資料處理附錄

  1. 定義
    在本資料處理附錄內,「GDPR」指一般資料保護規章(規則(歐盟)2016/679 ),而「資料控管者」、「資料處理者」、「資料當事人」、「個人資料」、「個人資料違反」及「處理」應具有 GDPR 所界定的相同含義。「已處理」及「正在處理」應根據「處理」的定義詮釋。本文的所有其他界定術語應與本協議其他地方所界定者具有相同含義。
  2. 資料處理
    1. 當資料處理者根據本協議處理您的數據中的任何個人資料(「您的個人資料」)時,Facebook 證實:
      1. 處理的時間、主題、性質及目的應於本協議規定。
      2. 所處理的個人資料的類型應包括您的數據定義內載列者;
      3. 資料當事人的類別包括您的代表、用戶以及您的個人資料識別或可以識別的任何其他人;及
      4. 您作為資料控管者就您的個人資料所擁有的權利和義務載列於本協議。
    2. 對於 Facebook 根據本協議處理您的個人資料的情況,Facebook 將:
      1. 僅根據您在本協議下載列的指示處理您的個人資料,包括轉讓您的個人資料,但須遵守 GDPR 第 28(3)(a) 條允許的任何例外情況;
      2. 確保根據本協議授權處理您個人資料的僱員承諾保密及就您的個人資料而言遵守恰當的法定保密義務;
      3. 實施資料安全附錄下載列的技術及機構措施;
      4. 當委任次級處理機構時,遵守本資料處理附錄第 2.c. 條和第 2.d 條項下提及的條件;
      5. 在可能的情況下透過 Workplace 採取適當的技術及機構措施協助您,讓您履行您根據 GDPR 第三章行使資料當事人權利請求的義務;
      6. 經考慮處理的性質及 Facebook 可提供的資料,為您提供協助,確保您遵守 GDPR 第 32 條至第 36 條的義務;
      7. 於本協議終止時根據本協議刪除個人資料,除非歐盟或成員國法律要求保留個人資料;
      8. 透過 Workplace 為您提供本協議所規定的資訊,以履行 Facebook 提供所有必要資訊的義務,證實其已遵守 GDPR 第 28 條的義務;及
      9. 每年促使 Facebook 選擇的第三方稽核員就 Facebook 對 Workplace 的控制進行 SOC 2 二類稽核或其他行業標準稽核,您謹此授權該第三方稽核員如此行事。應您的要求,Facebook 向您提供當時生效的稽核報告副本,且該報告將被視為 Facebook 的機密資料。
    3. 您授權 Facebook 將其在本協議項下的資料處理義務分判予 Facebook 的聯屬公司及其他第三方,Facebook 將應您的要求向您提供相關清單。Facebook 僅會透過與該次級處理機構簽訂書面協議的形式進行分判,協議將規定對次級處理機構施加同樣的資料保護義務,猶如在本協議下對 Facebook 施加的義務一樣。若次級處理機構未能履行資料保護義務,Facebook 仍然完全對該次級處理機構的表現向您承擔責任。
    4. Facebook 將自 (i) 2018 年 5 月 25 日或 (ii) 生效日期(以較後者為準)聘請額外次級處理機構或替代次級處理機構,屆時,Facebook 將在委任此額外次級處理機構或替代次級處理機構之前不遲於十四 (14) 日向您發出通知。您可以在 Facebook 發出通知的十四 (14) 日內透過向 Facebook 發出書面通知後隨即終止本協議,反對聘請額外次級處理機構或替代次級處理機構。
    5. Facebook 將在知悉有關您個人資料相關的個人資料違反事件後向您發出通知,不得出現過當延遲。通知應當包含(在通知時或通知後盡快)個人資料違反的相關詳情(在盡可能的情況下),包括受影響記錄數量,受影響用戶的類別及大約人數,預計違反的後果以及任何實際或擬定補救(如恰當)違反所造成的潛在不利影響的救助詳情。