkor i Bilaga 3 tillämpas utöver dessa Allmänna Villkor och ha företräde enligt beskrivningen i Avsnitt 14.1 (Företräde).
5.1 Processorkunder. Om kunden är en personuppgiftsbehandlare:
en. Kunden garanterar löpande att relevant personuppgiftsansvarig har godkänt:
jag. instruktionerna;
ii. Kundens engagemang av Google som ytterligare personuppgiftsbehandlare; och.
iii. Googles anlitande av underleverantörer enligt beskrivningen i avsnitt 11 (Underleverantörer);
b. Kunden ska omedelbart och utan onödigt dröjsmål vidarebefordra alla meddelanden som Google lämnat enligt avsnitt 7.2.1 (Incidentmeddelande), 9.2.1 (Ansvar för begäranden) eller 11.4 (Möjlighet att invända mot underleverantörer) till relevant personuppgiftsansvarig. och
c. Kunden får tillhandahålla relevant personuppgiftsansvarig all annan information som Google gör tillgänglig enligt detta tillägg om Googles datacenters platser eller underleverantörers namn, platser och aktiviteter.
5.2 Efterlevnad av kundens instruktioner. Kunden instruerar Google att behandla kunddata i enlighet med tillämpligt avtal (inklusive detta tillägg) och tillämplig lag endast enligt följande:
en. för att tillhandahålla, säkra och övervaka Tjänsterna och TSS; och
b. som vidare specificerats via:
jag Kundens användning av Tjänsterna (inklusive via Admin Console) och TSS; och
ii. andra skriftliga instruktioner som Kunden har gett och som Google har godkänt som instruktioner enligt detta Tillägg
(gemensamt kallade ”Instruktionerna”).
Google kommer att följa instruktionerna om det inte är förbjudet enligt europeisk lag, där europeisk dataskyddslag gäller, eller förbjudet enligt tillämplig lag, där annan tillämplig integritetslag gäller.
6.1 Borttagning av kund. Google kommer att göra det möjligt för Kunden att radera Kunddata under Avtalstiden på ett sätt som överensstämmer med Tjänsternas funktionalitet. Om Kunden använder Tjänsterna för att radera Kunddata under Avtalstiden och Kunden inte kan återställa dessa Kunddata, utgör denna användning en Instruktion till Google att radera relevant Kunddata från Googles system i enlighet med tillämplig lag. Google kommer att följa denna instruktion så snart som det är rimligen möjligt och inom en period av högst 180 dagar, såvida inte europeisk lag kräver lagring, där europeisk dataskyddslag gäller, eller tillämplig lag kräver lagring, där annan tillämplig integritetslag gäller.
6.2 Återgå eller radera när terminen slutar. Om Kunden önskar behålla Kunddata efter att Avtalstiden löpt ut, kan Kunden instruera Google i enlighet med Avsnitt 9.1 (Åtkomst; Rättelse; Begränsad Behandling; Portabilitet) att återlämna dessa uppgifter under Avtalstiden. I enlighet med avsnitt 6.3 (Instruktion för uppskjuten radering) instruerar kunden Google att radera all återstående kunddata (inklusive befintliga kopior) från Googles system vid slutet av avtalet i enlighet med tillämplig lag. Efter en återhämtningsperiod på upp till 30 dagar från det datumet kommer Google att följa denna instruktion så snart som det är rimligen möjligt och inom en maximal period på 180 dagar, såvida inte europeisk lag kräver lagring, där europeisk dataskyddslag gäller, eller tillämplig lag kräver lagring, där annan tillämplig integritetslag gäller.
6.3. Instruktion för uppskjuten radering. I den utsträckning Kunddata som omfattas av raderingsinstruktionen som beskrivs i avsnitt 6.2 (Retur eller radering när avtalet löper ut) också behandlas, när den tillämpliga perioden enligt avsnitt 6.2 löper ut, i förhållande till ett avtal med en fortlöpande period, kommer en sådan raderingsinstruktion att träda i kraft avseende sådana Kunddata först när den fortlöpande perioden löper ut. För tydlighetens skull kommer detta tillägg att fortsätta gälla för sådan kunddata tills Google raderar den.
7.1 Googles säkerhetsåtgärder, kontroller och assistans.
7.1.1 Googles säkerhetsåtgärder. Google kommer att implementera och upprätthålla tekniska, organisatoriska och fysiska åtgärder för att skydda kunddata mot oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande eller åtkomst enligt beskrivningen i bilaga 2 (Säkerhetsåtgärder) (den "Säkerhetsåtgärder").
7.1.2 Åtkomst och efterlevnad. Google vill ha:
en. ge sina anställda, entreprenörer och underbiträden tillstånd att få åtkomst till kunddata endast i den utsträckning det är absolut nödvändigt för att följa instruktionerna;
b. vidta lämpliga åtgärder för att säkerställa att säkerhetsåtgärderna efterlevs av sina anställda, entreprenörer och underleverantörer i den utsträckning som är tillämpligt för deras prestationsomfattning; och
c. säkerställa att alla personer som är behöriga att behandla kunddata har tystnadsplikt.
7.1.3 Ytterligare säkerhetskontroller. Google kommer att göra ytterligare säkerhetskontroller tillgängliga för:
en. tillåta Kunden att vidta åtgärder för att säkra Kunddata; och
b. förse kunden med information om hur man säkrar, får åtkomst till och använder kunddata.
7.1.4 Googles säkerhetshjälp. Google kommer (med beaktande av arten av behandlingen av Kundens personuppgifter och den information som är tillgänglig för Google) att hjälpa Kunden att säkerställa att dess (eller, om Kunden är personuppgiftsbehandlare, den relevanta personuppgiftsansvariges) skyldigheter avseende säkerhets- och personuppgiftsintrång enligt tillämplig integritetslagstiftning efterlevs genom att:
en. implementera och upprätthålla säkerhetsåtgärderna i enlighet med avsnitt 7.1.1 (Googles säkerhetsåtgärder);
b. göra ytterligare säkerhetskontroller tillgängliga i enlighet med avsnitt 7.1.3 (Ytterligare säkerhetskontroller);
c. följa villkoren i avsnitt 7.2 (Dataincidenter);
d. tillgängliggöra säkerhetsdokumentationen i enlighet med avsnitt 7.5.1 (Granskningar av säkerhetsdokumentation) och tillhandahålla informationen i det tillämpliga avtalet (inklusive detta tillägg); och
e. om underavsnitten (a)-(d) ovan är otillräckliga för att Kunden (eller relevant personuppgiftsansvarig) ska kunna uppfylla sådana skyldigheter, på Kundens begäran ge Kunden ytterligare rimligt samarbete och bistånd.
7.2 Dataincidenter.
7.2.1 Incidentmeddelande. Google kommer att meddela Kunden omedelbart och utan onödigt dröjsmål efter att ha blivit medveten om en Dataincident, och omedelbart vidta rimliga åtgärder för att minimera skada och säkra Kundens Data.
7.2.2 Detaljer om dataincidenten. Googles meddelande om en dataincident kommer att beskriva: dataincidentens art inklusive de kundresurser som påverkas; de åtgärder som Google har vidtagit, eller planerar att vidta, för att hantera dataincidenten och minska dess potentiella risk; de åtgärder, om några, som Google rekommenderar att Kunden vidtar för att åtgärda Dataincidenten; och information om en kontaktpunkt där mer information kan erhållas. Om det inte är möjligt att tillhandahålla all sådan information samtidigt kommer Googles första meddelande att innehålla den information som då är tillgänglig och ytterligare information kommer att tillhandahållas utan onödigt dröjsmål när den blir tillgänglig.
7.2.3 Ingen bedömning av kunddata av Google. Google har ingen skyldighet att bedöma kunddata för att identifiera information som omfattas av några specifika rättsliga krav.
7.2.4 Inget erkännande av fel från Googles sida. Googles anmälan om eller svar på en dataincident enligt detta avsnitt 7.2 (Dataincidenter) ska inte tolkas som ett erkännande från Googles sida av något fel eller ansvar avseende dataincidenten.
7.3 Kundens säkerhetsansvar och bedömning.
7.3.1 Kundens säkerhetsansvar. Utan att det påverkar Googles skyldigheter enligt avsnitt 7.1 (Googles säkerhetsåtgärder, kontroller och assistans) och 7.2 (Dataincidenter), och på andra ställen i tillämpligt avtal, ansvarar Kunden för sin användning av Tjänsterna och sin lagring av eventuella kopior av Kunddata utanför Googles eller Googles underleverantörers system, inklusive:
en. använda Tjänsterna och Ytterligare Säkerhetskontroller för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för Kunddata;
b. säkra kontoautentiseringsuppgifterna, systemen och enheterna som kunden använder för att få åtkomst till tjänsterna; och
c. säkerhetskopiera eller behålla kopior av sina kunddata i förekommande fall.
7.3.2 Kundens säkerhetsbedömning. Kunden samtycker till att Tjänsterna, Säkerhetsåtgärderna, Ytterligare Säkerhetskontroller och Googles åtaganden enligt detta Avsnitt 7 (Datasäkerhet) ger en säkerhetsnivå som är lämplig i förhållande till risken för Kunddata (med hänsyn till aktuell teknik, implementeringskostnaderna och arten, omfattningen, sammanhanget och syftena med behandlingen av Kunddata samt riskerna för individer).
7.4 Efterlevnadscertifieringar och SOC-rapporter. Google kommer att upprätthålla åtminstone följande för de granskade tjänsterna för att verifiera säkerhetsåtgärdernas fortsatta effektivitet:
en. certifikat för ISO 27001 och eventuella ytterligare certifieringar som beskrivs i bilaga 4 (Specifika produkter) (”Efterlevnadscertifieringar”); och
b. SOC 2- och SOC 3-rapporter som produceras av Googles tredjepartsrevisor och uppdateras årligen baserat på en revision som utförs minst en gång var 12:e månad (”SOC-rapporterna”).
Google kan komma att lägga till standarder när som helst. Google kan ersätta en efterlevnadscertifiering eller SOC-rapport med ett likvärdigt eller förbättrat alternativ.
7.5 Granskningar och revisioner av efterlevnad.
7.5.1 Recensioner av säkerhetsdokumentation. För att visa att Google uppfyller sina skyldigheter enligt detta tillägg kommer Google att göra säkerhetsdokumentationen tillgänglig för granskning av kunden och, om kunden är personuppgiftsbehandlare, tillåta kunden att begära åtkomst till SOC-rapporterna för relevant personuppgiftsansvarig i enlighet med avsnitt 7.5.3 (Ytterligare affärsvillkor för granskningar och revisioner).
7.5.2 Kundens granskningsrättigheter.
en. Kundgranskning. Google kommer, om det krävs enligt tillämplig integritetslagstiftning, att tillåta Kunden eller en oberoende revisor som utsetts av Kunden att genomföra revisioner (inklusive inspektioner) för att verifiera Googles efterlevnad av sina skyldigheter enligt detta tillägg i enlighet med avsnitt 7.5.3 (Ytterligare affärsvillkor för granskningar och revisioner). Under en revision ska Google samarbeta på ett rimligt sätt med Kunden eller dess revisor enligt beskrivningen i avsnitt 7.5 (Granskningar och revisioner av efterlevnad).
b. Kundoberoende granskning. Kunden kan genomföra en granskning för att verifiera Googles efterlevnad av sina skyldigheter enligt detta tillägg genom att granska säkerhetsdokumentationen (som återspeglar resultatet av granskningar som utförts av Googles tredjepartsrevisor).
7.5.3 Ytterligare affärsvillkor för granskningar och revisioner.
en. Kunden måste kontakta Googles team för molndataskydd för att begära:
jag åtkomst till SOC-rapporterna för en relevant registeransvarig enligt avsnitt 7.5.1 (Granskningar av säkerhetsdokumentation); eller
ii. en revision enligt avsnitt 7.5.2(a) (Kundrevision).
b. Efter en kundförfrågan enligt avsnitt 7.5.3(a) ska Google och kunden diskutera och komma överens i förväg om:
jag. säkerhets- och sekretessåtgärder som gäller för all åtkomst till SOC-rapporterna av en relevant registeransvarig enligt avsnitt 7.5.1 (Granskningar av säkerhetsdokumentation); och
ii. rimligt startdatum, omfattning och varaktighet för samt säkerhets- och sekretesskontroller som gäller för alla revisioner enligt avsnitt 7.5.2(a) (Kundrevision).
c. Google kan ta ut en avgift (baserad på Googles rimliga kostnader) för alla revisioner enligt avsnitt 7.5.2(a) (Kundrevision). Google kommer att förse kunden med ytterligare information om eventuella tillämpliga avgifter och grunden för dess beräkning i förväg innan en sådan granskning genomförs. Kunden ansvarar för eventuella avgifter som debiteras av revisorer som utsetts av Kunden för att utföra sådan revision.
d. Google kan skriftligen invända mot en revisor som utsetts av Kunden för att utföra en revision enligt Avsnitt 7.5.2(a) (Kundrevision) om revisorn, enligt Googles rimliga uppfattning, inte är lämpligt kvalificerad eller oberoende, en konkurrent till Google eller på annat sätt uppenbart olämplig. Alla sådana invändningar från Google kräver att Kunden utser en annan revisor eller utför granskningen själv.
e. Alla kundförfrågningar enligt bilaga 3 (Specifika sekretesslagar) eller bilaga 4 (Specifika produkter) om åtkomst till SOC-rapporter för en relevant personuppgiftsansvarig eller för revisioner kommer också att omfattas av detta avsnitt 7.5.3 (Ytterligare affärsvillkor för granskningar och revisioner).
Google kommer (med beaktande av behandlingens art och den information som är tillgänglig för Google) att hjälpa Kunden att säkerställa att dess (eller, om Kunden är en personuppgiftsbehandlare, den relevanta personuppgiftsansvariges) skyldigheter avseende dataskyddsbedömningar, riskbedömningar, föregående samråd med myndigheter eller motsvarande förfaranden enligt tillämplig integritetslagstiftning efterlevs genom att:
en. att göra ytterligare säkerhetskontroller tillgängliga i enlighet med avsnitt 7.1.3 (Ytterligare säkerhetskontroller) och säkerhetsdokumentationen tillgänglig i enlighet med avsnitt 7.5.1 (Granskningar av säkerhetsdokumentation);
b. tillhandahålla informationen i det tillämpliga avtalet (inklusive detta tillägg); och
c. om underavsnitten (a) och (b) ovan är otillräckliga för att Kunden (eller relevant personuppgiftsansvarig) ska kunna uppfylla sådana skyldigheter, på Kundens begäran ge Kunden ytterligare rimligt samarbete och bistånd.
9.1 Tillträde; Rättelse; Begränsad behandling; Bärbarhet. Under Avtalstiden kommer Google, på ett sätt som överensstämmer med Tjänsternas funktionalitet, att göra det möjligt för Kunden att få åtkomst till, korrigera och begränsa behandlingen av Kunddata, inklusive via den raderingsfunktion som tillhandahålls av Google enligt beskrivningen i avsnitt 6.1 (Radering av Kunden), och att exportera Kunddata. Om Kunden blir medveten om att Kundens personuppgifter är felaktiga eller föråldrade, ansvarar Kunden för att använda sådan funktion för att rätta eller radera dessa uppgifter om det krävs enligt tillämplig integritetslagstiftning.
9.2 Begäran från registrerade.
9.2.1 Ansvar för förfrågningar. Om Googles molndataskyddsteam under perioden tar emot en begäran från en registrerad person som rör kundens personuppgifter och identifierar kunden, kommer Google att:
en. råda den registrerade att skicka in sin begäran till Kunden;
b. omedelbart meddela kunden; och
c. inte på annat sätt svara på den registrerades begäran utan tillstånd från Kunden.
Kunden ansvarar för att svara på sådana förfrågningar, inklusive, vid behov, genom att använda Tjänsternas funktioner.
9.2.2 Googles hjälp med begäran om dataskydd. Google kommer (med beaktande av arten av behandlingen av Kundens personuppgifter) att hjälpa Kunden att uppfylla sina (eller, om Kunden är personuppgiftsbehandlare, den relevanta personuppgiftsansvariges) skyldigheter enligt Tillämplig integritetslagstiftning att svara på begäran om att utöva den registrerades rättigheter genom att:
en. göra ytterligare säkerhetskontroller tillgängliga i enlighet med avsnitt 7.1.3 (Ytterligare säkerhetskontroller);
b. följa avsnitt 9.1 (Åtkomst; Rättelse; Begränsad behandling; Portabilitet) och 9.2.1 (Ansvar för begäranden); och
c. om underavsnitten (a) och (b) ovan är otillräckliga för att Kunden (eller relevant personuppgiftsansvarig) ska kunna uppfylla sådana skyldigheter, på Kundens begäran ge Kunden ytterligare rimligt samarbete och bistånd.
10.1 Datalagrings- och bearbetningsanläggningar. Med förbehåll för Googles åtaganden gällande dataplats enligt de tjänstespecifika villkoren och åtaganden gällande dataöverföring enligt bilaga 3 (specifika sekretesslagar), om tillämpligt, kan kunddata behandlas i alla länder där Google eller dess underleverantörer har anläggningar.
10.2 Information om datacenter. Platserna för Googles datacenter beskrivs i bilaga 4 (Specifika produkter).
11.1 Samtycke till anlitande av underbiträden. Kunden godkänner uttryckligen Googles engagemang som underbiträden för de enheter som anges i avsnitt 11.2 (Information om underbiträden) från och med tilläggets ikraftträdandedatum. Utan att det påverkar tillämpningen av avsnitt 11.4 (Möjlighet att invända mot underleverantörer) godkänner Kunden generellt sett Googles anlitande av andra tredje parter som underleverantörer (”Nya underleverantörer”).
11.2 Information om underleverantörer. Namn, platser och aktiviteter för underleverantörer beskrivs i bilaga 4 (Specifika produkter).
11.3 Krav för engagemang av underbiträden. När Google anlitar en underleverantör kommer företaget att:
en. säkerställa genom ett skriftligt avtal att:
jag Underbiträdet får endast tillgång till och använder Kunddata i den utsträckning det krävs för att fullgöra de skyldigheter som givits underleverantören, och gör det i enlighet med tillämpligt Avtal (inklusive detta Tillägg); och
ii. om det krävs enligt tillämpliga integritetslagar, åläggs underleverantören de dataskyddsskyldigheter som beskrivs i detta tillägg (vilket kan beskrivas ytterligare i bilaga 3 (Specifika integritetslagar)); och
b. förbli fullt ansvariga för alla skyldigheter som läggs ut på underleverantörsleverantören, och alla handlingar och underlåtenheter från underleverantörens sida.
11.4 Möjlighet att invända mot underleverantörer.
en. När Google anlitar en ny underleverantör under Avtalstiden kommer Google, minst 30 dagar innan den nya underleverantören börjar behandla kunddata, att meddela kunden om uppdraget (inklusive den nya underleverantörens namn, plats och aktiviteter).
b. Kunden kan, inom 90 dagar efter att ha underrättats om anlitandet av en ny underleverantör, invända genom att omedelbart säga upp det tillämpliga avtalet för enkelhets skull:
jag i enlighet med bestämmelserna om uppsägning av bekvämlighetsskäl i det avtalet; eller
ii. om det inte finns någon sådan bestämmelse, genom att meddela Google.
12.1 Team för molndataskydd. Googles team för molndataskydd kommer att ge snabb och rimlig hjälp med alla kundfrågor som rör behandling av kunddata enligt tillämpligt avtal och kan kontaktas enligt beskrivningen i avsnittet Meddelanden i tillämpligt avtal eller i bilaga 4 (Specifika produkter).
12.2 Googles bearbetningsregister. Google kommer att behålla lämplig dokumentation av sina behandlingsaktiviteter i enlighet med gällande integritetslagstiftning. I den utsträckning tillämplig integritetslag kräver att Google samlar in och underhåller register över viss information som rör Kunden, ska Kunden använda Administratörskonsolen eller andra metoder som anges i Bilaga 4 (Specifika Produkter) för att tillhandahålla sådan information och hålla den korrekt och uppdaterad. Google kan komma att göra sådan information tillgänglig för behöriga tillsynsmyndigheter, inklusive en tillsynsmyndighet, om det krävs enligt tillämplig integritetslag.
12.3 Kontrollantförfrågningar. Om Googles molndataskyddsteam under perioden tar emot en begäran eller instruktion från en tredje part som påstås vara registeransvarig för kundens personuppgifter, kommer Google att råda den tredje parten att kontakta kunden.
Meddelanden enligt detta tillägg (inklusive meddelanden om eventuella dataincidenter) kommer att levereras till e-postadressen för meddelanden. Kunden ansvarar för att använda administratörskonsolen för att säkerställa att dess e-postadress för aviseringar förblir aktuell och giltig.
14.1 Företräde. I den mån det uppstår en konflikt mellan:
en. Bilaga 3 (Specifika sekretesslagar) och resten av tillägget (inklusive bilaga 4 (Specifika produkter)), bilaga 3 ska ha företräde; och
b. Bilaga 4 (Specifika produkter) och resten av tillägget (exklusive bilaga 3), bilaga 4 ska ha företräde; och
c. detta Tillägg och resten av Avtalet, ska detta Tillägg ha företräde.
För tydlighetens skull, om Kunden har mer än ett Avtal, kommer detta Tillägg att ändra vart och ett av Avtalen separat.
14.2 Avsnittsreferenser. Om inget annat anges hänvisar avsnittshänvisningar i bilagor till detta tillägg till avsnitt i de allmänna villkoren i tillägget.
Ämnesinnehåll
Googles tillhandahållande av Tjänsterna och TSS till Kunden.
Bearbetningens varaktighet
Avtalstiden plus perioden från slutet av Avtalstiden till dess att Google raderar all kunddata i enlighet med detta tillägg.
Behandlingens art och syfte
Google kommer att behandla Kundens personuppgifter i syfte att tillhandahålla Tjänsterna och TSS till Kunden i enlighet med detta Tillägg.
Kategorier av data
Data som rör individer som tillhandahållits Google via Tjänsterna, av (eller på uppdrag av) Kunden eller av dess Slutanvändare.
Registrerade personer
Registrerade personer inkluderar de individer om vilka data lämnas till Google via Tjänsterna av (eller på uppdrag av) Kunden eller av dess Slutanvändare.
Från och med tilläggets ikraftträdandedatum kommer Google att implementera och upprätthålla de säkerhetsåtgärder som beskrivs i denna bilaga 2.
1. Datacenter- och nätverkssäkerhet
(a) Datacenter.
Infrastruktur. Google underhåller geografiskt spridda datacenter. Google lagrar all produktionsdata i fysiskt säkra datacenter.
Redundans. Infrastruktursystem har utformats för att eliminera enskilda felpunkter och minimera effekterna av förväntade miljörisker. Dubbla kretsar, switchar, nätverk eller andra nödvändiga enheter hjälper till att tillhandahålla denna redundans. Tjänsterna är utformade för att göra det möjligt för Google att utföra vissa typer av förebyggande och korrigerande underhåll utan avbrott. All miljöutrustning och alla anläggningar har dokumenterade förebyggande underhållsrutiner som i detalj specificerar processen och frekvensen av utförande i enlighet med tillverkarens eller interna specifikationer. Förebyggande och korrigerande underhåll av datacenterutrustningen schemaläggs genom en standardiserad förändringsprocess enligt dokumenterade procedurer.
driva. Datacentrets elsystem är utformade för att vara redundanta och underhållsbara utan att påverka kontinuerlig drift, 24 timmar om dygnet, 7 dagar i veckan. I de flesta fall tillhandahålls en primär såväl som en alternativ strömkälla, båda med samma kapacitet, för kritiska infrastrukturkomponenter i datacentret. Reservkraft tillhandahålls av olika mekanismer, såsom avbrottsfria strömförsörjningsbatterier (UPS), som ger ett konsekvent tillförlitligt strömskydd vid strömavbrott, strömavbrott, överspänning, underspänning och frekvensförhållanden utanför toleransgränserna. Om strömmen avbryts är reservkraften utformad för att ge tillfällig ström till datacentret, med full kapacitet, i upp till 10 minuter tills reservgeneratorsystemen tar över. Reservgeneratorerna kan starta automatiskt inom några sekunder för att ge tillräckligt med nödström för att driva datacentret med full kapacitet, vanligtvis under en period av dagar.
Serveroperativsystem. Googles servrar använder en Linux-baserad implementering som är anpassad för applikationsmiljön. Data lagras med hjälp av proprietära algoritmer för att öka datasäkerhet och redundans.
Kodkvalitet. Google använder en kodgranskningsprocess för att öka säkerheten för koden som används för att tillhandahålla Tjänsterna och förbättra säkerhetsprodukterna i produktionsmiljöer.
Verksamhetskontinuitet. Google har utformat och planerar och testar regelbundet sina program för planering av affärskontinuitet/katastrofåterställning.
(b) Nätverk och överföring.
Dataöverföring. Datacenter är vanligtvis anslutna via privata höghastighetslänkar för att ge säker och snabb dataöverföring mellan datacenter. Detta är utformat för att förhindra att data läses, kopieras, ändras eller tas bort utan tillstånd under elektronisk överföring eller transport eller medan de registreras på datalagringsmedia. Google överför data via standardprotokoll för internet.
Extern attackyta. Google använder flera lager av nätverksenheter och intrångsdetektering för att skydda sin externa attackyta. Google beaktar potentiella attackvektorer och integrerar lämpliga specialbyggda tekniker i externa system.
Intrångsdetektering. Intrångsdetektering är avsett att ge insikt i pågående attackaktiviteter och tillhandahålla tillräcklig information för att reagera på incidenter. Googles intrångsdetektering innebär: (i) noggrann kontroll av storleken och sammansättningen av Googles attackyta genom förebyggande åtgärder; (ii) använda intelligenta detekteringskontroller vid datainmatningspunkter; och (iii) använda teknik som automatiskt avhjälper vissa farliga situationer.
Händelserespons. Google övervakar en mängd olika kommunikationskanaler för säkerhetsincidenter, och Googles säkerhetspersonal kommer att reagera snabbt på kända incidenter.
Krypteringstekniker. Google erbjuder HTTPS-kryptering (även kallad SSL- eller TLS-anslutning). Googles servrar stöder kryptografiskt nyckelutbyte med Diffie-Hellman-kryptografi med kortlivad elliptisk kurva, signerat med RSA och ECDSA. Dessa metoder för perfekt forward secrecy (PFS) hjälper till att skydda trafik och minimera effekterna av en komprometterad nyckel eller ett kryptografiskt genombrott.
2. Åtkomst- och platskontroller
(a) Webbplatskontroller.
Säkerhetsdrift i datacenter på plats. Googles datacenter har en säkerhetsavdelning på plats som ansvarar för alla säkerhetsfunktioner i det fysiska datacentret dygnet runt, alla dagar i veckan. Säkerhetspersonalen på plats övervakar övervakningskameror (CCTV) och alla larmsystem. Säkerhetspersonal på plats utför regelbundet interna och externa patruller av datacentret.
Åtkomstprocedurer för datacenter. Google upprätthåller formella åtkomstprocedurer för att tillåta fysisk åtkomst till datacentren. Datacentren är inrymda i anläggningar som kräver elektronisk kortnyckelåtkomst, med larm som är kopplade till säkerhetsverksamheten på plats. Alla besökare i datacentret måste identifiera sig och visa upp identitet för säkerhetspersonalen på plats. Endast behöriga anställda, entreprenörer och besökare har tillträde till datacentren. Endast behöriga anställda och entreprenörer får begära elektronisk åtkomst med kortnyckel till dessa anläggningar. Begäran om åtkomst till elektroniska kortnyckelkort i datacentret måste göras via e-post och kräver godkännande av begärandens chef och datacenterchefen. Alla andra deltagare som behöver tillfällig åtkomst till datacenter måste: (i) i förväg få godkännande från datacentercheferna för det specifika datacenter och de interna områden de önskar besöka; (ii) logga in vid säkerhetsfunktioner på plats; och (iii) hänvisa till en godkänd åtkomstpost för datacenter som identifierar individen som godkänd.
Säkerhetsenheter för datacenter på plats. Googles datacenter använder ett dubbelt autentiseringssystem för åtkomstkontroll som är kopplat till ett systemlarm. Åtkomstkontrollsystemet övervakar och registrerar varje individs elektroniska kortnyckel och när de har åtkomst till perimeterdörrar, leverans och mottagning samt andra kritiska områden. Obehörig aktivitet och misslyckade åtkomstförsök loggas av åtkomstkontrollsystemet och utreds vid behov. Auktoriserad åtkomst i hela affärsverksamheten och datacentren är begränsad baserat på zoner och individens arbetsuppgifter. Branddörrarna på datacentren är larmade. CCTV-kameror är i drift både inom och utanför datacentren. Kamerornas placering har utformats för att täcka strategiska områden, inklusive bland annat omkretsen, dörrar till datacenterbyggnaden och leverans/mottagning. Säkerhetspersonal på plats hanterar CCTV-övervaknings-, inspelnings- och styrutrustningen. Säkra kablar i hela datacentren ansluter CCTV-utrustningen. Kameror spelar in på plats via digitala videoinspelare dygnet runt, alla dagar i veckan. Övervakningsjournalerna sparas i upp till 30 dagar baserat på aktivitet.
(b) Åtkomstkontroll.
Personal för infrastruktursäkerhet. Google har, och upprätthåller, en säkerhetspolicy för sin personal och kräver säkerhetsutbildning som en del av utbildningspaketet för sin personal. Googles personal för infrastruktursäkerhet ansvarar för den löpande övervakningen av Googles säkerhetsinfrastruktur, granskningen av Tjänsterna och hanteringen av säkerhetsincidenter.
Åtkomstkontroll och privilegiumhantering. Kundens administratörer och slutanvändare måste autentisera sig via ett centralt autentiseringssystem eller via ett system för enkel inloggning för att kunna använda Tjänsterna.
Interna processer och policyer för dataåtkomst – Åtkomstpolicy. Googles interna processer och policyer för dataåtkomst är utformade för att förhindra att obehöriga personer och system får åtkomst till system som används för att behandla kunddata. Google utformar sina system för att (i) endast tillåta behöriga personer att få åtkomst till data som de har behörighet att få åtkomst till; och (ii) säkerställa att kunddata inte kan läsas, kopieras, ändras eller tas bort utan tillstånd under bearbetning, användning och efter inspelning. Systemen är utformade för att upptäcka otillbörlig åtkomst. Google använder ett centraliserat åtkomsthanteringssystem för att kontrollera personalens åtkomst till produktionsservrar och ger endast åtkomst till ett begränsat antal behöriga personer. Googles autentiserings- och auktoriseringssystem använder SSH-certifikat och säkerhetsnycklar och är utformade för att ge Google säkra och flexibla åtkomstmekanismer. Dessa mekanismer är utformade för att endast bevilja godkända åtkomsträttigheter till webbplatsvärdar, loggar, data och konfigurationsinformation. Google kräver användning av unika användar-ID:n, starka lösenord, tvåfaktorsautentisering och noggrant övervakade åtkomstlistor för att minimera risken för obehörig kontoanvändning. Beviljande eller ändring av åtkomsträttigheter baseras på: den behöriga personalens arbetsuppgifter; arbetsuppgifter som är nödvändiga för att utföra auktoriserade uppgifter; och en grund för behov av att veta. Beviljande eller ändring av åtkomsträttigheter måste också ske i enlighet med Googles interna policyer och utbildning för dataåtkomst. Godkännanden hanteras av arbetsflödesverktyg som upprätthåller granskningsregister över alla ändringar. Åtkomst till system loggas för att skapa en revisionslogg för ansvarsskyldighet. Där lösenord används för autentisering (t.ex. inloggning på arbetsstationer) implementeras lösenordspolicyer som följer åtminstone branschstandardpraxis. Dessa standarder inkluderar begränsningar för återanvändning av lösenord och tillräcklig lösenordsstyrka. För åtkomst till extremt känslig information (t.ex. kreditkortsuppgifter) använder Google hårdvarutokens.
3. Uppgifter
(a) Datalagring, isolering och loggning. Google lagrar data i en miljö med flera hyresgäster på Google-ägda servrar. Med förbehåll för eventuella instruktioner som anger annat (t.ex. i form av val av dataplats) replikerar Google kunddata mellan flera geografiskt spridda datacenter. Google isolerar också logiskt kunddata. Kunden kommer att få kontroll över specifika policyer för datadelning. Dessa policyer, i enlighet med Tjänsternas funktionalitet, gör det möjligt för Kunden att bestämma de produktdelningsinställningar som gäller för dess Slutanvändare för specifika ändamål. Kunden kan välja att använda loggningsfunktioner som Google tillhandahåller via Tjänsterna.
(b) Policy för avaktiverade diskar och diskradering. Diskar som innehåller data kan drabbas av prestandaproblem, fel eller hårdvarufel som leder till att de tas ur bruk (”Avaktiverad disk”). Varje avaktiverad disk genomgår en serie dataförstöringsprocesser (”policyn för diskradering”) innan den lämnar Googles lokaler, antingen för återanvändning eller förstörelse. Avaktiverade diskar raderas i en flerstegsprocess och verifieras fullständiga av minst två oberoende validerare. Raderingsresultaten loggas med hjälp av den avaktiverade diskens serienummer för spårning. Slutligen frigörs den raderade, avaktiverade disken till inventarielageret för återanvändning och omdistribution. Om den avaktiverade disken på grund av hårdvarufel inte kan raderas, förvaras den säkert tills den kan förstöras. Varje anläggning granskas regelbundet för att övervaka efterlevnaden av policyn för diskradering.
4. Personsäkerhet
Googles personal är skyldig att uppföra sig i enlighet med företagets riktlinjer gällande sekretess, affärsetik, lämplig användning och professionella standarder. Google utför rimligt lämpliga bakgrundskontroller i den utsträckning det är lagligt tillåtet och i enlighet med tillämplig lokal arbetsrätt och lagstadgade bestämmelser.
Googles personal är skyldiga att underteckna ett sekretessavtal och måste bekräfta mottagandet av och efterlevnaden av Googles sekretess- och integritetspolicyer. Personalen genomgår säkerhetsutbildning. Personal som hanterar kunddata måste uppfylla ytterligare krav som är lämpliga för deras roll (EG-certifieringar). Googles personal kommer inte att behandla kunddata utan tillstånd.
5. Säkerhet för underleverantörer
Innan Google anlitar underbiträden genomför vi en granskning av deras säkerhets- och sekretessrutiner för att säkerställa att de tillhandahåller en säkerhets- och sekretessnivå som är lämplig för deras åtkomst till data och omfattningen av de tjänster de anlitas för att tillhandahålla. När Google har bedömt de risker som underbiträdet utgör, är underbiträdet, i enlighet med kraven som beskrivs i avsnitt 11.3 (Krav för underbiträdeskontakt), skyldigt att ingå lämpliga avtal om säkerhet, sekretess och integritet.
Villkoren i varje underavsnitt i denna bilaga 3 gäller endast där motsvarande lag gäller för behandlingen av kundens personuppgifter.
1. Ytterligare definitioner.
i varje enskilt fall, med undantag för ett valfritt ramverk för dataskydd.
2. Instruktionsmeddelanden. Utan att det påverkar Googles skyldigheter enligt avsnitt 5.2 (Efterlevnad av kundens instruktioner) eller andra rättigheter eller skyldigheter för någon av parterna enligt tillämpligt avtal, ska Google omedelbart meddela kunden om, enligt Googles uppfattning:
en. Europeisk lag förbjuder Google att följa en instruktion;
b. en instruktion inte överensstämmer med den europeiska dataskyddslagstiftningen; eller
c. Google kan annars inte följa en instruktion, såvida inte ett sådant meddelande är förbjudet enligt europeisk lag. Om kunden är en personuppgiftsbehandlare,
Kunden ska omedelbart vidarebefordra alla meddelanden som Google lämnar enligt detta avsnitt till relevant personuppgiftsansvarig.
3. Kundens granskningsrättigheter. Google kommer att tillåta Kunden eller en oberoende revisor som utsetts av Kunden att utföra revisioner (inklusive inspektioner) enligt beskrivningen i avsnitt 7.5.2(a) (Kundrevision). Under en sådan granskning kommer Google att tillgängliggöra all information som krävs för att visa efterlevnad av sina skyldigheter enligt detta tillägg och bidra till granskningen enligt beskrivningen i avsnitt 7.5 (Granskningar och revisioner av efterlevnad) och detta avsnitt.
4. Dataöverföringar.
4.1 Begränsade överföringar. Parterna bekräftar att den europeiska dataskyddslagen inte kräver standardkontraktsklausuler eller en alternativ överföringslösning för att kunders personuppgifter ska få behandlas i eller överföras till ett lämpligt land. Om Kundens Personuppgifter överförs till något annat land och europeisk dataskyddslag gäller för överföringarna (vilket intygats av Kunden enligt Avsnitt 4.2 (Certifiering av kunder utanför EMEA) i dessa villkor i europeisk dataskyddslag, om Kundens faktureringsadress ligger utanför EMEA) (”Begränsade överföringar”), då:
en. Om Google har antagit en alternativ överföringslösning för begränsade överföringar, kommer Google att informera kunden om den relevanta lösningen och säkerställa att sådana begränsade överföringar görs i enlighet med den. eller
b. Om Google inte har antagit en alternativ överföringslösning för några begränsade överföringar, eller informerar kunden om att Google inte längre antar en alternativ överföringslösning för några begränsade överföringar (utan att anta en ersättande alternativ överföringslösning):
jag om Googles adress är i ett lämpligt land:
A. Standardavtalen (SCC:erna) (Processor-to-Processor, Google Exporter) ska gälla för sådana begränsade överföringar från Google till underleverantörer; och
B. dessutom, om Kundens faktureringsadress inte är i ett lämpligt land, gäller SCC:erna (Processor-to-Control) (oavsett om Kunden är en registeransvarig eller en personuppgiftsbehandlare) med avseende på sådana begränsade överföringar mellan Google och Kunden; eller
ii. Om Googles adress inte finns i ett lämpligt land, gäller SCC:erna (Controller-to-Processor) eller SCC:erna (Processor-to-Processor) (beroende på om Kunden är registeransvarig eller personuppgiftsbehandlare) med avseende på sådana begränsade överföringar mellan Google och Kunden.
4.2 Certifiering av kunder utanför EMEA. Om Kundens faktureringsadress ligger utanför EMEA, och behandlingen av Kundens personuppgifter omfattas av europeisk dataskyddslag, ska Kunden, om inte bilaga 4 (Specifika produkter) i detta tillägg anger annat, intyga detta och identifiera sin behöriga tillsynsmyndighet via administratörskonsolen för de tillämpliga Tjänsterna.
4.3 Information om begränsade överföringar. Google kommer att förse kunden med information som är relevant för begränsade överföringar, ytterligare säkerhetskontroller och andra kompletterande skyddsåtgärder:
en. enligt beskrivningen i avsnitt 7.5.1 (Granskningar av säkerhetsdokumentation);
b. på eventuella ytterligare platser som beskrivs i bilaga 4 (Specifika produkter); och
c. i samband med Googles införande av en alternativ överföringslösning, kl. https://cloud.google.com/terms/alternative-transfer-solution.
4.4 SCC-revisioner. Om kundens standardvillkor gäller enligt beskrivningen i avsnitt 4.1 (Begränsade överföringar) i dessa villkor i den europeiska dataskyddslagen, kommer Google att tillåta kunden (eller en oberoende revisor som utsetts av kunden) att utföra revisioner enligt beskrivningen i dessa standardvillkor och, under en revision, tillgängliggöra all information som krävs enligt dessa standardvillkor, båda i enlighet med avsnitt 7.5.3 (Ytterligare affärsvillkor för granskningar och revisioner).
4.5 SCC-meddelanden. Kunden ska omedelbart och utan onödigt dröjsmål vidarebefordra alla meddelanden som hänvisar till standardkontraktsklausuler till relevant personuppgiftsansvarig.
4.6 Uppsägning på grund av risk för dataöverföring. Om Kunden, baserat på sin nuvarande eller avsedda användning av Tjänsterna, drar slutsatsen att lämpliga skyddsåtgärder inte tillhandahålls för överförda Kundpersonuppgifter, kan Kunden omedelbart säga upp det tillämpliga Avtalet i enlighet med Avtalets bestämmelser om uppsägning av bekvämlighetsskäl eller, om ingen sådan bestämmelse finns, genom att meddela Google.
4.7 Ingen modifiering av standardkontraktsklausuler. Ingenting i avtalet (inklusive detta tillägg) är avsett att ändra eller motsäga några standardkontraktsklausuler eller påverka de registrerades grundläggande rättigheter eller friheter enligt den europeiska dataskyddslagstiftningen.
4.8 Företräde för standardkontrakterade köpeskillingar. I den utsträckning det föreligger någon konflikt eller inkonsekvens mellan Kundens Standardavtalsvillkor (som införlivas genom hänvisning i detta Tillägg) och resten av Avtalet (inklusive detta Tillägg), ska Kundens Standardavtalsvillkor ha företräde.
5. Krav för engagemang av underbiträden. Enligt den europeiska dataskyddslagen ska Google genom ett skriftligt avtal säkerställa att de dataskyddsskyldigheter som beskrivs i detta tillägg, enligt artikel 28(3) i GDPR, i förekommande fall, åläggs alla underleverantörer som anlitas av Google.
1. Ytterligare definitioner.
2. Förbud. Utan att det påverkar Googles skyldigheter enligt avsnitt 5.2 (Efterlevnad av kundens instruktioner), med avseende på behandling av kundens personuppgifter i enlighet med CCPA, kommer Google inte, såvida inte annat är tillåtet enligt CCPA:
en. sälja eller dela kundpersonuppgifter;
b. behålla, använda eller lämna ut kundens personuppgifter:
jag annat än för ett affärsändamål enligt CCPA å Kundens vägnar och för det specifika syftet att utföra Tjänsterna och TSS; eller
ii. utanför den direkta affärsrelationen mellan Google och Kunden; eller
c. kombinera eller uppdatera kundens personuppgifter med personuppgifter som Google tar emot från eller på uppdrag av en tredje part eller samlar in från sina egna interaktioner med konsumenten.
3. Efterlevnad. Utan att det påverkar Googles skyldigheter enligt avsnitt 5.2 (Efterlevnad av kundens instruktioner) eller andra rättigheter eller skyldigheter för någon av parterna enligt tillämpligt avtal, kommer Google att meddela kunden om Google, enligt Googles uppfattning, inte kan uppfylla sina skyldigheter enligt CCPA, såvida inte ett sådant meddelande är förbjudet enligt tillämplig lag.
4. Kundintervention. Om Google meddelar kunden om obehörig användning av kundens personuppgifter, inklusive enligt avsnitt 3 (Efterlevnad) i detta underavsnitt eller avsnitt 7.2.1 (Incidentmeddelande), får kunden vidta rimliga och lämpliga åtgärder för att stoppa eller åtgärda sådan obehörig användning genom att:
en. vidta eventuella åtgärder som Google rekommenderar i enlighet med avsnitt 7.2.2 (Detaljer om dataincident), om tillämpligt; eller
b. utövar sina rättigheter enligt avsnitt 7.5.2(a) (Kundgranskning) eller 9.1 (Åtkomst; Rättelse; Begränsad behandling; Portabilitet).
1. Dataöverföringar.
1.1 Om Kundens faktureringsadress är i Turkiet och Kunden accepterar eventuella ytterligare villkor som tillhandahålls separat av Google avseende överföringar av Kundens personuppgifter enligt den turkiska lagen om skydd av personuppgifter nr 6698 av den 7 april 2016, ska dessa villkor komplettera detta tillägg.
1.2 Om Kunden, baserat på sin nuvarande eller avsedda användning av Tjänsterna, drar slutsatsen att lämpliga skyddsåtgärder inte tillhandahålls för överförda Kundpersonuppgifter, kan Kunden omedelbart säga upp det tillämpliga Avtalet i enlighet med Avtalets bestämmelser om uppsägning av bekvämlighetsskäl eller, om ingen sådan bestämmelse finns, genom att meddela Google.
1. Ytterligare definition.
2. Likvärdiga villkor. Alla termer som motsvarar ”personuppgiftsansvarig”, ”personuppgifter”, ”behandling” och ”personuppgiftsbehandlare”, såsom de används i detta tillägg, har den betydelse som anges i den israeliska integritetsskyddslagen.
3. Kundens granskningsrättigheter. Google kommer att tillåta Kunden eller en oberoende revisor som utsetts av Kunden att utföra revisioner (inklusive inspektioner) enligt beskrivningen i avsnitt 7.5.2(a) (Kundrevision).
Villkoren i varje underavsnitt i denna bilaga 4 gäller endast med avseende på behandling av kunddata av motsvarande tjänst(er).
1. Ytterligare definitioner.
2. Efterlevnadscertifieringar. Efterlevnadscertifieringarna för Google Cloud Platform Audited Services kommer även att inkludera certifikat för ISO 27017 och ISO 27018 samt ett PCI DSS-intyg om efterlevnad.
3. Datacenterplatser. Platserna för Google Cloud Platform-datacenter beskrivs på https://cloud.google.com/about/locations/.
4. Information om underleverantörer. Namn, platser och aktiviteter för Google Cloud Platform-underbiträden beskrivs på https://cloud.google.com/terms/subprocessors.
5. Team för molndataskydd. Dataskyddsteamet för Google Cloud Platform kan kontaktas på https://support.google.com/cloud/contact/dpo.
6. Information om begränsade överföringar. Ytterligare information relevant för begränsade överföringar, ytterligare säkerhetskontroller och andra kompletterande skyddsåtgärder finns tillgänglig på cloud.google.com/privacy/.
7. Tjänstespecifika villkor.
Bare Metal-lösning (Google Cloud Platform)
Bare Metal Solution ger icke-virtualiserad åtkomst till underliggande infrastrukturresurser och har, genom sin design, vissa distinkta egenskaper.
1:a tilläggen. Detta tillägg ändras enligt följande med avseende på Bare Metal Solution:
2. Efterlevnadscertifieringar och SOC-rapporter. Google eller dess underbiträden kommer att behålla åtminstone följande (eller ett motsvarande eller förbättrat alternativ) för Bare Metal Solution för att verifiera säkerhetsåtgärdernas fortsatta effektivitet:
en. ett certifikat för ISO 27001 och ett PCI DSS-intyg om överensstämmelse (”BMS-efterlevnadscertifieringarna”); och
b. SOC 1- och SOC 2-rapporter uppdateras årligen baserat på en revision som utförs minst en gång var 12:e månad (”BMS SOC-rapporterna”).
3. Granskningar av säkerhetsdokumentation. För att visa att Google uppfyller sina skyldigheter enligt detta tillägg kommer Google att göra BMS-efterlevnadscertifieringarna och BMS SOC-rapporterna tillgängliga för granskning av kunden och, om kunden är personuppgiftsbehandlare, tillåta kunden att begära åtkomst för relevant personuppgiftsansvarig till BMS SOC-rapporterna i enlighet med avsnitt 7.5.3 (Ytterligare affärsvillkor för granskningar och revisioner).
4. Kundens skyldigheter. Utan att begränsa Googles uttryckliga skyldigheter relaterade till Bare Metal Solution ska Kunden vidta rimliga åtgärder för att skydda och upprätthålla säkerheten för Kunddata och annat innehåll som lagras på eller behandlas via Bare Metal Solution.
5. Friskrivningsklausul. Oaktat eventuella motstridiga bestämmelser i Avtalet (inklusive detta Tillägg) ansvarar Google inte för något av följande avseende Bare Metal Solution:
en. icke-fysisk säkerhet, såsom åtkomstkontroller, kryptering, brandväggar, antivirusskydd, hotdetektering och säkerhetsskanning;
b. loggning och övervakning;
c. underhåll eller support som inte rör hårdvara;
d. säkerhetskopiering av data, inklusive eventuell redundans- eller högtillgänglighetskonfiguration; eller
e. policyer eller rutiner för affärskontinuitet och katastrofåterställning.
Kunden är ensamt ansvarig för att säkra (förutom den fysiska säkerheten för Bare Metal Solution-servrar), logga och övervaka, underhålla och ge support till samt säkerhetskopiera alla operativsystem, kunddata, programvara och applikationer som kunden använder med, laddar upp till eller är värd för på Bare Metal Solution.
Google Distribuerade molnkant (Google Cloud Platform)
Google Distributed Cloud Edge (”GDCE”) distribueras inte i ett Google-datacenter och har, till sin natur, vissa distinkta egenskaper.
1:a tilläggen. Detta tillägg ändras enligt följande med avseende på GDCE:
Google kan komma att lägga till standarder när som helst. Google kan ersätta en efterlevnadscertifiering eller SOC-rapport med ett likvärdigt eller förbättrat alternativ.
Hänvisningar till ”Googles system” ersätts med ”Utrustningen”.
Avsnitt 6.2 (Återlämnande eller borttagning när perioden löper ut) ersätts med följande:
6.2 Retur eller radering vid slutet av perioden. Kunden instruerar Google att radera all återstående kunddata (inklusive befintliga kopior) från utrustningen vid slutet av avtalet i enlighet med tillämplig lag. Om Kunden önskar behålla Kunddata efter att Avtalsperioden löpt ut, får Kunden exportera eller kopiera sådana data före Avtalsperiodens slut. Google kommer att följa instruktionerna i detta avsnitt 6.2 så snart som det är rimligen möjligt och inom en period av högst 180 dagar, såvida inte europeisk lag kräver lagring, där europeisk dataskyddslag gäller, eller tillämplig lag kräver lagring, där annan tillämplig integritetslag gäller.
Följande ord läggs till i slutet av avsnitt 10.1 (Datalagrings- och bearbetningsanläggningar): ”eller där kundens plats är belägen.”
Avsnitt 1 (Datacenter- och nätverkssäkerhet) i bilaga 2 (Säkerhetsåtgärder) ska ersättas med följande:
Avsnitt 2 (Åtkomst- och platskontroller) och 3 (Data) i bilaga 2 (Säkerhetsåtgärder) utgår.
"Tillägg för Google-hanterad MCS-databehandling" betyder villkoren vid https://cloud.google.com/terms/mcs-data-processing-terms.
Definitionen av ”Googles tredjepartsrevisor” ersätts med följande:
"Googles tredjepartsrevisor" avser en kvalificerad och oberoende tredjepartsrevisor som utsetts av Google eller en NetApp Volumes-underbiträde, vars dåvarande identitet Google kommer att lämna ut till kunden på begäran.
Avsnitt 3(a) (Datalagring, isolering och loggning) i bilaga 2 (Säkerhetsåtgärder) ska ersättas med följande:
(a) Datalagring, isolering och loggning. Google lagrar data i en miljö med flera hyresgäster på servrar som ägs av NetApp, Inc. Med förbehåll för eventuella instruktioner som anger annat (t.ex. i form av val av dataplats) replikerar Google kunddata mellan flera geografiskt spridda datacenter. Google isolerar också logiskt kunddata. Kunden kommer att få kontroll över specifika policyer för datadelning. Dessa policyer, i enlighet med Tjänsternas funktionalitet, gör det möjligt för Kunden att bestämma de produktdelningsinställningar som gäller för dess Slutanvändare för specifika ändamål. Kunden kan välja att använda loggningsfunktioner som Google tillhandahåller via Tjänsterna.
"Konto", om inte definierat i Avtalet, avser Kundens Google Workspace- eller Cloud Identity-konto.
"Molnidentitet" vid köp under ett fristående avtal och inte som en del av Google Cloud Platform eller Google Workspace, avses Cloud Identity-tjänsterna som beskrivs på https://cloud.google.com/terms/identity/user-features.
"Kunddata", om inte definierat i Avtalet, avser data som skickats in, lagrats, skickats eller mottagits av eller på uppdrag av Kunden eller dess Slutanvändare via Google Workspace eller Cloud Identity under Kontot.
Google Workspace avser Google Workspace- eller Google Workspace for Education-tjänsterna som beskrivs på https://workspace.google.com/terms/user_features.html, i tillämpliga fall.
Stycket med rubriken ”Serveroperativsystem” i avsnitt 1(a) i bilaga 2 (Säkerhetsåtgärder) ska ersättas med följande:
Serveroperativsystem. Googles servrar använder en Linux-baserad implementering som är anpassad för applikationsmiljön.
"Administratörskonsol" betyder vilken administratörskonsol som helst som är tillämplig för varje instans.
"Tillägg för Google-hanterad MCS-databehandling" betyder, i förekommande fall, villkoren i https://cloud.google.com/terms/mcs-data-processing-terms.
"Google-hanterade multimolntjänster" avser, i tillämpliga fall, specificerade Google-tjänster, -produkter och -funktioner som finns på infrastrukturen hos en tredjepartsleverantör av molntjänster.
"Tittare (original)" avser en integrerad plattform (inklusive molnbaserad infrastruktur, om tillämpligt, och programvarukomponenter inklusive eventuella tillhörande API:er) som gör det möjligt för företag att analysera data och definiera affärsmätvärden över flera datakällor som Google gör tillgängliga för kunden enligt avtalet. Looker (original) exkluderar erbjudanden från tredje part.
"Tredjepartsleverantör av multimolntjänster" har den betydelse som anges i tillägget för databehandling av Google-hanterad MCS.
"Beställningsformulär" har den betydelse som anges i Avtalet, såvida inte Kunden har köpt via en återförsäljare eller online-marknadsplats eller endast använder Looker för test- eller utvärderingsändamål enligt ett test- eller utvärderingsavtal, i vilket fall Beställningsformulär kan avse ett annat skriftligt formulär (e-post eller andra elektroniska medel tillåtna) som godkänts av Google.
Definitionen av ”E-postadress för aviseringar” ersätts med följande:
"E-postadress för aviseringar" avser den/de e-postadress(er) som angetts av kunden i beställningsformuläret eller via Looker (i förekommande fall) för att ta emot vissa meddelanden från Google.
Definitionerna av ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)”, ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)”, ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)” och ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig, Google Exporter)” i bilaga 3 (Specifika sekretesslagar) ersätts med följande:
"SCC:er (kontrollant till processor)" betyder termerna vid: https://cloud.google.com/terms/looker/legal/sccs/eu-c2p;
"SCC:er (processor-till-kontrollant)" betyder termerna vid: https://cloud.google.com/terms/looker/legal/sccs/eu-p2c;
"SCC:er (processor-till-processor)" betyder termerna vid: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p; och
"SCC:er (processor-till-processor, Google Exporter)" betyder termerna vid: https://cloud.google.com/terms/looker/legal/sccs/eu-p2p-intra-group.
Följande ord läggs till i slutet av avsnitt 10.1 (Datalagrings- och bearbetningsanläggningar): ”eller där tredjepartsleverantörer av multimolntjänster upprätthåller anläggningar.”
"Konto", om inte definierat i Avtalet, avser Kundens SecOps-tjänster eller Google Cloud Platform-konto, beroende på vad som är tillämpligt.
"Kunddata", om inte definierat i Avtalet, avser data som tillhandahålls Google av Kunden eller Slutanvändare via SecOps-tjänster under Kontot.
"SecOps-tjänster" betyder Chronicle SIEM, Chronicle SOAR och Mandiant Solutions, var och en enligt beskrivningen på https://cloud.google.com/terms/secops/services, exklusive eventuella erbjudanden från tredje part. För att undvika missförstånd omfattar SecOps-tjänster inte Mandiant Managed Services och Mandiant Consulting Services.
"Erbjudanden från tredje part", om inte definierat i Avtalet, avser (a) tredjepartstjänster, programvara, produkter och andra erbjudanden som inte ingår i SecOps-tjänster eller programvara, och (b) tredjepartsoperativsystem.
Definitionen av ”Ytterligare säkerhetskontroller” ersätts med följande:
"Ytterligare säkerhetskontroller" avser säkerhetsresurser, funktioner, funktionalitet och/eller kontroller (om sådana finns) som Kunden kan använda efter eget val och/eller som Kunden bestämmer, inklusive (om sådan finns) kryptering, loggning och övervakning, identitets- och åtkomsthantering samt säkerhetsskanning.
Definitionen av ”Reviderade tjänster” ersätts med följande:
"Granskade tjänster" avser de dåvarande SecOps-tjänster som anges som omfattade av relevant certifiering eller rapport vid https://cloud.google.com/security/compliance/secops/services-in-scope. Google får inte ta bort några SecOps-tjänster från denna URL om de inte har upphört i enlighet med tillämpligt avtal.
Definitionerna av ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)”, ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)”, ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig)” och ”SCC:er (personuppgiftsansvarig till personuppgiftsansvarig, Google Exporter)” i bilaga 3 (Specifika sekretesslagar) ersätts med följande:
"SCC:er (kontrollant till processor)" betyder termerna vid: https://cloud.google.com/terms/secops/sccs/eu-c2p
"SCC:er (processor-till-kontrollant)" betyder termerna vid: https://cloud.google.com/terms/secops/sccs/eu-p2c
"SCC:er (processor-till-processor)" betyder termerna vid: https://cloud.google.com/terms/secops/sccs/eu-p2p
"SCC:er (processor-till-processor, Google Exporter)" betyder termerna vid: https://cloud.google.com/terms/secops/sccs/eu-p2p-google-exporter
Avsnitt 7.4 (Efterlevnadscertifieringar och SOC-rapporter) i tillägget ändras så att det lyder enligt följande:
7.4 Efterlevnadscertifieringar och SOC-rapporter. Google kommer att behålla åtminstone de certifieringar och rapporter som anges på https://cloud.google.com/security/compliance/secops/services-in-scope för att de granskade tjänsterna ska kunna verifiera säkerhetsåtgärdernas fortsatta effektivitet (”Efterlevnadscertifieringarna” och ”SOC-rapporterna”).
