Załącznik dotyczący przetwarzania danych
- Definicje
Na potrzeby niniejszego Załącznika dotyczącego przetwarzania danych termin „RODO” oznacza rozporządzenie o ochronie danych (rozporządzenie UE nr 2016/679), a określenia „Administrator”, „Podmiot przetwarzający dane”, „Podmiot danych”, „Dane osobowe”, „Naruszenie ochrony danych” oraz „przetwarzanie” mają takie samo znaczenie co ich odpowiedniki zdefiniowane w RODO. Określenia pochodne „przetworzony” i „przetwarzać” należy rozumieć zgodnie z definicją terminu „przetwarzanie”. Wszystkie pozostałe terminy zdefiniowane w niniejszym dokumencie mają znaczenie zgodne z ich definicją określoną w innej części niniejszej Umowy. - Przetwarzanie danych
- Realizując swoje zobowiązania jako podmiotu przetwarzającego dane zgodnie z niniejszą umową w odniesieniu do dowolnych danych osobowych zawartych w danych użytkownika („Danych osobowych użytkownika”), Facebook oświadcza, że:
- czas trwania, przedmiot umowy, a także charakter i cel przetwarzania są zdefiniowane w niniejszej umowie;
- typy przetwarzanych danych osobowych obejmują te, które zostały określone w definicji danych użytkownika;
- kategorie podmiotów danych obejmują przedstawicieli, użytkowników i wszelkie osoby indywidualne, których tożsamość można ustalić na podstawie danych osobowych użytkownika, oraz że
- zobowiązania i prawa wynikające z roli administratora danych w odniesieniu do danych osobowych użytkownika są zdefiniowane w niniejszej umowie.
- W zakresie przetwarzania danych osobowych użytkownika zgodnie lub w powiązaniu z niniejszą umową Facebook deklaruje, że:
- przetwarzanie danych osobowych użytkownika odbywa się zgodnie z instrukcjami zawartymi w niniejszej umowie, w tym w zakresie przenoszenia danych osobowych użytkownika zgodnie z wyjątkami określonymi w artykule 28(3)(a) RODO;
- osoby upoważnione do przetwarzania danych osobowych użytkownika na mocy niniejszej umowy zobowiązały się do zachowania poufności lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy w odniesieniu do danych osobowych użytkownika;
- stosuje techniczne i organizacyjne środki określone w załączniku dotyczącym ochrony danych;
- przestrzega poniższych warunków w zakresie mianowania dodatkowych administratorów danych opisanych w sekcji 2.c i 2.d niniejszego załącznika dotyczącego przetwarzania danych;
- w miarę możliwości dostępnych na platformie Workplace pomaga użytkownikowi, stosując odpowiednie środki techniczne i organizacyjne, wywiązywać się z obowiązku odpowiadania na wnioski podmiotu danych w zakresie wykonywania jego praw określonych w sekcji III RODO;
- pomaga użytkownikowi wywiązywać się z obowiązków określonych w art. 32–36 RODO, uwzględniając charakter przetwarzania oraz informacje posiadane przez Facebooka;
- w przypadku rozwiązania niniejszej umowy usuwa dane osobowe zgodnie z jej postanowieniami, pod warunkiem że prawo obowiązujące na terenie Unii Europejskiej lub kraju członkowskiego nie wymaga ich retencji;
- udostępnia użytkownikowi informacje opisane w niniejszej umowie i dostępne za pośrednictwem platformy Workplace w celu wywiązania się ze zobowiązania Facebooka polegającego na udostępnieniu wszystkich informacji niezbędnych do wykazania realizacji przez niego postanowień artykułu 28 RODO oraz że
- raz w roku audytor zewnętrzny wybrany przez Facebooka przeprowadza audyt zgodnie ze standardem SOC 2 (typ II) lub innym standardem branżowym w zakresie audytów dotyczących sprawowania przez Facebooka nadzoru nad platformą Workplace, a także że niniejszym otrzymuje on upoważnienie użytkownika. Na wniosek użytkownika Facebook przedstawi mu kopię aktualnego raportu z audytu, a raport ten zostanie uznany za Informacje poufne Facebooka.
- Na mocy niniejszej umowy użytkownik upoważnia Facebooka do przekazania obowiązków wynikających z przetwarzania danych spółkom stowarzyszonym Facebooka oraz firmom zewnętrznym, których lista zostanie udostępniona użytkownikowi na jego pisemny wniosek. Facebook zobowiązuje się do postępowania w ten sposób jedynie na mocy pisemnej umowy z kolejnymi podmiotami przetwarzającymi dane, które przestrzegają tych samych obowiązków w zakresie ochrony danych, jak te wyszczególnione w niniejszej umowie. Jeśli wybrany kolejny podmiot przetwarzający dane nie wywiąże się ze spoczywających na nim obowiązków, Facebook przejmie na siebie związaną z tym pełną odpowiedzialność względem użytkownika.
- W przypadku skorzystania przez Facebooka z usług kolejnych podmiotów przetwarzających dane od (i) 25 maja 2018 r. lub (ii) daty wejścia w życie (w zależności od tego, co nastąpi później), Facebook poinformuje użytkownika o tym fakcie nie później niż 14 (słownie: czternaście) dni przed ich wyznaczeniem. Użytkownik może nie zgodzić się na wyznaczenie takiego kolejnego lub zastępczego podmiotu przetwarzającego dane w ciągu 14 (słownie: czternastu) dni od otrzymania informacji od Facebooka, niezwłocznie rozwiązując niniejszą umowę z zachowaniem formy pisemnej.
- Po uzyskaniu informacji o naruszeniu ochrony danych w odniesieniu do danych osobowych użytkownika Facebook bez zbędnej zwłoki powiadomi o tym fakcie użytkownika. Takie zawiadomienie będzie zawierać – w chwili powiadomienia lub jak najszybciej po jego przesłaniu, a także o ile to możliwe – szczegółowe informacje dotyczące naruszenia ochrony danych oraz liczby objętych nim rekordów, kategorię oraz przybliżoną liczbę użytkowników powiązanych z tymi danymi, a także przewidywane konsekwencje naruszenia i rzeczywiste lub proponowane środki zaradcze umożliwiające złagodzenie ewentualnych niepożądanych skutków naruszenia.
- Realizując swoje zobowiązania jako podmiotu przetwarzającego dane zgodnie z niniejszą umową w odniesieniu do dowolnych danych osobowych zawartych w danych użytkownika („Danych osobowych użytkownika”), Facebook oświadcza, że: