Phụ lục xử lý dữ liệu

  1. Định nghĩa
    Trong Phụ lục xử lý dữ liệu này, “GDPR” nghĩa là Quy định chung về bảo vệ dữ liệu (Quy định (EU) 2016/679) và “Bên kiểm soát”, “Bên xử lý dữ liệu”, “Chủ thể dữ liệu”, “Dữ liệu cá nhân”, “Vi phạm dữ liệu cá nhân” và “Xử lý” sẽ có cùng ý nghĩa như trong GDPR. “Đã xử lý” và “Xử lý” sẽ được hiểu theo định nghĩa của “Xử lý”. Tất cả các thuật ngữ khác được định nghĩa ở đây sẽ có cùng ý nghĩa với các thuật ngữ được định nghĩa ở chỗ khác trong Thỏa thuận này.
  2. Xử lý dữ liệu
    1. Khi thực hiện các hoạt động với tư cách là Bên xử lý trong Thỏa thuận này liên quan đến bất kỳ Dữ liệu cá nhân nào trong Dữ liệu của bạn (“Dữ liệu cá nhân của bạn”), Facebook xác nhận rằng:
      1. thời gian, chủ thể, bản chất và mục đích của việc Xử lý sẽ theo như quy định trong Thỏa thuận;
      2. các loại Dữ liệu cá nhân được xử lý sẽ bao gồm cả dữ liệu được nêu rõ trong định nghĩa về Dữ liệu của bạn;
      3. các danh mục của Chủ thể dữ liệu bao gồm đại diện, Người dùng và bất kỳ cá nhân nào khác đã xác định hoặc có thể xác định được bằng Dữ liệu cá nhân của bạn; và
      4. quyền và nghĩa vụ của bạn với tư cách là bên kiểm soát dữ liệu liên quan đến Dữ liệu cá nhân của bạn được nêu trong Thỏa thuận này.
    2. Trong trường hợp Facebook xử lý Dữ liệu cá nhân của bạn theo hoặc có liên quan đến Thỏa thuận này, Facebook sẽ:
      1. chỉ Xử lý Dữ liệu cá nhân của bạn theo các hướng dẫn được nêu trong Thỏa thuận này, bao gồm việc chuyển Dữ liệu cá nhân của bạn, tuân thủ mọi ngoại lệ được cho phép theo Điều 28(3)(a) của GDPR;
      2. đảm bảo rằng những nhân viên được ủy quyền Xử lý Dữ liệu cá nhân của bạn theo Thỏa thuận này đã tự cam kết bảo mật hoặc tuân thủ nghĩa vụ bảo mật theo luật định có liên quan đến Dữ liệu cá nhân của bạn.
      3. thực hiện các biện pháp kỹ thuật và tổ chức được nêu trong Phụ lục bảo mật dữ liệu;
      4. tuân thủ các điều kiện đề cập dưới đây trong Phần 2.c và 2.d của Phụ lục xử lý dữ liệu này khi chỉ định Bên xử lý phụ;
      5. hỗ trợ bạn bằng các biện pháp tổ chức và kỹ thuật phù hợp trong phạm vi có thể thông qua Workplace, để bạn có thể hoàn thành nghĩa vụ đáp ứng yêu cầu thực hiện quyền của Chủ thể dữ liệu trong Chương III của GDPR;
      6. hỗ trợ bạn trong việc đảm bảo tuân thủ các nghĩa vụ theo Điều 32 - 36 của GDPR, xem xét đến bản chất của việc Xử lý và thông tin được cung cấp cho Facebook;
      7. để chấm dứt Thỏa thuận, hãy xóa Dữ liệu cá nhân theo Thỏa thuận, trừ khi luật pháp của Liên minh châu Âu hoặc Quốc gia thành viên yêu cầu giữ lại Dữ liệu cá nhân;
      8. cung cấp cho bạn thông tin được mô tả trong Thỏa thuận này và qua Workplace nhằm tuân thủ nghĩa vụ của Facebook là cung cấp tất cả thông tin cần thiết để chứng minh sự tuân thủ các nghĩa vụ của Facebook theo Điều 28 của GDPR; và
      9. hàng năm, thuê một kiểm toán viên của bên thứ ba do Facebook chọn tiến hành kiểm toán SOC 2 Loại II hoặc hoạt động kiểm toán tiêu chuẩn khác trong ngành đối với các biện pháp của Facebook liên quan đến Workplace, theo đó kiểm toán viên của bên thứ ba đó sẽ do bạn ủy quyền. Nếu bạn yêu cầu, Facebook sẽ cung cấp cho bạn bản sao của báo cáo kiểm toán hiện tại và báo cáo này sẽ được xem là Thông tin bí mật của Facebook.
    3. Bạn cho phép Facebook ký hợp đồng phụ các nghĩa vụ Xử lý dữ liệu của mình theo Thỏa thuận này với các Công ty liên kết của Facebook và với bên thứ ba khác, một danh sách các nghĩa vụ mà Facebook cung cấp cho bạn sau khi bạn đưa ra yêu cầu bằng văn bản. Facebook sẽ làm vậy chỉ bằng hình thức thỏa thuận bằng văn bản với Bên xử lý phụ này và đặt ra cho Bên xử lý phụ các nghĩa vụ bảo vệ dữ liệu tương tự mà Facebook phải thực hiện theo Thỏa thuận này. Khi Bên xử lý phụ không thực hiện được các nghĩa vụ này, Facebook sẽ chịu toàn bộ trách nhiệm pháp lý với bạn về việc thực hiện các nghĩa vụ bảo vệ dữ liệu của Bên xử lý phụ đó.
    4. Khi Facebook tương tác với (các) Bên xử lý phụ bổ sung hoặc thay thế từ (i) ngày 25/5/2018, hoặc (ii) Ngày có hiệu lực (tùy vào ngày nào đến sau), Facebook sẽ thông báo cho bạn về (các) Bên xử lý phụ bổ sung hoặc thay thế đó không quá mười bốn (14) ngày trước khi chỉ định (các) Bên xử lý phụ bổ sung hoặc thay thế đó. Bạn có thể phản đối việc tương tác với (các) Bên xử lý phụ bổ sung hoặc thay thế đó trong vòng mười bốn (14) ngày kể từ khi được Facebook thông báo bằng cách đưa ra thông báo chấm dứt ngay Thỏa thuận bằng văn bản cho Facebook.
    5. Facebook sẽ thông báo cho bạn ngay lập tức nếu phát hiện thấy hành vi Vi phạm Dữ liệu cá nhân có liên quan đến Dữ liệu cá nhân của bạn. Vào thời điểm thông báo hoặc ngay khi có thể sau thời điểm thông báo, thông báo đó sẽ bao gồm thông tin chi tiết liên quan về hành vi Vi phạm Dữ liệu cá nhân nếu có thể, bao gồm số lượng hồ sơ bị ảnh hưởng, loại và số lượng ước tính về Người dùng bị ảnh hưởng, hậu quả dự kiến của hành vi vi phạm và mọi biện pháp khắc phục thực tế hoặc đề xuất trong trường hợp cần thiết, nhằm giảm thiểu tác động tiêu cực có thể của hành vi vi phạm.