資料處理附錄

  1. 定義
    本《資料處理附錄》中,「GDPR」係指歐盟規章第 2016/679 號之「一般資料保護規章」(General Data Protection Regulation),而「控制者」、「資料處理者」、「資料當事人」、「個人資料」、「個人資料外洩」和「處理程序」之意涵與 GDPR 中的定義相同。「已處理」和「處理」等詞彙應依照「處理程序」的定義解釋。本文所用的所有其他詞彙,與本協議中其他部分所界定者具有相同涵義。
  2. 資料處理
    1. 若以資料處理者的角色,依據本協議就您資料中的個人資料(「您的個人資料」)從事活動,Facebook 將確認以下事項:
      1. 處理程序之時間、主旨、性質及目的應按照本協議中的規定執行;
      2. 已處理的個人資料類型應包括「您的資料」定義所指明的資料類型;
      3. 資料當事人的類別包括您的代表、用戶,還有其他能透過「您的個人資料」識別身分的對象;以及
      4. 您作為資料控管者處理您的個人資料時的義務與權利,皆遵循本協議的規定。
    2. 若 Facebook 依據本協議處理您的個人資料,Facebook 應符合以下條件:
      1. 僅依照本協議的指示處理您的個人資料,包括傳輸您的個人資料,並遵循 GDPR 第 28(3)(a) 條所載列的任何例外規定;
      2. 確保依據本協議有權處理您資料的員工已承諾盡力維護資料機密性,或依法必須維護您個人資料的機密性;
      3. 落實《資料安全附錄》中所述的技術和管理措施;
      4. 任命資料處理轉承包商時,遵循《資料處理附錄》第 2.c 節及第 2.d 節所述之條件;
      5. 在可行範圍內透過 Workplace 採取適當的技術和管理措施為您提供協助,讓您在資料當事人依 GDRP 第三章提出行使權利要求時履行義務;
      6. 視乎處理程序的本質和 Facebook 可取得的資訊,協助確保您遵守 GDPR 第 32 至 36 條所規定的義務;
      7. 本協議終止時,依據本協議刪除個人資料,惟歐盟法律或會員國法律要求保留個人資料時,不在此限;
      8. 透過 Workplace 為您提供本協議中所述之資訊,以履行 Facebook 提供所有必要資訊的義務,從而證明其遵守 GDPR 第 28 條所規定的 Facebook 義務;以及
      9. 每年聘請 Facebook 所選的第三方稽核單位,在 Facebook 控制下進行與 Workplace 相關的 SOC 2 Type II 或依其他業界標準進行之稽核程序,此處的第三方稽核單位由您委託執行稽核。若您提出要求,Facebook 會提供您當時最近一次的稽核報告副本,且報告內容應視為 Facebook 的機密資訊。
    3. 您授權 Facebook 將本協議要求其履行之資料處理義務,轉包予 Facebook 的旗下企業代為處理,或是轉包予其他第三方(Facebook 將應您書面要求提供相關名單)代為處理。若要採行上述動作,Facebook 須與資料處理轉承包商簽訂書面協議,明文規定該轉承包商須承擔與 Facebook 在本協議下所承擔之同等義務。若該資料處理轉承包商未能履行上述義務,Facebook 應就該資料處理轉承包商履行資料保護義務之表現,對您負起全部責任。
    4. Facebook 若要從(i)2018 年 5 月 25 日或(ii)生效日期(以時間較晚者為準)起,任命其他資料處理轉承包商或替換原先的資料處理轉承包商,應於正式任命或替換轉承包商前十四(14)天內事先通知您相關事宜。若您反對與該資料處理轉承包商合作,可以在收到 Facebook 通知後的十四(14)天內,以書面形式立即通知 Facebook 終止本協議。
    5. Facebook 若發現任何與您個人資料有關的資料外洩事件,應立即通知您,不得無故延誤,且我們應在提出此類通知當下,於通知內容中提供(或於提出通知後盡快提供)以下資訊:個人資料外洩事件本身的詳細資訊,其中包括受影響的登錄資料數量、受影響的用戶類別和約略人數、資料外洩事件可能造成的影響,以及任何有助於減輕資料外洩事件負面影響的實際或可能補救措施(若情況許可)。