Phụ lục về việc xử lý dữ liệu

  1. Định nghĩa
    Trong Phụ lục về việc xử lý dữ liệu này, "GDPR" nghĩa là Quy định chung về bảo vệ dữ liệu (Quy định (EU) 2016/679) và các thuật ngữ "Bên kiểm soát", "Bên xử lý dữ liệu", "Chủ thể dữ liệu", "Dữ liệu cá nhân", "Hành vi xâm phạm dữ liệu cá nhân" cũng như "Hoạt động xử lý" sẽ có nghĩa như trong GDPR. Các thuật ngữ "Đã xử lý" và "Xử lý" sẽ được hiểu theo định nghĩa của thuật ngữ "Hoạt động xử lý". Mọi trường hợp đề cập đến GDPR, cũng như các quy định trong đó đều bao gồm cả GDPR đã được sửa đổi và đưa vào luật của Vương quốc Anh. Tất cả thuật ngữ khác được xác định ở đây sẽ có nghĩa như ở những chỗ khác trong Thỏa thuận này.
  2. Xử lý dữ liệu
    1. Khi thực hiện các hoạt động với vai trò là Bên xử lý theo Thỏa thuận này liên quan đến bất kỳ Dữ liệu cá nhân nào trong Dữ liệu của bạn ("Dữ liệu cá nhân của bạn"), Meta xác nhận rằng:
      1. thời gian, chủ thể, bản chất và mục đích của Hoạt động xử lý sẽ theo như quy định trong Thỏa thuận;
      2. các loại Dữ liệu cá nhân được xử lý sẽ bao gồm cả dữ liệu được nêu rõ trong định nghĩa về Dữ liệu của bạn;
      3. các danh mục của Chủ thể dữ liệu bao gồm đại diện, Người dùng và bất kỳ cá nhân nào khác đã xác định hoặc có thể xác định được bằng Dữ liệu cá nhân của bạn; và
      4. quyền cũng như nghĩa vụ của bạn với vai trò là Bên kiểm soát dữ liệu liên quan đến Dữ liệu cá nhân của bạn sẽ giống như nêu trong Thỏa thuận này.
    2. Trong trường hợp Meta Xử lý Dữ liệu cá nhân của bạn theo hoặc có liên quan đến Thỏa thuận, Meta sẽ:
      1. chỉ Xử lý Dữ liệu cá nhân của bạn theo các hướng dẫn nêu trong Thỏa thuận này, bao gồm cả hướng dẫn liên quan đến hoạt động chuyển Dữ liệu cá nhân của bạn, đồng thời tuân thủ mọi trường hợp ngoại lệ mà Điều 28(3)(a) của GDPR cho phép;
      2. đảm bảo rằng những nhân viên được ủy quyền Xử lý Dữ liệu cá nhân của bạn theo Thỏa thuận này đã tự cam kết bảo mật hoặc tuân thủ nghĩa vụ bảo mật theo luật định có liên quan đến Dữ liệu cá nhân của bạn.
      3. thực hiện các biện pháp kỹ thuật và tổ chức được nêu trong Phụ lục bảo mật dữ liệu;
      4. tuân thủ các điều kiện đề cập dưới đây trong Phần 2.c và 2.d của Phụ lục về việc xử lý dữ liệu này khi chỉ định Bên xử lý phụ;
      5. hỗ trợ bạn bằng các biện pháp tổ chức và kỹ thuật phù hợp trong phạm vi có thể thông qua Workplace, từ đó tạo điều kiện để bạn hoàn thành nghĩa vụ đáp ứng yêu cầu thực hiện quyền của Chủ thể dữ liệu theo Chương III của GDPR;
      6. hỗ trợ bạn đảm bảo việc tuân thủ các nghĩa vụ theo Điều 32 – 36 của GDPR, trong đó có xem xét đến bản chất của Hoạt động xử lý và thông tin mà Meta biết;
      7. xóa Dữ liệu cá nhân theo Thỏa thuận này nếu Thỏa thuận chấm dứt, trừ khi luật của Liên minh châu Âu hoặc Quốc gia thành viên yêu cầu giữ lại Dữ liệu cá nhân;
      8. cung cấp cho bạn thông tin được mô tả trong Thỏa thuận này và qua Workplace nhằm tuân thủ nghĩa vụ của Meta là cung cấp mọi thông tin cần thiết để chứng minh việc tuân thủ các nghĩa vụ của Meta theo Điều 28 của GDPR; và
      9. thuê một bên kiểm tra thứ ba do Meta chọn để hàng năm tiến hành kiểm tra việc tuân thủ SOC 2 Loại II hoặc để tiến hành hoạt động kiểm tra tiêu chuẩn khác trong ngành đối với các biện pháp kiểm soát của Meta liên quan đến Workplace, theo đó bên kiểm tra thứ ba này sẽ do bạn ủy thác. Nếu bạn yêu cầu, Meta sẽ cung cấp cho bạn bản sao của báo cáo kiểm tra hiện thời khi đó và báo cáo này sẽ được xem là Thông tin bí mật của Meta.
    3. Bạn cho phép Meta thuê Công ty liên kết của Meta và bên thứ ba khác để thực hiện các nghĩa vụ thuộc Hoạt động xử lý dữ liệu của chúng tôi theo Thỏa thuận này. Dựa trên yêu cầu bằng văn bản từ bạn, Meta sẽ cung cấp danh sách các công ty liên kết và bên thứ ba. Meta sẽ chỉ làm vậy khi có thỏa thuận bằng văn bản với Bên xử lý phụ đó và đặt ra cho Bên xử lý phụ các nghĩa vụ bảo vệ dữ liệu tương tự như các nghĩa vụ mà Meta phải thực hiện theo Thỏa thuận này. Khi Bên xử lý phụ không hoàn thành các nghĩa vụ, Meta sẽ chịu toàn bộ trách nhiệm pháp lý với bạn về việc thực hiện các nghĩa vụ bảo vệ dữ liệu của Bên xử lý phụ đó.
    4. Khi thuê (các) Bên xử lý phụ bổ sung hoặc thay thế từ (i) ngày 25/05/2018 hoặc (ii) Ngày có hiệu lực (tùy vào ngày nào đến sau), Meta sẽ thông báo cho bạn về (các) Bên xử lý phụ bổ sung hoặc thay thế đó, không chậm quá mười bốn (14) ngày trước khi chỉ định họ. Trong vòng mười bốn (14) ngày kể từ thời điểm nhận được thông báo như vậy từ Meta, bạn có thể gửi cho Meta thông báo bằng văn bản về việc chấm dứt ngay Thỏa thuận để phản đối việc thuê (các) Bên xử lý phụ bổ sung hoặc thay thế đó.
    5. Meta sẽ thông báo ngay cho bạn nếu phát hiện thấy Hành vi xâm phạm dữ liệu cá nhân liên quan đến Dữ liệu cá nhân của bạn. Vào thời điểm thông báo hoặc ngay khi có thể sau thời điểm thông báo, thông báo đó (nếu được) sẽ bao gồm thông tin chi tiết liên quan đến Hành vi xâm phạm dữ liệu cá nhân, bao gồm số lượng hồ sơ, hạng mục và số lượng Người dùng ước tính bị ảnh hưởng, hậu quả dự kiến của hành vi xâm phạm, cũng như mọi biện pháp khắc phục thực tế hoặc đề xuất (nếu có) nhằm giảm thiểu tác động tiêu cực mà hành vi xâm phạm có thể gây ra.
    6. Trong trường hợp GDPR hoặc luật bảo vệ dữ liệu của Khu vực kinh tế châu Âu, Vương quốc Anh hoặc Thụy Sĩ áp dụng cho Hoạt động xử lý Dữ liệu của bạn theo Phụ lục về việc xử lý dữ liệu này, Phụ lục về việc chuyển dữ liệu tại châu Âu sẽ áp dụng cho hoạt động chuyển dữ liệu của Meta Platforms Ireland Ltd, đồng thời trở thành một phần của Phụ lục về việc xử lý dữ liệu này thông qua sự viện dẫn ở đây.