Ultimo aggiornamento: 15 settembre 2023.
Il presente Addendum al Trattamento dei Dati (“DPA”) è un accordo tra te e l'entità che rappresenti (“Cliente”, “tu” o “tuo”) e Mapsly LLC (“MAPSLY”). Questo DPA integra i Termini di Servizio MAPSLY disponibili su https://mapsly.com/terms, aggiornato di volta in volta tra il Cliente e MAPSLY, o altri accordi tra il Cliente e MAPSLY che regolano l’uso da parte del Cliente dei Servizi MAPSLY (il “Contratto”).
Definizioni. Tutti i termini in maiuscolo utilizzati in questo DPA avranno i significati a loro attribuiti di seguito, salvo diversa definizione nell’Accordo:
“API” significa un'interfaccia di programmazione delle applicazioni.
“Legge applicabile sulla protezione dei dati” indica tutte le leggi e normative applicabili e vincolanti sul trattamento dei Dati del Cliente da parte di un soggetto, inclusi, se applicabili, il GDPR.
“Regole aziendali vincolanti” ha il significato a lui attribuito nel GDPR.
“Controller” ha il significato a lui attribuito nel GDPR.
“Clausole da Titolare a Responsabile del trattamento” indica le clausole contrattuali standard tra Titolari e Responsabili del trattamento per i trasferimenti di dati, come approvato dalla Decisione di esecuzione della Commissione Europea (UE) 2021/914 del 4 giugno 2021.
“Dati cliente” indica i Dati Personali caricati sui Servizi negli account MAPSLY del Cliente.
“Documentazione” significa la documentazione vigente per i Servizi situata in https://help.mapsly.com (e qualsiasi ubicazione successiva designata da MAPSLY).
“AEE” significa lo Spazio Economico Europeo.
“Utenti finali” indica gli utenti dell'account Mapsly del Cliente, inclusi i dipendenti e i collaboratori assegnati dal Cliente per utilizzare Mapsly.
“GDPR” indica il Regolamento 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
“Rete MAPSLY” indica i server, le apparecchiature di rete e i sistemi software host (ad esempio, firewall virtuali) che sono sotto il controllo di MAPSLY e vengono utilizzati per fornire i Servizi.
“Console di configurazione MAPSLY” significa la sezione Configurazione nel servizio Mapsly disponibile sotto “Configurazione” nel menu principale.
“Dati personali” significa dati personali, informazioni personali, informazioni identificabili personalmente o altro termine equivalente (ciascuno come definito nella Legge Applicabile sulla Protezione dei Dati).
“Elaborazione” ha il significato attribuito dal GDPR e “processare”, “processi” e “processato” saranno interpretati di conseguenza.
“Processore” ha il significato a lui attribuito nel GDPR.
Clausole da processore a processore indica le clausole contrattuali standard tra Responsabili del trattamento per i trasferimenti di dati, come approvate dalla Decisione di esecuzione (UE) 2021/914 della Commissione europea del 4 giugno 2021.
Incidente di sicurezza significa una violazione della sicurezza di MAPSLY che comporta la distruzione, perdita, alterazione accidentale o illecita, la divulgazione non autorizzata o l'accesso ai Dati del Cliente.
Controlli del servizio indica i controlli, comprese le funzionalità e le caratteristiche di sicurezza, che i Servizi forniscono, come descritto nella Documentazione.
Clausole contrattuali standard” significa (i) le Clausole da Titolare a Responsabile, o (ii) le Clausole da Responsabile a Responsabile, secondo quanto applicabile ai sensi delle Sezioni 9.2.1 e 9.2.2.
Paese terzo indica un paese al di fuori dello SEE non riconosciuto dalla Commissione Europea come fornente un livello adeguato di protezione dei dati personali (come descritto nel GDPR).
1. Elaborazione dati.
1.1 Ambito e Ruoli. Questo DPA si applica quando MAPSLY elabora i Dati del Cliente. In questo contesto, MAPSLY agirà come Processore per il Cliente, che può agire come Titolare o Processore dei Dati del Cliente.
1.2 Controlli cliente Il Cliente può utilizzare i Controlli del Servizio per assisterlo nelle proprie obbligazioni ai sensi della Legge sulla Protezione dei Dati Applicabile, inclusi gli obblighi di rispondere alle richieste degli interessati. Tenendo conto della natura del trattamento, il Cliente concorda sul fatto che è improbabile che MAPSLY venga a conoscenza che i Dati del Cliente trasferiti ai sensi delle Clausole Contrattuali Standard siano inaccurati o obsoleti. Tuttavia, se MAPSLY viene a conoscenza che i Dati del Cliente trasferiti ai sensi delle Clausole Contrattuali Standard sono inaccurati o obsoleti, informerà il Cliente senza indugio indebido. MAPSLY collaborerà con il Cliente per cancellare o rettificare i Dati del Cliente inaccurati o obsoleti trasferiti ai sensi delle Clausole Contrattuali Standard fornendo i Controlli del Servizio che il Cliente può utilizzare per cancellare o rettificare i Dati del Cliente.
1.3 Dettagli del trattamento dei dati.
1.3.1 Argomento. L'oggetto del trattamento dei dati ai sensi di questo DPA è rappresentato dai Dati del Cliente.
1.3.2 Durata. Tra MAPSLY e il Cliente, la durata del trattamento dei dati ai sensi di questo DPA è determinata dal Cliente.
1.3.3 Scopo. Lo scopo del trattamento dei dati previsto dal presente DPA è la fornitura dei Servizi avviati dal Cliente di volta in volta.
1.3.4 Natura del trattamento. Servizi di calcolo, archiviazione e altri servizi come descritti nella Documentazione e avviati dal Cliente di volta in volta.
1.3.5 Tipo di dati cliente. Dati cliente caricati sui Servizi negli account MAPSLY del Cliente.
1.3.6 Categorie di soggetti dei dati. Gli interessati possono includere i clienti del Cliente, i dipendenti, i fornitori e gli Utenti Finali.
1.4 Conformità alle leggi. Ciascuna parte si conformerà a tutte le leggi, norme e regolamenti applicabili e vincolanti per essa nell’esecuzione del presente DPA, inclusa la normativa applicabile in materia di protezione dei dati.
1.5 Mapsly come Controllore. Il Cliente riconosce che Mapsly può raccogliere informazioni specifiche sugli Utenti Finali del Cliente descritte nel Informativa sulla privacy MAPSLY (attualmente pubblicata su https://mapsly.com/privacy-policy)Nella misura in cui tali dati siano considerati Dati Personali ai sensi delle Leggi sulla Protezione dei Dati, Mapsly è il Titolare di tali dati e li tratterà come Dati del Cliente in conformità con questa DPA. Il Cliente concede inoltre a MAPSLY il diritto di divulgare tali dati internamente e ai suoi Sub-responsabili per legittimi scopi aziendali relativi all’operatività, supporto e utilizzo dei Servizi, quali fatturazione, gestione dell’account, supporto tecnico, sviluppo del prodotto, vendite e marketing.
2. Istruzioni per il cliente. Le parti concordano che questo DPA e l'Accordo (incluso il Cliente che fornisce istruzioni tramite strumenti di configurazione come la console MAPSLY Setup e le API messe a disposizione da MAPSLY per i Servizi) costituiscono le istruzioni documentate del Cliente riguardanti il trattamento dei Dati del Cliente da parte di MAPSLYIstruzioni documentateMAPSLY elaborerà i Dati del Cliente solo in conformità alle Istruzioni Documentate (che, se il Cliente agisce come Processore, potrebbero basarsi sulle istruzioni dei suoi Titolari). Istruzioni aggiuntive al di fuori dell’ambito delle Istruzioni Documentate (se presenti) richiedono un accordo scritto preventivo tra MAPSLY e il Cliente, inclusa l'accordo su eventuali costi aggiuntivi da parte del Cliente a MAPSLY per l'esecuzione di tali istruzioni. Il Cliente ha il diritto di terminare questo DPA e il Contratto se MAPSLY rifiuta di seguire le istruzioni richieste dal Cliente che sono al di fuori dell’ambito, o modificate rispetto a quelle fornite o concordate in questo DPA. Tenendo conto della natura del trattamento, il Cliente concorda che è improbabile che MAPSLY possa esprimere un'opinione sul fatto che le Istruzioni Documentate violino la Legge Applicabile sulla Protezione dei Dati. Se MAPSLY dovesse esprimere tale opinione, informerà immediatamente il Cliente, nel qual caso il Cliente ha il diritto di ritirare o modificare le sue Istruzioni Documentate.
3. Riservatezza dei dati del cliente. MAPSLY non accederà, userà o divulgherà a terzi alcun Dato del Cliente, eccetto, in ogni caso, ove necessario per mantenere o fornire i Servizi, o ove necessario per conformarsi alla legge o a un ordine valido e vincolante di un ente governativo (come un mandato o un ordine del tribunale). Se un ente governativo invia a MAPSLY una richiesta di Dati del Cliente, MAPSLY cercherà di indirizzare l'ente governativo a richiedere direttamente tali dati al Cliente. Nell'ambito di questo sforzo, MAPSLY può fornire all'ente governativo le informazioni di contatto di base del Cliente. Se costretta a divulgare i Dati del Cliente a un ente governativo, MAPSLY fornirà al Cliente un preavviso ragionevole della richiesta per consentire al Cliente di cercare un ordine di protezione o altro rimedio appropriato, salvo che MAPSLY sia legalmente vietata dal farlo.
4. Obblighi di riservatezza del personale MAPSLY. MAPSLY limita il proprio personale dal trattare i Dati dei Clienti senza autorizzazione da parte di MAPSLY. MAPSLY impone al proprio personale adeguati obblighi contrattuali, inclusi gli obblighi pertinenti relativi alla riservatezza, alla protezione dei dati e alla sicurezza dei dati.
5. Sicurezza del trattamento dei dati
5.1 MAPSLY ha implementato e manterrà le misure tecniche e organizzative appropriate per garantire la sicurezza e la riservatezza dei Dati del Cliente, in conformità con gli standard di sicurezza di Mapsly descritti in questo PDA e nella Politica sulla Privacy di MAPSLY..
5.2 Responsabilità del cliente e funzionalità di sicurezza opzionali. MAPSLY mette a disposizione molti Controlli del Servizio che il Cliente può scegliere di utilizzare per rafforzare ulteriormente la sicurezza dei Dati del Cliente. Il Cliente è responsabile di (a) un uso sicuro dei Servizi, inclusa la protezione delle credenziali di autenticazione del proprio account, (b) proteggere la sicurezza dei Dati del Cliente durante il trasferimento da e verso i Servizi, (c) adottare adeguate misure per crittografare o eseguire il backup in modo sicuro dei Dati del Cliente caricati sui Servizi, (d) configurare correttamente i Servizi e i Controlli del Servizio, e (e) adottare altri provvedimenti che il Cliente ritenga adeguati per garantire la sicurezza, la protezione e la cancellazione dei Dati del Cliente.
5.3. Notifica di incidente di sicurezza.
5.3.1. Incidente di sicurezza. MAPSLY notificherà (a) il Cliente di un Incidente di Sicurezza senza ingiustificato ritardo dopo averne avuto conoscenza, e (b) adotterà le misure appropriate per affrontare l'Incidente di Sicurezza, comprese le misure per mitigare eventuali effetti negativi derivanti dall'Incidente di Sicurezza.
5.3.2. Assistenza MAPSLY. Per consentire al Cliente di notificare un Incidente di Sicurezza alle autorità di vigilanza o ai soggetti interessati (se applicabile), MAPSLY collaborerà e assisterà il Cliente includendo nella notifica le informazioni sull'Incidente di Sicurezza che MAPSLY è in grado di divulgare al Cliente, tenendo conto della natura del trattamento, delle informazioni disponibili a MAPSLY e di eventuali restrizioni sulla divulgazione delle informazioni, quali la riservatezza. Tenendo conto della natura del trattamento, il Cliente concorda che è il più adatto a determinare le probabili conseguenze di un Incidente di Sicurezza.
5.3.3. Incidenti di sicurezza non riusciti. Il cliente accetta che:
(i) Un incidente di sicurezza non riuscito non sarà soggetto a questa Sezione 5.3. Un incidente di sicurezza non riuscito è quello che non comporta alcun accesso non autorizzato ai Dati del Cliente o a qualsiasi apparecchiatura o struttura di MAPSLY che memorizza i Dati del Cliente, e può includere, senza limitazioni, ping e altri attacchi broadcast su firewall o server edge, scansioni di porte, tentativi di accesso non riusciti, attacchi di denial of service, sniffing di pacchetti (o altro accesso non autorizzato ai dati di traffico che non comporta accesso oltre le intestazioni) o incidenti simili;
(ii) L'obbligo di MAPSLY di segnalare o rispondere a un Incidente di Sicurezza ai sensi della Sezione 5.3 non costituisce e non sarà interpretato come un riconoscimento da parte di MAPSLY di alcuna colpa o responsabilità di MAPSLY rispetto all'Incidente di Sicurezza.
5.3.4. Comunicazione. La/notifica delle eventuali violazioni di sicurezza sarà inviata a uno o più amministratori del Cliente tramite qualsiasi mezzo scelto da MAPSLY, inclusa la posta elettronica. È esclusiva responsabilità del Cliente assicurarsi che gli amministratori mantengano informazioni di contatto accurate nella console di configurazione MAPSLY e garantiscano una trasmissione sicura in ogni momento.
5.3.5. Obblighi di notifica. Se MAPSLY notifica il Cliente di un Incidente di Sicurezza, oppure se il Cliente viene a conoscenza di qualsiasi distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati del Cliente, il Cliente sarà responsabile di (a) determinare se esiste un obbligo di notifica o altro ai sensi della Legge sulla Protezione dei Dati Applicabile e (b) adottare le misure necessarie per adempiere a tali obblighi. Ciò non limita gli obblighi di MAPSLY ai sensi della presente Sezione 5.3.
6. Subappalto.
6.1 Sub-incaricati autorizzati. Il Cliente fornisce un'autorizzazione generale a MAPSLY per l'uso di sub-processori per svolgere attività di elaborazione sui Dati del Cliente per conto del ClienteSub-responsabili del trattamento") in conformità con questa Sezione. Il sito web MAPSLY (attualmente pubblicato su https://mapsly.com/sub-processors/) elenca i Sub-responsabili attualmente coinvolti da MAPSLY. Almeno 30 giorni prima che MAPSLY coinvolga un Sub-responsabile, MAPSLY aggiornerà il sito web pertinente e fornirà al Cliente un meccanismo per ottenere la notifica di tale aggiornamento. Per opporsi a un Sub-responsabile, il Cliente può: (i) cessare di utilizzare la funzionalità del Servizio MAPSLY per cui MAPSLY ha coinvolto il Sub-responsabile, oppure (ii) terminare il Contratto secondo le sue condizioni.
6.2 Obblighi del sub-responsabile. Quando MAPSLY autorizza un Sub-responsabile come descritto nella Sezione 6.1:
(i) MAPSLY limiterà l'accesso del sub-processore ai dati del cliente solo a quanto necessario per fornire o mantenere i Servizi in conformità con la Documentazione, e MAPSLY vieterà al sub-processore di accedere ai dati del cliente per qualsiasi altro scopo;
(ii) MAPSLY stipulerà un accordo scritto con il sub-responsabile e, nella misura in cui il sub-responsabile svolga gli stessi servizi di elaborazione dati forniti da MAPSLY ai sensi di questo DPA, MAPSLY imporrà al sub-responsabile gli stessi obblighi contrattuali che MAPSLY ha ai sensi di questo DPA; e
(iii) MAPSLY rimarrà responsabile del rispetto degli obblighi previsti da questo DPA e per qualsiasi atto od omissione del Sub-processore che comporti una violazione da parte di MAPSLY di uno qualsiasi degli obblighi previsti dal presente DPA.
7. Assistenza MAPSLY per le richieste degli interessati. Tenendo conto della natura del trattamento, i Controlli del Servizio sono le misure tecniche e organizzative con cui MAPSLY assisterà il Cliente nell'adempiere agli obblighi di rispondere alle richieste degli interessati ai sensi della Legge sulla Protezione dei Dati applicabile. Se un interessato presenta una richiesta a MAPSLY, MAPSLY inoltrerà tempestivamente tale richiesta al Cliente non appena avrà identificato che la richiesta proviene da un interessato di cui il Cliente è responsabile. Il Cliente autorizza a proprio nome, e a nome dei suoi responsabili quando agisce come Responsabile del trattamento, MAPSLY a rispondere a qualsiasi interessato che faccia una richiesta a MAPSLY, per confermare che MAPSLY ha inoltrato la richiesta al Cliente. Le parti convengono che l'uso da parte del Cliente dei Controlli del Servizio e l'inoltro da parte di MAPSLY delle richieste degli interessati al Cliente ai sensi di questa sezione rappresentano l'ambito e la portata dell'assistenza richiesta al Cliente.
8. Verifica della conformità.
8.1 Audit MAPSLY. MAPSLY utilizza revisori esterni per verificare l'adeguatezza delle sue misure di sicurezza. Questa verifica: (a) sarà effettuata almeno annualmente; (b) sarà eseguita secondo uno standard ampiamente riconosciuto; (c) sarà condotta da professionisti della sicurezza terzi indipendenti scelti e finanziati da MAPSLY; e (d) porterà alla redazione di un rapporto di audit.Rapporto“), che saranno le Informazioni Riservate di MAPSLY.
8.2 Rapporti di Audit. Su richiesta scritta del Cliente, e a condizione che le parti abbiano un NDA applicabile in vigore, MAPSLY fornirà al Cliente una copia del Rapporto in modo che il Cliente possa verificare ragionevolmente la conformità di MAPSLY ai suoi obblighi ai sensi del presente DPA.
8.3 Valutazione dell'impatto sulla privacy e consultazione preliminare. Tenendo conto della natura del trattamento e delle informazioni disponibili a MAPSLY, MAPSLY assisterà il Cliente nell'adempimento degli obblighi relativi alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva fornendo le informazioni che MAPSLY rende disponibili ai sensi della presente Sezione 8.
9. Trasferimenti di dati personali.
9.1 Posizioni. MAPSLY può trasferire e elaborare i Dati del Cliente all'interno della Rete MAPSLY negli USA o nello SEE. MAPSLY non trasferirà i Dati del Cliente al di fuori dello SEE e degli USA se non nei casi necessari per fornire i Servizi richiesti dal Cliente, oppure per rispettare la legge o un ordine valido e vincolante di un ente governativo.
9.2 Applicazione delle Clausole Contrattuali Standard. Fatta salva la Sezione 9.3, le Clausole Contrattuali Standard si applicheranno solo ai Dati del Cliente soggetti al GDPR che vengono trasferiti, direttamente o tramite successivo trasferimento, a qualsiasi Terzo Paese (ciascuno un “Trasferimento dati).
9.2.1 Quando il Cliente agisce come Titolare del trattamento, le Clausole da Titolare a Responsabile si applicheranno a un Trasferimento di Dati.
9.2.2 Quando il Cliente agisce come Responsabile del trattamento, le Clausole da Responsabile a Responsabile si applicheranno a un Trasferimento di Dati. Tenendo conto della natura del trattamento, il Cliente concorda che è improbabile che MAPSLY conosca l'identità dei Titolari del Cliente perché MAPSLY non ha un rapporto diretto con i Titolari del Cliente e, pertanto, il Cliente assolverà gli obblighi di MAPSLY nei confronti dei Titolari del Cliente ai sensi delle Clausole da Responsabile a Responsabile.
9.3 Meccanismo di trasferimento alternativo. Le Clausole Contrattuali Standard non si applicheranno a un Trasferimento di Dati se MAPSLY ha adottato Regole Aziendali Vincolanti per i Responsabili del trattamento o un altro standard di conformità riconosciuto per i Trasferimenti di Dati leciti.
10. Cessazione del DPA. Questo DPA resterà in vigore fino alla risoluzione dell'Accordo (il “Data di terminazione).
11. Eliminazione dei dati del cliente. Alla cessazione o scadenza dell'Accordo, MAPSLY eliminerà i Dati del Cliente su richiesta del Cliente, ma non oltre un periodo di 90 giorni, salvo che e nella misura in cui MAPSLY sia tenuta dalla legge applicabile a conservare una parte o tutti i Dati del Cliente, che MAPSLY isolerà e conserverà in modo sicuro conformemente ai periodi di conservazione applicabili. MAPSLY proteggerà questi Dati da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile.
12. Obblighi di informare. Qualora i Dati del Cliente diventino soggetti a sequestro durante procedure di fallimento o insolvenza o misure simili da parte di terzi mentre sono trattati da MAPSLY, MAPSLY informerà il Cliente senza indugio ingiustificato. MAPSLY notificherà, senza indugio ingiustificato, tutte le parti rilevanti coinvolte in tale azione (ad esempio, creditori, curatore fallimentare) che qualsiasi Dato del Cliente soggetto a tali procedure è di proprietà del Cliente ed è di sua responsabilità, e che i Dati del Cliente sono a disposizione esclusiva del Cliente.
13. Accordo completo; Conflitto. Questo DPA incorpora le Clausole Contrattuali Standard per riferimento. Salvo modifiche apportate da questo DPA, l'Accordo resterà pienamente valido ed efficace. In caso di conflitto tra l'Accordo e questo DPA, prevarranno i termini di questo DPA, salvo che i Termini di Servizio prevalgano su questo DPA. Nulla in questo documento varia o modifica le Clausole Contrattuali Standard.
14. L'uso dei dati utente grezzi o derivati ricevuti da API di Workspace rispetterà la Google User Data Policy, incluso i requisiti di Uso Limitato