MAPSLY Addendum Pengolahan Data

1. Pengolahan Data.

1.1 Lingkup dan Peran. DPA ini berlaku ketika MAPSLY memproses Data Pelanggan. Dalam konteks ini, MAPSLY akan bertindak sebagai Pemroses bagi Pelanggan, yang dapat bertindak baik sebagai Pengendali maupun sebagai Pemroses Data Pelanggan.

1.2 Kontrol Pelanggan. Pelanggan dapat menggunakan Kontrol Layanan untuk membantu memenuhi kewajibannya berdasarkan Undang-Undang Perlindungan Data yang Berlaku, termasuk kewajibannya untuk menanggapi permintaan dari subjek data. Dengan memperhitungkan sifat pemrosesan, Pelanggan menyetujui bahwa tidak mungkin bagi MAPSLY untuk mengetahui bahwa Data Pelanggan yang ditransfer berdasarkan Klausul Kontraktual Standar tidak akurat atau kedaluwarsa. Namun demikian, jika MAPSLY mengetahui bahwa Data Pelanggan yang ditransfer berdasarkan Klausul Kontraktual Standar tidak akurat atau kedaluwarsa, MAPSLY akan memberitahukan kepada Pelanggan tanpa penundaan yang tidak semestinya. MAPSLY akan bekerja sama dengan Pelanggan untuk menghapus atau memperbaiki Data Pelanggan yang tidak akurat atau kedaluwarsa yang ditransfer berdasarkan Klausul Kontraktual Standar dengan menyediakan Kontrol Layanan yang dapat digunakan Pelanggan untuk menghapus atau memperbaiki Data Pelanggan.

1.3 Rincian Pemrosesan Data.

1.3.1 Pokok bahasan. Materi pemrosesan data dalam DPA ini adalah Data Pelanggan.

1.3.2 Durasi. Antara MAPSLY dan Pelanggan, durasi pemrosesan data berdasarkan DPA ini ditentukan oleh Pelanggan.

1.3.3 Tujuan. Tujuan pemrosesan data berdasarkan DPA ini adalah penyediaan Services yang diinisiasi oleh Customer dari waktu ke waktu.

1.3.4 Sifat pemrosesan. Compute, storage dan layanan lainnya seperti yang dijelaskan dalam Dokumentasi dan diinisiasi oleh Customer dari waktu ke waktu.

1.3.5 Jenis Data Pelanggan. Data Pelanggan yang diunggah ke Services di bawah akun MAPSLY milik Pelanggan.

1.3.6 Kategori subjek data. Subyek data dapat mencakup pelanggan Customer, karyawan, pemasok, dan Pengguna Akhir.

1.4 Kepatuhan terhadap hukum. Setiap pihak akan mematuhi semua undang-undang, peraturan, dan ketentuan yang berlaku bagi dan mengikatnya dalam pelaksanaan DPA ini, termasuk Hukum Perlindungan Data yang berlaku.

1.5 Mapsly sebagai pengendali Pelanggan mengakui bahwa Mapsly dapat mengumpulkan informasi tertentu tentang Pengguna Akhir Pelanggan yang dijelaskan dalam MAPSLY Kebijakan Privasi (saat ini diterbitkan di https://mapsly.com/privacy-policy)Sejauh data tersebut dianggap sebagai Informasi Pribadi berdasarkan Undang-Undang Perlindungan Data, Mapsly adalah Pengendali data tersebut dan akan memprosesnya sebagai bagian dari Data Pelanggan sesuai dengan DPA ini. Pelanggan juga memberikan hak kepada MAPSLY untuk mengungkapkan data tersebut secara internal dan kepada Sub-prosesornya untuk keperluan bisnis yang sah sehubungan dengan operasi, dukungan, dan penggunaan Layanan, seperti penagihan, manajemen akun, dukungan teknis, pengembangan produk, penjualan, dan pemasaran.

2. Instruksi Pelanggan. Para pihak sepakat bahwa DPA ini dan Perjanjian (termasuk penyampaian instruksi oleh Pelanggan melalui alat konfigurasi seperti konsol Setup MAPSLY dan API yang disediakan oleh MAPSLY untuk Layanan) merupakan instruksi terdokumentasi dari Pelanggan mengenai pemrosesan Data Pelanggan oleh MAPSLY (Instruksi yang terdokumentasi”). MAPSLY akan memproses Data Pelanggan hanya sesuai dengan Instruksi yang Telah Didokumentasikan (yang jika Pelanggan bertindak sebagai Pengolah, bisa jadi didasarkan pada instruksi dari Pengendali-nya). Instruksi tambahan di luar lingkup Instruksi yang Telah Didokumentasikan (jika ada) memerlukan kesepakatan tertulis terlebih dahulu antara MAPSLY dan Pelanggan, termasuk kesepakatan mengenai biaya tambahan yang harus dibayar oleh Pelanggan kepada MAPSLY untuk melaksanakan instruksi tersebut. Pelanggan berhak untuk menghentikan DPA ini dan Perjanjian jika MAPSLY menolak mengikuti instruksi yang diminta oleh Pelanggan yang berada di luar lingkup, atau telah diubah dari, instruksi yang telah diberikan atau disepakati dalam DPA ini. Dengan mempertimbangkan sifat pemrosesan, Pelanggan menyetujui bahwa tidak mungkin MAPSLY dapat membentuk pendapat tentang apakah Instruksi yang Telah Didokumentasikan melanggar Undang-Undang Perlindungan Data yang Berlaku. Jika MAPSLY membentuk pendapat seperti itu, ia akan segera memberitahukan kepada Pelanggan, dalam hal ini Pelanggan berhak untuk menarik kembali atau mengubah Instruksi yang Telah Didokumentasikan.

3. Kerahasiaan Data Pelanggan. MAPSLY tidak akan mengakses atau menggunakan, atau mengungkapkan kepada pihak ketiga, Customer Data, kecuali jika diperlukan untuk memelihara atau menyediakan Services, atau jika diperlukan untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah (seperti surat perintah atau perintah pengadilan). Jika badan pemerintah mengirimkan permintaan tentang Customer Data kepada MAPSLY, MAPSLY akan berusaha mengarahkan badan tersebut untuk meminta data tersebut langsung dari Customer. Sebagai bagian dari upaya ini, MAPSLY dapat memberikan informasi kontak dasar Customer kepada badan pemerintah. Jika MAPSLY diwajibkan untuk mengungkapkan Customer Data kepada badan pemerintah, maka MAPSLY akan memberikan pemberitahuan yang wajar kepada Customer mengenai permintaan tersebut sehingga Customer dapat mengambil langkah untuk mencari perintah perlindungan atau solusi yang sesuai, kecuali jika MAPSLY dilarang secara hukum untuk melakukannya.

4. Kewajiban Kerahasiaan bagi Personel MAPSLY. MAPSLY membatasi personelnya untuk memproses Data Pelanggan tanpa otorisasi dari MAPSLY. MAPSLY memberlakukan kewajiban kontrak yang sesuai kepada personelnya, termasuk kewajiban yang relevan mengenai kerahasiaan, perlindungan data, dan keamanan data.

5. Keamanan Pengolahan Data

5.1 MAPSLY telah menerapkan dan akan terus mempertahankan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan keamanan dan kerahasiaan Data Pelanggan, sesuai dengan standar keamanan Mapsly yang dijelaskan dalam PDA ini dan dalam MAPSLY Privacy Policy.

5.2 Tanggung Jawab Pelanggan dan Fitur Keamanan Opsional. MAPSLY menyediakan banyak Kontrol Layanan yang dapat dipilih oleh Pelanggan untuk lebih memperkuat keamanan Data Pelanggan. Pelanggan bertanggung jawab untuk (a) penggunaan aman dari Layanan, termasuk mengamankan kredensial otentikasi akun, (b) melindungi keamanan Data Pelanggan saat dikirim ke dan dari Layanan, (c) mengambil langkah-langkah yang sesuai untuk mengenkripsi atau mencadangkan Data Pelanggan yang diunggah ke Layanan dengan aman, (d) mengonfigurasi Layanan dan Kontrol Layanan dengan benar, dan (e) mengambil langkah-langkah lain yang dianggap cukup oleh Pelanggan untuk menjamin keamanan, perlindungan, dan penghapusan Data Pelanggan.

5.3. Pemberitahuan Insiden Keamanan.

5.3.1. Insiden Keamanan. MAPSLY akan (a) memberitahukan Pelanggan tentang Insiden Keamanan tanpa penundaan yang tidak semestinya setelah mengetahui Insiden Keamanan tersebut, dan (b) mengambil langkah-langkah yang tepat untuk mengatasi Insiden Keamanan, termasuk langkah-langkah untuk mengurangi efek buruk yang timbul akibat Insiden Keamanan tersebut.

5.3.2. Bantuan MAPSLY. Untuk memungkinkan Customer untuk memberitahukan Insiden Keamanan kepada otoritas pengawas atau subjek data (sesuai yang berlaku), MAPSLY akan bekerja sama dengan dan membantu Customer dengan menyertakan dalam pemberitahuan tersebut informasi mengenai Insiden Keamanan yang dapat diungkapkan MAPSLY kepada Customer, dengan mempertimbangkan sifat pemrosesan, informasi yang tersedia bagi MAPSLY, dan setiap batasan dalam mengungkapkan informasi, seperti kerahasiaan. Dengan mempertimbangkan sifat pemrosesan, Customer setuju bahwa mereka paling mampu menentukan konsekuensi yang mungkin terjadi dari suatu Insiden Keamanan.

5.3.3. Insiden Keamanan yang Gagal. Pelanggan setuju bahwa:

(i) Insiden Keamanan yang tidak berhasil tidak akan dikenai pada Bagian 5.3 ini. Insiden Keamanan yang tidak berhasil adalah insiden yang tidak menghasilkan akses tidak sah ke Data Pelanggan atau ke peralatan atau fasilitas MAPSLY yang menyimpan Data Pelanggan, dan dapat mencakup, tanpa batasan, ping dan serangan siaran lainnya pada firewall atau server tepi, pemindaian port, upaya masuk yang tidak berhasil, serangan penolakan layanan, pencurian paket (atau akses tidak sah lainnya ke data lalu lintas yang tidak menghasilkan akses melewati header) atau insiden serupa;

(ii) Kewajiban MAPSLY untuk melaporkan atau merespons Insiden Keamanan berdasarkan Bagian 5.3 ini tidak dianggap dan tidak akan dianggap sebagai pengakuan oleh MAPSLY atas kesalahan atau tanggung jawab MAPSLY terkait Insiden Keamanan tersebut.

5.3.4. Komunikasi. Pemberitahuan tentang insiden keamanan, jika ada, akan disampaikan kepada satu atau lebih administrator Pelanggan melalui cara apa pun yang dipilih MAPSLY, termasuk melalui email. Menjadi tanggung jawab penuh Pelanggan untuk memastikan administratornya selalu menyimpan informasi kontak yang akurat di konsol Pengaturan MAPSLY dan menjaga keamanan proses transmisi setiap saat.

5.3.5. Kewajiban pemberitahuan. Jika MAPSLY memberitahukan kepada Pelanggan tentang Insiden Keamanan, atau jika Pelanggan mengetahui adanya penghancuran, kehilangan, perubahan, pengungkapan tidak sah, atau akses tidak sah terhadap Data Pelanggan secara tidak sengaja atau secara melanggar hukum, maka Pelanggan akan bertanggung jawab untuk (a) menentukan apakah terdapat kewajiban pemberitahuan atau kewajiban lainnya berdasarkan Hukum Perlindungan Data yang Berlaku, dan (b) mengambil tindakan yang diperlukan untuk mematuhi kewajiban tersebut. Hal ini tidak membatasi kewajiban MAPSLY berdasarkan Pasal 5.3 ini.

6. Sub-pemrosesan.

6.1 Sub-prosesor yang Diotorisasi. Pelanggan memberikan otorisasi umum kepada MAPSLY untuk menggunakan sub-prosesor guna menyediakan aktivitas pemrosesan pada Data Pelanggan atas nama Pelanggan (Sub-prosesor”) sesuai dengan Bagian ini. Situs web MAPSLY (saat ini dipasang di, https://mapsly.com/sub-processors/) mencantumkan Sub-prosesor yang saat ini digunakan oleh MAPSLY. Setidaknya 30 hari sebelum MAPSLY menggunakan Sub-prosesor, MAPSLY akan memperbarui situs web yang berlaku dan menyediakan mekanisme bagi Customer untuk menerima pemberitahuan tentang pembaruan tersebut. Untuk menolak Sub-prosesor, Customer dapat: (i) berhenti menggunakan fungsionalitas dari Layanan MAPSLY yang mana MAPSLY telah menggunakan Sub-prosesor, atau (ii) mengakhiri Perjanjian sesuai dengan ketentuannya.

6.2 Kewajiban Sub-prosesor. Di mana MAPSLY mengotorisasi sub-prosesor sebagaimana dijelaskan di Bagian 6.1:

(i) MAPSLY akan membatasi akses Sub-prosesor terhadap Data Pelanggan hanya pada hal yang diperlukan untuk menyediakan atau memelihara Layanan sesuai dengan Dokumentasi, dan MAPSLY akan melarang Sub-prosesor mengakses Data Pelanggan untuk tujuan lain;

(ii) MAPSLY akan menandatangani perjanjian tertulis dengan Sub-processor dan, sejauh Sub-processor menyediakan layanan pemrosesan data yang sama seperti yang disediakan MAPSLY berdasarkan DPA ini, MAPSLY akan memberlakukan kewajiban kontraktual yang sama kepada Sub-processor sebagaimana yang dimiliki MAPSLY berdasarkan DPA ini;

(iii) MAPSLY akan tetap bertanggung jawab atas kepatuhannya terhadap semua kewajiban dalam DPA ini serta atas setiap tindakan atau kelalaian dari Sub-processor yang menyebabkan MAPSLY melanggar kewajiban-kewajibannya berdasarkan DPA ini.

7. Bantuan MAPSLY untuk Permintaan Subjek Data. Dengan memperhatikan sifat pemrosesan, Service Controls merupakan langkah-langkah teknis dan organisasi yang akan dilaksanakan oleh MAPSLY untuk membantu Pelanggan dalam memenuhi kewajibannya untuk menanggapi permintaan subjek data sesuai dengan Undang-Undang Perlindungan Data yang Berlaku. Apabila subjek data mengajukan permintaan kepada MAPSLY, MAPSLY akan segera meneruskan permintaan tersebut kepada Pelanggan setelah MAPSLY mengidentifikasi bahwa permintaan tersebut berasal dari subjek data yang menjadi tanggung jawab Pelanggan. Pelanggan memberi wewenang, atas namanya sendiri dan atas nama pengendali ketika Pelanggan bertindak sebagai Processor, kepada MAPSLY untuk merespons setiap permintaan dari subjek data yang masuk ke MAPSLY, guna mengonfirmasi bahwa MAPSLY telah meneruskan permintaan tersebut kepada Pelanggan. Para pihak sepakat bahwa penggunaan Service Controls oleh Pelanggan dan penerusan permintaan subjek data oleh MAPSLY kepada Pelanggan sesuai dengan ketentuan ini merupakan ruang lingkup dan tingkat bantuan yang diwajibkan untuk Pelanggan.

8. Verifikasi Kepatuhan.

8.1 MAPSLY Audit. MAPSLY menggunakan auditor eksternal untuk memverifikasi kecukupan langkah-langkah keamanannya. Audit ini: (a) akan dilakukan setidaknya setiap tahun; (b) akan dilaksanakan sesuai dengan standar yang diakui secara luas; (c) akan dilaksanakan oleh profesional keamanan pihak ketiga independen atas pilihan dan biaya MAPSLY; dan (d) akan menghasilkan laporan audit (Laporan”), yang akan menjadi Informasi Rahasia MAPSLY.

8.2 Laporan Audit. Berdasarkan permintaan tertulis dari Pelanggan, dan dengan syarat bahwa kedua belah pihak memiliki NDA yang berlaku, MAPSLY akan memberikan kepada Pelanggan salinan Laporan sehingga Pelanggan dapat secara wajar memverifikasi kepatuhan MAPSLY terhadap kewajibannya berdasarkan DPA ini.

8.3 Penilaian Dampak Privasi dan Konsultasi Awal. Mempertimbangkan sifat pemrosesan dan informasi yang tersedia bagi MAPSLY, MAPSLY akan membantu Pelanggan dalam memenuhi kewajibannya sehubungan dengan evaluasi dampak perlindungan data dan konsultasi sebelumnya dengan menyediakan informasi yang disediakan oleh MAPSLY sesuai dengan Bagian 8 ini.

9. Transfer Data Pribadi.

9.1 Lokasi. MAPSLY dapat mentransfer dan memproses Data Pelanggan dalam Jaringan MAPSLY di AS atau EEA. MAPSLY tidak akan mentransfer Data Pelanggan di luar EEA dan AS kecuali jika diperlukan untuk menyediakan Layanan yang dimulai oleh Pelanggan, atau sesuai dengan keharusan hukum atau perintah yang sah dan mengikat dari badan pemerintah.

9.2 Penerapan Klausul Kontrak Standar. Berdasarkan Pasal 9.3, Klausul Kontraktual Standar hanya akan berlaku untuk Data Pelanggan yang tunduk pada GDPR yang ditransfer, baik secara langsung maupun melalui transfer lanjutan, ke Negara Ketiga (masing-masing sebuah “Transfer Data”).,

9.2.1 Ketika Pelanggan bertindak sebagai Pengendali, Klausul dari Pengendali ke Pemroses akan berlaku untuk Transfer Data.

9.2.2 Ketika Customer bertindak sebagai Processor, Processor-to-Processor Clauses akan berlaku untuk Data Transfer. Dengan mempertimbangkan sifat pemrosesan, Customer setuju bahwa tidak mungkin MAPSLY mengetahui identitas Controllers Customer karena MAPSLY tidak memiliki hubungan langsung dengan Controllers Customer dan oleh karena itu, Customer akan memenuhi kewajiban MAPSLY terhadap Controllers Customer berdasarkan Processor-to-Processor Clauses.

9.3 Mekanisme Transfer Alternatif. Ketentuan Kontrak Standar tidak akan berlaku untuk Transfer Data jika MAPSLY telah menerapkan Aturan Korporat yang Mengikat untuk Pemroses atau standar kepatuhan alternatif yang diakui untuk Transfer Data yang sah.

10. Penghentian DPA. DPA ini akan tetap berlaku sampai penghentian Perjanjian (the “Tanggal Berakhir”).,

11. Penghapusan Data Pelanggan. Setelah pengakhiran atau berakhirnya Perjanjian, MAPSLY akan menghapus Data Pelanggan atas permintaan Pelanggan, namun tidak lebih dari periode 90 hari, kecuali dan sejauh MAPSLY diwajibkan oleh hukum yang berlaku untuk menyimpan sebagian atau seluruh Data Pelanggan, yang kemudian akan diisolasi dan disimpan dengan aman sesuai dengan periode retensi yang berlaku. MAPSLY akan melindungi Data tersebut dari pemrosesan lebih lanjut, kecuali jika diwajibkan oleh hukum yang berlaku.

12. Kewajiban untuk memberitahu. Apabila Data Pelanggan menjadi subjek penyitaan selama proses kebangkrutan atau kepailitan atau tindakan serupa oleh pihak ketiga saat diproses oleh MAPSLY, MAPSLY akan memberitahukan kepada Pelanggan tanpa penundaan yang tidak semestinya. MAPSLY juga akan, tanpa penundaan yang tidak semestinya, memberitahukan semua pihak terkait dalam tindakan tersebut (misalnya, kreditur, wali kebangkrutan) bahwa setiap Data Pelanggan yang menjadi subjek dari proses tersebut merupakan milik dan tanggung jawab Pelanggan serta sepenuhnya berada di bawah disposisi Pelanggan.

13. Keseluruhan Perjanjian; Pertentangan. DPA ini memasukkan Standard Contractual Clauses dengan merujuknya. Kecuali diubah oleh DPA ini, Agreement akan tetap berlaku penuh. Jika terjadi konflik antara Agreement dan DPA ini, ketentuan DPA ini akan mengontrol, kecuali bahwa Service Terms akan mengontrol atas DPA ini. Tidak ada dalam dokumen ini yang mengubah atau memodifikasi Standard Contractual Clauses.

14. Penggunaan data pengguna mentah atau turunan yang diterima dari, API Ruang Kerja akan mematuhi Google User Data Policy, termasuk, persyaratan penggunaan terbatas