数据处理附录

  1. 定义
    在本数据处理附录中,“GDPR”是指《通用数据保护条例》(General Data Protection Regulation,第 (EU) 2016/679 号法规),“管控方”、“数据处理方”、“数据主体”、“个人数据”、“个人数据违规”和“处理”的含义与《通用数据保护条例》中相同。“受处理”和“处理中”应根据“处理”的定义解释。本附录中定义的其他所有术语的含义均与本协议其他部分中相同。
  2. 数据处理
    1. 在作为处理方根据本协议开展与您的数据中任何个人数据(下称“您的个人数据”)相关的活动时,Facebook 确认:
      1. 处理的时长、主题、性质和目的应遵照本协议的规定;
      2. 所处理的个人数据类型应包括您的数据的定义中规定的类型;
      3. 数据主体类别包括您的代表、用户以及您的个人数据所识别或可识别的其他任何个人;以及
      4. 作为数据管控方,您享有和承担的与您的个人数据相关的权利和义务如本协议所述。
    2. 在 Facebook 根据本协议处理您的个人数据的情况下,Facebook 应:
      1. 仅根据您在本协议中的指示处理您的个人数据,包括与转移您的个人数据有关的指示,但《通用数据保护条例》第 28(3)(a) 条允许的例外情况除外;
      2. 确保其获授权根据本协议处理您的个人数据的员工已承诺保密,或对您的个人数据具有适当的法定保密义务;
      3. 实施本数据安全附录中规定的技术和组织措施;
      4. 在指定分包处理方时,遵守本数据处理附录的以下第 2.c 和 2.d 条规定的条件;
      5. 尽可能在 Workplace 通过适当的技术和组织措施协助您履行义务,以便根据《通用数据保护条例》第 III 章来响应数据主体行使权利的请求;
      6. 在考虑处理的性质和 Facebook 所持有信息的情况下,协助您确保履行《通用数据保护条例》第 32 至 36 条规定的义务;
      7. 本协议终止后,除非欧盟或成员国法律要求保留个人数据,否则应根据本协议删除个人数据;
      8. 通过 Workplace 向您提供本协议规定的信息,从而履行 Facebook 提供所有必要信息的义务,以证明 Facebook 遵守其在《通用数据保护条例》第 28 条下的义务;以及
      9. 每年,选择第三方审计机构对 Facebook 采取的与 Workplace 相关的控制措施执行 SOC 2 II 类审计或其他行业标准审计,该等第三方审计机构由您在此授权。Facebook 可应您的请求提供最新审计报告的副本,此报告将视为 Facebook 的机密信息。
    3. 您授权 Facebook 将其在本协议下的数据处理义务分包给 Facebook 的附属机构及其他第三方,且您可提出书面请求,要求 Facebook 向您提供一份列表。Facebook 只能通过与该等分包处理方签订书面协议的方式,将 Facebook 在本协议下的数据保护义务分包给分包处理方。当分包处理方未能履行该等义务时,Facebook 仍应全面负责为您履行该分包处理方的数据保护义务。
    4. 若 Facebook 从 (i) 2018 年 5 月 25 日或 (ii) 生效日期(以较晚者为准)起聘请额外或替代分包处理方,则 Facebook 应在任命该额外或替代分包处理方之前至少提前十四 (14) 天通知您。您可以在收到 Facebook 的通知后十四 (14) 天内,通过书面通知 Facebook 的方式立即终止本协议,反对聘请该额外或替代分包处理方。
    5. Facebook 一旦发现与您的个人数据相关的个人数据违规,应尽快通知您,不能无故拖延。如果可能,该通知应包含个人数据违规的相关详情,包括受影响的记录数量、受影响的用户的类别和大致数量、违规的预期后果,适当时还应包括用于缓解违规的可能不利影响的任何实际或提议补救措施。这些信息应在通知当时提供,或在之后尽快提供。