Andmetöötluse lisa

  1. Mõisted
    Selles andmetöötluse lisas tähendab mõiste „GDPR“ andmekaitse üldmäärust (määrus (EL) 2016/679) ning „vastutav töötleja“, „andmete töötleja“, „andmesubjekt“, „isikuandmed“, „isikuandmetega seotud rikkumine“ ja „töötlemine“ omavad sama tähendust, mis on GDPR-is määratletud. Mõisteid „töödeldud“ ja „töötlema“ tõlgendatakse vastavalt mõiste „töötlemine“ määratlusele. Viited GDPR-ile ja selle sätetele hõlmavad GDPR-i muudetud ja Ühendkuningriigi seadustesse inkorporeeritud kujul. Kõigil muudel siin määratletud mõistetel on samad tähendused, mis on määratletud käesolevas lepingus mujal.
  2. Andmete töötlemine
    1. Olles käesoleva lepingu alusel teie andmetes sisalduvate mis tahes isikuandmete („teie isikuandmed“) töötleja, kinnitab Meta, et:
      1. töötlemise kestus, sisu, olemus ja eesmärk vastavad lepingus määratule;
      2. töödeldavate isikuandmete liigid hõlmavad neid, mis on määratletud teie andmete määratluses;
      3. andmesubjektide kategooriad hõlmavad teie esindajaid, kasutajaid ja kõiki teisi isikuid, kes on teie isikuandmete põhjal tuvastatud või tuvastatavad, ja
      4. teie kui vastutava töötleja kohustused ja õigused seoses teie isikuandmetega on sätestatud antud lepingus.
    2. Kui Meta töötleb teie isikuandmeid lepingu alusel või sellega seoses, kohustub Meta:
      1. töötlema teie isikuandmeid ainult vastavalt anud lepingus sätestatud juhistele, sealhulgas seoses teie isikuandmete edastamisega, välja arvatud GDPR-i artikli 28 lõike 3 punktiga a lubatud erandid;
      2. tagama, et selle töötajad, kes on volitatud antud lepingu alusel teie isikuandmeid töötlema, on kohustunud järgima teie isikuandmete konfidentsiaalsust või neil on asjakohane seadusest tulenev konfidentsiaalsuskohustus;
      3. rakendama andmeturbe lisas sätestatud tehnilisi ja korralduslikke meetmeid;
      4. järgima alltöötlejate määramisel antud andmetöötluse lisa jaotiste 2 punktis c ja 2 punktis d viidatud tingimusi;
      5. abistama teid asjakohaste tehniliste ja korralduslike meetmetega, niivõrd kui see on Workplace’i kaudu võimalik, et saaksite täita oma kohustusi vastata andmesubjekti õiguste kasutamise taotlustele vastavalt GDPR-i III peatükile;
      6. aitama teil tagada GDPR-i artiklite 32–36 kohaste kohustuste täitmine, võttes arvesse töötlemise olemust ja Metale kättesaadavat teavet;
      7. kustutama lepingu lõppemisel isikuandmed vastavalt lepingule, välja arvatud juhul, kui Euroopa Liidu või liikmesriigi õigus nõuab Isikuandmete säilitamist;
      8. tegema teile kättesaadavaks antud lepingus ja Workplace’i kaudu kirjeldatud teabe, täites Meta kohustust teha kättesaadavaks kogu teave, mis on vajalik Meta GDPR-i artikli 28 kohaste kohustuste täitmise tõendamiseks, ja
      9. tagama iga-aastaselt, et Meta valitud kolmandast osapoolest audiitor viiks läbi SOC 2 II tüüpi või muu tööstusharu standardse auditi Meta Workplace’iga seotud kontrollide kohta, kusjuures annate sellisele kolmandast osapoolest audiitorile käesolevaga omalt poolt volituse. Teie nõudmisel annab Meta teile koopia oma hetkel kehtivast auditiaruandest ja sellist aruannet loetakse Meta konfidentsiaalseks teabeks.
    3. Volitate Metat sõlmima oma sellest lepingust tulenevate andmete töötlemise kohustuste täitmiseks allhankelepingu Meta sidusettevõtetega ja muude kolmandate osapooltega, kelle loendi Meta teile teie kirjaliku taotluse korral edastab. Meta teeb seda ainult sellise alamtöötlejaga sõlmitud kirjaliku lepingu alusel, mis kehtestab alamtöötlejale samad andmekaitsekohustused, mis on Metale käesoleva lepingu alusel kehtestatud. Kui see alamtöötleja neid kohustusi ei täida, vastutab Meta teie ees täielikult selle alamtöötleja andmekaitsekohustuste täitmise eest.
    4. Kui Meta kaasab alates i) 25. maist 2018 või ii) jõustumise kuupäevast (kumb on hilisem) täiendava(d) või asendus-alltöötleja(d), teavitab Meta teid sellis(t)est täiendava(te)st või asendatava(te)st alamtöötleja(te)st hiljemalt neliteist (14) päeva enne sellise täiendava või asendus-alltöötleja määramist. Võite sellise täiendava(te) või asendava(te) alamtöötleja(te) kaasamise vaidlustada neljateistkümne (14) päeva jooksul pärast seda, kui Meta on teid sellest teavitanud, lõpetades Metale kirjaliku teate saatmisega kohe lepingu.
    5. Kui Meta saab teada teie isikuandmetega seotud isikuandmetega seotud rikkumisest, teavitab ta teid põhjendamatu viivituseta. Selline teade peab teavitamise ajal või võimalikult kiiresti pärast teavitamist sisaldama võimaluse korral isikuandmetega seotud rikkumise asjakohaseid üksikasju, sealhulgas mõjutatud kirjete arv, mõjutatud kasutajate kategooriad ja ligikaudne arv, rikkumise eeldatavad tagajärjed, ning vajaduse korral mis tahes tegelikud või kavandatavad parandusmeetmed rikkumise võimalike kahjulike mõjude leevendamiseks.
    6. Kuivõrd GDPR või EMP, Ühendkuningriigi või Šveitsi andmekaitseseadused kehtivad antud andmetöötluse lisa alusel teie andmete töötlemisele, kohaldatakse Euroopa andmeedastuse lisa Meta Platforms Ireland Ltd. poolt andmeedastuste suhtes ning on viitena lisatud käesolevasse andmetöötluse lisasse.
  3. USA volitatud töötleja tingimused
    1. Sellisel määral, nagu Meta USA volitatud töötleja tingimused kehtivad, on need osa sellest lepingust ja on sellesse lepingusse viitena lisatud, välja arvatud jaotis 3 (ettevõtte kohustused), mis on sõnaselgelt välistatud.