ڈیٹا پراسسنگ کا ضمیمہ

  1. وضاحتیں
    اس ڈیٹا پراسسنگ ضمیمہ میں، "GDPR" کا مطلب جنرل ریگولیشن برائے ڈیٹا پروٹیکشن (ریگولیشن (EU) 2016/679) ہے، اور "کنٹرولر"، "ڈیٹا پروسیسر"، "ڈیٹا سبجیکٹ"، "ذاتی ڈیٹا"، "ذاتی ڈیٹا کی خلاف ورزی" اور "پراسسنگ" کے معنی وہی ہوں گے جو GDPR میں بیان کیے گئے ہیں۔ "پراسسڈ" اور "پراسس" کی "پراسسنگ" کی وضاحت کے مطابق سمجھا جائے گا۔ GDPR کے حوالہ جات اور اس کی پیش بینیوں میں GDPR اسی طرح شامل ہے جس طرح UK کے قانون میں ترمیم اور شامل کیا گیا تھا۔ یہاں پر بیان کردہ دیگر تمام اصطلاحات کے وہی معنی ہوں گے جو اس معاہدے میں کہیں اور بیان کیے گئے ہیں۔
  2. ڈیٹا پراسسنگ
    1. آپ کے ڈیٹا میں کسی بھی ذاتی ڈیٹا ("آپ کا ذاتی ڈیٹا")کے حوالے سے اس معاہدے کے تحت بطور پراسسر اپنی سرگرمیاں انجام دیتے ہوئے Meta درج ذیل چیزوں کی تصدیق کرتی ہے کہ:
      1. پراسسنگ کی مدت، موضوع، نوعیت اور مقصد وہی ہوگا جیسا کہ معاہدے میں بیان کیا گیا ہے؛
      2. جس ذاتی ڈیٹا پر پراسس کیا جاتا ہے اس کی اقسام میں وہ شامل ہوں گی جو آپ کے ڈیٹا کی وضاحت میں بیان کی گئی ہیں؛
      3. ڈیٹا سبجیکٹس کی کیٹیگریز میں آپ کے نمائندے، صارفین اور ایسے دیگر افراد شامل ہیں جن کی شناخت آپ کے ذاتی ڈیٹا سے ہوتی ہے یا ہو سکتی ہے؛ اور
      4. آپ کے ذاتی ڈیٹا کے حوالے سے بطور ڈیٹا کنٹرولر آپ کی ذمہ داریاں اور حقوق اس معاہدے میں بیان کیے گئے ہیں۔
    2. جس حد تک اس معاہدے کے تحت یا اس کے سلسلے میں Meta آپ کے ذاتی ڈیٹا پر پراسس کرتی ہے، Meta کو چاہیے کہ:
      1. صرف اس معاہدے میں بیان کردہ آپ کی ہدایات جس میں GDPR کے آرٹیکل 28(3)(a) میں منظور شدہ تمام مستثنیات سے مشروط آپ کے ذاتی ڈیٹا کی منتقلی کے حوالے سے بھی ہدایات شامل ہیں، کے مطابق آپ کے ذاتی ڈیٹا پر پراسس کرے، ہے؛
      2. وہ اس بات کا یقین دلائے کہ اس معاہدے کے تحت آپ کے ذاتی ڈیٹا پر کارروائی کرنے کی اجازت رکھنے والے اس کے ملازمین رازداری کے پابند ہیں یا وہ آپ کے ذاتی ڈیٹا کے حوالے سے رازداری کے کی قانونی ذمہ داری کے پابند ہیں؛
      3. ڈیٹا سیکورٹی ضمیمہ میں بیان کردہ تکنیکی اور تنظیمی اقدامات نافذ کرے؛
      4. ذیلی پراسسرز کا انتخاب کرتے وقت اس ڈیٹا پراسسنگ ضمیمہ کے سیکشن 2.c اور 2.d میں درج ذیل شرائط کا احترام کرے؛
      5. Workplace کے ذریعے جہاں تک ممکن ہو مناسب تکنیکی اور تنظیمی اقدامات کے ذریعے آپ کی مدد کرے، تاکہ آپ GDPR کے باب III کے تحت ڈیٹا سبجیکٹ کے ذریعے حقوق کے استعمال کی درخواستوں کا جواب دینے کیلئے اپنی ذمہ داریوں کو پورا کرنے کے اہل ہو سکیں؛
      6. پراسسنگ کی نوعیت اور اپنے پاس دستیاب معلومات کو مدنظر رکھتے ہوئے GDPR کے آرٹیکلز 32 سے 36 کے مطابق آپ کی ذمہ داریوں کی تعمیل کو یقینی بنانے میں آپ کی مدد کرے؛
      7. معاہدے کے خاتمے پر معاہدے کے مطابق ذاتی ڈیٹا کو ڈیلیٹ کرے، الّا یہ کہ یورپی یونین یا ممبر ریاست قانون کے تحت ذاتی ڈیٹا کو برقرار رکھنے کی ضرورت ہو؛
      8. GDPR کے آرٹیکل 28 کے تحت Meta کی ذمہ داریوں کی تعمیل کو نمایاں کرنے کیلئے ضروری تمام معلومات دستیاب کرانے کی Meta کی ذمہ داری کو پورا کرنے کے حوالے سے اس معاہدے میں اور Workplace کے ذریعے بیان کردہ معلومات آپ کو فراہم کرے؛ اور
      9. وہ اپنی پسند کے کسی فریق ثالث آڈیٹر کا انتخاب کرے جو سالانہ SOC 2 قسم II یا کسی دیگر قسم کے صنعتی معیار کے مطابق Workplace پر Meta کے کنٹرولز کا آڈٹ کرے گا، اس فریق ثالث آڈیٹر کو آپ کی طرف سے اجازت دی جاتی ہے۔ آپ کی درخواست پر، Meta آپ کو اسی وقت کی موجودہ آڈٹ رپورٹ کی ایک کاپی فراہم کرے گی اور ایسی رپورٹ کو Meta کی خفیہ معلومات سمجھا جائے گا۔
    3. آپ Meta کو یہ اختیار دیتے ہیں کہ وہ اس معاہدے کے تحت اپنی ڈیٹا پراسسنگ کی ذمہ داریاں Meta کے ملحقہ اداروں، اور دیگر فریقین ثالث کو دے، جس کی فہرست Meta آپ کو تحریری درخواست پر فراہم کرے گی۔ Meta یہ کام اس ذیلی پراسسر کے ساتھ تحریری معاہدے کے ذریعے ہی کرے گی جس سے ذیلی پراسسر پر ڈیٹا کے تحفظ کی وہی ذمہ داریاں عائد ہوں گی جو اس معاہدے کے تحت Meta پر عائد ہیں۔ اگر وہ ذیلی پراسسر اس ذمہ داری کو پورا کرنے میں ناکام ہو جاتا ہے تو Meta اس ذیلی پراسسر کی ڈیٹا کے تحفظ کی ذمہ داریوں کی کارکردگی کیلئے آپ کی جواب دہ ہوگی۔
    4. اگر Meta (i) 25 مئی 2018، یا (ii) موثر تاریخ (جو بھی بعد میں ہو) سے کسی اضافی یا متبادل ذیلی پراسسر(پراسسرز) کو شامل کرتی ہے تو Meta اس اضافی یا متبادل ذیلی پراسسر(پراسسرز) کے اپائنٹمنٹ سے پہلے چودہ (14) سے کم دنوں میں اس اضافی یا متبادل ذیلی پراسسر(پراسسرز) کے بارے میں آپ کو اطلاع دے گی۔ آپ Meta کی جانب سے اطلاع ملنے کے بعد چودہ (14) دنوں کے اندر اس اضافی یا متبادل ذیلی پراسسر(پراسسرز) کی شمولیت پر اعتراض ظاہر کر سکتے ہیں جس کیلئے آپ کو Meta کو فوری طور پر تحریری نوٹس فراہم کرکے معاہدہ ختم کرنا ہوگا۔
    5. Meta کو چاہیے کہ 'آپ کا ذاتی ڈیٹا' کے متعلق ذاتی ڈیٹا کی خلاف کی جانکاری ملنے پر تاخیر کیے بغیر آپ کو نوٹیفائی کرے۔ اس نوٹس میں، نوٹیفیکیشن کے وقت یا نوٹیفیکیشن کے فوراً بعد، جہاں ممکن ہو ذاتی ڈیٹا کی خلاف ورزی سے متعلقہ تفصیلات شامل ہوں گی، اس میں خلاف ورزی کے ممکنہ منفی اثرات کو کم کرنے کیلئے، مناسبت کے لحاظ سے، آپ کے متاثرہ ریکارڈز کی تعداد، متاثرہ صارفین کی کیٹیگری اور تخمینی تعداد، خلاف ورزی کے متوقع نتائج اور کوئی حقیقی یا تجویز کردہ تدارک شامل ہوں گے۔
    6. جس حد تک اس ڈیٹا پراسسنگ کے ضمیمہ کے تحت آپ کے ڈیٹا کی پراسسنگ پر EEA، UK یا سوئٹزرلینڈ کے GDPR یا ڈیٹا کے تحفظ کے قوانین کا اطلاق ہوتا ہے، یورپی ڈیٹا کی منتقلی کا ضمیمہ کا اطلاق Meta Platforms Ireland Ltd کے ذریعے ہونے والی ڈیٹا کی منتقلی پر ہوتا ہے اور یہ ڈیٹا پراسسنگ ضمیمہ کی تشکیل کا حصہ ہے، اور اس میں حوالہ کے طور پر شامل ہے۔
  3. امریکہ کی پراسسر کی شرائط
    1. جس حد تک Meta امریکہ کی پراسسر کی شرائط کا اطلاق ہوتا ہے وہ اس معاہدہ کا حصہ ہوں گے، اور حوالہ جات کیلئے معاہدے میں شامل ہوں گے سوائے سیکشن 3 (کمپنی کی ذمہ داریوں) کے جو واضح طور پر خارج ہے۔