Adendo sobre Processamento de Dados

  1. Definições
    Nos termos deste Adendo sobre Processamento de Dados, “RGPD” significa o Regulamento Geral sobre a Proteção de Dados (Regulamento 2016/679 da União Europeia), e “Controlador”, “Processador dos dados”, “Titular dos dados”, “Dados pessoais”, “Violação de dados pessoais” e “Processamento” devem ter os mesmos significados definidos no RGPD. “Processado” e “Processar” devem ser interpretados de acordo com a definição de “Processamento”. Todos os outros termos aqui definidos devem conservar os mesmos significados a eles atribuídos em outras partes deste Acordo.
  2. Processamento de dados
    1. No âmbito da realização de suas atividades como Processador nos termos deste Acordo, relativamente a quaisquer Dados pessoais envolvendo Seus dados (“Seus dados pessoais”), o Facebook confirma que:
      1. A duração, o tópico, a natureza e a finalidade do Processamento devem corresponder ao especificado no Acordo;
      2. Os tipos de dados pessoais processados devem incluir aqueles especificados na definição de Seus dados;
      3. As categorias de Titulares de dados incluem seus representantes, Usuários e quaisquer outros indivíduos identificados ou identificáveis por seus Dados pessoais; e
      4. Suas obrigações e direitos como Controlador de dados em relação a Seus dados pessoais são resultantes do disposto neste Acordo.
    2. Considerando que o Facebook processa Seus dados pessoais conforme este Acordo ou em conexão com ele, o Facebook deverá:
      1. Apenas processar Seus dados pessoais de acordo com suas instruções e conforme definido nos termos deste Acordo, inclusive no que diz respeito à transferência de Seus dados pessoais, sujeita às exceções permitidas pelo Artigo 28(3)(a) do RGPD;
      2. Assegurar que os funcionários autorizados a processar Seus dados pessoais nos termos deste Acordo assumiram um compromisso de confidencialidade ou estão sujeitos a adequadas obrigações legais de confidencialidade no que se refere a Seus dados pessoais;
      3. Implementar as medidas técnicas e organizacionais definidas no Adendo sobre Segurança dos Dados;
      4. Respeitar as condições designadas a seguir nas Seções 2.c e 2.d deste Adendo sobre Processamento de Dados no que diz respeito a Subprocessadores;
      5. Prestar assistência, por meio de medidas técnicas e organizacionais adequadas e na medida do possível por meio do Workplace, de modo a permitir que você cumpra suas obrigações de dar resposta aos pedidos de titulares de dados a fim de que eles possam exercer os direitos que possuem nos termos do Capítulo III do RGPD;
      6. Prestar assistência para que você cumpra as obrigações previstas nos artigos 32 a 36 do RGPD, tendo em conta a natureza do Processamento e as informações disponibilizadas para o Facebook;
      7. No caso de rescisão do Acordo, excluir os Dados pessoais relativos a ele, a menos que a legislação da União Europeia ou dos Estados-Membros exija a retenção de Dados pessoais;
      8. Disponibilizar as informações descritas neste Acordo e por meio do Workplace visando satisfazer as obrigações do Facebook de fornecer acesso a todas as informações necessárias para demonstrar conformidade com as obrigações estabelecidas pelo Artigo 28 do RGPD; e
      9. Anualmente, garantir que um auditor terceirizado da escolha do Facebook realize uma auditoria SOC 2 Tipo II, ou outra auditoria padrão do setor, dos controles do Facebook relativamente ao Workplace (tal auditor terceirizado será mandatado por você). Mediante sua solicitação, o Facebook fornecerá uma cópia do relatório de auditoria mais atual, e as informações contidas nele serão tidas como confidenciais.
    3. Você autoriza o Facebook a subcontratar as Obrigações de processamento de dados nos termos deste Acordo às Afiliadas dele, e a outros terceiros constantes em uma lista que o Facebook fornecerá a você mediante solicitação por escrito. O Facebook somente está autorizado a fazê-lo por meio de um acordo por escrito com tal Subprocessador, que impõe a ele as mesmas obrigações de proteção dos dados impostas ao Facebook nos termos deste Acordo. Caso o Subprocessador não cumpra tais obrigações, o Facebook permanecerá integralmente responsável perante você pelo desempenho das obrigações de proteção dos dados desse Subprocessador.
    4. Caso o Facebook opte pela adoção ou substituição de um ou mais Subprocessadores a partir de (i) 25 de maio de 2018 ou (ii) da Data de vigência (o que ocorrer depois), o Facebook deverá informar você sobre a adoção ou substituição de tal Subprocessador no prazo máximo de (14) dias antes da concretização do referido ato. Você poderá se opor à inclusão ou substituição de tal Subprocessador em até (14) dias da data em que foi informado pelo Facebook a esse respeito, devendo rescindir o Acordo imediatamente mediante aviso por escrito ao Facebook.
    5. O Facebook deverá notificar você sem demora injustificada quando tomar conhecimento da violação de Seus dados pessoais. A referida notificação deverá incluir, no momento em que for feita ou o mais breve possível após esta, detalhes relevantes sobre a violação dos dados pessoais sempre que possível, incluindo o número de registros afetados, a categoria e o número aproximado de Usuários afetados, as consequências previstas e quaisquer soluções reais ou propostas, se adequadas, para a mitigação dos possíveis efeitos adversos da violação.