YouTube Databehandlingsvilkår

Gyldig fra og med 24. november 2020 (se forrige versjon)

Disse YouTube-vilkår for databehandling (inkludert vedleggene, “Databehandlingsvilkår”) gjelder for behandlingen av Kundepersonopplysninger. Disse vilkår tjener som et tillegg til avtalen mellom deg ("Kunden") og Google vedrørende din bruk av YouTube-tjenesten ("Avtale"). Slik Avtale kan inneholde YouTube-tjenestevilkårene eller en lisensavtale for innhold, som anvendelig for Kunden. Vennligst ta deg tid til å lese nøye gjennom disse Databehandlingsvilkår.

1. Innledning

Disse Databehandlingsvilkår gjenspeiler partenes enighet om avtalen som behandlingen og sikkerheten av Kundepersonopplysninger er underlagt i forbindelse med den Europeiske Personvernlovgivningen.

2. Definisjoner og tolkninger

2.1 I disse Databehandlingsvilkår:

"Brudd på Personsopplysningssikkerheten" betyr et brudd på Googles sikkerhet som medfører utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang til Kundepersonopplysninger på systemer administrert eller på annen måte kontrollert av Google. "Brudd på Personopplysningssikkerheten" inkluderer ikke mislykkede forsøk på å logge inn, ping, portskanninger, tjenestenektangrep ('DoS attacks') og andre netttverksangrep på brannmur eller systemnettverk.

“Databehandlingstjenester" betyr behandlingen av Kundepersonopplysninger i samsvar med disse Databehandlingsvilkår.

“EØS-området” betyr det europeiske økonomiske samarbeidsområdet.

“Tilknyttet Selskap,” hvis ikke allerede definert i Avtalen, betyr en enhet som direkte eller indirekte kontroller, er kontrollert av, eller er under felles kontroll med, en part.

“EU GDPR” betyr Europaparlaments- og rådsforordning (EU) 2016/679 av 27. april 2016 om vern av fysiske personer I forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning).

“Europeisk Personvernlovgivning” betyr, som anvendelig: (a) GDPR, (b) den føderale personvernloven av 19. juni 1992 (Sveits), (c) den generelle, brasilianske personvernloven (lov nr. 13709/2018) og/eller (d) annen gjeldende personvernlovgivning basert på GDPR.

“Europeiske eller nasjonale lover” betyr (a) lovgivningen i EU eller EU-medlemsland (hvis EU GDPR gjelder for behandlingen av kunders personopplysninger) og/eller (b) lovgivningen i Storbritannia eller en del av Storbritannia (hvis UK GDPR gjelder for behandlingen av kunders personopplysninger).

“GDPR” betyr (a) EU GDPR og/eller (b) UK GDPR.

“Google” betyr Google-enheten som er part i din Avtale.

“Google-tilknyttede Underdatabehandlere” har det innhold som er gitt i punkt 11.1 (Samtykke til å engasjere Underdatabehandlere).

“Google-enhet” betyr Google LLC (tidligere kjent som Google Inc.), Google Ireland Limited, YouTube, LLC eller ethvert annet Tilknyttet selskap av Google LLC.

“ISO 27001 Sertifisering” betyr ISO/IEC 27001:2013 sertifisering eller en lignende sertifisering av Databehandlingstjenestene.

“Kundepersonopplysninger” betyr lyd- og bildeinnhold som er lastet opp av Kunden til YouTube under Avtalens vilkår og behandlet av Google på vegne av Kunden gjennom Googles ytelse av Databehandlingstjenester.

“Meldingsadresse” betyr den e-postadressen (hvis noen) utpekt av Kunden, via brukergrensesnittet til Databehandlingstjenestene eller andre slike midler tilbudt av Google, for å motta visse meldinger fra Google i forbindelse med disse Databehandlingsvilkår.  

“Sikkerhetsdokumentasjon” betyr sertifikatet utstedt for ISO 27001 Sertifiseringen, hvis noen, og enhver annen sikkerhetssertifisering eller dokumentasjon som Google kan gjøre tilgjengelig i forbindelse med Databehandlingstjenestene.

“Sikkerhetstiltak” har det innholdet som er gitt i punkt 7.1.1 (Googles Sikkerhetstiltak).

“Standard kontraktsbestemmelser” betyr EU-kommisjonens standard kontraktsbestemmelser (Standard Contractual Clauses) tilgjengelig på https://privacy.google.com/businesses/gdprprocessorterms/sccs/, som er standard personvernbestemmelser for overføring av personopplysninger til databehandlere etablert i tredjeland som ikke sikrer et tilstrekkelig beskyttelsesnivå, som beskrevet i artikkel 46 i GDPR.

“Tilsynsmyndighet” betyr (a) en “tilsynsmyndighet” som definert i EU GDPR og/eller (b)

“the Commissioner” som definert i UK GDPR.

“Tredjeparts Underdatabehandlere" har det innholdet som er gitt i punkt 11.1 (Samtykke til engasjement av Underdatabehandlere).

“UK GDPR” betyr EU GDPR som endret og inkorporert i britisk lovgivning i henhold til UK European Union (Withdrawal) Act 2018, hvis gjeldende.

“Underdatabehandlere” betyr tredjeparter som er autorisert under disse Databehandlingsvilkår til å ha tilgang til, og behandle, Kundepersonopplysninger for å yte deler av Databehandlingstjenestene og enhver relatert teknisk support.

“Verktøy for den registrerte” betyr et verktøy (hvis noe) gjort tilgjengelig av Google til de registrerte, som setter Google i stand til å svare direkte og på en standardisert måte på visse anmodninger fra de registrerte vedrørende Kundepersonopplysninger (f.eks. nettbaserte reklameinnstillinger eller opt-out programtilegg for nettleseren).

2.2 Termene “behandlingsansvarlig”, “datasubjekt”, “personopplysninger”, “databehandling” og “databehandler” som brukt i disse vilkårene for databehandling, har samme betydning som i GDPR, og termene “dataimportør” og “dataeksportør” har samme betydning som i de Standard kontraktsbestemmelsene.

2.3 Enhver referanse til et juridisk avtaleverk, lov eller annen bestemmelse er en referanse til denne som endret eller vedtatt på nytt fra tid til annen.

2.4 Dersom disse Databehandlingsvilkårene blir oversatt til et annet språk, og det er avvik mellom den engelske teksten og den oversatte teksten, vil den engelske teksten ha forrang.

3. Avtaleperiode for disse Databehandlingsvilkår

Avtaleperioden (“Avtaleperiode”) for disse Databehandlingsvilkår, og Googles ytelse av Databehandlingstjenestene, vil begynne den 25. mai 2018 (eller Avtalens dato dersom dette er etter 25. mai 2018) ("Ikrafttredelsesdatoen") og vil vare inntil slettingen av alle Kundepersonopplysninger av Google som angitt i disse Databehandlingsvilkår.

4.         Anvendelsen av disse Databehandlingsvilkår

4.1 Anvendelse av Europeisk Personvernlovgivning. Disse Databehandlingsvilkår vil bare gjelde i den utstrekning den Europeiske Personvernlovgivningen kommer til anvendelse for behandlingen av Kundepersonopplysninger, herunder hvis:

1. behandlingen utføres i forbindelse med aktivitetene ved virksomheten til en Kunde i EØS-området eller Storbritannia; og/eller
2. Google har ingen forpliktelser til å beskytte Kundepersonopplysninger som Kunden velger å lagre eller overføre utenfor Googles og deres Underdatabehandleres systemer.

(b) Kundepersonopplysninger er personopplysninger om datasubjekter som befinner seg i EØS-området eller Storbritannia, og behandlingen er knyttet til å tilby disse varer eller tjenester eller overvåking av deres adferd i EØS-området eller Storbritannia.

5. Behandling av personopplysninger

5.1 Roller og overholdelse av lovpålagte plikter; autorisasjon.

5.1.1 Databehandlerens og den behandlingsansvarliges plikter. 

(a) Disse Databehandlingsvilkår beskriver hensikten med og detaljene ved behandlingen av Kundepersonopplysninger;

(b) Google er databehandler for Kundepersonopplysninger under Personvernlovgivningen;

(c) Kunde er behandlingsansvarlig eller databehandler, som anvendelig, av Kundepersonopplysninger under Personvernlovgivningen; og

(d) hver part vil overholde de anvendelige pliktene som følger av Personvernlovgivningen i forbindelse med behandlingen av Kundepersonopplysninger.

5.1.2 Autorisasjon av tredjeparts behandlingsansvarlige. Hvis Kunden er en databehandler, garanterer Kunden til Google at Kundens instruksjoner og handlinger i forbindelse med Kundepersonopplysninger, herunder engasjementet av Google som annen databehandler, har blitt autorisert til dette av den relevante behandlingsansvarlige.  

5.2 Kundens instrukser. Kunden instruerer Google til å bare behandle Kundepersonopplysninger i overenstemmelse med gjeldende lovgivning og disse Databehandlingsvilkår: (a) å yte Databehandlingstjenestene og enhver relatert teknisk support; (b) som videre spesifisert via Kundens bruk av Databehandlingstjenestene (herunder gjennom innstillingene og andre funksjoner i Databehandlingstjenestene) og enhver relatert teknisk support; og (c) som dokumentert i form av Avtalen, herunder disse Databehandlingsvilkår.

5.3        Googles overholdelse av instrukser. Google vil overholde instruksene som beskrevet i punkt 5.2 (Kundens instrukser) (herunder med hensyn til overføring) med mindre Europeiske eller nasjonale lover som Google er underlagt krever en annen behandling av Kundepersonopplysninger fra Google, i hvilket tilfelle Google vil informere Kunden (med mindre denne lovgivningen forbyr Google å gjøre dette begrunnet i vesentlige offentlige hensyn).

6. Sletting av opplysninger

6.1 Sletting i Avtaleperioden. 

6.1.1 Databehandlingstjenester med slettefunksjon.  I Avtaleperioden, hvis:

(a) funksjonaliteten av Databehandlingstjenestene gir Kunden mulighet til å slette Kundepersonopplysninger;

(b) Kunden benytter Databehandlingstjenestene for å slette visse Kundepersonopplysninger; og

(c) de slettede Kundepersonopplysninger ikke kan bli gjenopprettet av Kunden (f.eks. fra "papirkurven"),

vil Google slette slike Kundepersonopplysninger fra sine systemer så raskt som er rimelig gjennomførbart, med mindre Europeiske eller nasjonale lover krever oppbevaring.

6.1.2 Databehandlingstjenester uten slettefunksjon. I Avtaleperioden, hvis funksjonaliteten av Databehandlingstjenestene ikke inkluderer muligheten for at Kunden kan slette Kundepersonopplysninger, vil Google overholde enhver rimelig anmodning fra Kunden om å legge til rette for slik sletting, i den utstrekning dette er mulig med hensyn til Databehandlingstjenestenes art og funksjonalitet og med mindre Europeiske eller nasjonale lover krever oppbevaring.. Google kan belaste en avgift (basert på Googles rimelige kostnader) for enhver sletting under dette punkt 6.1.2 (Databehandlingstjenester uten slettefunksjon). Google vil gi Kunden ytterligere detaljer om gjeldende avgifter, og grunnlaget for beregningen av disse, før enhver slik sletting.

6.2 Sletting ved Avtalens opphør. Ved opphør eller oppsigelse av Avtalen, instruerer Kunden Google om å slette alle Kundepersonopplysninger (herunder eksisterende kopier) fra Googles systemer i henhold til gjeldende lovgivning. Google vil etterkomme denne instruksen så raskt som mulig, med mindre (i) Europeiske eller nasjonale lover krever oppbevaring eller (ii) Avtalen er erstattet av en ny avtale eller nye vilkår mellom Kunden og Google vedrørende Kundens bruk av YouTube-tjenesten og kunden bekrefter at Kundepersonopplysninger (herunder eksisterende kopier allerede lastet opp til YouTube-tjenesten) fortsatt skal behandles i samsvar med disse Databehandlingsvilkår.

7. Sikkerhet ved behandlingen

7.1 Googles sikkerhetstiltak og bistand.

7.1.1 Googles sikkerhetstiltak.  Google vil gjennomføre og opprettholde tekniske og organisatoriske tiltak for å beskytte Kundepersonopplysninger mot utilsiktet eller ulovlig tilintetgjøring, tap, endring, ikke-autorisert utlevering av eller tilgang som beskrevet i Bilag 2 ("Sikkerhetstiltak"). Google kan oppdatere eller endre Sikkerhetstiltakene, fra tid til annen, forutsatt at slike oppdateringer eller endringer ikke resulterer i en forringelse av den samlete sikkerheten for Databehandlingstjenestene.  

7.1.2 Sikkerhetsoverholdelse av Google-ansatte.  Google vil sikre at alle ansatte som er autorisert til å behandle Kundepersonopplysninger har forpliktet seg til å behandle opplysningene fortrolig eller er underlagt en egnet lovbestemt taushetsplikt.  

7.1.3 Googles sikkerhetsbistand. Google vil (idet det tas hensyn til arten av behandlingen av Kundepersonopplysninger og den informasjonen som er tilgjengelig for Google) bistå Kunden med å sikre overholdelse av forpliktelsene Kunder har med hensyn til personopplysningssikkerheten, brudd på personopplysningssikkerheten, herunder (hvis anvendelig) Kundens forpliktelser i henhold til artikkel 32-34 GDPR, ved å:

(a) gjennomføre og opprettholde Sikkerhetstiltakene i henhold til punkt 7.1.1. (Googles Sikkerhetstiltak);

(b) overholde forpliktelsene i punkt 7.2 (Brudd på Personopplysningssikkerheten); og

(c) gjøre tilgjengelig for Kunden Sikkerhetsdokumentasjonen i henhold til punkt 7.5.1 (Inspeksjon av Sikkerhetsdokumentasjon) og informasjonen som finnes i disse Databehandlingsvilkår.

7.2 Brudd på Personopplysningssikkerheten.

7.2.1 Melding om brudd.  Hvis Google har fått kjennskap til et Brudd på Personopplysningssikkerheten, vil Google: (a) melde Bruddet på Personopplysningssikkerheten til Kunden uten ugrunnet opphold; og (b) raskt foreta rimelige tiltak for å minimere skadevirkninger og sikre Kundepersonopplysninger.

7.2.2 Detaljer om Brudd på Personopplysningssikkerheten. Meldinger gitt i henholdt til punkt 7.2.1 (Melding om brudd) vil beskrive, i den utstrekning det er mulig, detaljer om Bruddet på Personopplysningssikkerheten, herunder tiltak som er foretatt for å redusere de potensielle risikoer og tiltak Google anbefaler Kunden å ta for å adressere Bruddet på Personopplysningssikkerheten.

7.2.3 Levering av meldingen. Google vil levere meldingen om Brudd på Personopplysningssikkerheten til Meldingsadressen eller via annen direkte kommunikasjon (f.eks. via telefon eller personlig møte). Kunden vil foreta alle rimelige skritt for å oppgi Meldingsadresse og forsikre at Meldingsadressen er gjeldende og gyldig.

7.2.4 Tredjepartsmeldinger.  Kunden har alene ansvaret for overholdelse av melding og underretningsbestemmelsene som gjelder for Kunden og å oppfylle enhver forpliktelse til å underrette tredjeparter i forbindelse med Brudd på Personopplysningssikkerheten.

7.2.5 Ingen vedkjennelse av mangler fra Google.  Googles melding om eller respons på Brudd på Personopplysningssikkerheten under dette punkt 7.2 (Brudd på Personopplysningssikkerheten) vil ikke kunne tolkes som en vedkjennelse fra Google av mangler eller ansvar i forbindelse med Bruddet på Personopplysningssikkerheten.

7.3 Kundens sikkerhetsansvar og -evaluering.

7.3.1 Kundens sikkerhetsforpliktelser. Uten hensyn til Googles forpliktelser under punkt 7.1 (Googles sikkerhetstiltak og bistand) og 7.2 (Brudd på Personopplysningssikkerheten):

(a) Kunden er ansvarlig for dens bruk av Databehandlingstjenester, herunder:

(i) å gjøre hensiktsmessig bruk av Databehandlingstjenestene for å sikre et egnet sikkerhetsnivå med tanke på risikoen for Kundepersonopplysninger; og

(ii) sikre kontoens påloggingsdetaljer, systemer og enheter Kunden benytter for tilgang til Databehandlingstjenestene; og

7.3.2 Kundens sikkerhetsevaluering. Kunden erkjenner og samtykker til (idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingen av Kundepersonopplysningenes art, omfang, formål og sammenhengen den utføres i, samt risikoene for fysiske personer) at Sikkerhetstiltakene gjennomført og opprettholdt av Google som angitt i punkt 7.1.1. (Googles Sikkerhetstiltak) oppnår et sikkerhetsnivå som er egnet i forhold til risikoen for Kundepersonopplysninger.  

7.4 Sikkerhetssertifisering. For å vurdere og forsikre kontinuerlig effektivitet av Sikkerhetstiltakene, kan Google, fra tid til annen, erverve ISO 27001 Sertifisering.

7.5 Inspeksjoner og revisjon av overholdelse.

7.5.1 Inspeksjoner av Sikkerhetsdokumentasjon.  For å påvise Googles overholdelse av forpliktelsene under disse Databehandlingsvilkår, vil Google gjøre Sikkerhetsdokumentasjon tilgjengelig for inspeksjon av Kunden.

7.5.2 Kundens rett til revisjon

(a) Google vil tillate at Kunden eller en inspektør på fullmakt fra Kunden gjennomfører revisjon (herunder inspeksjoner) for å verifisere Googles overholdelse av deres forpliktelser under disse Databehandlingsvilkår i henhold til punkt 7.5.3 (Ytterligere forretningsvilkår for revisjon). Google vil bidra til slike revisjoner som beskrevet i punkt 7.4 (Sikkerhetssertifisering) og dette punkt 7.5 (Inspeksjoner og revisjon av overholdelse).

(b) Dersom de Standard kontraktsbestemmelsene gjelder i henhold til punkt 10.2 (Overføring av opplysninger), vil Google tillate at Kunden eller en tredjeparts inspektør på fullmakt fra Kunden gjennomfører revisjoner som beskrevet i de Standard kontraktsbestemmelsene i samsvar med punkt 7.5.3 (Ytterligere forretningsvilkår for revisjon).

(c) Kunden kan også gjennomføre en revisjon for å verifisere Googles overholdelse av deres forpliktelser under disse Databehandlingsvilkår ved å inspisere sertifikatet utsted for ISO 27001 Sertifiseringen (som reflekterer resultatet av en revisjon gjennomført av en uavhengig revisor), hvis slik sertifisering er tilgjengelig på tidspunktet for Kundens anmodning.

7.5.3. Ytterligere forretningsvilkår for revisjon

(a) Kunden vil sende enhver anmodning om revisjon i henhold til punkt 7.5.2(a) eller 7.5.2(b) til Google som beskrevet i punkt. 12.1 (Kontakt med Google).

(b) Etter Google har mottatt en anmodning i henhold til punkt 7.5.3(a), vil Google og Kunden på forhånd diskutere og bli enige om en rimelig oppstartdato, omfang og varighet av, og sikkerhets og konfidensialitetsmekanismer som gjelder for, enhver revisjon i henhold til punkt 7.5.2(a) eller 7.5.2(b).

(c) Google kan belaste en avgift (basert på Googles rimelige kostnader) for enhver revisjon i henhold til punkt 7.5.2(a) eller 7.5.2(b). Google vil gi Kunden ytterligere detaljer om enhver gjeldende avgift, og grunnlaget for beregning av denne, på forhånd av enhver slik revisjon. Kunden vil være ansvarlig for ethvert vederlag belastet av enhver uavhengig revisor utnevnt av Kunden for å gjennomføre enhver slik revisjon.

(d) Google kan protestere mot enhver uavhengig revisor utnevnt av Kunden for å gjennomføre revisjon i henhold til punkt 7.5.2.(a) eller 7.5.2(b) hvis revisoren er, etter Googles rimelige oppfatning, ikke tilstrekkelig kvalifisert eller uavhengig, en konkurrent til Google eller på annen måte åpenbart uegnet. Enhver slik protest av Google vil fordre at Kunden utnevner en annen revisor eller gjennomfører revisjonen selv.

(e) Ingenting i disse Databehandlingsvilkår vil kreve at Google enten avslører til Kunden eller deres uavhengige revisor, eller gir Kunden eller deres uavhengige revisor tilgang til:

(i) enhver opplysning om en annen kunde av en Google-enhet;

(ii) enhver Google-enhets interne regnskaps- eller finansielle informasjon;

(iii) enhver bedriftshemmelighet som tilhører en Google-enhet;

(iv) enhver informasjon som, etter Googles rimelige oppfatning, kan: (A) kompromittere sikkerheten av en Google-enhets systemer eller lokaler; eller (B) føre til at en Google-enhet bryter sine forpliktelser under Personvernlovgivningen eller deres sikkerhets- og/eller personvernsforpliktelser til Kunden eller en tredjepart; eller

(v) enhver informasjon som Kunden eller deres uavhengige revisor ber om tilgang til for andre grunner enn gjennomføringen av Kundens forpliktelser etter Personvernlovgivningen i god tro.

7.5.4 Ingen endring av Standard kontraktsbestemmelser. Dersom de Standard kontraktsbestemmelsene gjelder i henhold til punkt 10.2 (Overføring av opplysninger), er det ingenting i dette punkt 7.5 (Inspeksjoner og revisjon av overholdelse) som forandrer eller endrer noen av rettighetene eller pliktene til Kunden eller en Google-enhet under de Standard kontraktsbestemmelsene.

8.        Vurdering av personvernkonsekvenser og forhåndsdrøftelser

Google vil (idet det tas hensyn til arten av behandlingen og informasjonen som er tilgjengelig for Google) bistå Kunden i forsikre overholdelse av Kundens forpliktelser i forbindelse med vurdering av personvernkonsekvenser og forhåndsdrøftelser, herunder (hvis anvendelig) Kundens forpliktelser i henhold til artikkel 35 og 36 i GDPR, ved å:

(a) tilby Sikkerhetsdokumentasjonen i henhold til punkt 7.5.1. (Inspeksjon av Sikkerhetsdokumentasjon);

(b) tilby informasjonen som finnes i disse Databehandlingsvilkår; og

(c) tilby eller på annen måte gjøre tilgjengelig, i overenstemmelse med Googles alminnelige metoder, annet materiale som angår arten av Databehandlingstjenestene og behandlingen av Kundepersonopplysninger (f.eks. supportsenter materiale).

9.         Den registrertes rettigheter

9.1 Svar på den registrertes anmodninger. Hvis Google mottar en anmodning fra en registrert i forbindelse med Kundepersonopplysninger, vil Google:

(a) hvis anmodningen er gjort via Verktøyet for den Registrerte, svare direkte på den registrertes anmodning i overenstemmelse med standardfunksjonene til dette Verktøyet for den Registrerte; eller

(b) hvis anmodningen ikke er gjort via Verktøyet for den Registrerte, anbefale den registrerte om å rette sin anmodning til Kunden, og Kunden vil være ansvarlig for å svare på en slik anmodning.

9.2 Googles bistand vedrørende den registrertes rettigheter.  Google vil (idet det tas hensyn til arten av behandlingen av Kundepersonopplysninger, og, hvis anvendelig, artikkel 11 i GDPR) bistå Kunden med å oppfylle Kundens plikt til å svare på anmodninger som inngis med henblikk på å utøve sine rettigheter fastsatt i kapittel III i GDPR, ved å:

(a) tilby funksjonaliteten til Databehandlingstjenestene;

(b) overholde forpliktelsene som angitt i punkt 9.1 (Svar på den registrertes anmodninger); og

(c) hvis anvendelig for Databehandlingstjenestene, gjøre tilgjengelig Verktøyet for den Registrerte.

10. Overføring

10.1 Dataoppbevaring og behandlingsfasiliteter.  Google kan, i henhold til punkt 10.2 (Overføring av opplysninger), oppbevare og behandle Kundepersonopplysninger i USA og ethvert annet land hvor Google eller noen av deres Underdatabehandlere har sine fasiliteter.

10.2 Overføring av opplysninger.   Dersom lagringen og/eller behandlingen av Kundepersonopplysninger innebærer overføring av Kundepersonopplysninger fra EØS, Sveits eller Storbritannia til et tredjeland som ikke er gjenstand for en beslutning om tilstrekkelig beskyttelsesnivå under Europeisk Personvernlovgivning:

1. Kunden (som dataeksportør) vil bli ansett å ha inngått Standard kontraktsbestemmelser med Google LLC (som dataimportør);
2. overføringene vil være underlagt Standard kontraktsbestemmelser; og
3. Google vil sørge for at Google LLC overholder alle sine forpliktelser under slike Standard kontraktsbestemmelser i forbindelse med slike overføringer.

10.3 Informasjon om datasentre.  Informasjon om lokaliseringen av Googles datasentre er tilgjengelig på: www.google.com/about/datacenters/inside/locations/index.html.  

11. Underdatabehandlere

11.1 Samtykke til å engasjere Underdatabehandlere. Kunden autoriserer spesifikt engasjementet av Googles Tilknyttede Selskap som Underdatabehandlere ("Googles Tilknyttede Underdatabehandlere"). I tillegg, gir Kunden en generell autorisasjon av engasjementet av enhver annen tredjepart som Underdatabehandlere ("Tredjeparts Underdatabehandlere"). Dersom de Standard kontraktsbestemmelsene gjelder i henhold til punkt 10.2 (Overføring av opplysninger), utgjør de ovennevnte autorisasjonene Kundens skriftlige forhåndssamtykke til Google LLCs bruk av underleverandører for behandlingen av Kundepersonopplysninger.

11.2 Informasjon om Underdatabehandlere.  Informasjon om Underdatabehandlere er tilgjenglig på privacy.google.com/businesses/subprocessors.

11.3 Vilkår for engasjement av Underdatabehandlere. Når en Underdatabehandler engasjeres, vil Google:

(a) forsikre gjennom en skriftlig avtale at:

(i) Underdatabehandlere bare har tilgang til og bruker Kundepersonopplysninger i den utstrekning det er nødvendig for å gjennomføre forpliktelsene kontrahert til denne, og gjør dette i overenstemmelse med Avtalen (herunder disse Databehandlingsvilkår) og hvis gjeldende i henhold til punkt 10.2 (Overføring av opplysninger), de Standard kontraktsbestemmelsene; og

(ii) hvis GDPR får anvendelse på behandlingen av Kundepersonopplysninger, at de personvernforpliktelser som er angitt i artikkel 28(3) i GDPR er pålagt Underdatabehandleren; og

2. Google forblir fullt ansvarlig for alle forpliktelser kontrahert til, og alle handlinger og unnlatelser til, Underdatabehandleren.

12. Kontakt med Google; Protokoller over behandlingsaktiviteter

12.1 Kontakt med Google. Kunden kan kontakte Google i forbindelse med utøvelsen av dens rettigheter under disse Databehandlingsvilkår gjennom de måter som er angitt på https://support.google.com/youtube/answer/2801895 eller gjennom andre slike måter som kan bli tilbudt av Google fra tid til annen.

12.2 Googles Protokoller over behandlingsaktiviteter. Kunden erkjenner at Google er forpliktet etter GDPR til å: (a) samle inn og opprettholde protokoller av viss informasjon, herunder navnet og kontaktdetaljene til hver enkelt databehandler og/eller behandlingsansvarlig som Google handler på vegne av, og (hvis anvendelig) av slike databehandleres eller behandlingsansvarliges lokale representanter og personvernombud og (b) gjøre slik informasjon tilgjengelig for eventuelle tilsynsmyndigheter. Følgelig, vil Kunden, når anmodet og som anvendelig for Kunden, gi slik informasjon til Google via brukergrensesnittet i Databehandlingstjenestene eller via andre måter for å forsikre at all informasjon som er oppgitt blir holdt nøyaktig og oppdatert.

13.         Erstatningsansvar

13.1 Ansvarsbegrensning. Uansett hva som står ellers i Avtalen, vil det totale erstatningsansvaret for hver av partene overfor den andre parten under eller i forbindelse med disse Databehandlingsvilkår være begrenset til den maksimale penge- eller betalingsbaserte beløp som partenes ansvar er begrenset til under Avtalen (for å gjøre det klart, enhver fraskrivelse av konfidensialitet eller krav om skadesløsholdelse etter Avtalens begrensninger av erstatningsansvar vil ikke få anvendelse for krav under Avtalen som angår den Europeiske Personvernlovgivningen). Ingenting i dette punkt 13 (Erstatningsansvar) utelukker eller begrenser hver parts ansvar for: (a) død eller personskade som resultat av uaktsomhet eller uaktsomhet fra deres ansatte eller agenter; (b) svindel eller svindelaktig feilaktige fremstillinger; eller (c) forhold hvor ansvaret ikke kan fraskrives eller begrenses etter gjeldende lovgivning.

13.2 Ansvar hvis de Standard kontraktsbestemmelsene gjelder. Dersom Standard kontraktsbestemmelser gjelder i henhold til punkt 10.2 (Overføring av opplysninger), skal det totale, kombinerte ansvaret til hver part og deres Tilknyttede selskap overfor den andre parten og deres Tilknyttede selskap under eller i forbindelse med Avtalen og de Standard kontraktsbestemmelsene kombinert være underlagt punkt 13.1 (Ansvarsbegrensning).  

14. Begunstigede tredjeparter. Dersom en parts Tilknyttede selskap er part i Standard kontraktsvilkår som gjelder i henhold til punkt 10.2 (Overføring av opplysninger), skal det Tilknyttede selskapet være en begunstiget tredjepart for punkt 6.2 (Sletting ved Avtalens opphør), 7.5 (Inspeksjoner og revisjon av overholdelse), 9.1 (Svar på den registrertes anmodninger), 10.2 (Overføring av opplysninger), 11.1 (Samtykke til å engasjere Underdatabehandlere) og 13.2 (Ansvar hvis Standard kontraktsbestemmelser gjelder). I den utstrekning dette punkt 14 (Begunstigede tredjeparter) er i konflikt med eller strider mot andre punkter i Avtalen, skal dette punkt 14 (Begunstigede tredjeparter) ha forrang.

15. Virkningen av disse Databehandlingsvilkår

Hvis det er konflikt eller inkonsistenser mellom de Standard kontraktsbestemmelsene, bestemmelsene i disse Databehandlingsvilkår og den øvrige Avtalen, så skal den følgende prioritetsrekkefølgen gjelde:

(a) Standard kontraktsbestemmelser;

(b) resten av disse Databehandlingsvilkår; og

(c) resten av Avtalen.

Med unntak for endringene i disse Databehandlingsvilkår, skal Avtalen forbli i full kraft og virkning.

16. Endringer i disse Databehandlingsvilkår

16.1 Endringer i Databehandlingstjenester. Google kan bare endre listen over potensielle Databehandlingstjenester:

(a) for å reflektere en endring på navnet til en tjeneste;

(b) for å legge til en ny tjeneste; eller

(c) å fjerne en tjeneste hvor enten: (i) alle kontrakter for ytelsen av den tjenesten har opphørt; eller (ii) Google har Kundens samtykke

16.2 Endringer i Databehandlingsvilkår.  Google kan endre disse Databehandlingsvilkår hvis endringen:

(a) er uttrykkelig tillatt av disse Databehandlingsvilkår, herunder som angitt i punkt 16.1 (Endringer i Databehandlingstjenester);

(b) reflekterer en endring i navn eller selskapsform for en juridisk enhet;

(c) er forpliktet til å overholde anvendelig lovgivning, anvendelige regler, rettsavgjørelse eller veiledning utstedt av et statlig organ eller tilsynsmyndighet; eller

(d) ikke (i) resulterer i en forringelse av den totale sikkerheten for Databehandlingstjenestene; (ii) utvider omfanget av eller fjerner enhver begrensning på Googles behandling av Kundepersonopplysninger, som beskrevet i punkt 5.3 (Googles overholdelse av instrukser); og (iii) på annen måte har en betydelig uheldig virkning på Kundens rettigheter under disse Databehandlingsvilkår, som rimelig vurdert av Google.

16.3 Endringer i Standard kontraktsbestemmelser. Google kan bare endre de Standard kontraktsbestemmelsene i samsvar med punkt 16.2(b) - 16.2(d) (Endringer i Databehandlingsvilkår) eller for å inkorporere enhver ny versjon av de Standard kontraktsbestemmelsene som kan bli vedtatt under den Europeisk Personvernlovgivningen, i hvert tilfelle på en måte som ikke påvirker gyldigheten av Standard kontraktsbestemmelser i henhold til Europeisk Personvernlovgivning.

Bilag 1: Behandlingens gjenstand og detaljer om databehandlingen

Behandlingens gjenstand

Googles ytelse av Databehandlingstjenestene og enhver relatert teknisk support til Kunden.

Varighet av behandlingen

Avtaleperioden pluss perioden fra utløp av Avtaleperioden inntil sletting av alle Kundepersonopplysninger fra Google i henhold til disse Databehandlingsvilkår.

Behandlingens formål og art

Google vil behandle (herunder, som anvendelig på Databehandlingstjenestene og instruksjonene beskrevet i punkt 5.2 (Kundens instruksjoner), samle inn, registrere, organisere, strukturere, oppbevare, endre, motta, bruke, avsløre, kombinere, slette og ødelegge) Kundepersonopplysninger med formål om å yte Databehandlingstjenester og enhver relatert teknisk support til Kunden i overenstemmelse med disse Databehandlingsvilkår.

Typen personopplysninger

Typene personopplysninger som utgjør Kundepersonopplysninger er lyd og audiovisuelt innhold som er lastet opp av Kunden på YouTube under vilkårene i Avtalen og behandlet av Google på vegne av Kunden gjennom Googles ytelse av Databehandlingstjenenestene.

Bilag 2: Sikkerhetstiltak

Fra og med Ikrafttredelsesdatoen, vil Google gjennomføre og opprettholde Sikkerhetstiltakene som er angitt i dette Bilag 2. Google kan oppdatere eller endre slike Sikkerhetstiltak fra tid til annen, forutsatt at slike oppdateringer og endringer ikke resulterer i forringelse av den totale sikkerheten av Databehandlingstjenestene.

1.         Datasentre & Nettverkssikkerhet

(a) Datasentre.

Infrastruktur. Google har geografisk distribuerte datasentre. Google oppbevarer all produksjon av data i fysisk sikrede datasentre.

Redundans. Infrastruktursystemer har blitt designet for å eliminere 'single points of failure' og minimere innvirkningen av forutsette miljørisikoer. Doble kretser, brytere, nettverk og andre nødvendige enheter bidrar til slik redundans. Databehandlingstjenestene er designet for å tillate at Google utfører visse typer av preventiv og korrektiv vedlikehold uten forstyrrelser. Alt miljøutstyr og fasiliteter har dokumenterte preventive vedlikeholdsrutiner som beskriver prosessen for og hyppigheten av ytelsen i samsvar med produsentens eller intern spesifisering. Preventivt og korrektivt vedlikehold av datasenterutstyr er fast planlagt gjennom en standardprosess i henhold til dokumenterte rutiner.

Kraftforsyning. Datasentrenes elektriske kraftsystemer er designet for redundans og kan vedlikeholdes uten innvirkning på løpende operasjoner, 24 timer om dagen, og 7 dager i uken. I de fleste tilfeller, vil en primær så vel som en alternativ strømkilde, hver med like stor kapasitet, være tilgjengelig som kritisk infrastrukturkomponenter i datasentrene. Reservekraft er tilgjengelig gjennom ulike mekanismer, slik som avbruddssikker strømforsynings (UPS) batterier, som gir konstant pålitelig strømbeskyttelse under strømavbrytelse, blackouts, overspenning, underspenning og uholdbare spenningsforhold. Hvis kraftsystemet blir forstyrret, er reservekraft designet for å gi midlertidig kraft til datasenteret, på full kapasitet, for opptil 10 minutter inntil dieselgeneratorsystemet tar over. Dieselgeneratorene er kapable til automatisk å starte opp i løpet av sekunder for å gi tilstrekkelig nødkraft for å kjøre datasentrene på full kapasitet normalt for en periode på dager.

Operasjonssystemer på servere. Googles servere bruker forherdede operativsystemer som er tilpasset for den unike serverbehov for virksomheten. Data er oppbevart med egne algoritmer for å forsterke datasikkerhet og redundans. Google anvender en kodegjennomgangsprosess for å øke sikkerheten av koden som benyttes for å yte Databehandlingstjenestene og forsterke sikkerhetsproduktene i produksjonsmiljøet.

Virksomhetskontinuitet. Google dupliserer data over flere systemer for å hjelpe å beskytte mot utilsiktet ødeleggelse eller tap. Google har designet og planlegger og tester jevnlig deres virksomhetskontinuitet planer/katastrofegjenopprettingsprogrammer.

(b) Nettverk & Overføring.

Dataoverføring. Datasentre er typisk tilkoblet via høyhastighets private linjer for å gi sikker og rask dataoverføring mellom datasentre. Dette er designet for å hindre at data blir lest, kopiert, endret eller fjernet uten autorisasjon under elektronisk overføring eller transport eller mens det blir lagret på dataoppbevaringsmedier. Google overfører data via Internett standard protokoller.

Ekstern angrepsoverflate. Google anvender flere lag av nettverksenheter og innbruddsoppdagelse for å beskytte deres eksterne angrepsoverflate. Google vurderer potensielle angrepsvektorer og inkorporer egnet formålsbygget teknologi i utadvendte systemer.

Innbruddsoppdagelse. Innbruddsoppdagelse er ment for å gi innsikt i pågående angrepsaktiviteter og å gi tilstrekkelig informasjon for å reagere på hendelser. Googles innbruddsoppdagelse innebærer:

1. Tett kontroll av størrelsen og sammensetningen av Googles angrepsoverflate gjennom preventive tiltak;

2. Anvendelse av intelligent oppdagelseskontroll på datainngangspunkter; og

3. Anvendelse av teknologier som automatisk bøter på visse farlige situasjoner.

Respons på hendelser. Google overvåker en variasjon av kommunikasjonskanaler for sikkerhetshendelser, og Googles sikkerhetsansatte vil reagere raskt på kjente hendelser.

Kryperingsteknologier. Google gjør HTTPS-kryptering (også referert til som SSL eller TLS tilkobling) tilgjengelig. Google servere støtter efemerisk elliptisk kurve Diffie Hellman kryptografisk nøkkelutveksling signert med RSA og ECDSA. Disse "perfect forward secrecy" (PFS) metoder bidrar til å beskytte trafikken og minimere virkningen av en kompromittert nøkkel, eller et kryptografisk gjennombrudd.

2.         Tilgang- og områdekontroll

(a) Områdekontroll.

On-site Sikkerhetsoperasjon på datasentre. Googles datasentre har en on-site sikkerhetsoperasjon som er ansvarlig for alle fysiske datasentres sikkerhetsfunksjoner 24 timer om dagen, 7 dager i uken On-site sikkerhetsoperasjonspersonell følger med på overvåkningskameraer og alle alarmsystemer. On-site sikkerhetsoperasjonspersonell gjennomfører interne og eksterne patruljer på datasentrene jevnlig.

Adgangsrutiner for datasentre. Google har formelle adgangsrutiner for å gi fysisk tilgang til datasentrene. Datasentrene er plassert i fasiliteter som krever adgang med elektroniske nøkkelkort, med alarmer som er knyttet til sikkerhetsoperasjonen on-site. Alle som kommer inn på datasenteret er påkrevd å identifisere seg selv samt produsere bevis på identifikasjon til sikkersoperasjonen on-site. Bare autoriserte ansatte og leverandører har lov til å komme inn på datasentrene. Bare autoriserte ansatte og leverandører har lov til å be om elektroniske nøkkelkortstilgang til disse fasilitetene. Tilgang til elektroniske nøkkelkort for datasentrene må forespørres på forhånd og skriftlig, og behøver godkjennelse av forespørrerens leder og datasenterets direktør. Alle andre som kommer inn og trenger midlertidig adgang til datasenteret må: (i) få godkjennelse på forhånd fra datasenterets leder for det spesifikke datasenteret og interne områder de ønsker å besøke; (ii) skrive seg inn hos sikkerhetsoperasjonen on-site; og (iii) referere til et godkjent datasenteradgangsrulleblad som identifiserer personen som godkjent.

On-site sikkerhetsenheter på datasentre: Googles datasentre anvender elektroniske nøkkelkort og biometrisk adgangskontrollsystem som er knyttet til en systemalarm. Adgangskontrollsystemet overvåker og nedtegner hvert individs elektroniske nøkkelkort og når de får tilgang til perimeterdører, utsendelser og mottak, og andre kritiske områder. Uautorisert aktivitet og mislykkede adgangsforsøk blir loggført av adgangskontrollsystemet og etterforsket som formålstjenlig. Autorisert adgang gjennom virksomhetsoperasjoner og datasentre er begrenset basert på soner og individets arbeidsoppgaver. Branndørene på datasentrene har alarm. Overvåkningskameraer anvendes både på innsiden og utsiden av datasentrene. Kameraenes posisjoner har blitt designet for å dekke strategiske områder, herunder, blant annet, perimeteret, dører til datasenterbygningen, og sending/mottak. Sikkerhetsoperasjonspersonell on-site håndterer videoovervåkningen, opptak og kontrollutstyr. Sikre kabler gjennom datasentrene kobler samme kameraovervåkningsutstyret. Kameraer gjør opptak on-site via digital videoinnspilling 24 timer om dagen, 7 dager i uken. Overvåkningsmateriale blir beholdt i minimum 7 dager basert på aktiviteten.

(b) Tilgangskontroll.

Infrastruktur sikkerhetsansatte. Google har, og opprettholder, en sikkerhetsretningslinjer for dets ansatte, og krever sikkerhetsopplæring som en del av oppæringen for dets ansatte. Googles infrastruktur sikkerhetsansatte er ansvarlige for den pågående overvåkningen av Googles sikkerhetsinfrastruktur, inspeksjonen av Databehandlingstjenestene, og å respondere på sikkerhetshendelser.

Tilgangskontroll og forvaltning av rettigheter. Kunders administratorer og brukere må autentisere seg selv via et sentralt autentiseringssystem eller via et enkelt innloggingssystem for å bruke Databehandlingstjenestene.

Interne datatilgangsprosesser og retningslinjer – Retningslinjer for tilgang. Googles interne datatilgangsprosesser og retningslinjer er designet for å hindre uautoriserte personer og/eller systemer fra å få tilgang til systemer benyttet til å behandle personopplysninger. Google sikter på designe sine systemer for å: (i) bare tillate at autoriserte personer får tilgang til data de er autorisert for å ha tilgang til; og (ii) sikre at personopplysninger ikke kan bli lest, kopiert, endret eller fjernet uten autorisasjon under behandling, bruk og etter lagring. Systemene er designet for å oppdage enhver uskikket tilgang. Google anvender et sentralisert tilgangskontrollsystem for å kontrollere ansattes tilgang til produksjonsservere, og gir bare tilgang til et begrenset antall autorisert ansatte. LDAP, Kerberos og et proprietært system som anvender SSH-sertifikater er designet for utstyre Google med sikre og fleksible tilgangsmekanismer. Disse mekanismene er designet for bare å gi godkjente tilgangsrettigheter til site hosts, logger, data og konfigurasjonsinformasjon. Google krever bruken av unike brukeridentifikasjoner, sterke passord, to-faktors autentisering og overvåker nøye tilgangslister for å minimere potensialet for uautorisert kontobruk. Utstedelsen eller endringen av tilgangsrettigheter er basert på: den autoriserte ansattes arbeidsoppgaver, arbeidsplikter nødvendige for å gjennomføre autoriserte oppgaver; og et 'need to know'-grunnlag. Utstedelsen eller endringen av tilgangsrettigheter må også være i henhold til Googles interne retningslinjer for datatilgang og opplæring. Godkjennelser blir håndtert av arbeidsflytsverktøy som opprettholder revisjonsprotokoller av alle endringer. Tilgang til systemer blir loggført for å skape et revisjonsspor for etterprøvbarhet. Når passord blir benyttet for autentisering (f.eks. ved innlogging på arbeidsstasjoner), er det implementert passordretningslinjer som i det minste følger bransjestandarder. Slike bransjestandarder inkluderer begrensninger på gjenbruk av passord og tilstrekkelig passordstyrke.

3.         Data

(a) Dataoppbevaring, isolasjon & autentisering.

Google oppbevarer data i et delt datamiljø på Google-eide servere. Data, Databehandlingstjenestenes database og filsystemarkitektur blir duplisert mellom flere geografisk spredte datasentre. Google isolerer logisk hver enkelt kundes data. Et sentralt autentiseringssystem blir benyttet for alle Databehandlingstjenester for øke uniform datasikkerhet.

(b) Nedlagte disker og retningslinjer for ødeleggelse av disker.

Visse disker som inneholder data kan oppleve problemer med yteevne, feil eller maskinvaremangler som fører til at de blir nedlagt ("Nedlagte Disker"). Hver eneste Nedlagte Disk er underlagt en rekke prosesser for diskødeleggelser ("Retningslinjene for Diskødeleggelse") før de forlater Googles områder enten for gjenbruk eller ødeleggelse. Nedlagte Disker blir slettet gjennom prosess med flere steg og godkjent av minst to uavhengige godkjenningskontrollører. Slettelsesresultatet blir loggført med de Nedlagte Diskenes serienummer for sporing. Til slutt, blir de slettede Nedlagte Diskene overgitt til lagerbeholdningen for gjenbruk og omplassering. Hvis, grunnet maskinvaremangler, de Nedlagte Diskene ikke kan bli slettet, vil de bli sikkert oppbevart inntil de kan ødelegges. Hver fasilitet blir revidert jevnlig for å overvåke overholdelsen av Retningslinjene for Diskødeleggelse.

4.         Sikkerhetstiltak for ansatte

Googles ansatte er forpliktet til å oppføre seg på en måte som er konsistent med selskapets retningslinjer om konfidensialitet, forretningsetikk, formålstjenlig bruk, og profesjonelle standarder. Google gjennomfører rimelige bakgrunnssjekker i den utstrekning det er tillatt etter lovgivningen og i samsvar med anvendelig lokal arbeidsrett og lovbestemmelser.

Ansatte er forpliktet til å underskrive en fotrolighetsavtale og må erkjenne mottaket av, og overholdelse av, Googles konfidensialitets og personvernretningslinjer. Ansatte blir gitt sikkerhetsopplæring. Ansatte som håndterer Kundepersonopplysninger må oppfylle ytterligere krav som er formålstjenlig for deres rolle. Googles ansatte vil ikke behandle Kundepersonopplysninger uten autorisasjon.

5.         Sikkerhetstiltak for Underdatabehandlere

Før Underdatabehandlere gis tilgang, gjennomfører Google en revisjon av sikkerhets- og personvernsmetodene til Underdatabehandlere for å forsikre om at Underdatabehandlere gir et tilstrekkelig sikkerhetsbeskyttelsesnivå og personvern som er egnet for deres tilgang til data og omfanget av tjenestene de blir engasjert for å yte. Når Google har vurdert risikoene for Underdatabehandleren, er Underdatabehandleren pliktig til å inngå egnede sikkerhets-, konfidensialitets- og personvernavtaler.