Tillägg om databehandling

  1. Definitioner
    I föreliggande tillägg om databehandling betyder ”GDPR” den allmänna dataskyddsförordningen (förordning [EU] 2016/679), och ”personuppgiftsansvarig”, ”personuppgiftsbiträde”, “registrerad person”, ”personuppgifter”, ”personuppgiftsincident” och ”behandling” har samma betydelse enligt definitionen i GDPR. ”Behandlad(e)” och ”behandla” ska tolkas enligt definitionen av ”behandling”. Alla andra definierade termer ska ha samma definition som i andra delar av föreliggande avtal.
  2. Databehandling
    1. När ett personuppgiftsbiträde utför sina uppgifter i enlighet med föreliggande avtal med anknytning till personuppgifter bland dina data (”dina personuppgifter”) bekräftar Facebook att:
      1. varaktigheten, ämnesområdet, naturen och syftet med behandlingen ska vara i enlighet med det som specificerats i avtalet,
      2. de typer av personuppgifter som behandlats ska omfatta dem som specificerats i definitionen av dina data,
      3. kategorierna av registrerade personer omfattar dina företrädare, användare och andra individers som identifierats eller som är identifierbara genom dina personuppgifter och
      4. att dina skyldigheter och rättigheter som personuppgiftsansvarig fastställs i föreliggande avtal.
    2. I den utsträckning som Facebook behandlar dina personuppgifter i enlighet med, eller i anslutning till, avtalet ska Facebook:
      1. endast behandla dina personuppgifter i enlighet med dina anvisningar som föreskrivits i föreliggande avtal, bland annat avseende överföringen av dina personuppgifter, i enlighet med undantag som tillåtits enligt artikel 28.3.a av GDPR,
      2. säkerställa att de bland de anställda med behörighet att i enlighet med föreliggande avtal behandla dina personuppgifter har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt avseende dina personuppgifter,
      3. implementera de tekniska och organisatoriska åtgärder som föreskrivits i tillägget om datasäkerhet,
      4. respektera de villkor som avses nedan i avsnitt 2.c och 2.d i föreliggande tillägg om databehandling när ett underordnat personuppgiftsbiträde utses,
      5. hjälpa dig med lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt genom Workplace så att du kan fullgöra dina skyldigheter att svara på begäran om utövande av rättigheter i enlighet med kapitel 3 i GDPR,
      6. bistå dig med att se till att skyldigheterna enligt artiklarna 32–36 i GDPR fullgörs, med hänsyn tagen till databehandlingens art och den information som Facebook har att tillgå,
      7. vid avtalets uppsägning ta bort personuppgifterna i enlighet med avtalet, såvida EU-lag eller lag i medlemsstaten kräver att personuppgifter sparas,
      8. göra information tillgänglig för dig enligt beskrivning i föreliggande avtal och via Workplace för att uppfylla Facebooks skyldighet att göra tillgänglig all information som är nödvändig för att visa efterlevnad av Facebooks skyldigheter i enlighet med artikel 28 i GDPR och
      9. årligen ordna att en tredjepartsrevisor som Facebook väljer utför en revision av SOC 2 typ 2 eller annan standardrevision av Facebooks kontroll med anknytning till Workplace, där sådan tredjepartsrevisor härmed bemyndigas av dig. Facebook kan på begäran lämna ut en kopia av den aktuella granskningsrapporten till dig. Sådana rapporter klassas som konfidentiell information och tillhör Facebook.
    3. Du godkänner att Facebook i enlighet med föreliggande avtal lägger ut sina skyldigheter om databehandling på underentreprenad till Facebooks dotterbolag och till andra tredjeparter som står på en lista som Facebook kommer att tillhandahålla till dig på sin skriftliga begäran. Facebook får endast göra det under ett skriftligt avtal med sådant underordnat personuppgiftsbiträde som medför samma dataskyddsskyldigheter på det underordnade personuppgiftsbiträdet som åläggs Facebook i enlighet med föreliggande avtal. I de fall där det underordnade personuppgiftsbiträdet inte fullgör sina åtaganden är Facebook skyldigt att fullgöra åtagandena i dennes ställe.
    4. Då Facebook tillämpar ytterligare ett personuppgiftsbiträde eller ett i reserv från (i) 25 maj 2018, eller (ii) på ikraftträdandedatumet (beroende på vilket som är senast) ska Facebook informera dig om sådana ytterligare underordnade personuppgiftsbiträden eller underordnade personuppgiftsbiträden i reserv minst fjorton (14) dagar i förväg innan sådana underordnade personuppgiftsbiträden utses. Du kan invända mot tillämpningen av sådana underordnade personuppgiftsbiträden inom fjorton (14) dagar efter att ha blivit informerad av Facebook, genom att omedelbart säga upp avtalet i skrift till Facebook.
    5. Facebook ska meddela dig utan otillbörligt dröjsmål vid kännedom om personuppgiftsincidenter med anknytning till dina personuppgifter. En sådan underrättelse ska innehålla relevant, detaljerad information om personuppgiftsincidenten där det är möjligt, inklusive antal av dina dataposter som påverkas, personkategorier, ungefärligt antal användare som påverkas, befarande följder av incidenten samt eventuella vidtagna eller föreslagna åtgärder för att i lämpliga fall mildra de negativa effekterna.