डेटा प्रोसेसिंग परिशिष्ट

  1. परिभाषाएँ
    इस डेटा प्रोसेसिंग परिशिष्ट के अंतर्गत, “GDPR” से आशय सामान्य डेटा संरक्षण विनियम (विनियम (EU) 2016/679), और “नियंत्रक”, “डेटा प्रोसेसर”, “डेटा सब्जेक्ट”, “व्यक्तिगत डेटा”, “व्यक्तिगत डेटा उल्लंघन” और “प्रोसेसिंग” का वही अर्थ होगा, जैसा कि GDPR में परिभाषित किया गया है. “प्रोसेस किया गया” और “प्रोसेस” को “प्रोसेसिंग” की परिभाषा के अनुसार माना जाएगा. यहाँ परिभाषित की गईं अन्य सभी शर्तों का अर्थ वही होगा, जो इस अनुबंध में अन्य स्थानों पर परिभाषित किया गया है.
  2. डेटा प्रोसेसिंग
    1. आपके डेटा (“आपके व्यक्तिगत डेटा”) के अंतर्गत आपके व्यक्तिगत डेटा के बारे में इस अनुबंध के तहत प्रोसेसर के रूप में अपनी गतिविधियाँ संचालित करने में Facebook यह कन्फ़र्म करता है कि:
      1. अनुबंध में निर्दिष्ट की गई प्रोसेसिंग की अवधि, विषय-वस्तु, प्रकृति और उद्देश्य अनुबंध में निर्दिष्ट किए गए अनुसार होगी;
      2. प्रोसेस किए गए व्यक्तिगत डेटा के प्रकारों में आपके डेटा की परिभाषा में निर्दिष्ट डेटा शामिल होगा;
      3. डेटा सब्जेक्ट की श्रेणियों में आपके प्रतिनिधि, उपयोगकर्ता और आपके व्यक्तिगत डेटा द्वारा निर्धारित किए गए या निर्धारित करने योग्य अन्य व्यक्ति शामिल हैं; और
      4. आपके व्यक्तिगत डेटा के डेटा नियंत्रक के रूप में आपके दायित्व और अधिकार इस अनुबंध में निर्धारित किए गए है.
    2. इस अनुबंध के तहत या इसके संबंध में Facebook आपके व्यक्तिगत डेटा को जिस सीमा तक प्रोसेस करता है, उस सीमा तक Facebook:
      1. केवल इस अनुबंध के अंतर्गत निर्धारित किए गए अनुसार ही आपके निर्देशों के अनुरूप ही आपके व्यक्तिगत डेटा को प्रोसेस करेगा, जिसमें GDPR की धारा 28(3)(a) में अनुमत किसी भी अपवाद के अधीन आपके व्यक्तिगत डेटा का स्थानांतरण शामिल है;
      2. यह सुनिश्चित करेगा कि इस अनुबंध के तहत इसके जो कर्मचारी आपके व्यक्तिगत डेटा की प्रोसेसिंग के लिए अधिकृत हैं, उन्होंने गोपनीयता की शपथ ली है या वे आपके व्यक्तिगत डेटा के संबंध में गोपनीयता के उपयुक्त वैधानिक दायित्व के अधीन हैं;
      3. डेटा सुरक्षा परिशिष्ट में निर्धारित तकनीकी और संगठनात्मक उपाय लागू करेगा;
      4. सब-प्रोसेसर नियुक्त करते समय इस डेटा प्रोसेसिंग परिशिष्ट की धाराओं 2.c और 2.d में बताई गईं शर्तों का पालन करेगा;
      5. GDPR के अधीन किसी डेटा विषय से डेटा विषय संबंधी अधिकारों का उपयोग करने के लिए अनुरोधों का उत्तर देने के किसी भी दायित्व को पूरा करने में आपको सक्षम बनाने के लिए जहाँ तक संभव होगा (प्रोसेसिंग के स्वरूप को ध्यान में रखते हुए) उचित तकनीकी और संगठनात्मक उपाय प्रदान करके आपकी सहायता करेगा;
      6. प्रोसेसिंग के स्वरूप और Facebook के लिए उपलब्ध होने वाली जानकारी को ध्यान में रखते हुए GDPR की धारा 32 से 36 के अनुसार आपके दायित्वों का पालन सुनिश्चित करने में आपकी सहायता करेगा,
      7. अगर युरोपीय संघ या सदस्य राज्य के कानून में व्यक्तिगत डेटा को बनाए रखना आवश्यक नहीं हो, तो अनुबंध समाप्त होने के बाद, अनुबंध के अनुसार व्यक्तिगत डेटा को हटा देगा;
      8. आपको इस अनुबंध में बताई गई जानकारी और वह सभी जानकारी जो कि अनुच्छेद 28 GDPR के तहत Facebook के दायित्वों के अनुपालन का प्रदर्शन करने के लिए आवश्यक है, Facebook के दायित्व की पूर्ति के लिए Workplace के माध्यम से उपलब्ध कराएगा; और
      9. वार्षिक आधार पर, यह अनुबंध करेगा कि Facebook की पसंद का कोई तृतीय-पक्ष ऑडिटर, Workplace के संबंध में Facebook के नियंत्रणों का SOC 2 टाइप II या किसी अन्य प्रकार का उद्योग मानक परीक्षण संचालित करे, इस तृतीय-पक्ष ऑडिटर की सहमति एतद्वारा आप यहाँ देते हैं. आपके अनुरोध पर, Facebook वर्ष में अधिकतम एक बार, आपको अपनी तत्कालीन परीक्षण रिपोर्ट की एक कॉपी प्रदान करेगा और इस रिपोर्ट को Facebook की गोपनीय जानकारी माना जाएगा.
    3. आप इस अनुबंध के तहत Facebook को इसके डेटा प्रोसेसिंग दायित्वों को Facebook के संबद्ध पक्षों को और अन्य तृतीय-पक्षों को सब-कॉन्ट्रैक्ट पर देने के लिए अधिकृत करते हैं, जिनकी सूची Facebook आपको लिखित अनुरोध पर प्रदान करेगा. Facebook ऐसे सब-प्रोसेसर के साथ केवल लिखित अनुबंध द्वारा ऐसा करेगा, जिसमें सब-प्रोसेसर पर वही डेटा सुरक्षा दायित्व लगाए जाते हैं, जो कि इस अनुबंध के तहत Facebook पर लगाए जाते हैं. जहाँ सब-प्रोसेसर इन दायित्वों को निभाने में विफल रहता है, वहाँ Facebook उस सब-प्रोसेसर के दायित्वों का निर्वाह करने के लिए आपके प्रति पूरी तरह उत्तरदायी होगा.
    4. जहाँ Facebook (i) 25 मई 2018 से, या (ii) प्रभावी तिथि (जो भी बाद में हो), किसी अतिरिक्त या बदले में काम करने वाले किसी सब-प्रोसेसर को शामिल करेगा, वहाँ Facebook आपको बदले में काम करने वाले ऐसे सब-प्रोसेसर को ऐसे अतिरिक्त या बदले में काम करने वाले सब-प्रोसेसर (सब-प्रोसेसरों) के बारे में न्यूनतम (14) दिन पहले से आपको बता देगा. आप अनुबंध को तुरंत समाप्त करते हुए Facebook को लिखित सूचना देकर ऐसे अतिरिक्त या बदले में काम करने वाले सब-प्रोसेसर (सब-प्रोसेसरों) की नियुक्ति पर Facebook द्वारा सूचित किए जाने के चौदह (14) दिनों के अंदर आपत्ति दर्ज कर सकते हैं.
    5. आपके व्यक्तिगत डेटा के बारे में व्यक्तिगत डेटा के उल्लंघन की जानकारी मिलने पर किसी भी अनुचित विलंब के बिना Facebook आपको सूचित करेगा. इस सूचना में, सूचना के समय या सूचना के बाद जितनी जल्दी संभव हो उतनी जल्दी, जहाँ संभव हो वहाँ व्यक्तिगत डेटा उल्लंघन का प्रासंगिक विवरण, जिसमें प्रभावित रिकॉर्ड की संख्या, श्रेणी और प्रभावित उपयोगकर्ताओं की अनुमानित संख्या, उल्लंघन के अनुमानित परिणाम और उल्लंघन के संभावित प्रतिकूल प्रभावों को कम करने के लिए कोई भी वास्तविक या प्रस्तावित उपाय शामिल किए जाएँगे.