บันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูล

  1. นิยาม
    ในบันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ “GDPR” หมายถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (กฎระเบียบ (EU) 2016/679) และ “ผู้ควบคุม”, “ผู้ประมวลผลข้อมูล”, “เจ้าของข้อมูล”, “ข้อมูลส่วนตัว”, “การละเมิดข้อมูลส่วนตัว” และ “การประมวลผล” จะมีความหมายเช่นเดียวกับที่ระบุไว้ใน GDPR ทั้งนี้ “ได้รับการประมวลผล” และ “ประมวลผล” ต้องได้รับการตีความตามนิยามของ “การประมวลผล” โดยการอ้างอิงถึง GDPR และข้อบังคับของ GDPR จะรวมถึง GDPR ที่แก้ไขแล้วและที่รวมอยู่ในกฎหมายสหราชอาณาจักร อนึ่ง คำศัพท์อื่นๆ ที่มีการระบุนิยามไว้ในที่นี้จะมีความหมายเช่นเดียวกับที่ระบุไว้ในส่วนอื่นของข้อตกลงนี้
  2. การประมวลผลข้อมูล
    1. สำหรับการทำกิจกรรมต่างๆ ในฐานะผู้ประมวลผลภายใต้ข้อตกลงนี้เกี่ยวกับข้อมูลส่วนตัวใดๆ ภายในข้อมูลของคุณ (“ข้อมูลส่วนตัวของคุณ”) Meta ขอยืนยันว่าจะเป็นไปดังนี้
      1. ระยะเวลา ประเด็นหัวข้อ ลักษณะและจุดประสงค์ของการประมวลผลต้องเป็นไปตามที่ระบุไว้ในข้อตกลงนี้
      2. ประเภทของข้อมูลส่วนตัวที่ได้รับการประมวลผลต้องรวมประเภทที่ระบุไว้ในนิยามของข้อมูลของคุณด้วย
      3. หมวดหมู่ของเจ้าของข้อมูลจะรวมตัวแทน ผู้ใช้ และบุคคลอื่นๆ ที่ข้อมูลส่วนตัวของคุณระบุหรือระบุได้ไว้ด้วย และ
      4. ข้อผูกมัดและสิทธิ์ของคุณในฐานะผู้ควบคุมข้อมูลซึ่งเกี่ยวกับข้อมูลส่วนตัวของคุณจะเป็นไปตามที่กำหนดไว้ในข้อตกลงนี้
    2. ภายในขอบเขตที่ Meta ประมวลผลข้อมูลส่วนตัวของคุณภายใต้หรือโดยเกี่ยวข้องกับข้อตกลงนี้ Meta ต้องกระทำดังนี้
      1. ประมวลผลข้อมูลส่วนตัวของคุณตามคำสั่งของคุณที่กำหนดไว้ในข้อตกลงนี้เท่านั้น รวมถึงคำสั่งเกี่ยวกับการโอนข้อมูลส่วนตัวของคุณซึ่งสามารถยกเว้นได้ตามที่มาตรา 28(3)(a) ของ GDPR อนุญาต
      2. ตรวจสอบให้แน่ใจว่าพนักงานที่ได้รับอนุญาตให้ประมวลข้อมูลส่วนตัวของคุณภายใต้ข้อตกลงนี้ได้ปกปิดข้อมูลดังกล่าวไว้เป็นความลับหรือปฏิบัติตามข้อผูกมัดด้านการรักษาความลับที่เหมาะสมตามกฎหมายซึ่งเกี่ยวข้องกับข้อมูลส่วนตัวของคุณ
      3. ใช้มาตรการทางเทคนิคหรือองค์กรที่กำหนดไว้ในบันทึกแนบท้ายเกี่ยวกับการรักษาความปลอดภัยของข้อมูล
      4. ปฏิบัติตามเงื่อนไขด้านล่างในข้อ 2.c และ 2.d ของบันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลเมื่อมอบหมายหน้าที่แก่ผู้ประมวลผลรายย่อย
      5. ช่วยเหลือคุณด้วยมาตรการทางเทคนิคและองค์กรที่เหมาะสมตราบเท่าที่เป็นไปได้ผ่านทาง Workplace เพื่อให้คุณสามารถปฏิบัติตามข้อผูกมัดใดๆ ในการตอบสนองต่อคำขอใช้สิทธิของเจ้าของข้อมูลภายใต้บทบัญญัติ 3 ของ GDPR ได้
      6. ช่วยเหลือคุณในการปฏิบัติตามข้อผูกมัดของคุณตามมาตรา 32 ถึง 36 ของ GDPR โดยคำนึงถึงลักษณะของการประมวลผลและข้อมูลที่ Meta เข้าถึงได้
      7. ลบข้อมูลส่วนตัวตามข้อตกลงนี้เมื่อมีการยุติข้อตกลง เว้นแต่ว่ากฎหมายของสหภาพยุโรปหรือกฎหมายของรัฐสมาชิกจะกำหนดให้ต้องมีการเก็บรักษาข้อมูลส่วนตัวเอาไว้
      8. ทำให้คุณเข้าถึงข้อมูลที่อธิบายไว้ในข้อตกลงนี้ได้และผ่านทาง Workplace เพื่อให้เป็นไปตามข้อผูกมัดของ Meta ในการทำให้ข้อมูลทั้งหมดที่จำเป็นสามารถเข้าถึงได้ตามข้อผูกมัดของ Meta ภายใต้มาตรา 28 ของ GDPR และ
      9. จัดหาผู้ตรวจสอบที่เป็นบุคคลที่สามทุกปีตามการตัดสินใจของ Meta โดยให้ดำเนินการตรวจสอบการควบคุมของ Meta ตามมาตรฐาน SOC 2 ประเภท II หรือตามมาตรฐานอุตสาหกรรมอื่นซึ่งเกี่ยวข้องกับ Workplace โดยคุณเป็นผู้มอบหมายหน้าที่ให้แก่ผู้ตรวจสอบดังกล่าว ทั้งนี้ Meta จะให้สำเนารายงานการตรวจสอบในขณะนั้นแก่คุณตามคำขอของคุณ และรายงานดังกล่าวจะถือเป็นข้อมูลลับของ Meta
    3. คุณอนุญาตให้ Meta ทำสัญญาช่วงกับบริษัทในเครือของ Meta และบุคคลที่สามอื่นๆ สำหรับข้อผูกมัดในการประมวลผลข้อมูลภายใต้ข้อตกลงนี้ โดย Meta จะมอบรายชื่อของบริษัทเหล่านี้ให้คุณหลังจากที่คุณยื่นคำขอเป็นลายลักษณ์อักษร ทั้งนี้ Meta ต้องทำเช่นที่กล่าวไปโดยทำข้อตกลงอย่างเป็นลายลักษณ์อักษรกับผู้ประมวลผลรายย่อยดังกล่าวเท่านั้น ซึ่งส่งผลให้ผู้ประมวลผลรายย่อยมีข้อผูกมัดด้านการคุ้มครองข้อมูลเช่นเดียวกันกับที่ Meta มีภายใต้ข้อตกลงนี้ ในกรณีที่ผู้ประมวลผลรายย่อยไม่สามารถปฏิบัติตามข้อผูกมัดดังกล่าวได้ Meta จะยังคงรับผิดต่อคุณอย่างเต็มที่สำหรับการดำเนินการที่เกี่ยวข้องกับข้อผูกมัดด้านการคุ้มครองข้อมูลของผู้ประมวลผลรายย่อยดังกล่าว
    4. ในกรณีที่ Meta มีผู้ประมวลผลรายย่อยเพิ่มเข้ามาหรือมาแทนรายเก่าตั้งแต่ (i) วันที่ 25 พฤษภาคม 2561 หรือ (ii) วันที่มีผลบังคับใช้ (วันใดก็ตามที่มาทีหลัง) Meta ต้องแจ้งให้คุณทราบล่วงหน้าเกี่ยวกับผู้ประมวลผลรายย่อยที่เพิ่มเข้ามาหรือมาแทนรายเก่าภายในสิบสี่ (14) วันนับจากวันที่มอบหมายหน้าที่ให้แก่ผู้ประมวลผลรายย่อยที่เพิ่มเข้ามาหรือมาแทนรายเก่าดังกล่าว ทั้งนี้ คุณสามารถคัดค้านการเพิ่มผู้ประมวลผลรายย่อยหรือการนำผู้ประมวลผลรายย่อยอีกรายหนึ่งมาแทนรายเก่าได้ภายในสิบสี่ (14) วันนับจากที่ได้รับแจ้งจาก Meta โดยการยุติข้อตกลงทันทีพร้อมแจ้งให้ Meta ทราบอย่างเป็นลายลักษณ์อักษร
    5. Meta ต้องแจ้งให้คุณทราบทันทีที่ทราบว่ามีการละเมิดข้อมูลส่วนตัวซึ่งเกี่ยวข้องกับข้อมูลส่วนตัวของคุณ โดยข้อความแจ้งดังกล่าวต้องระบุรายละเอียดที่เกี่ยวข้องของการละเมิดข้อมูลส่วนตัวเมื่อเป็นไปได้ ซึ่งรวมถึงจำนวนรายการข้อมูลที่ได้รับผลกระทบ หมวดหมู่และจำนวนผู้ใช้ที่ได้รับผลกระทบโดยประมาณ ตลอดจนผลที่คาดว่าจะตามมาจากการละเมิดและการเยียวยาใดๆ ที่เกิดขึ้นจริงหรือที่เสนอตามความเหมาะสม ณ เวลาที่มีการแจ้งเตือนหรือโดยเร็วที่สุดหลังจากที่มีการแจ้งเตือน ทั้งนี้ก็เพื่อลดผลกระทบที่อาจเกิดขึ้นจากการละเมิดดังกล่าว
    6. ภายในขอบเขตที่ GDPR หรือกฎหมายคุ้มครองข้อมูลในเขตเศรษฐกิจยุโรป สหราชอาณาจักร หรือสวิตเซอร์แลนด์มีผลบังคับใช้กับการประมวลผลข้อมูลของคุณภายใต้บันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้ บันทึกแนบท้ายเกี่ยวกับการถ่ายโอนข้อมูลในยุโรปจะมีผลบังคับใช้กับข้อมูลที่ Meta Platforms Ireland Ltd เป็นผู้ถ่ายโอน อีกทั้งถือเป็นส่วนหนึ่งของและได้รับการรวมไว้โดยเป็นเอกสารอ้างอิงในบันทึกแนบท้ายเกี่ยวกับการประมวลผลข้อมูลนี้