Phụ lục về việc xử lý dữ liệu

  1. Định nghĩa
    Trong Phụ lục về việc xử lý dữ liệu này, "GDPR" nghĩa là Quy định chung về bảo vệ dữ liệu (Quy định (EU) 2016/679) và các thuật ngữ "Bên kiểm soát", "Bên xử lý dữ liệu", "Chủ thể dữ liệu", "Dữ liệu cá nhân", "Hành vi xâm phạm dữ liệu cá nhân", "Hoạt động xử lý" sẽ có nghĩa như trong GDPR. Các thuật ngữ "Đã xử lý" và "Xử lý" sẽ được hiểu theo định nghĩa của thuật ngữ "Hoạt động xử lý". Mọi trường hợp đề cập đến GDPR, cũng như các quy định trong đó đều bao gồm cả phiên bản sửa đổi của GDPR được đưa vào luật pháp của Vương quốc Anh. Tất cả thuật ngữ khác được xác định ở đây sẽ có nghĩa như ở những chỗ khác trong Thỏa thuận này.
  2. Xử lý dữ liệu
    1. Khi thực hiện các hoạt động với vai trò là Bên xử lý theo Thỏa thuận này liên quan đến bất kỳ Dữ liệu cá nhân nào trong Dữ liệu của bạn ("Dữ liệu cá nhân của bạn"), Meta xác nhận rằng:
      1. thời gian, chủ thể, tính chất và mục đích của Hoạt động xử lý sẽ theo quy định trong Thỏa thuận;
      2. các loại Dữ liệu cá nhân được xử lý sẽ bao gồm cả dữ liệu được nêu rõ trong định nghĩa về Dữ liệu của bạn;
      3. các danh mục của Chủ thể dữ liệu bao gồm đại diện, Người dùng và bất kỳ cá nhân nào khác đã xác định hoặc có thể xác định được bằng Dữ liệu cá nhân của bạn; và
      4. quyền và nghĩa vụ của bạn với vai trò là Bên kiểm soát dữ liệu liên quan đến Dữ liệu cá nhân của bạn sẽ như được nêu trong Thỏa thuận này.
    2. Trong trường hợp Meta Xử lý Dữ liệu cá nhân của bạn theo hoặc có liên quan đến Thỏa thuận, Meta sẽ:
      1. chỉ Xử lý Dữ liệu cá nhân của bạn theo các hướng dẫn được nêu trong Thỏa thuận này, bao gồm cả hướng dẫn liên quan đến hoạt động chuyển Dữ liệu cá nhân của bạn, đồng thời tuân thủ mọi trường hợp ngoại lệ mà Điều 28(3)(a) của GDPR cho phép;
      2. đảm bảo rằng những nhân viên được ủy quyền Xử lý Dữ liệu cá nhân của bạn theo Thỏa thuận này đã tự cam kết bảo mật hoặc tuân thủ nghĩa vụ bảo mật theo luật định có liên quan đến Dữ liệu cá nhân của bạn.
      3. thực hiện các biện pháp kỹ thuật và tổ chức được nêu trong Phụ lục về việc bảo mật dữ liệu;
      4. tuân thủ các điều kiện đề cập dưới đây trong Phần 2.c và 2.d của Phụ lục về việc xử lý dữ liệu này khi chỉ định Bên xử lý phụ;
      5. hỗ trợ bạn bằng các biện pháp tổ chức và kỹ thuật phù hợp trong phạm vi có thể thông qua Workplace, từ đó tạo điều kiện để bạn hoàn thành nghĩa vụ đáp ứng các yêu cầu của Chủ thể dữ liệu khi thực hiện quyền của họ theo Chương III của GDPR;
      6. hỗ trợ bạn đảm bảo việc tuân thủ các nghĩa vụ theo Điều từ 32 đến 36 của GDPR, trong đó có xem xét đến tính chất của Hoạt động xử lý và thông tin được cung cấp cho Meta;
      7. xóa Dữ liệu cá nhân theo Thỏa thuận này nếu Thỏa thuận chấm dứt, trừ khi luật của Liên minh châu Âu hoặc Quốc gia thành viên yêu cầu giữ lại Dữ liệu cá nhân;
      8. cung cấp cho bạn thông tin được mô tả trong Thỏa thuận này và qua Workplace nhằm tuân thủ nghĩa vụ của Meta là cung cấp mọi thông tin cần thiết để chứng minh việc tuân thủ các nghĩa vụ của Meta theo Điều 28 của GDPR; và
      9. thuê một bên kiểm tra thứ ba do Meta chọn để hàng năm tiến hành kiểm tra việc tuân thủ SOC 2 Loại II hoặc để tiến hành hoạt động kiểm tra tiêu chuẩn khác trong ngành đối với các biện pháp kiểm soát của Meta liên quan đến Workplace, theo đó bên kiểm tra thứ ba này sẽ do bạn ủy thác. Nếu bạn yêu cầu, Meta sẽ cung cấp cho bạn bản sao của báo cáo kiểm tra tại thời điểm đó và báo cáo này sẽ được xem là Thông tin bí mật của Meta.
    3. Bạn cho phép Meta thuê Công ty liên kết của Meta và bên thứ ba khác để thực hiện các nghĩa vụ thuộc Hoạt động xử lý dữ liệu theo Thỏa thuận này. Dựa trên yêu cầu bằng văn bản từ bạn, Meta sẽ cung cấp cho bạn danh sách các Công ty liên kết và bên thứ ba đó. Meta sẽ chỉ làm vậy khi có thỏa thuận bằng văn bản với Bên xử lý phụ đó và đặt ra cho Bên xử lý phụ các nghĩa vụ bảo vệ dữ liệu tương tự như các nghĩa vụ mà Meta phải thực hiện theo Thỏa thuận này. Khi Bên xử lý phụ không hoàn thành các nghĩa vụ, Meta sẽ chịu toàn bộ trách nhiệm pháp lý với bạn về việc thực hiện các nghĩa vụ bảo vệ dữ liệu của Bên xử lý phụ đó.
    4. Khi thuê (các) Bên xử lý phụ bổ sung hoặc thay thế từ (i) ngày 25/05/2018 hoặc (ii) Ngày có hiệu lực (tùy vào ngày nào đến sau), Meta sẽ thông báo cho bạn về (các) Bên xử lý phụ bổ sung hoặc thay thế đó, không chậm quá mười bốn (14) ngày trước khi chỉ định họ. Trong vòng mười bốn (14) ngày kể từ thời điểm nhận được thông báo như vậy từ Meta, bạn có thể gửi cho Meta thông báo bằng văn bản về việc chấm dứt ngay Thỏa thuận để phản đối việc thuê (các) Bên xử lý phụ bổ sung hoặc thay thế đó.
    5. Meta sẽ thông báo cho bạn trong khoảng thời gian hợp lý nếu phát hiện thấy Hành vi xâm phạm dữ liệu cá nhân liên quan đến Dữ liệu cá nhân của bạn. Vào thời điểm thông báo hoặc ngay khi có thể sau thời điểm thông báo, thông báo đó (nếu được) sẽ bao gồm thông tin chi tiết liên quan đến Hành vi xâm phạm dữ liệu cá nhân, bao gồm số lượng hồ sơ, hạng mục và số lượng Người dùng ước tính bị ảnh hưởng, hậu quả dự kiến của hành vi xâm phạm, cũng như mọi biện pháp khắc phục thực tế hoặc đề xuất (nếu có) nhằm giảm thiểu tác động tiêu cực mà hành vi xâm phạm có thể gây ra.
    6. Trong trường hợp GDPR hoặc luật bảo vệ dữ liệu của Khu vực kinh tế châu Âu, Vương quốc Anh hoặc Thụy Sĩ áp dụng cho Hoạt động xử lý Dữ liệu của bạn theo Phụ lục về việc xử lý dữ liệu này, Phụ lục về việc chuyển dữ liệu tại châu Âu sẽ áp dụng cho hoạt động chuyển dữ liệu do Meta Platforms Ireland Ltd thực hiện, đồng thời trở thành một phần của Phụ lục về việc xử lý dữ liệu này thông qua sự dẫn chiếu ở đây.
  3. Điều khoản về Bên xử lý tại Hoa Kỳ
    1. Trong trường hợp Điều khoản về Bên xử lý tại Hoa Kỳ được áp dụng, Điều khoản này sẽ tạo thành một phần của Thỏa thuận này và được đưa vào Thỏa thuận này bằng cách dẫn chiếu, ngoại trừ Mục 3 (Nghĩa vụ của công ty) được loại trừ rõ ràng.