נספח עיבוד נתונים

  1. הגדרות
    במסגרת נספח עיבוד נתונים זה, ”GDPR“ משמעותו הרגולציה הכללית להגנה על נתונים (תקנה 2016/679 (EU)), וכן ”בקר“ ”מעבד נתונים“, ”נושא הנתונים“, ”נתונים אישיים“, ”פריצה לנתונים אישיים“ וכן ”עיבוד“ יקבלו את המשמעות שהוגדרה להם ב-GDPR. ”מעובד“ וכן ”מעבד“ יפורשו בהתאם להגדרת המונח ”עיבוד“. כל שאר המונחים המוגדרים להלן יקבלו משמעות זהה לזו שהוגדרה בהסכם זה.
  2. עיבוד נתונים
    1. בביצוע פעילויות כמעבדת במסגרת הסכם זה בקשר לנתונים אישיים שהם חלק מהנתונים שלך (”הנתונים האישיים שלך“), פייסבוק מאשרת כי:
      1. משך העיבוד, נושאו, אופיו ומטרתו יצוינו בהסכם;
      2. סוגי הנתונים האישיים שמעובדים יכללו את הסוגים שצוינו בהגדרת הנתונים שלך;
      3. קטגוריות נושאי הנתונים כוללות את הנציגים והמשתמשים שלך ואנשים אחרים שזוהו או הניתנים לזיהוי על פי הנתונים האישיים שלך; וגם
      4. ההתחייבויות והזכויות שלך כבקר נתונים בקשר לנתונים האישיים שלך נקבעות בהסכם זה.
    2. ככל שפייסבוק מעבדת את הנתונים האישיים שלך במסגרת הסכם זה, פייסבוק:
      1. תעבד את הנתונים האישיים שלך בהתאם להוראותיך בלבד כפי שנקבע בהסכם זה, גם ביחס להעברת הנתונים האישיים שלך, בכפוף לחריגים המותרים על פי סעיף 28(3)(a) ל-GDPR;
      2. תוודא שהעובדים שלה שמורשים לעבד את הנתונים האישיים שלך במסגרת הסכם זה, התחייבו לסודיות או נמצאים תחת התחייבות חוקית הולמת לסודיות, בקשר לנתונים האישיים שלך;
      3. תפעיל את האמצעים הטכניים והארגוניים שנקבעו בנספח אבטחת הנתונים;
      4. תכבד את התנאים הנזכרים להלן בסעיף 2.c ו-2.d לנספח עיבוד נתונים זה בעת מינוי מעבדי-משנה;
      5. תסייע לך בעזרת אמצעים טכניים וארגוניים הולמים, כל עוד הדבר אפשרי באמצעות Workplace, כדי לאפשר לך לעמוד בהתחייבויות שלך להגיב לבקשות למימוש זכויות מצד נושא נתונים במסגרת פרק III ל-GDPR;
      6. תסייע לך לעמוד בהתחייבויות שלך לפי סעיפים 32 עד 36 של GDPR, בהתחשב באופי העיבוד ובמידע הזמין לפייסבוק;
      7. בסיום ההסכם, תמחק את הנתונים האישיים לפי ההסכם, אלא אם חוק של האיחוד האירופי או של מדינה חברה מחייב את שמירת הנתונים האישיים;
      8. תעמיד לרשותך את המידע המתואר בהסכם זה ודרך Workplace כדי למלא את התחייבותה של פייסבוק להנגיש את כל המידע הנחוץ, כדי להוכיח את העמידה בהתחייבויות של פייסבוק לפי סעיף 28 ל-GDPR; וגם
      9. בכל שנה, תדאג לכך שמבקר צד שלישי שתבחר פייסבוק יבצע ביקורת לפי תקן SOC 2 Type II או תקן אחר המקובל בתעשייה, של אמצעי הבקרה של פייסבוק הקשורים ל-Workplace, כאשר מבקר צד שלישי זה מחויב בזאת על ידך. לבקשתך, פייסבוק תספק לך עותק של דוח הביקורת שלה העדכני לאותו הזמן, ודוח זה ייחשב מידע סודי של פייסבוק.
    3. אתה מאשר לפייסבוק להעביר בקבלנות משנה את התחייבויות עיבוד הנתונים שלה לפי הסכם זה לחברות הקשורות לפייסבוק, ולגורמי צד שלישי אחרים, אשר רשימה שלהם תינתן לך על ידי פייסבוק לאחר בקשה בכתב. פייסבוק תעשה זאת רק באמצעות הסכם בכתב עם מעבד משנה, המטיל על מעבד המשנה התחייבויות להגנה על נתונים זהות לאלה שהוטלו על פייסבוק בהסכם זה. במקרה שמעבד המשנה לא יעמוד בהתחייבויות אלה, פייסבוק עדיין תישא במלוא החבות כלפיך לגבי ביצוע ההתחייבויות להגנה על נתונים של אותו מעבד משנה.
    4. כאשר פייסבוק מפעילה מעבד משנה נוסף או מחליף (1) מיום 25 במאי 2018, או (2) מתאריך התוקף (המאוחר מביניהם), פייסבוק תודיע לך על מעבד משנה נוסף או מחליף זה לא יאוחר מאשר ארבעה עשר (14) יום לפני מינויו. באפשרותך להתנגד להפעלת מעבד משנה נוסף או מחליף זה בתוך ארבעה עשר (14) יום לאחר ההודעה על כך מפייסבוק, על ידי סיום ההסכם לאלתר בהודעה בכתב לפייסבוק.
    5. פייסבוק תודיע לך ללא דיחוי כאשר נודע לה על פריצה לנתונים אישיים בקשר לנתונים האישיים שלך. הודעה שכזו תכלול, בזמן ההודעה או בהקדם האפשרי לאחר מכן, פרטים רלוונטיים לגבי הפריצה לנתונים האישיים ככל שניתן, כולל מספר הרשומות שלך שהושפעו ממנה, הקטגוריה והמספר המשוער של המשתמשים המושפעים, ההשלכות הצפויות של הפריצה וכל סעד ממשי או מומלץ, כשניתן, לצמצום ההשפעות השליליות האפשריות של הפריצה.