บันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูล

  1. นิยาม
    ภายในบันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ “GDPR” หมายถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (กฎระเบียบ (EU) 2016/679) และ “ผู้ควบคุม” “ผู้ประมวลผลข้อมูล” “เจ้าของข้อมูล” “ข้อมูลส่วนตัว” “การละเมิดข้อมูลส่วนตัว” และ “การประมวลผล” มีความหมายเดียวกันกับที่ให้นิยามไว้ใน GDPR “ได้รับการประมวลผล” และ “ประมวลผล” ต้องได้รับการตีความตามนิยามของ “การประมวลผล” คำศัพท์อื่นๆ ที่มีการระบุนิยามไว้ในที่นี้มีความหมายเดียวกันกับที่ระบุไว้ในส่วนอื่นของข้อตกลงนี้
  2. การประมวลผลข้อมูล
    1. ในการทำกิจกรรมต่างๆ ในฐานะผู้ประมวลผลภายใต้ข้อตกลงนี้เกี่ยวกับข้อมูลส่วนตัวภายในข้อมูลของคุณ (“ข้อมูลส่วนตัวของคุณ”) Facebook ยืนยันว่า:
      1. ระยะเวลา ประเด็นหัวข้อ ลักษณะและจุดประสงค์ของการประมวลผลต้องเป็นไปตามที่ระบุไว้ในข้อตกลงนี้
      2. ประเภทของข้อมูลส่วนตัวที่ได้รับการประมวลผลต้องรวมประเภทที่ระบุไว้ในนิยามของข้อมูลของคุณด้วย
      3. หมวดหมู่ของเจ้าของข้อมูลจะรวมตัวแทน ผู้ใช้ และบุคคลอื่นๆ ที่ข้อมูลส่วนตัวของคุณระบุหรือระบุได้ไว้ด้วย และ
      4. ข้อผูกมัดและสิทธิ์ของคุณในฐานะผู้ควบคุมข้อมูลซึ่งเกี่ยวกับข้อมูลส่วนตัวของคุณจะเป็นไปตามที่กำหนดไว้ในข้อตกลงนี้
    2. ภายในขอบเขตที่ Facebook ประมวลผลข้อมูลส่วนตัวของคุณภายใต้หรือเกี่ยวข้องกับข้อตกลงนี้ Facebook ต้อง:
      1. ประมวลผลข้อมูลส่วนตัวของคุณตามคำสั่งของคุณที่กำหนดไว้ในข้อตกลงนี้เท่านั้น รวมถึงคำสั่งเกี่ยวกับการโอนข้อมูลส่วนตัวของคุณซึ่งได้รับการยกเว้นได้ตามที่มาตรา 28(3)(a) ของ GDPR อนุญาต
      2. ตรวจสอบให้แน่ใจว่าพนักงานที่ได้รับอนุญาตให้ประมวลข้อมูลส่วนตัวของคุณภายใต้ข้อตกลงนี้ได้ปกปิดข้อมูลดังกล่าวไว้เป็นความลับหรือปฏิบัติตามข้อผูกมัดด้านการรักษาความลับที่เหมาะสมตามกฎหมายซึ่งเกี่ยวข้องกับข้อมูลส่วนตัวของคุณ
      3. ใช้มาตรการทางเทคนิคหรือองค์กรที่กำหนดไว้ในบันทึกแนบท้ายเกี่ยวกับการรักษาความปลอดภัยของข้อมูล
      4. ปฏิบัติตามเงื่อนไขด้านล่างในข้อ 2.c และ 2.d ของบันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลเมื่อมอบหมายหน้าที่แก่ผู้ประมวลผลรายย่อย
      5. ช่วยเหลือคุณด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสมตราบเท่าที่เป็นไปได้ผ่านทาง Workplace เพื่อให้คุณสามารถปฏิบัติตามข้อผูกมัดใดๆ ในการตอบสนองต่อคำขอใช้สิทธิ์ของเจ้าของข้อมูลภายใต้บทบัญญัติ 3 ของ GDPR ได้
      6. ช่วยเหลือคุณในการปฏิบัติตามข้อผูกมัดของคุณตามมาตรา 32 ถึง 36 ของ GDPR โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่ Facebook เข้าถึงได้
      7. ลบข้อมูลส่วนตัวตามข้อตกลงนี้ เมื่อมีการยุติข้อตกลง เว้นแต่ว่ากฎหมายของสหภาพยุโรปหรือกฎหมายของรัฐสมาชิกกำหนดให้ต้องมีการรักษาข้อมูลส่วนตัว
      8. ทำให้คุณเข้าถึงข้อมูลที่อธิบายไว้ในข้อตกลงนี้ได้และผ่านทาง Workplace เพื่อให้เป็นไปตามข้อผูกมัดของ Facebook ในการทำให้ข้อมูลทั้งหมดที่จำเป็นเข้าถึงได้เพื่อให้เป็นไปตามข้อผูกมัดของ Facebook ภายใต้มาตรา 28 ของ GDPR และ
      9. จัดหาผู้ตรวจสอบที่เป็นบุคคลที่สามทุกปีตามการตัดสินใจของ Facebook โดยให้ดำเนินการตรวจสอบการควบคุมของ Facebook ตามมาตรฐาน SOC 2 ประเภท II หรือตามมาตรฐานอุตสาหกรรมอื่นซึ่งเกี่ยวข้องกับ Workplace โดยคุณเป็นผู้มอบหมายหน้าที่ให้แก่ผู้ตรวจสอบดังกล่าว Facebook จะให้สำเนารายงานการตรวจสอบในขณะนั้นแก่คุณ ตามคำขอของคุณ และรายงานดังกล่าวจะถือเป็นข้อมูลลับของ Facebook
    3. คุณอนุญาตให้ Facebook รับจ้างช่วงข้อผูกมัดในการประมวลผลข้อมูลภายใต้ข้อตกลงนี้แก่บริษัทในเครือของ Facebook และบุคคลที่สามอื่นๆ ซึ่ง Facebook จะมอบรายชื่อของบริษัทเหล่านี้ให้คุณหลังจากที่คุณยื่นคำขอเป็นลายลักษณ์อักษร Facebook ต้องทำเช่นนั้นโดยทำข้อตกลงที่เป็นลายลักษณ์อักษรกับผู้ประมวลผลรายย่อยดังกล่าวซึ่งส่งผลให้ผู้ประมวลผลรายย่อยมีข้อผูกมัดด้านการคุ้มครองข้อมูลแบบเดียวกันกับที่ Facebook มีภายใต้ข้อตกลงนี้ ในกรณีที่ผู้ประมวลผลรายย่อยไม่สามารถปฏิบัติตามข้อผูกมัดดังกล่าวได้ Facebook จะยังคงรับผิดชอบต่อคุณอย่างเต็มที่สำหรับการดำเนินการตามข้อผูกมัดด้านการคุ้มครองข้อมูลของผู้ประมวลผลรายย่อยนั้น
    4. ในกรณีที่ Facebook มีผู้ประมวลผลรายย่อยเพิ่มเข้ามาหรือแทนรายเก่าตั้งแต่ (i) วันที่ 25 พฤษภาคม 2018 หรือ (ii) วันที่มีผลบังคับใช้ (วันใดก็ตามที่มาทีหลัง) Facebook ต้องแจ้งให้คุณทราบล่วงหน้าเกี่ยวกับผู้ประมวลผลรายย่อยที่เพิ่มเข้ามาหรือแทนรายเก่าภายใน 14 วันนับจากวันที่มอบหมายหน้าที่ให้แก่ผู้ประมวลผลรายย่อยที่เพิ่มเข้ามาหรือแทนรายเก่าดังกล่าว คุณสามารถคัดค้านการเพิ่มผู้ประมวลผลรายย่อยหรือการนำผู้ประมวลผลรายย่อยอีกรายหนึ่งมาแทนรายเก่าได้ภายใน 14 วันนับจากที่ได้รับแจ้งจาก Facebook โดยยุติข้อตกลงทันทีพร้อมแจ้งให้ Facebook ทราบอย่างเป็นลายลักษณ์อักษร
    5. Facebook ต้องแจ้งให้คุณทราบทันทีที่ทราบว่ามีการละเมิดข้อมูลส่วนตัวซึ่งเกี่ยวข้องกับข้อมูลส่วนตัวของคุณ ในช่วงที่มีการแจ้งเตือนหรือโดยเร็วหลังจากที่มีการแจ้งเตือน ประกาศดังกล่าวต้องมีรายละเอียดที่เกี่ยวข้องของการละเมิดข้อมูลส่วนตัว รวมถึงจำนวนรายการข้อมูลที่ได้รับผลกระทบ หมวดหมู่ และจำนวนผู้ใช้ที่ได้รับผลกระทบโดยประมาณ ผลที่คาดว่าจะตามมาของการละเมิดและการเยียวยาที่ใช้จริงหรือที่เสนอตามความเหมาะสม เพื่อให้ลดผลกระทบที่เป็นไปได้ของการละเมิดดังกล่าว