Ultimo aggiornamento: 15 settembre 2023.
La presente Appendice sul trattamento dei dati ("DPA") è un accordo tra te e l'entità che rappresenti ("Cliente", "tu" o "tuo") e Mapsly LLC ("MAPSLY"). Il presente DPA integra i Termini di servizio MAPSLY disponibili all'indirizzo https://mapsly.com/terms, come aggiornato di volta in volta tra il Cliente e MAPSLY, o altri contratti tra il Cliente e MAPSLY che regolano l'utilizzo dei Servizi MAPSLY da parte del Cliente (il “Contratto”).
Definizioni. Tutti i termini in maiuscolo utilizzati nel presente DPA avranno i significati ad essi indicati di seguito, se non diversamente definito nel Contratto:
“API" indica un'interfaccia di programmazione dell'applicazione.
“Legge applicabile sulla protezione dei dati" indica tutte le leggi e i regolamenti applicabili e vincolanti al trattamento dei dati del cliente da parte di una parte, incluso, a seconda dei casi, il GDPR.
“Norme aziendali vincolanti" ha il significato attribuitogli nel GDPR.
“Controllore" ha il significato attribuitogli nel GDPR.
“Clausole da titolare a responsabile" indica le clausole contrattuali tipo tra Titolari e Responsabili del trattamento per i Trasferimenti di dati, come approvate dalla Decisione di esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021.
“Dati dei clienti" indica i Dati personali caricati nei Servizi negli account MAPSLY del Cliente.
“Documentazione" indica la documentazione più recente per i Servizi che si trovano in https://help.mapsly.com (e qualsiasi località successiva designata da MAPSLY).
“SEE" indica lo Spazio Economico Europeo.
“Utenti finali" indica gli utenti dell'account Mapsly del Cliente, inclusi i dipendenti e gli appaltatori del Cliente a cui il Cliente ha assegnato l'utilizzo di Mapsly.
“GDPR" significa il Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento generale regolamento sulla protezione dei dati).
“Rete MAPSLY" indica i server, le apparecchiature di rete e i sistemi software host (ad esempio, firewall virtuali) che sono sotto il controllo di MAPSLY e vengono utilizzati per fornire i Servizi.
“Console di installazione MAPSLY" indica la sezione Configurazione del Servizio Mapsly disponibile nella sezione "Configurazione" nel menu principale.
“Dati personali" indica dati personali, informazioni personali, informazioni di identificazione personale o altro termine equivalente (ciascuno come definito nella Legge applicabile sulla protezione dei dati).
“in lavorazione" ha il significato attribuitogli nel GDPR e “processo”, “processi” e “trattati” saranno interpretati di conseguenza.
“Processore" ha il significato attribuitogli nel GDPR.
“Clausole da processore a processore” indica le clausole contrattuali tipo tra Responsabili del trattamento per i Trasferimenti di dati, come approvate dalla Decisione di esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021.
“Incidente di sicurezza” indica una violazione della sicurezza di MAPSLY che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illegale ai Dati del Cliente.
“Controlli del servizio” indica i controlli, comprese le caratteristiche e le funzionalità di sicurezza, forniti dai Servizi, come descritto nella Documentazione.
“Clausole contrattuali tipo" indica (i) le Clausole da titolare a responsabile del trattamento, o (ii) le Clausole da responsabile a responsabile del trattamento, come applicabile in conformità alle Sezioni 9.2.1 e 9.2.2.
“Paese terzo” indica un paese al di fuori del SEE non riconosciuto dalla Commissione Europea come paese che fornisce un livello adeguato di protezione dei dati personali (come descritto nel GDPR).
1. Elaborazione dati.
1.1 Ambito e ruoli. Questo DPA si applica quando MAPSLY elabora i dati del cliente. In questo contesto, MAPSLY agirà in qualità di Responsabile del trattamento nei confronti del Cliente, che può agire sia come Titolare del trattamento che come Responsabile del trattamento dei dati del Cliente.
1.2 Controlli del cliente. Il Cliente può utilizzare i Controlli del servizio per assisterlo nell'adempimento dei suoi obblighi ai sensi della Legge applicabile sulla protezione dei dati, compresi i suoi obblighi di rispondere alle richieste degli interessati. Tenendo conto della natura del trattamento, il Cliente concorda che è improbabile che MAPSLY venga a conoscenza del fatto che i Dati del Cliente trasferiti ai sensi delle Clausole Contrattuali Tipo sono inaccurati o obsoleti. Tuttavia, se MAPSLY viene a conoscenza che i Dati del Cliente trasferiti ai sensi delle Clausole Contrattuali Tipo sono inaccurati o obsoleti, ne informerà il Cliente senza indebito ritardo. MAPSLY collaborerà con il Cliente per cancellare o rettificare i Dati del Cliente inesatti o obsoleti trasferiti ai sensi delle Clausole Contrattuali Standard fornendo i Controlli del Servizio che il Cliente può utilizzare per cancellare o rettificare i Dati del Cliente.
1.3 Dettagli del trattamento dei dati.
1.3.1 Argomento. L'oggetto del trattamento dei dati ai sensi del presente DPA sono i dati del cliente.
1.3.2 Durata. Nei rapporti tra MAPSLY e il Cliente, la durata del trattamento dei dati ai sensi del presente DPA è determinata dal Cliente.
1.3.3 Scopo. Lo scopo del trattamento dei dati ai sensi del presente DPA è la fornitura dei Servizi avviati di volta in volta dal Cliente.
1.3.4 Natura del trattamento. Calcolo, archiviazione e altri Servizi descritti nella Documentazione e avviati di volta in volta dal Cliente.
1.3.5 Tipo di dati del cliente. Dati del Cliente caricati nei Servizi negli account MAPSLY del Cliente.
1.3.6 Categorie di interessati. Gli interessati potrebbero includere clienti, dipendenti, fornitori e Utenti finali del Cliente.
1.4 Conforme alle leggi. Ciascuna parte rispetterà tutte le leggi, le norme e i regolamenti ad essa applicabili e vincolanti nell'esecuzione del presente DPA, inclusa la legge applicabile sulla protezione dei dati.
1.5 Mapsly come controllore. Il Cliente riconosce che Mapsly può raccogliere informazioni specifiche sugli Utenti finali del Cliente descritti nella Informativa sulla privacy di MAPSLY (attualmente pubblicata all'indirizzo https://mapsly.com/privacy-policy). Nella misura in cui tali dati sono considerati informazioni personali ai sensi delle leggi sulla protezione dei dati, Mapsly è il titolare del trattamento di tali dati e li elaborerà come parte dei dati del cliente in conformità con il presente DPA. Il Cliente concede inoltre a MAPSLY il diritto di divulgare tali dati internamente e ai suoi sub-responsabili per i suoi scopi aziendali legittimi relativi al funzionamento, al supporto e all'utilizzo dei Servizi, come fatturazione, gestione dell'account, supporto tecnico, sviluppo del prodotto, vendite e marketing.
2. Istruzioni per il cliente. Le parti concordano che il presente DPA e il Contratto (inclusa la fornitura di istruzioni da parte del Cliente tramite strumenti di configurazione come la console di installazione di MAPSLY e le API rese disponibili da MAPSLY per i Servizi) costituiscono istruzioni documentate del Cliente relative al trattamento dei Dati del Cliente da parte di MAPSLY ("Istruzioni documentate"). MAPSLY tratterà i Dati del Cliente solo in conformità alle Istruzioni documentate (che, se il Cliente agisce in qualità di Responsabile del trattamento, potrebbero basarsi sulle istruzioni dei suoi Titolari del trattamento). Ulteriori istruzioni al di fuori dell'ambito delle Istruzioni documentate (se presenti) richiedono il previo accordo scritto tra MAPSLY e il Cliente, compreso l'accordo su eventuali commissioni aggiuntive pagabili dal Cliente a MAPSLY per l'esecuzione di tali istruzioni. Il Cliente ha il diritto di recedere dal presente DPA e dal Contratto se MAPSLY rifiuta di seguire le istruzioni richieste dal Cliente che esulano dall'ambito di applicazione o sono modificate rispetto a quelle fornite o accettate di essere fornite nel presente DPA. Tenendo conto della natura del trattamento, il Cliente concorda che è improbabile che MAPSLY possa formarsi un'opinione sul fatto che le Istruzioni documentate violino la legge applicabile sulla protezione dei dati. Se MAPSLY esprime tale parere, ne informerà immediatamente il Cliente, nel qual caso il Cliente avrà il diritto di ritirare o modificare le proprie Istruzioni documentate.
3. Riservatezza dei dati del cliente. MAPSLY non accederà, utilizzerà o divulgherà a terzi i Dati del Cliente, tranne, in ogni caso, nella misura necessaria per mantenere o fornire i Servizi, o nella misura necessaria per conformarsi alla legge o a un ordine valido e vincolante di un governo corpo (come un mandato di comparizione o un'ordinanza del tribunale). Se un ente governativo invia a MAPSLY una richiesta di dati del cliente, MAPSLY tenterà di reindirizzare l'ente governativo per richiedere tali dati direttamente al cliente. Nell'ambito di questo impegno, MAPSLY può fornire le informazioni di contatto di base del Cliente all'ente governativo. Se obbligato a divulgare i dati del cliente a un ente governativo, MAPSLY darà al cliente un ragionevole preavviso della richiesta per consentire al cliente di richiedere un ordine di protezione o altro rimedio appropriato a meno che a MAPSLY non sia legalmente vietato farlo.
4. Obblighi di riservatezza del Personale MAPSLY. MAPSLY limita il proprio personale al trattamento dei dati del cliente senza l'autorizzazione di MAPSLY. MAPSLY impone obblighi contrattuali adeguati al proprio personale, compresi obblighi pertinenti in materia di riservatezza, protezione e sicurezza dei dati.
5. Sicurezza del trattamento dei dati
5.1 MAPSLY ha implementato e manterrà le misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza dei dati del cliente, in conformità con gli standard di sicurezza di Mapsly descritti in questo PDA e nell'Informativa sulla privacy di MAPSLY.
5.2 Responsabilità del cliente e funzionalità di sicurezza opzionali. MAPSLY mette a disposizione numerosi controlli del servizio che il cliente può scegliere di utilizzare per rafforzare ulteriormente la sicurezza dei dati del cliente. Il Cliente è responsabile di (a) l'utilizzo sicuro dei Servizi, inclusa la protezione delle credenziali di autenticazione dell'account, (b) la protezione della sicurezza dei Dati del Cliente durante il transito da e verso i Servizi, (c) l'adozione di tutte le misure appropriate per crittografare o eseguire il backup dei dati del cliente caricati sui Servizi, (d) configurare correttamente i servizi e i controlli del servizio e (e) adottare altre misure ritenute adeguate dal cliente per garantire la sicurezza, la protezione e l'eliminazione dei dati del cliente.
5.3. Notifica degli incidenti di sicurezza.
5.3.1. Incidente di sicurezza. MAPSLY (a) notificherà al Cliente un Incidente di sicurezza senza indebito ritardo dopo essere venuto a conoscenza dell'Incidente di sicurezza e (b) adotterà le misure appropriate per affrontare l'Incidente di sicurezza, comprese le misure per mitigare eventuali effetti negativi derivanti dall'Incidente di sicurezza.
5.3.2. Assistenza MAPSLY. Per consentire al Cliente di notificare un Incidente di sicurezza alle autorità di vigilanza o agli interessati (a seconda dei casi), MAPSLY coopererà e assisterà il Cliente includendo nella notifica le informazioni sull'Incidente di sicurezza che MAPSLY è in grado di rivelare al Cliente, tenendo conto delle natura del trattamento, informazioni a disposizione di MAPSLY ed eventuali restrizioni alla divulgazione delle informazioni, come la riservatezza. Tenendo conto della natura del trattamento, il Cliente concorda di essere in grado di determinare meglio le probabili conseguenze di un Incidente di sicurezza.
5.3.3. Incidenti di sicurezza non riusciti. Il cliente accetta che:
(io) un Incidente di sicurezza non riuscito non sarà soggetto alla presente Sezione 5.3. Un incidente di sicurezza non riuscito è un incidente che non comporta un accesso non autorizzato ai dati del cliente o a qualsiasi attrezzatura o struttura di MAPSLY in cui sono archiviati i dati del cliente e potrebbe includere, a titolo esemplificativo, ping e altri attacchi di trasmissione su firewall o server periferici, scansioni di porte, log non riusciti -tentativi di accesso, attacchi di negazione del servizio, sniffing di pacchetti (o altro accesso non autorizzato ai dati del traffico che non comporta l'accesso oltre le intestazioni) o incidenti simili; E
(ii) L'obbligo di MAPSLY di segnalare o rispondere a un incidente di sicurezza ai sensi della presente Sezione 5.3 non è e non sarà interpretato come un riconoscimento da parte di MAPSLY di qualsiasi colpa o responsabilità di MAPSLY rispetto all'incidente di sicurezza.
5.3.4. Comunicazione. Eventuali notifiche di incidenti di sicurezza verranno consegnate a uno o più amministratori del Cliente con qualsiasi mezzo selezionato da MAPSLY, anche via e-mail. È responsabilità esclusiva del Cliente garantire che gli amministratori del Cliente mantengano informazioni di contatto accurate sulla console di installazione di MAPSLY e ne garantiscano la trasmissione in ogni momento.
5.3.5. Obblighi di notifica. Se MAPSLY notifica al Cliente un incidente di sicurezza, o il Cliente viene altrimenti a conoscenza di qualsiasi distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai Dati del cliente, il Cliente sarà responsabile di (a) determinare se si verificano eventuali notifica o altro obbligo ai sensi della legge applicabile sulla protezione dei dati e (b) intraprendere le azioni necessarie per rispettare tali obblighi. Ciò non limita gli obblighi di MAPSLY ai sensi della presente Sezione 5.3.
6. Sottotrattamento.
6.1 Subresponsabili del trattamento autorizzati. Il Cliente fornisce l'autorizzazione generale all'utilizzo da parte di MAPSLY di sub-responsabili del trattamento per fornire attività di elaborazione dei Dati del Cliente per conto del Cliente (“Sub-responsabili del trattamento”) in conformità con questa sezione. Il sito web MAPSLY (attualmente pubblicato all'indirizzo https://mapsly.com/sub-processors/) elenca i sub-responsabili del trattamento attualmente incaricati da MAPSLY. Almeno 30 giorni prima che MAPSLY ingaggi un Sub-responsabile, MAPSLY aggiornerà il sito web applicabile e fornirà al Cliente un meccanismo per ottenere notifica di tale aggiornamento. Per opporsi a un Sub-responsabile, il Cliente può: (i) cessare di utilizzare la funzionalità del Servizio MAPSLY per il quale MAPSLY ha ingaggiato il Sub-responsabile, o (ii) risolvere il Contratto in conformità ai suoi termini.
6.2 Obblighi del sub-responsabile. Laddove MAPSLY autorizza un Sub-responsabile come descritto nella Sezione 6.1:
(io) MAPSLY limiterà l'accesso del Sub-responsabile ai Dati del Cliente solo a quanto necessario per fornire o mantenere i Servizi in conformità con la Documentazione e MAPSLY proibirà al Sub-responsabile di accedere ai Dati del Cliente per qualsiasi altro scopo;
(ii) MAPSLY stipulerà un accordo scritto con il Sub-responsabile e, nella misura in cui il Sub-responsabile esegue gli stessi servizi di elaborazione dati forniti da MAPSLY ai sensi del presente DPA, MAPSLY imporrà al Sub-responsabile gli stessi obblighi contrattuali che MAPSLY ha ai sensi del presente DPA; E
(iii) MAPSLY rimarrà responsabile del rispetto degli obblighi del presente DPA e di eventuali atti o omissioni del Sub-responsabile che inducano MAPSLY a violare uno qualsiasi degli obblighi di MAPSLY ai sensi del presente DPA.
7. Assistenza MAPSLY con le richieste degli interessati. Tenendo conto della natura del trattamento, i Controlli del servizio sono le misure tecniche e organizzative con cui MAPSLY assisterà il Cliente nell'adempimento degli obblighi del Cliente di rispondere alle richieste degli interessati ai sensi della legge applicabile sulla protezione dei dati. Se un interessato presenta una richiesta a MAPSLY, MAPSLY inoltrerà tempestivamente tale richiesta al Cliente una volta che MAPSLY avrà identificato che la richiesta proviene da un interessato per il quale il Cliente è responsabile. Il Cliente autorizza, per suo conto e per conto dei suoi titolari del trattamento quando agisce in qualità di Responsabile del trattamento, MAPSLY a rispondere a qualsiasi interessato che presenti una richiesta a MAPSLY, per confermare che MAPSLY ha inoltrato la richiesta al Cliente. Le parti concordano che l'utilizzo da parte del Cliente dei Controlli del Servizio e l'inoltro da parte di MAPSLY delle richieste degli interessati al Cliente in conformità con la presente sezione rappresentano l'ambito e la portata dell'assistenza richiesta dal Cliente.
8. Verifica di conformità.
8.1 Audit MAPSLY. MAPSLY utilizza revisori esterni per verificare l'adeguatezza delle sue misure di sicurezza. Tale audit: (a) sarà effettuato almeno una volta all'anno; (b) sarà eseguito secondo uno standard ampiamente riconosciuto; (c) sarà eseguito da professionisti della sicurezza di terze parti indipendenti a scelta e a spese di MAPSLY; e (d) comporterà la generazione di un rapporto di audit ("Rapporto”), che costituiranno Informazioni riservate di MAPSLY.
8.2 Rapporti di audit. Su richiesta scritta del Cliente, e a condizione che le parti dispongano di una NDA applicabile, MAPSLY fornirà al Cliente una copia del Rapporto in modo che il Cliente possa ragionevolmente verificare il rispetto da parte di MAPSLY dei propri obblighi ai sensi del presente DPA.
8.3 Valutazione dell'impatto sulla privacy e consultazione preventiva. Tenendo conto della natura del trattamento e delle informazioni a disposizione di MAPSLY, MAPSLY assisterà il Cliente nell'adempimento degli obblighi del Cliente in merito alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva fornendo le informazioni che MAPSLY rende disponibili ai sensi della presente Sezione 8.
9. Trasferimenti di dati personali.
9.1 Posizioni. MAPSLY può trasferire ed elaborare i dati del cliente all'interno della rete MAPSLY negli Stati Uniti o nel SEE. MAPSLY non trasferirà i Dati del Cliente al di fuori del SEE e degli Stati Uniti, tranne nella misura necessaria per fornire i Servizi avviati dal Cliente, o nella misura necessaria per conformarsi alla legge o ad un ordine valido e vincolante di un ente governativo.
9.2 Applicazione delle clausole contrattuali tipo. Fatta salva la Sezione 9.3, le Clausole Contrattuali Tipo si applicheranno solo ai Dati del Cliente soggetti al GDPR che vengono trasferiti, direttamente o tramite trasferimento successivo, a qualsiasi Paese Terzo (ciascuno un "Trasferimento dati").
9.2.1 Quando il Cliente agisce in qualità di titolare del trattamento, al Trasferimento dei dati si applicheranno le clausole da titolare a responsabile del trattamento.
9.2.2 Quando il Cliente agisce in qualità di Responsabile, al Trasferimento di dati si applicheranno le clausole da Responsabile a Responsabile. Tenendo conto della natura del trattamento, il Cliente concorda che è improbabile che MAPSLY conosca l'identità dei Titolari del trattamento del Cliente poiché MAPSLY non ha alcun rapporto diretto con i Titolari del trattamento del Cliente e, pertanto, il Cliente adempirà agli obblighi di MAPSLY nei confronti dei Titolari del trattamento del Cliente ai sensi del Responsabile del trattamento Clausole del processore.
9.3 Meccanismo di trasferimento alternativo. Le clausole contrattuali tipo non si applicheranno a un trasferimento di dati se MAPSLY ha adottato norme aziendali vincolanti per i responsabili del trattamento o uno standard di conformità alternativo riconosciuto per i trasferimenti legittimi di dati.
10. Cessazione del DPA. Il presente DPA resterà in vigore fino alla risoluzione del Contratto (il “Data di cessazione").
11. Cancellazione dei dati del cliente. Alla risoluzione o alla scadenza del Contratto, MAPSLY eliminerà i Dati del Cliente su richiesta del Cliente ma entro e non oltre un periodo di 90 giorni, salvo e nella misura in cui MAPSLY sia tenuta dalla legge applicabile a conservare alcuni o tutti i Dati del Cliente, che MAPSLY isolerà e conserverà in modo sicuro questi dati in conformità con i periodi di conservazione applicabili. MAPSLY proteggerà questi Dati da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile.
12. Doveri di informazione. Laddove i Dati del Cliente siano soggetti a confisca durante procedure fallimentari o di insolvenza o misure simili da parte di terzi durante il trattamento da parte di MAPSLY, MAPSLY informerà il Cliente senza indebito ritardo. MAPSLY informerà, senza indebito ritardo, tutte le parti interessate in tale azione (ad esempio, creditori, curatore fallimentare) che tutti i Dati del Cliente sottoposti a tali procedimenti sono di proprietà del Cliente e nell'area di responsabilità e che i Dati del Cliente sono a disposizione esclusiva del Cliente.
13. Intero accordo; Conflitto. Il presente DPA incorpora le clausole contrattuali standard per riferimento. Fatto salvo quanto modificato dal presente DPA, l'Accordo rimarrà in pieno vigore ed effetto. In caso di conflitto tra il Contratto e il presente DPA, prevarranno i termini di questo DPA, ad eccezione dei Termini di servizio che prevarranno su questo DPA. Niente nel presente documento varia o modifica le Clausole Contrattuali Tipo.
