תנאי עיבוד המידע של YouTube

בתוקף החל מתאריך 24 בנובמבר 2020 (להצגת הגרסה הקודמת)

תנאי עיבוד המידע האלו של YouTube (וביחד עם הנספחים: "תנאי עיבוד המידע") יחולו על עיבוד מידע אישי של לקוחות. תנאים אלו מהווים נספח להסכם בינך ("הלקוח") לבין Google בקשר לשימוש שלך בשירותי YouTube ("ההסכם"). ההסכם עשוי לכלול את תנאי השימוש של YouTube ‏(YouTube Terms of Service) או הסכם רישיון תוכן, בהתאם ללקוח. יש לקרוא בקפידה את תנאי עיבוד המידע.

1. הקדמה

תנאי עיבוד מידע אלו משקפים את הסכמת הצדדים לתנאים החלים על עיבוד ואבטחת המידע האישי של הלקוח בקשר לחקיקת הגנת המידע באירופה.

2. הגדרות

2.1. בתנאי עיבוד מידע אלו:

"חברה קשורה" - אם לא הוגדר אחרת בהסכם, משמעה ישות ששולטת או נשלטת, לבד או ביחד עם אחרים, במישרין או בעקיפין, באחד הצדדים לתנאי עיבוד המידע.

"מידע אישי של לקוח" - תוכן קולי או חזותי-קולי שהועלה על ידי לקוח ל-YouTube בכפוף לתנאי ההסכם, ועובד על ידי Google עבור הלקוח במסגרת שירותי עיבוד המידע של Google.

"אירוע אבטחת מידע" - פריצה של אמצעי האבטחה של Google שמובילה, באופן שאינו מכוון או באופן בלתי חוקי, להשמדה, איבוד, שינוי, חשיפה בלתי מורשית או גישה למידע אישי של לקוח במערכות שמנוהלות או נשלטות על ידי Google. "אירועי אבטחת מידע" לא כוללים ניסיונות שלא צלחו או פעולות שלא פוגעות באבטחת המידע האישי של לקוח, לרבות ניסיונות התחברות שלא צלחו, איתות (Ping), סריקות של יציאות (Ports), התקפות מניעת שירות והתקפות רשת אחרות על חומות אש או מערכות מרושתות.

"כלי נושא המידע" - כלי שהונגש (אם בכלל) על ידי Google לנושאי מידע שמאפשר ל-Google להגיב ישירות ובאופן שיטתי לבקשות מסוימות מנושאי מידע בקשר למידע אישי של לקוח (לדוגמה, הגדרות של פרסומות באינטרנט או תוספי דפדפן להשבתת פרסומות (opt-out).

"EEA" - האזור הכלכלי האירופי (European Economic Area).

"ה-GDPR של האיחוד האירופי" - רגולציה 2016/679 של האיחוד האירופי שהתקבלה על ידי הפרלמנט האירופי ומועצת האיחוד האירופי ב-27 באפריל 2016 ומטרתה להסדיר את ההגנה על נושאי המידע (האישיויות הטבעיות - natural persons) בכל הנוגע לעיבוד המידע האישי שלהם, וכן את התנועה החופשית של המידע הזה. הרגולציה מחליפה את דירקטיבה 95/46/EC.

"חקיקת הגנת המידע באירופה" - פירושה, לפי ההקשר: (א) GDPR; (ב) Federal Data Protection Act of 19 June 1992 (Switzerland)‎; (ג) Brazilian Data Protection General Law (Law No. 13709/2018)‎; ו/או (ד) חוקים או תקנות רלוונטיים אחרים של הגנת נתונים הנגזרים מה-General Data Protection Regulation.

“חוקי האיחוד האירופי או חוקים מקומיים” פירושם, לפי ההקשר: (א) חוק של מדינה החברה באיחוד האירופי או חוק של האיחוד האירופי (אם ה-GDPR של האיחוד האירופי חל על עיבוד מידע אישי של לקוחות); ו/או (ב) החוק של הממלכה המאוחדת (בריטניה) או של חלק ממנה (אם ה-GDPR הבריטי חל על עיבוד מידע אישי של לקוחות).

“GDPR” פירושו, לפי ההקשר: (א) תקנות ה-GDPR של האיחוד האירופי; ו/או (ב) תקנות ה-GDPR של בריטניה.

"Google" - משמעה ישות משפטית של Google שהיא צד להסכם עמך.

"מעבדי משנה של חברה קשורה" - כפי שהוגדר בסעיף 11.1 (הסכמה להתקשרות עם מעבד משנה).

"ישות משפטית של Google" - משמעה YouTube, ‏LLC, ‏Google LLC (בעבר Google Inc.‎)‏, Google Ireland Limited או כל חברה קשורה של Google LLC.

"הסמכת ISO 27001" - תעודת ISO/IEC 27001:2013 או תעודה דומה ביחס לשירותי עיבוד מידע.

"דואר אלקטרוני לקבלת הודעות" - משמעו דואר אלקטרוני שהוגדר על ידי הלקוח (ככל שהוגדר) דרך ממשק המשתמש של שירותי עיבוד המידע או באמצעים אחרים שסופקו על ידי Google, לצורך קבלת הודעות מ-Google בקשר לתנאי עיבוד מידע אלו.

"שירותי עיבוד המידע" - עיבוד מידע אישי של לקוח בהתאם לתנאי עיבוד מידע אלו.

"מסמכי אבטחת מידע" - התעודה שהונפקה להסמכת ISO 27001, ככל שקיימת, וכל תעודה או מסמך אחר בקשר לאבטחת מידע ש-Google עשויה להנגיש לציבור בקשר לשירותי עיבוד המידע.

"אמצעי אבטחה" - כפי שהוגדר בסעיף 7.1.1 (אמצעי אבטחה של Google).

"סעיפים חוזיים לדוגמה" פירושם סעיפי החוזה לדוגמה של ה-European Commission המופיעים בכתובת https://privacy.google.com/businesses/gdprprocessorterms/sccs, שהם התנאים הסטנדרטיים להגנה על נתונים בהעברת מידע אישי למעבדים המבוססים במדינות שלישיות שאינן מבטיחות רמה נאותה של הגנה על מידע אישי, כמתואר בסעיף 46 של ה-EU GDPR.

"מעבדי משנה" - כל צד שלישי שקיבל הרשאה, בכפוף לתנאי עיבוד מידע אלו, לגישה לוגית ולעיבודו של מידע אישי של לקוח על מנת לספק כל חלק של שירותי עיבוד המידע ותמיכה טכנית הקשורה אליהם.

"מעבדי משנה צד ג'" - כפי שהוגדר בסעיף 11.1 (הסכמה להתקשרות עם מעבדי משנה).

“רשות מפקחת” פירושה, לפי ההקשר: (א) "רשות מפקחת" כפי שמוגדר ב-GDPR של האיחוד האירופי; ו/או (ב) "הגוף הממונה" (Commissioner) כפי שמוגדר ב-GDPR הבריטי.

2.2. המונחים "נאמן מידע", "האדם שאליו מתייחס המידע", "מידע אישי", "עיבוד" וכן "המעבד" כפי שנעשה בהם שימוש בתנאי עיבוד מידע אלו הם בעלי המשמעות כפי שהוגדרה ב-GDPR, והמונחים "יבואן מידע" ו"יצואן מידע" הם בעלי משמעות כפי שהוגדרה בסעיפים החוזיים לדוגמה.

2.3. כל הפניה למסגרת משפטית, חוק או כל מעשה תחיקתי אחר מהווים הפניה אליהם כפי שנחקקו, נחקקו מחדש או עודכנו מעת לעת.

2.4 אם תנאי עיבוד מידע אלו מתורגמים לשפה אחרת וקיים פער בין הטקסט באנגלית לטקסט המתורגם, הטקסט באנגלית הוא הקובע.

3. תקופת תחולת תנאי עיבוד מידע אלו

תקופת תנאי עיבוד מידע אלו ("התקופה") ומתן שירותי עיבוד המידע על ידי Google, יחלו ביום 25 במאי 2018 (או תאריך ההסכם, אם מאוחר מיום 25 במאי 2018) ("תאריך הכניסה לתוקף"), ויימשכו עד למחיקת כל המידע האישי על ידי Google כמפורט בתנאי עיבוד מידע אלו.

4. יישום תנאי עיבוד מידע אלו

4.1 יישום חקיקת הגנת המידע באירופה. תנאי עיבוד מידע אלו יחולו אך ורק אם חקיקת הגנת המידע באירופה חלה על עיבוד מידע אישי של לקוח, לרבות אם:

(1) העיבוד נעשה בהקשר של פעילות עסקית של לקוח המתבצעת ב-EEA או בבריטניה; ו/או

(2) מידע אישי של לקוח מהווה מידע אישי הנוגע לנושאי מידע שנמצאים ב-EEA או בבריטניה והעיבוד קשור להצעה של מוצרים או שירותים לאותם נושאי מידע או לניטור התנהגותם ב-EEA או בבריטניה.

5. עיבוד מידע

5.1. תפקידים וציות לחוק; הרשאה

5.1.1. אחריות המעבד והבעלים

(א) תנאי עיבוד מידע אלו מתארים את מהות ואופן העיבוד של מידע אישי של לקוח.

(ב) Google היא מעבד של מידע אישי של לקוח בהתאם לחוקי הגנת המידע.

(ג) הלקוח הוא בעלים או מעבד של מידע אישי של לקוח, לפי העניין, לפי חוקי הגנת המידע; ו-

(ד) כל צד יציית לחובות החלות עליו לפי חוקי הגנת המידע בקשר לעיבוד מידע אישי של לקוח.

5.1.2. הרשאה על ידי בעלים צד ג'. אם הלקוח הוא מעבד, הוא מצהיר ומתחייב כלפי Google שהוראותיו ופעולותיו בקשר למידע אישי של לקוח, לרבות מינויה של Google כמעבד נוסף, אושרו על ידי הבעלים הרלוונטי.

5.2. הוראות הלקוח. הלקוח מורה ל-Google לעבד מידע אישי של לקוח רק בהתאם לדין החל ולתנאי עיבוד מידע אלו: (א) כדי לספק את שירותי עיבוד המידע ותמיכה טכנית הקשורה בהם; (ב) כפי שפורט במסגרת השימוש של הלקוח בשירותי עיבוד המידע (לרבות בהגדרות ובפונקציות אחרות של שירותי עיבוד המידע) ובתמיכה טכנית הקשורה בהם; ו-(ג) כפי שתועד בהסכם, לרבות בתנאי עיבוד מידע אלו.

5.3. עמידה של Google בהוראות. Google תעמוד בהוראות שתוארו בסעיף 5.2 לעיל (הוראות הלקוח) (לרבות בקשר להעברות מידע) אלא אם החוקים של האיחוד האירופי או החוקים המקומיים ש-Google כפופה אליהם דורשים עיבוד אחר של מידע אישי של לקוח על ידי Google, כאשר במקרים אלו Google תיידע את הלקוח על כך (אלא אם החוק האמור אוסר על Google לדווח בשל אינטרס ציבורי).

6. מחיקת מידע

6.1. מחיקה במהלך התקופה.

6.1.1. שירותי עיבוד מידע עם פונקציית מחיקה. אם, במהלך התקופה:

(א) הפונקציונליות של שירותי עיבוד המידע מאפשרת ללקוח למחוק מידע אישי של לקוח;

(ב) הלקוח משתמש בשירותי עיבוד המידע על מנת למחוק חלקים ממידע אישי של לקוח; ו-

(ג) הלקוח לא יכול לשחזר מידע אישי של לקוח שנמחק (לדוגמה, מ"פח האשפה")

אזי Google תמחק מידע אישי של לקוח כאמור מהמערכות שלה בהקדם האפשרי הסביר, אלא אם חוקים של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע.

6.1.2. שירותי עיבוד מידע ללא פונקציית מחיקה. אם במהלך התקופה, הפונקציונליות של שירותי עיבוד המידע לא מאפשרת ללקוח למחוק מידע אישי של לקוח, אזי Google תציית לכל הוראה סבירה של הלקוח כדי לסייע במחיקה כאמור, ככל שהדבר אפשרי, בהתחשב באופי ובפונקציונליות של שירותי עיבוד המידע. Google עשויה לגבות עמלה (המבוססת על הוצאותיה הסבירות של Google) על כל מחיקה לפי סעיף 6.1.2 זה (שירותי עיבוד מידע ללא פונקציית מחיקה). Google תספק ללקוח פרטים נוספים בקשר לעמלה ולדרך החישוב שלה, לפני מחיקת מידע כאמור.  

6.2. מחיקה בסיום התקופה. עם סיום או ביטול ההסכם, הלקוח מורה ל-Google למחוק את כל המידע האישי של הלקוח (לרבות עותקים קיימים) ממערכותיה של Google בהתאם לדין החל. Google תציית להוראה זו בהקדם האפשרי הסביר אלא אם: (א) חוק של האיחוד האירופי או חוקים מקומיים מחייבים לשמור את המידע; (ב) ההסכם הוחלף על ידי הסכם חדש או תנאי שימוש בין הלקוח לבין Google בקשר לשימוש של הלקוח בשירות YouTube, והלקוח מאשר שמידע אישי של לקוח (לרבות עותקים קיימים שהועלו לשירות YouTube) ימשיך להיות מעובד בהתאם לתנאי עיבוד מידע אלו.

7. אבטחת מידע

7.1. אמצעי אבטחת מידע של Google וסיוע

7.1.1. אמצעי אבטחת מידע של Google. ‏Google תיישם ותקיים אמצעים טכניים וארגוניים על מנת לשמור על מידע אישי של לקוח מפני השמדה, איבוד, שינוי, חשיפה בלתי מורשית או גישה למידע אישי של לקוח, שאירעו באופן בלתי מכוון או באופן בלתי חוקי, כפי שמתואר בנספח 2 ("אמצעי אבטחת מידע").Google רשאית לעדכן או לתקן את אמצעי אבטחת המידע מעת לעת, בכפוף לכך שהעדכונים והתיקונים לא יגרמו לשינוי לרעה באבטחה הכוללת של שירותי עיבוד המידע.

7.1.2. עמידה של עובדי Google בהוראות אבטחה. Google תוודא שכל מי שרשאי לעבד מידע אישי של לקוח התחייב לשמור על סודיות או שהוא כפוף להוראה חוקית המחייבת שמירת סודיות.

7.1.3. הסיוע של Google בשמירה על אבטחת מידע. Google תסייע ללקוח (בהתחשב בטבעו של עיבוד המידע האישי של הלקוח ובמידע הזמין ל-Google) לעמוד בחובות של הלקוח בקשר לשמירה על אבטחה של מידע אישי, פריצות למידע אישי, לרבות (ככל שהדבר רלוונטי) חובות הלקוח בהתאם לסעיפים 32 עד 34 (כולל) ל-GDPR, על ידי:

(א) יישום וקיום אמצעי אבטחת מידע בהתאם לסעיף 7.1.1 לעיל (אמצעי אבטחת מידע של Google);

(ב) עמידה בתנאי סעיף 7.2 לעיל (אירועי אבטחת מידע); ו-

(ג) אספקת מסמכי אבטחת מידע ללקוח בהתאם לסעיף 7.5.1 (עיון במסמכי אבטחת מידע) ולאמור בתנאי עיבוד מידע אלו.

7.2. אירועי אבטחת מידע.

7.2.1. דיווח על אירועים. אם Google תהיה מודעת לאירוע אבטחת מידע, Google: (א) תודיע ללקוח על אירוע אבטחת המידע בהקדם האפשרי וללא דיחוי; ו-(ב) תבצע את הפעולות הנדרשות בהקדם האפשרי על מנת לצמצם את הנזק ולאבטח את המידע האישי של הלקוח.

7.2.2. פרטים אודות אירוע אבטחת מידע. דיווח בהתאם לסעיף 7.2.1 לעיל (דיווח על אירוע) יתאר, ככל האפשר, פרטים אודות אירוע אבטחת המידע, לרבות פעולות שננקטו על מנת לצמצם סיכונים אפשריים וצעדים ש-Google ממליצה ללקוח לנקוט בתגובה לאירוע אבטחת המידע.

7.2.3. מסירת ההודעה. Google תמסור את ההודעה על אירוע אבטחת מידע לדואר האלקטרוני לקבלת הודעות או בתקשורת ישירה אחרת (לדוגמה, שיחת טלפון או מפגש אישי). הלקוח ינקוט את כל הפעולות הסבירות כדי לספק כתובת דואר אלקטרוני לקבלת הודעות ולוודא שכתובת הדואר האלקטרוני לקבלת הודעות תקפה.

7.2.4. הודעה לצדדים שלישיים. הלקוח אחראי באופן בלעדי לציית לחוקים החלים על הלקוח בקשר לחובת יידוע על אירועי אבטחה ולעמוד בחובת הודעה לצדדים שלישיים בקשר לכל אירוע אבטחת מידע.

7.2.5. אי הודאה באחריות על ידי Google. הודעת Google על אירוע אבטחת מידע או תגובתה לאירוע אבטחת מידע בהתאם לסעיף 7.2 לעיל (אירועי אבטחת מידע) לא תפורש כהודאה באחריות או באשמה על ידי Google בקשר לאירוע אבטחת המידע.

7.3. חובות שמירה על אבטחת מידע של הלקוח והערכת הלקוח 

7.3.1. חובות אבטחת מידע של הלקוח. מבלי לגרוע מחובותיה של Google לפי סעיף 7.1 לעיל (אמצעי אבטחת מידע של Google) וסעיף 7.2 לעיל (אירועי אבטחת מידע):

(א) הלקוח אחראי לשימושו בשירותי עיבוד המידע, לרבות:

(1) שימוש ראוי בשירותי עיבוד המידע על מנת לוודא רמת אבטחה נאותה בהתאם לסיכון בקשר למידע האישי של הלקוח; ו-

(2) אבטחת פרטי אימות ההתחברות לחשבון, מערכות ומכשירים שהלקוח משתמש בהם כדי לגשת לשירותי עיבוד המידע; ו-

(ב) ל-Google אין חובה לשמור על מידע אישי של לקוח שהלקוח בחר להעביר או לשמור מחוץ למערכות המידע של Google או של מעבדי המשנה שלה.

7.3.2. הערכת אבטחת מידע של הלקוח. הלקוח מצהיר ומסכים (בהתחשב ביכולות הטכנולוגיות הקיימות, בעלות יישומן, באופי, בהיקף, בהקשר ובתכליות עיבוד המידע אישי של הלקוח, וכן בסיכונים העלולים להיגרם לאנשים) שאמצעי אבטחת המידע שיושמו ומקוימים על ידי Google כאמור בסעיף 7.1.1 לעיל (אמצעי אבטחת מידע של Google) מספקים רמה נאותה של אבטחה בהתאם לסיכון בקשר למידע אישי של הלקוח.

7.4. אישור אבטחה. על מנת להעריך ולסייע בהבטחת היעילות של אמצעי אבטחת המידע, מעת לעת,   Google רשאית לקבל הסמכת ISO 27001.

7.5. סקירות וביקורות לציות.

7.5.1. סקירת מסמכי אבטחת מידע. על מנת להוכיח ציות לחובותיה בהתאם לתנאי עיבוד מידע אלו, Google תאפשר ללקוח גישה לצורך עיון במסמכי אבטחת מידע.

7.5.2. זכויות ביקורת של הלקוח.

(א) Google תאפשר ללקוח או לצד שלישי אשר מונה על ידי הלקוח כמבקר לערוך ביקורות (לרבות פיקוחים) כדי לוודא את עמידתה של Google בחובותיה לפי תנאי עיבוד מידע אלו בהתאם לסעיף 7.5.3 להלן (תנאים עסקיים נוספים לביקורת). Google תסייע לביקורות בהתאם לסעיפים 7.4 לעיל (אישור אבטחה) וסעיף 7.5 זה (סקירה וביקורות לציות).

(ב) אם הסעיפים החוזיים לדוגמה חלים על פי סעיף 10.2 (העברות מידע), Google תאפשר ללקוח או לצד שלישי אשר מונה על ידי הלקוח כמבקר לערוך ביקורות כמתואר בסעיפים החוזיים לדוגמה בהתאם לסעיף 7.5.3 (תנאים עסקיים נוספים לביקורות).

(ג) הלקוח אף רשאי לערוך ביקורת על מנת לוודא את עמידתה של Google בחובותיה לפי תנאי עיבוד מידע אלו, באמצעות בחינת תעודה שהונפקה עבור הסמכת ISO 27001 (המשקפת את תוצאת הביקורת שבוצעה על ידי צד שלישי אשר מונה כמבקר מטעמה), במידה שתעודה זו קיימת במועד בקשת הלקוח.

7.5.3. תנאים עסקיים נוספים לביקורות.

(א) הלקוח ישלח כל בקשה לביקורת לפי סעיף 7.5.2(א) או 7.5.2(ב) לעיל ל-Google בהתאם לקבוע בסעיף 12.1 להלן (פנייה ל-Google).

(ב) לאחר קבלת הבקשה על ידי Google לפי סעיף 7.5.3(א) לעיל, Google והלקוח ידונו ויסכימו על תאריך ההתחלה הסביר, ההיקף, משך התקופה ובקרות לאבטחה ושמירת סודיות הקשורים לביקורת שתתבצע לפי סעיף 7.5.2(א) או 7.5.2(ב) לעיל.

(ג) Google רשאית לגבות עמלה (שגובהה מבוסס על הוצאותיה הסבירות של Google) עבור כל ביקורת המתבצעת לפי סעיף 7.5.2(א) או 7.5.2(ב) לעיל. Google תספק ללקוח פרטים נוספים בנוגע לעמלה כאמור ולדרך החישוב שלה לפני עריכת הביקורת. הלקוח יהיה אחראי באופן בלעדי לכל תשלום שיחויב על ידי צד שלישי שהלקוח מינה לצורך עריכת הביקורת.

(ד) Google רשאית לסרב לעריכת ביקורת על ידי צד שלישי אשר מונה על ידי הלקוח לפי סעיף 7.5.2(א) או 7.5.2(ב) לעיל אם המבקר, לדעתה הסבירה של Google, אינו מוסמך כראוי או אינו בלתי תלוי, אם הוא מתחרה של Google או אם מסיבות אחרות הוא אינו מתאים באופן מובהק לביצוע הביקורת. סירובה של Google יחייב את הלקוח למנות מבקר אחר או לערוך את הביקורת בעצמו.

(ה) אין בתנאי עיבוד מידע אלו כדי לדרוש מ-Google למסור ללקוח או למבקר אשר מונה על ידו, או כדי לאפשר גישה ללקוח או למבקר שמונה על ידיו ל:

(1) כל מידע על לקוח אחר של ישות משפטית של Google.

(2) כל מידע פנימי חשבונאי או פיננסי של ישות משפטית של Google.

(3) כל סוד מסחרי של ישות משפטית של Google.

(4) כל מידע שלדעתה הסבירה של Google, עלול: (א) לסכן את אבטחת המערכות או המתחמים של כל ישות משפטית של Google; או (ב) לגרום לישות משפטית של Google להפר את חובותיה לפי חוקי הגנת מידע או חובות האבטחה ו/או סודיות שלה ללקוח או לכל צד שלישי; או

(5) כל מידע שהלקוח או צד שלישי אשר מונה על ידי הלקוח מבקש גישה אליו לכל סיבה אחרת שאינה קיום בתום לב של חובותיו של הלקוח לפי חוקי הגנת מידע.

7.5.4 אין שינויים בסעיפים החוזיים לדוגמה. אם הסעיפים החוזיים לדוגמה חלים על פי סעיף 10.2 (העברות מידע), שום דבר בסעיף 7.5 זה (סקירות וביקורות לציות) אינו משנה או מתקן זכויות וחובות כלשהם של הלקוח או של ישות משפטית של Google במסגרת הסעיפים החוזיים לדוגמה.

8. הערכת השפעה והתייעצויות

Google (בהתחשב בטבעו של העיבוד ובמידע הזמין ל-Google) תסייע ללקוח לעמוד בחובות החלות עליו בקשר להערכת ההשפעה של הגנת המידע (Data protection impact assessment) ולהתייעצות מוקדמת, לרבות (ככל שהדבר רלוונטי) חובות הלקוח לפי סעיפים 35 ו-36 ל-GDPR, וזאת על ידי:

(1) אספקת מסמכי אבטחת מידע בהתאם לסעיף 7.5.1 לעיל (סקירת מסמכי אבטחת מידע);

(2) אספקת מידע הכלול בתנאי עיבוד מידע אלו; ו-

(3) אספקת או יצירת אפשרות גישה, בהתאם לפרקטיקות המקובלות של Google, לחומרים נוספים הנוגעים לטבעם של שירותי עיבוד המידע ולעיבוד מידע אישי של לקוח (לדוגמה, חומרים של מרכז העזרה).

9. זכויות נושאי מידע

9.1. תגובות לבקשות נושאי מידע. במידה ש-Google תקבל בקשה מנושא מידע בקשר למידע אישי של לקוח:

(א) אם הבקשה נעשית באמצעות כלי נושא המידע, Google תענה ישירות לבקשת נושא המידע בהתאם לפונקציה הסטנדרטית של כלי נושא המידע; או

(ב) אם הבקשה לא נעשית באמצעות כלי נושא המידע, Google תייעץ לנושא המידע להגיש את בקשתו/ה ללקוח, והלקוח יהיה אחראי להגיב לבקשה כאמור.

9.2 Google (בהתחשב בטבעו של תהליך עיבוד המידע האישי של הלקוח, ובסעיף 11 ל-GDPR, ככל שהוא חל) תסייע ללקוח לעמוד בחובתו להגיב לבקשות של נושאי המידע, לרבות (ככל שהדבר רלוונטי) חובת הלקוח להגיב לבקשות למימוש זכויות נושאי המידע כמפורט בפרק III ל-GDPR, על ידי:

(א) מסירת הפונקציונליות של שירותי עיבוד המידע;

(ב) ציות לחובות המפורטות בסעיף 9.1 לעיל (תגובות לבקשות נושאי מידע); ו-

(ג) ככל שהדבר רלוונטי לשירותי עיבוד המידע, העמדת גישה לכלי נושא המידע.

10. העברות מידע

10.1. אחסון מידע ומתקני עיבוד. Google רשאית, בכפוף לסעיף 10.2 להלן (העברת מידע מחוץ ל-EEA ושווייץ), לאחסן ולעבד מידע אישי של לקוח בארצות הברית ובכל מדינה אחרת שבה יש ל-Google או למעבדי משנה שלה מתקנים.

10.2. העברת מידע. אם האחסון ו/או העיבוד של מידע אישי של לקוח כרוך בהעברת מידע אישי של לקוח מה-EEA, משווייץ או מבריטניה למדינה שלישית כלשהי שאינה כפופה להחלטה ביחס לנאותות על פי חקיקת הגנת המידע באירופה:

(א) הלקוח (כיצואן מידע) ייחשב כמי שהתקשר בסעיפים החוזיים לדוגמה עם Google LLC (כיבואן מידע);

(ב) ההעברות יהיו כפופות לסעיפים החוזיים לדוגמה; ו-

(ג) Google תבטיח ש-Google LLC תעמוד בהתחייבויותיה על פי הסעיפים החוזיים לדוגמה לגבי העברות כאלה.

10.3. חווֹת שרתים. מידע על מיקום חווֹת השרתים של Google זמין בכתובת: www.google.com/about/datacenters/inside/locations/index.html.  

11. מעבדי משנה

11.1. הסכמה להתקשרות עם מעבדי משנה. הלקוח מאשר באופן מפורש את ההתקשרות עם ישויות משפטיות של Google כמעבדי משנה ("מעבדי משנה שהם חברה קשורה של Google"). בנוסף, הלקוח מאשר באופן כללי את ההתקשרות עם כל צד ג' אחר כמעבד משנה ("מעבדי משנה צד ג'"). אם הסעיפים החוזיים לדוגמה חלים על פי סעיף 10.2 (העברות מידע), ההרשאות לעיל מהוות הסכמה מראש בכתב מאת הלקוח להתקשרות של Google LLC עם מעבדי משנה לצורך עיבוד מידע אישי של לקוח.

11.2. מידע על מעבדי משנה. מידע על מעבדי משנה זמין בכתובת: privacy.google.com/businesses/subprocessors.

11.3. דרישות עבור התקשרות עם מעבד משנה. בהתקשרות עם כל מעבד משנה, Google:

(א) תבטיח באמצעות הסכם כתוב כי:

(1) מעבד המשנה ייגש וישתמש במידע אישי של לקוח אך ורק במידה הנדרשת כדי למלא את החובות שהוטלו עליו במסגרת ההתקשרות, וכי יעשה זאת בהתאם להסכם (לרבות תנאי עיבוד מידע אלו) ואם הם חלים לפי סעיף 10.2 (העברות מידע), בהתאם לסעיפים החוזיים לדוגמה; ו-

(2) אם ה-GDPR חל על עיבוד מידע אישי של לקוח, חובות אבטחת המידע המפורטות בסעיף 28(3) ל-GDPR יוטלו על מעבד המשנה; ו-

(ב) Google תישאר אחראית באופן מלא לכל החובות שהוטלו על, ולכל מעשה או מחדל של, מעבד המשנה.

12. פנייה ל-Google; מסמכי עיבוד

12.1.  פנייה ל-Google. לקוח רשאי לפנות ל-Google בקשר למימוש זכויותיו לפי תנאי עיבוד מידע אלו, באמצעות הדרכים המפורטות בכתובת https://support.google.com/youtube/answer/2801895 או בכל דרך אחרת שתסופק על ידי Google מעת לעת.

12.2. הלקוח מודע לכך ש-Google מחויבת לפי ה-GDPR: (א) לאסוף ולערוך רשומות של פרטי מידע מסוימים, לרבות השם ופרטי יצירת קשר של כל מעבד ו/או בעלים שבשמם Google פועלת, וכן (ככל שהדבר רלוונטי), של נציגיהם המקומיים או האחראים להגנת המידע של מעבדים או בעלים כאמור; ו-(ב) לאפשר לרשות מפקחת כלשהי גישה לפרטי מידע כאמור. בהתאם, הלקוח יספק ל-Google מידע דרך ממשק המשתמש של שירותי עיבוד המידע או באמצעים אחרים שיסופקו על ידי Google, וישתמש בממשק המשתמש או באמצעים אחרים כאמור כדי לוודא שכל המידע שסיפק הוא מדויק ומעודכן, ככל שיתבקש לכך וככל שהדבר חל עליו.

13. אחריות

13.1        מגבלת אחריות. על אף האמור בכל מקום בהסכם, האחריות המרבית של כל צד להסכם כלפי הצד האחר בקשר או לפי תנאי עיבוד מידע אלו, תוגבל לסכום הכספי או המבוסס על תשלום המרבי שאחריותו של הצד הראשון מוגבלת לפיו על פי הסכם זה (לשם הבהרה, כל החרגה של תביעות בקשר לחובת סודיות או תביעות לשיפוי מהגבלת האחריות לפי ההסכם, לא תחולנה על תביעות לפי ההסכם הקשורות לחקיקת הגנת המידע באירופה). אין בסעיף 13 זה (אחריות) כדי להגביל או לצמצם את אחריות הצדדים ל: (א) מוות או פציעה כתוצאה מרשלנות הצדדים או רשלנות העובדים של הצדדים; (ב) הונאה או הטעיה מכוונת; או (ג) עניינים שלא ניתן להחריג או לצמצם אחריות לגביהם לפי הדין החל.

13.2 אחריות במידה שהסעיפים החוזיים לדוגמה חלים. אם הסעיפים החוזיים לדוגמה חלים על פי סעיף 10.2 (העברות מידע), אזי האחריות הכוללת המשולבת של כל צד והחברות הקשורות לו כלפי משנהו והחברות הקשורות לו במסגרת או בהקשר להסכם ולסעיפים החוזיים לדוגמה יחד, תהיה כפופה לסעיף 13.1 (מגבלת אחריות).

14. מוטבי צד שלישי

אם חברה הקשורה- לאחד הצדדים היא צד לסעיפים החוזיים לדוגמה החלים על פי סעיף 10.2 (העברות מידע), אזי אותה חברה קשורה תהיה מוטב צד שלישי ביחס לסעיפים 6.2 (מחיקה בסיום התקופה), 7.5 (סקירות וביקורות לציות), 9.1 (תגובות לבקשות נושאי מידע), 10.2 (העברות מידע), 11.1 (ההסכמה להתקשרות עם מעבדי משנה) ו- 13.2 (אחריות במידה והסעיפים החוזיים לדוגמה חלים). ככל שסעיף 14 (מוטבי צד שלישי) זה סותר או אינו עקבי בהשוואה לכל סעיף אחר בהסכם, סעיף 14 זה (מוטבי צד שלישי) יחול.

15. תוקף תנאי עיבוד מידע אלו

אם קיימת סתירה או חוסר עקביות בין הסעיפים החוזיים לדוגמה, תנאי עיבוד מידע אלו ויתר ההסכם, אזי יחול סדר הקדימות הבא:

(א) הסעיפים החוזיים לדוגמה;

(ב) יתר תנאי עיבוד מידע אלו; ו-

(ג) יתר ההסכם.

בכפוף לתיקונים הנדרשים לפי תנאי עיבוד מידע אלו, ההסכם יישאר בתוקף מלא.

16. שינויים בתנאי עיבוד מידע אלו

16.1. שינויים בשירותי עיבוד המידע. Google רשאית לשנות את רשימת שירותי עיבוד המידע האפשריים רק כדי:

(א) לשקף שינוי בשם השירות;

(ב) להוסיף שירות; או

(ג) להסיר שירות במקרה ש: (1) כל ההסכמים לאספקת אותו שירות בוטלו; או (2) Google קיבלה את הסכמת הלקוח לכך.

16.2. שינויים בתנאי עיבוד המידע. Google רשאית לשנות את תנאי עיבוד מידע אלו אם השינוי:

(א) מותר באופן מפורש לפי תנאי עיבוד מידע אלו, לרבות בהתאם לסעיף 16.1 (שינויים בשירותי עיבוד המידע) לעיל;

(ב) משקף שינוי של השם או המבנה של ישות משפטית כלשהי;

(ג) נדרש על מנת לעמוד בהוראות כל חוק, תקנה, צו בית משפט או הנחיה של רשות או סוכנות ממשלתית; או

(ד) לא (1) גורם להרעה באבטחה הכוללת של שירותי עיבוד המידע; (2) מרחיב את ההיקף או מסיר את המגבלות על עיבוד מידע אישי של לקוח על ידי Google, כפי שתואר בסעיף 5.3 לעיל (עמידה של Google בהוראות); ו-(3) משפיע מהותית לרעה על זכויות הלקוח לפי תנאי עיבוד מידע אלו, כפי שנקבע באופן סביר על ידי Google.

16.3 שינויים בסעיפים חוזיים לדוגמה. Google רשאית לשנות את הסעיפים החוזיים לדוגמה רק בהתאם לסעיפים 16.2(ב) עד 16.2(ד) (שינויים בתנאי עיבוד המידע) או לשלב כל גרסה חדשה של הסעיפים החוזיים לדוגמה שתאומץ בחקיקת הגנת המידע באירופה. בכל אחד מהמקרים הללו יבוצע השינוי באופן שאינו משפיע על תוקפם של הסעיפים החוזיים לדוגמה במסגרת חקיקת הגנת המידע באירופה.

נספח 1: ההיקף והפרטים של עיבוד המידע

היקף

אספקת שירותי עיבוד מידע על ידי Google וכל תמיכה טכנית הקשורה בכך עבור הלקוח.

תקופת העיבוד

התקופה בתוספת משך הזמן מתאריך סיום התקופה ועד למחיקת כל מידע אישי של לקוח על ידי Google בהתאם לתנאי עיבוד מידע אלו.

אופי העיבוד ומטרתו

Google תעבד (ובכלל זאת, בהתאם לשירותי עיבוד המידע ולהוראות המתוארות בסעיף 5.2 (הוראות הלקוח), תאסוף, תקליט, תארגן, תבנה, תאחסן, תשנה, תשחזר, תשתמש, תחשוף, תשלב, תמחק ותשמיד) מידע אישי של לקוח למטרת אספקת שירותי עיבוד המידע ולכל תמיכה טכנית הקשורה לכך ללקוח בהתאם לתנאי עיבוד מידע אלו.

סוגי מידע אישי

סוגי המידע האישי הנכללים במידע אישי של לקוח הם תוכן קולי וקולי-חזותי שהועלו על ידי הלקוח ל-YouTube בהתאם לתנאי ההסכם, המעובדים על ידי Google עבור הלקוח במסגרת אספקת שירותי עיבוד המידע על ידי Google.

נספח 2: אמצעי אבטחת מידע

החל בתאריך הכניסה לתוקף, Google תיישם ותקיים את אמצעי אבטחת מידע המפורטים בנספח 2 זה. Google רשאית לעדכן או לשנות אמצעי אבטחת מידע אלו מעת לעת, בכפוף לכך שאותם עדכונים או שינויים לא יגרמו להרעה ברמת האבטחה הכוללת של שירותי עיבוד המידע.

1. חוות שרתים ואבטחת רשת

(1) חווֹת שרתים

תשתית. Google מחזיקה חווֹת שרתים מבוזרות גיאוגרפית. Google מאחסנת את כל מידע הייצור בחווֹת שרתים מאובטחות פיזית.

יתירות. מערכות תשתית תוכננו כדי להסיר נקודות כשל יחידות וכדי להפחית את השפעתם של סיכונים סביבתיים צפויים. מעגלים כפולים, סוויצ'ים, רשתות או מכשירים אחרים מסייעים לספק יתירות זו. שירותי עיבוד המידע נועדו לאפשר ל-Google לבצע סוגים שונים של תחזוקה מניעתית ומתקנת ללא הפרעות. לכל הציוד והמתקנים הסביבתיים יש נהלי תחזוקה מניעתית מתועדים המפרטים את תהליך ותדירות ביצוע התחזוקה בהתאם למפרט היצרן או למפרט הפנימי. תחזוקה מניעתית ומתקנת של הציוד בחוות השרתים מתוזמנת באמצעות תהליך סדור בהתאם לנהלים מתועדים.

חשמל. מערכות החשמל של חווֹת השרתים תוכננו כדי לאפשר יתירות ותחזוקה ללא השפעה על הפעילות השוטפת, 24 שעות ביממה, 7 ימים בשבוע. ברוב המקרים, מקור כוח ראשי ומקור כוח נוסף, כל אחד בעלי קיבולת שווה, מסופקים לרכיבי תשתית קריטיים בחוות השרתים. גיבוי לכוח החשמל מסופק באמצעות מנגנונים שונים, כגון סוללות אל פסק (UPS), שמספקות הגנה עקבית ואמינה לכוח החשמל במהלך הפסקות חשמל מלאות או חלקיות (brownouts), מתח עודף, מתח נמוך ותנאים של תדירות שאינה נסבלת במערכות החשמל. במקרה של הפרעות בכוח החשמל הסדיר, כוח הגיבוי נועד לספק כוח זמני לחוות השרתים בקיבולת מלאה במשך 10 דקות לכל היותר עד שגנרטור המופעל בדיזל ייכנס לפעולה ויחליף אותו. הגנרטורים מסוגלים להתחיל לפעול אוטומטית בתוך מספר שניות על מנת לספק מספיק כוח חשמל לחירום כדי להפעיל את חוות השרתים בקיבולת מלאה למספר ימים.

מערכת ההפעלה של השרתים. שרתי Google משתמשים במערכות הפעלה מוקשחות שהותאמו לצרכים הייחודיים של השרת עבור האופרציה העסקית. מידע מאוחסן באמצעות אלגוריתמים קניינים להגברת אבטחת המידע והיתירות. Google משתמשת בקוד לבקרת התהליך על מנת להגביר את אבטחת הקוד שנמצא בשימוש לצורך מתן שירותי עיבוד המידע ולהעשיר את מוצרי האבטחה בסביבות הייצור.

קיום אופרציה עסקית שוטפים. Google משכפלת את המידע במספר מערכות כדי לסייע במניעת השמדה או אובדן מידע בלתי מכוונים. Google עיצבה ומתכננת באופן שוטף את תוכניות המבדקים ואת תוכניות ההמשכיות העסקית/התאוששות מאסונות שלה.

(2) רשתות ותשדורת.

תשדורת מידע. חוות השרתים מחוברות בדרך כלל באמצעות חיבורים פרטיים מהירים על מנת לספק העברה מהירה ובטוחה של מידע בין חוות שרתים. חיבורים אלו תוכננו כדי למנוע קריאה, העתקה, שינוי או הסרה של מידע ללא הרשאה במהלך העברה או תשדורת אלקטרונית או במהלך הקלטת המידע על גבי מדיה לאחסון מידע. Google מעבירה מידע באמצעות האינטרנט בהתאם לפרוטוקולים סטנדרטיים.

משטח התקפה חיצוני. Google מקיימת שכבות רבות של התקני רשת ואמצעים לזיהוי חדירה כדי להגן על משטח ההתקפה החיצוני. Google בוחנת אפשרויות תקיפה שונות ומטמיעה טכנולוגיות שנבנו למטרה זו במערכות הפונות כלפי חוץ בהתאם.

זיהוי חדירה. זיהוי חדירה נועד לספק מידע על פעולות התקפיות מתמשכות ולספק מידע נאות על מנת להגיב לאירועים. אמצעי זיהוי החדירה של Google כוללים:

(A) בקרה קפדנית על גודל והיקף משטחי התקיפה של Google באמצעים מניעתיים;

(B) קיום בקרות זיהוי חכמות בנקודות כניסה אל המידע; ו-

(C) קיום טכנולוגיות שמספקות מענה אוטומטי למצבים מסוכנים מסוימים.

תגובה לאירועים. Google מנטרת מגוון ערוצי תקשורת לצורך זיהוי אירועי אבטחה, וצוות האבטחה של Google יגיב באופן מיידי לאירועים ידועים.

טכנולוגיות מוצפנות. Google מנגישה הצפנת HTTPS (המכונה גם חיבורי SSL או TLS). השרתים של Google תומכים במפתחות הצפנה מסוג עקומה אליפטית ארעית (EEC) של Diffie Gellman, עם חתימות RSA ו-ECDSA. מתודות PFS אלה מסייעות להגן על תעבורת נתונים ומצמצמות את ההשפעה של מפתח חשוף או פריצה קריפטוגרפית.

2. אבטחת אתרים והגישה אליהם

(1) אבטחת אתרים.

מערכת האבטחה של חוות השרתים. בחוות השרתים של Google מתקיימות פעולות אבטחה באתר בנוגע לכל היבטי האבטחה הפיזית של חוות השרתים 24 שעות ביממה, 7 ימים בשבוע. כוח האדם האחראי על פעולות האבטחה באתר מנטר מצלמות אבטחה במעגל סגור ("מצלמות") ואת כל מערכות האזעקה. כוח האדם האחראי על פעולות האבטחה באתר מבצע סיורים פנימיים וחיצוניים בחוות השרתים באופן שוטף.

פרוצדורות לגישה למרכזי מידע. Google מקיימת פרוצדורות גישה פורמליות לצורך מתן גישה פיזית לחוות השרתים. חוות השרתים נמצאות במתקנים הדורשים כרטיסי גישה דיגיטליים, עם אזעקות שמחוברות למבצעי פעולות האבטחה באתר. כלל הנכנסים לחוות השרתים נדרשים להזדהות ולספק הוכחת זהות למבצעי פעולות האבטחה באתר. רק עובדים, ספקים ומבקרים מורשים רשאים להיכנס לחוות השרתים. רק עובדים וספקים מורשים רשאים לבקש כרטיסי גישה אלקטרוניים למתקנים אלו. בקשות לכרטיסי גישה אלקטרוניים לחוות השרתים צריכות להיות מוגשות מראש ובכתב, ודורשות את אישור המנהל של המבקש ואת אישורו של מנהל חוות השרתים. כל הנכנסים האחרים המבקשים גישה זמנית לחוות השרתים חייבים: (1) לקבל אישור מראש ממנהלי חוות השרתים להיכנס לחוות השרתים המסוימת ולאזורים הפנימיים שבהם הם מבקשים לבקר; (2) לחתום על כניסתם מול מבצע פעולות האבטחה באתר; ו-(3) להציג רשומת גישה מאושרת לחוות השרתים המזהה את האדם כפי שאושר.

אמצעי אבטחה של מרכזי המידע. חוות השרתים של Google מוגנות על ידי מערכת בקרת גישה המבוססת על כרטיסים אלקטרוניים וזיהוי ביומטרי ומחוברת למערכת אזעקה. מערכת בקרת הגישה מנטרת ומתעדת את הכרטיסים האלקטרוניים של כל אדם כאשר הוא ניגש לדלתות היקפיות, לאזור המשלוחים והקבלה ולאזורים רגישים אחרים. פעילות בלתי מורשית או ניסיונות גישה כושלים נשמרים ומתועדים על ידי מערכת בקרת הגישה ומתוחקרים בהתאם. גישה מורשית ברחבי הפעולות העסקיות וחוות השרתים מוגבלת על בסיס אזורים ודרישות התפקיד של האנשים. דלתות האש בחוות השרתים מגובות באזעקה. המצלמות נמצאות בפעולה בתוך ומחוץ לחוות השרתים. מיקומי המצלמות תוכננו כדי לחסות אזורים אסטרטגיים, לרבות היקף המתחם, דלתות המובילות לבניין חוות השרתים ואזור המשלוחים/קבלה. כוח האדם של מבצעי פעולות האבטחה באתר מנהל את ציוד הניטור ההקלטה והבקרה על המצלמות. כבלים מאובטחים ברחבי חוות השרתים מחברים את ציוד המצלמות. המצלמות מתעדות באתר באמצעות מקלטי וידאו דיגיטליים 24 שעות ביממה, 7 ימים בשבוע. תיעוד צילומי הפיקוח נשמרים לכל הפחות ל-7 ימים בהתאם לפעילות.

(2) בקרת גישה.

כוח האדם בתשתיות. Google מיישמת מדיניות אבטחה ביחס לכוח האדם שלה, ומחייבת קיום הדרכות אבטחת מידע כחלק מחבילת ההדרכות לכוח האדם. כוח האדם לאבטחת תשתיות של Google אחראי לניטור השוטף של תשתיות האבטחה של Google, לביקורת על שירותי עיבוד המידע ולתגובה לאירועי אבטחה.

בקשת גישה וניהול הרשאות. מנהלים ומשתמשים של הלקוח חייבים לאמת את עצמם באמצעות מערכת אימות מרכזית או באמצעות מערכת התחברות יחידה (SSO) כדי להשתמש בשירותי עיבוד המידע.

מדיניות ותהליכים פנימיים בנושא גישה למידע – מדיניות הגישה. התהליכים והמדיניות הפנימיים של Google בנושא גישה למידע נועדו למנוע מאנשים ו/או מערכות בלתי מורשים לקבל גישה למערכות המשמשות לעיבוד מידע אישי. Google פועלת לתכנן את מערכותיה כדי (1) לאפשר לאנשים מורשים בלבד גישה למידע שיש להם הרשאה לגשת אליו; ו-(2) להבטיח שלא ניתן לקרוא, להעתיק, לשנות או להסיר מידע אישי ללא הרשאה במהלך עיבוד, שימוש או לאחר הקלטה של המידע. המערכות מסוגלות לזהות גישה בלתי מורשית. Google מקיימת מערכת ניהול גישה מרכזית כדי לשלוט בגישת כוח האדם לשרתי ייצור, ומעניקה גישה כאמור למספר מצומצם בלבד של עובדים מורשים. LDAP, ‏Kerberos ומערכת קניינית שמשתמשת בתעודות SSH נועדו לספק ל-Google מנגנוני גישה מאובטחים וגמישים. מנגנונים אלו נועדו להעניק זכויות גישה מאושרות בלבד למארחי אתרים, ליומני Log, למידע ולהגדרות. Google דורשת שימוש במזהי משתמש ייחודיים, סיסמאות חזקות, אימות דו-שלבי ורשימות גישה מנוטרות באופן קפדני כדי להפחית את פוטנציאל השימוש הבלתי מורשה בחשבונות. הענקה או שינוי של זכויות גישה מבוססים על: דרישות התפקיד של עובד מורשה; דרישות הכרחיות לביצוע משימות מורשות; ועל בסיס צורך לדעת. הענקה או שינוי של זכויות גישה צריכים גם להיעשות בהתאם למדיניות ולהדרכות הפנימיות של Google בנושא הגישה למידע. אישורים מנוהלים על ידי כלי תהליכי עבודה השומרים תיעוד של כל השינויים לצרכי ביקורת. גישה למערכות מתועדת כדי ליצור נתיב בקרה לצורכי אחריות. כאשר נעשה שימוש בסיסמאות לאימות (למשל, לצורך התחברות לתחנות עבודה), מוטמעת מדיניות סיסמאות המתאימה לכל הפחות לסטנדרט הנהוג בתעשייה. סטנדרט זה כולל הגבלה על שימוש חוזר בסיסמאות וחוזק סיסמה מספק.

3. מידע

(1) שמירת מידע, בידוד ואימות

Google מאחסנת מידע בסביבה רבת דיירים בשרתים בבעלותה של Google. המידע, מאגרי המידע של שירותי עיבוד המידע וארכיטקטורת קובצי המערכת משוכפלים בין מספר חוות שרתים מבוזרות גיאוגרפית. Google מבודדת באופן לוגי את המידע של כל משתמש. מערכת אימות מרכזית אחת מיושמת בכל שירותי עיבוד המידע כדי להגביר את אחידות אבטחת המידע.

(2) דיסקים שהוצאו משירות והנחיות להשמדת דיסקים

דיסקים מסוימים המכילים מידע עלולים לחוות בעיות בביצועים, שגיאות או כשל חומרה שעשויים לגרום להם לצאת משירות ("דיסק שהוצא משירות"). כל דיסק שהוצא משירות כפוף לסדרת תהליכים להשמדת מידע ("הנחיות להשמדת דיסקים") לפני שהוא מוצא ממתחמי Google לשימוש חוזר או להשמדה. דיסקים שהוצאו משירות נמחקים בתהליך רב-שלבי שמאומת על ידי לפחות שני מאמתים עצמאיים. תוצאות המחיקה מתועדות לפי המספר הסידורי של הדיסק שהוצא משירות לצורכי מעקב. לבסוף, הדיסק שהוצא משירות המחוק משוחרר למלאי עבור שימוש חוזר והפצה מחדש. אם, כתוצאה מכשל חומרה, הדיסק שהוצא משירות לא ניתן למחיקה, הוא נשמר באופן מאובטח עד שניתן יהיה להשמידו. כל מתקן מבוקר באופן שוטף על מנת לנטר את הציות להנחיות להשמדת דיסקים.

4. אבטחת כוח אדם

עובדי Google נדרשים להתנהל בהתאם להנחיות החברה בקשר לסודיות, אתיקה עסקית, שימוש ראוי וסטנדרטים מקצועיים. Google עורכת בדיקות רקע נאותות וסבירות, ככל שהדבר מותר לפי חוק ובהתאם לדיני העבודה המקומיים החלים ולתקנות אחרות.

העובדים נדרשים לחתום על הסכם סודיות ולאשר קבלה וציות למדיניות הסודיות והפרטיות של Google. העובדים עוברים הדרכות בנושא אבטחה. עובדים המטפלים במידע אישי של לקוח נדרשים להשלים דרישות נוספת בהתאם לתפקידם. העובדים של Google לא יעבדו מידע אישי של לקוח ללא הרשאה. 

5. אבטחה של מעבדי משנה

לפני קבלת מעבדי משנה, Google עורכת ביקורת על פרקטיקות האבטחה והפרטיות של מעבדי המשנה על מנת לוודא שמעבדי המשנה מספקים רמת אבטחה ופרטיות נאותה בהתאם לגישתם למידע ולהיקף השירותים שהם מספקים. לאחר ש-Google מעריכה את הסיכונים שהוצגו על ידי מעבד המשנה, בכפוף לדרישות בסעיף 11.3 לעיל (דרישות עבור התקשרות עם מעבד משנה), מעבד המשנה נדרש לחתום על הסכם הכולל תנאים נאותים לשמירת סודיות, פרטיות ואבטחה.