Addendum sa Pagpoproseso ng Data

  1. Mga Kahulugan
    Sa Addendum sa Pagpoproseso ng Data na ito, ang “GDPR” ay nangangahulugan sa General Data Protection Regulation (Regulation (EU) 2016/679), at ang “Controller”, “Data Processor”, “Data Subject”, “Personal na Data”, “Personal Data Breach” at “Pagpoproseso” ay dapat magkaroon ng mga magkaparehong kahulugan gaya ng tinukoy sa GDPR. Ang “Naproseso” at “Proseso” ay dapat bigyang-kahulugan nang alinsunod sa depinisyon ng “Pagpoproseso”. Kasama sa mga pagbanggit ng GDPR at mga probisyon nito ang GDPR gaya ng binago at isinama sa batas ng UK. Ang lahat ng iba pang tinukoy na salita dito ay dapat magkaroon ng mga magkaparehong kahulugan gaya ng tinukoy sa ibang lugar sa Kasunduan na ito.
  2. Pagpoproseso ng Data
    1. Sa pagsasagawa ng mga aktibidad nito bilang Processor sa ilalim nitong Kasunduan kaugnay sa anumang Personal na Data sa Iyong Data (“Ang Iyong Personal na Data”), kinukumpirma ng Meta na:
      1. ang haba, paksa, katangian at layunin ng Pagpoproseso ay dapat ayon sa tinukoy sa Kasunduan;
      2. ang mga uri ng Personal na Data na Naproseso ay dapat kasama ang mga tinukoy sa depinisyon ng Iyong Data;
      3. kasama sa mga kategorya ng Mga Data Subject ang iyong mga kinatawan, Mga User at sinumang iba pang mga indibiduwal na tinukoy o matutukoy ng Iyong Personal na Data; at
      4. ang iyong mga obligation at mga karapatan bilang Data Controller kaugnay sa Iyong Personal na Data ay nakasaad sa Kasunduan na ito.
    2. Sa lawak na Ipoproseso ng Meta ang Iyong Personal na Data sa ilalim ng o nang may kaugnayan sa Kasunduan, ang Meta ay dapat:
      1. iproseso lang ang Iyong Personal na Data nang alinsunod sa iyong mga sinabi gaya ng nakasaad sa Kasunduan na ito, kasama ang kaugnay sa paglipat ng Iyong Personal na Data, na sasailalim sa anumang mga eksepsyon na pinahihintulutan ng Artikulo 28(3)(a) ng GDPR;
      2. tiyakin na ang mga empleyado nito na awtorisadong Iproseso ang Iyong Personal na Data sa ilalim ng Kasunduang ito ay ipinangako ang kanilang mga sarili sa confidentiality o ay nasa ilalim ng naaangkop na statutory obligation ng confidentiality kaugnay sa Iyong Personal na Data;
      3. mag-implement ng mga teknikal at pang-organisasyon na hakbang na nakasaad sa Addendum sa Seguridad ng Data;
      4. igalang ang mga kondisyon na tinukoy sa ibaba sa Seksyon 2.c at 2.d ng Addendum sa Pagpoproseso ng Data na ito kapag nagtatalaga ng mga sub-Processor;
      5. tulungan ka sa pamamagitan ng mga naaangkop na teknikal at pang-organisasyong mga hakbang, sa abot ng makakaya nito sa pamamagitan ng Workplace, para maisakatuparan mo ang iyong mga obligation na tumugon sa mga request para sa paggamit ng mga karapatan ng Data Subject sa ilalim ng Kabanata III ng GDPR;
      6. tulungan ka sa pagtiyak sa pag-comply sa iyong mga obligation alinsunod sa Artikulo 32 hanggang 36 ng GDPR, isinasaalang-alang ang katangian ng Pagpoproseso at ang impormasyong available sa Meta
      7. sa pagtatapos ng Kasunduan, i-delete ang Personal na Data alinsunod sa Kasunduan, maliban kung hinihiling ng batas ng European Union o Member State na huwag alisin ang Personal na Data;
      8. gawing available sa iyo ang impormasyong inilarawan sa Kasunduan na ito at sa pamamagitan ng Workplace nang tinutugunan ang obligation ng Meta na gawing available ang lahat ng impormasyon na kinakailangan para maipakita ang pag-comply sa mga obligatoin ng Meta sa ilalim ng Artikulo 28 ng GDPR; at
      9. taun-taon, kukuha ng third party auditor na pipiliin ng Meta para magsagawa ng SOC 2 Type II o iba pang pamantayan ng industriya sa pag-audit ng mga kontrol ng Meta kaugnay sa Workplace, tulad ng third party auditor na ikaw ang nag-uutos. Kapag hiniling mo, bibigyan ka ng Meta ng kopya ng kasalukuyang audit report at ang nasabing report ay ituturing na Confidential na Impormasyon ng Meta.
    3. Pinahihintulutan mo ang Meta na i-subcontract ang mga obligation nito sa Pagpoproseso ng Data sa ilalim ng Kasunduan na ito sa Mga Affiliate ng Meta, at sa iba pang mga third party, bibigyan ka ng Meta ng listahan nito kapag hiniling mo ito sa pamamagitan ng sulat. Dapat lang itong gawin ng Meta bilang paraan ng nakasulat na kasunduan sa nasabing sub-Processor na nagpapatupad ng parehong mga obligation sa pagprotekta ng data sa sub-Processor gaya ng ipinapatupad sa Meta sa ilalim ng Kasunduan na ito. Kung hindi matutupad ng sub-Processor ang mga nasabing obligation, mananatiling ganap na mananagot sa iyo ang Meta para sa pagsasagawa ng mga obligation sa pagprotekta ng data ng sub-Processor na iyon.
    4. Kung magsasama ng karagdagan o kapalit na (mga) sub-Processor mula (i) 25 Mayo 2018, o (ii) ang Petsa ng Pagkakaroon ng Bisa (alinman ang mas huli), dapat sabihin sa iyo ng Meta ang nasabing karagdagan o pagpapalit ng (mga) sub-Processor nang hindi lalampas sa labing-apat (14) na araw bago ang pagtatalaga ng nasabing karagdagan o kapalit na (mga) sub-Processor. Maaari kang tumutol sa pakikibahagi ng nasabing karagdagan o kapalit na (mga) sub-Processor sa loob ng labing-apat (14) na araw matapos masabihan ng Meta sa pamamagitan ng pagtapos kaagad sa Kasunduan nang magbibigay ng nakasulat na abiso sa Meta.
    5. Dapat kang abisuhan ng Meta nang walang hindi makatwirang pagkaantala kapag nalaman ang tungkol sa Personal Data Breach kaugnay sa Iyong Personal na Data. Dapat kasama sa nasabing abiso, sa oras ng pag-aabiso o pagkatapos kaagad magbigay ng abiso, ang mga nauugnay na detalye ng Personal Data Breach kung saan maaari, kasama ang bilang ng iyong mga rekord na naapektuhan, ang kategorya at humigit-kumulang na bilang ng mga apektadong User, mga inaasahang kahihinatnan ng breach at ang anumang aktwal o iminumungkahing remedyo, kung saan naaangkop, para mapigilan ang mga posibleng hindi magandang epekto ng breach.
    6. Sa lawak na naaangkop ang GDPR o ang mga batas sa pagprotekta sa data sa EEA, UK o Switzerland sa Pagpoproseso ng Iyong Data sa ilalim ng Addendum sa Pagpoproseso ng Data na ito, naaangkop ang Addendum sa European Data Transfer sa mga paglipat ng data ng Meta Platforms Ireland Ltd at bumubuo sa bahagi ng, at isinasama bilang reference sa Addendum sa Pagpoproseso ng Data na ito.
  3. Mga Tuntunin ng Processor ng USA
    1. Sa lawak na ang Mga Tuntunin ng Processor ng USA ay naaangkop na magiging bahagi ng, at isinasama sa pamamagitan ng pagbanggit sa Kasunduang ito, sine-save para sa Seksyon 3 (Mga Obligasyon ng Kumpanya) na hayagang hindi isinama.