Addendum betreffende gegevensverwerking

  1. Definities
    In dit addendum betreffende gegevensverwerking wordt verstaan onder 'AVG': de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679); onder 'Verwerkingsverantwoordelijke', 'Gegevensverwerker', 'Betrokkene', 'Persoonsgegevens', 'Inbreuk in verband met Persoonsgegevens' en 'Verwerking' wordt hetzelfde verstaan als de definitie in de AVG. 'Verwerkt' en 'Verwerken' worden gelezen in overeenstemming met de definitie van 'Verwerking'. Alle andere gedefinieerde termen in dit document hebben dezelfde betekenis als elders in deze Overeenkomst gedefinieerd.
  2. Gegevensverwerking
    1. Bij de uitvoering van zijn activiteiten als Gegevensverwerker op grond van deze Overeenkomst in verband met eventuele Persoonsgegevens in Je Gegevens ('Je Persoonsgegevens'), bevestigt Facebook het volgende:
      1. de duur, het onderwerp, de aard en het doel van de Verwerking stemmen overeen met het bepaalde in de Overeenkomst;
      2. de soorten Persoonsgegevens omvatten die welke zijn beschreven in de definitie van Je gegevens;
      3. de categorieën van Betrokkenen omvatten je vertegenwoordigers, Gebruikers en andere personen die (kunnen) worden geïdentificeerd door Je Persoonsgegevens; en
      4. je verplichtingen en rechten als Verwerkingsverantwoordelijke in verband met Je Persoonsgegevens zijn zoals is beschreven in deze Overeenkomst.
    2. Voor zover Facebook Je Persoonsgegevens Verwerkt op grond van of in verband met de Overeenkomst, handelt Facebook als volgt:
      1. Facebook verwerkt Je Persoonsgegevens in overeenstemming met je instructies zoals beschreven in deze Overeenkomst, waaronder in verband met de overdracht van Je Persoonsgegevens, onder voorbehoud van eventuele door artikel 28, lid 3, onder a), van de AVG toegestane uitzonderingen;
      2. Facebook waarborgt dat de op grond van deze Overeenkomst voor de Verwerking van Je Persoonsgegevens gemachtigde medewerkers zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden in verband met Je Persoonsgegevens;
      3. Facebook voert de technische en organisatorische maatregelen uit zoals beschreven in het addendum betreffende beveiliging;
      4. Facebook eerbiedigt de hieronder in de punten 2.c en 2.d van dit addendum betreffende gegevensverwerking bedoelde voorwaarden bij de aanwijzing van sub-Verwerkers;
      5. Facebook helpt je door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, via Workplace, om je in staat te stellen te voldoen aan je verplichtingen om te reageren op verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de Betrokkene;
      6. Facebook helpt je, rekening houdend met de aard van de Verwerking en de Facebook ter beschikking staande informatie, bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG;
      7. Facebook verwijdert bij de beëindiging van de Overeenkomst de Persoonsgegevens overeenkomstig de Overeenkomst, tenzij wetgeving van de Europese Unie of een lidstaat ons verplicht Persoonsgegevens te bewaren;
      8. Facebook stelt je de gegevens beschikbaar die worden beschreven in deze Overeenkomst en via Workplace ter uitvoering van de verplichting van Facebook om alle gegevens ter beschikking te stellen die noodzakelijk zijn om de naleving van de verplichtingen van Facebook op grond van artikel 28 van de AVG aan te tonen; en
      9. Facebook zorgt er jaarlijks voor dat een externe door Facebook gekozen auditor een SOC 2, type II-audit of andere in de branche aanvaarde norm uitvoert van de hulpmiddelen van Facebook in verband met Workplace, waarbij die externe auditor hierbij door jou wordt gemandateerd. Op jouw verzoek stuurt Facebook je een kopie van het op dat moment actuele auditrapport en een dergelijk rapport wordt beschouwd als Vertrouwelijke informatie van Facebook.
    3. Je geeft Facebook toestemming om zijn verplichtingen op het gebied van de Verwerking van gegevens op grond van deze Overeenkomst uit te besteden aan de Gelieerde bedrijven van Facebook en aan andere derden, waarvan Facebook je na een schriftelijk verzoek een overzicht verstrekt. Facebook doet dit uitsluitend door middel van een schriftelijke overeenkomst met een dergelijke sub-Verwerker die dezelfde verplichtingen op het gebied van gegevensbescherming oplegt aan de sub-Verwerker als die worden opgelegd aan Facebook op grond van deze Overeenkomst. Indien de sub-Verwerker dergelijke verplichtingen niet nakomt, blijft Facebook volledig aansprakelijk wat betreft de manier waarop de sub-Verwerker zijn verplichtingen op het gebied van gegevensbescherming nakomt.
    4. Wanneer Facebook (een) aanvullende of vervangende sub-Verwerker(s) aanstelt vanaf i) 25 mei 2018 of ii) de Ingangsdatum (afhankelijk van welke datum het laatst is), informeert Facebook je uiterlijk veertien (14) dagen voor de benoeming over deze aanvullende of vervangende sub-Verwerker(s). Je kunt bezwaar maken tegen de aanstelling van (een) dergelijke aanvullende of vervangende sub-Verwerker(s) binnen veertien (14) dagen nadat je hierover door Facebook bent geïnformeerd door de Overeenkomst te beëindigen met onmiddellijke ingang na een schriftelijke kennisgeving aan Facebook.
    5. Facebook informeert je onverwijld nadat we ons bewust zijn geworden van een Inbreuk in verband met Persoonsgegevens die verband houdt met Je Persoonsgegevens. Deze kennisgeving zal, op het moment van de kennisgeving of zo snel mogelijk daarna, relevante details bevatten over de Inbreuk in verband met Persoonsgegevens, indien mogelijk, waaronder het aantal betrokken gegevensbestanden over jou, de categorie en het geschatte aantal Gebruikers, de verwachte gevolgen van de inbreuk en, indien passend, eventuele oplossingen of voorgestelde oplossingen om de negatieve gevolgen van de inbreuk te verminderen.